Actualmente prácticamente todas las grandes empresas e incluso muchas medianas y/o emergentes, gestionan su operación apoyados por sistemas ERP, que integran todas las transacciones de negocio y se alinean con las funcionalidades de clase mundial que traen preconfigurados, por ende de una u otra forma contribuyen a incrementar el valor en las compañías, principalmente aquellas que integran su cadena de valor.
Si bien los sistemas ERP efectivamente contribuyen a incrementar el valor, no se debe perder de vista o descuidar el hecho de mantener o preservar el valor, mitigando los diversos riesgos a los que se ven expuestos los procesos de negocios que operan con estas soluciones.
Existen estudios en el mundo que indican que los principales fraudes a nivel de procesos de negocios, son producto de fallas en la segregación funcional (SoD) de estos y coincide que en las empresas en donde se han materializado estos fraudes poseen implementados sistemas ERP con grandes inversiones que en la gran mayoría de los casos corresponden a millones de dólares.
Entonces la pregunta que se hacen los inversionistas y la administración es "Si invertimos tanto dinero en este sistema. ¿Por qué nos vemos expuestos a estos riesgos?" La respuesta es clara, simplemente se implementan las buenas prácticas desde el punto de vista funcional u operacional, pero no desde una perspectiva de control interno, lo que implica que esos riesgos no se mitigan.
Las medidas de control interno en el marco de las implementaciones de los sistemas ERP, generalmente pasan a un ámbito muy secundario y lo único que es primario, es el hecho que el sistema opere en forma adecuada en línea con las necesidades de la operación del negocio, que si lo reflexionamos, es de sentido común, dado a que la facturación por ejemplo no se puede ver alterada, los camiones de las plantas no pueden parar por problemas en las bodegas, etc.
Ahora bien, para no alterar todas estas considaciones mencionadas antes y que parecen ser muy razonables, comienza a ser muy necesario contar con una herramienta que permita definir y analizar en forma automática la definición de la segregación funcional para los privilegios de los usuarios y así poder cerrar todos las puertas críticas que eventualmente puedan estar quedando vulnerables en el contexto de la implementación.
Luego, en el proceso de estabilización y posteriormente en régimen normal como parte de la mejora continua, se debe ir aplicando medidas de remediación apoyado de la herramienta automática de análisis SoD y la idea es que la administración de los privilegios, se haga con esta herramienta.
Como la decisión de los privilegios que se le debe dar a los usuarios es de la línea o dueños de procesos, es ideal que ellos cuenten con la posibilidad de interactuar con una herramienta y que en forma muy clara y práctica puedan verificar los riesgos y aprobar o rechazar los privilegios que son solicitados en el día a día y no enredarse en aspectos técnicos propios del sistema ERP.
Otros estudios indican que las empresas que administran sus privilegios en forma manual, están más expuestas a errores y fraudes en comparación con aquellas que utilizan herramientas de análisis automático de segregación funcional y ademas, tienen que realizar rediseños de roles y perfiles de usuario cada 3 años en promedio, con nuevas inversiones, estrés y molestias para los usuarios.
Finalmente, mencionar que otro de los problemas que enfrentan las empresas, es que la administración de roles y perfiles, se la pasan a las unidades de auditoría interna, lo que claramente atenta con la independencia de los auditores, dado a que tienen que ser "juez y parte", lo que a la hora de auditar la segregación funcional de los procesos de negocio, les juega absolutamente en contra y al contar con una herramienta, los auditores podrán hacer uso de esta para monitorear el modelo de privilegios implementado, ejecutar pruebas de auditoría de segregación funcional de manera más eficiente y hacer las recomendaciones a la línea con plena independencia.
Las herramientas de clase mundial de este tipo más recomendadas debido a sus funcionalidades son: Approva, SAP Business Objects GRC Access Control, Oracle Application Access Controls Governor.
sábado, 7 de mayo de 2011
miércoles, 4 de mayo de 2011
Aspectos a considerar al evaluar una solución automatizada de análisis de segregación funcional (SoD) en sus siglas en inglés (Segregation of Duties)
Al evaluar una solución de este tipo debe preocuparse que a lo menos cumpla con lo siguiente:
· Que haga análisis de transacciones conflictivas
· Que haga análisis de transacciones criticas (no es lo mismo que transacciones conflictivas)
· Que permita hacer análisis desde 1 a muchos usuarios en tiempo real
· Que permita hacer análisis desde 1 a muchos roles/perfiles en tiempo real
· Que el nivel de análisis sea fino, es decir, que llegue a las capas más especificas de autorización (denominadas 3 capas de seguridad de autorización en SAP). De lo contrario, los resultados son falsos positivos y eso contamina la evidencia (invalida los resultados)
· Que entregue los riesgos SoD, es decir, si son altos, medios y bajos, con la descripción de estos, a fin de que los Process Owners y Role Owners, sepan claramente a los riesgos que se exponen en la medida que autorizan un acceso. No basta con que indique si el nivel de riesgo es alto, medio, bajo, es muy importante que indique la implicancia o el concepto del riesgo.
· Que permita hacer análisis en tiempo real o sacar una foto en el momento que se estime pertinente.
· Que ofrezca funcionalidades para incorporar los controles de mitigación de los riesgos aceptados por los dueños de la información.
· Que tenga reglas de segregación funcional de clase mundial (buenas prácticas)
· Que permita agregar reglas de segregación funcional a la medida del negocio (adhoc a la industria en la que está la empresa por ejemplo)
Que permita customizar o adaptar las reglas SoD estándares.
Que permita customizar o adaptar las reglas SoD estándares.
· Que permita realizar aprovisionamiento de accesos a través de un workflow en forma automática. (provisioning) con análisis de riesgo SoD en forma simultánea.
· Que permita hacer análisis SoD a nivel de roles/perfiles (intrarol) y roles a usuarios (por usuarios)
· Que almacene automáticamente la evidencia de las aprobaciones de acceso por parte de los dueños de la información.
· Que la evidencia de aprobaciones almacenada sea auditable.
· Qué permita monitorear los accesos amplios de los súper-usuarios y que la solución deje evidencia automática de los cambios realizados. (ejemplo: cambios sobre campos críticos de ciertas tablas o customizing SAP)
A lo menos estas funcionalidades deberían tener una buena herramienta de análisis SoD, para poder obtener resultados razonables, en forma eficiente y rentabilizar la inversión, de lo contrario es muy probable que se deba volver a los mecanismos manuales de análisis.
Otro factor no menor, es elegir un partner implementador que cuente con credenciales concretas y validables, dado a que como son soluciones relativamente nuevas, el riesgo que se corre al hacerlo con partners sin experiencia es muy alto y el proyecto puede tender al fracaso. (este es un factor crítico de éxito)
Trace de autorizaciones por medio de la transacción ST01 - una muy buena herramienta para auditores y administradores de seguridad SAP
Esta herramienta posee características que la hace ser una de las más importantes para auditar y obtener evidencia de accesos de los usuarios del sistema SAP:
- Herramienta de fácil uso y es recomendable dominar el concepto de autorización para su utilización e interpretación adecuada (capa 1, 2 y 3 de seguridad de autorizaciones)
- Herramienta que no merma el performance de la operación del ambiente en donde se tenga activada (no es invasiva). Este es el típico motivo por el cual se le bloquea el acceso a los auditores, perdiendo la oportunidad de obtener evidencia de muy buena calidad para la auditoría. Si el trace está activo solamente para la verificación de autorizaciones, no habría merma de performance. Eventualmente podríamos tener impacto, en la medida que activemos todas las opciones del trace (RFC, tablas, etc.)
- Ocupa espacio en disco que se puede ir reciclando por medio de uso de dispositivos externos (discos de respaldo externos) y así no merma el espacio en disco. Esto se puede ir haciendo día a día, dado a la cantidad de información que almacena el trace y se recomienda dejarlo en 99MB de almacenamiento (máximo), a fin de que cada archivo genere la mayor cantidad de información posible.
- Para un eficiente procesamiento y análisis de la evidencia, se recomienda trabajar el resultado del trace apoyado de un CAATs (técnicas de auditoría asistidas por computador) - ACL, ACCESS, EXCEL
- Herramienta de fácil uso y es recomendable dominar el concepto de autorización para su utilización e interpretación adecuada (capa 1, 2 y 3 de seguridad de autorizaciones)
- Herramienta que no merma el performance de la operación del ambiente en donde se tenga activada (no es invasiva). Este es el típico motivo por el cual se le bloquea el acceso a los auditores, perdiendo la oportunidad de obtener evidencia de muy buena calidad para la auditoría. Si el trace está activo solamente para la verificación de autorizaciones, no habría merma de performance. Eventualmente podríamos tener impacto, en la medida que activemos todas las opciones del trace (RFC, tablas, etc.)
- Ocupa espacio en disco que se puede ir reciclando por medio de uso de dispositivos externos (discos de respaldo externos) y así no merma el espacio en disco. Esto se puede ir haciendo día a día, dado a la cantidad de información que almacena el trace y se recomienda dejarlo en 99MB de almacenamiento (máximo), a fin de que cada archivo genere la mayor cantidad de información posible.
- Para un eficiente procesamiento y análisis de la evidencia, se recomienda trabajar el resultado del trace apoyado de un CAATs (técnicas de auditoría asistidas por computador) - ACL, ACCESS, EXCEL
- Si estamos auditando el ambiente productivo, se debe activar en cada uno de los servidores que soportan productivo. Cabe mencionar, que esto aplica para cualquier ambiente y se activa en cada servidor de desarrollo, prueba, sandbox en la medida que nuestra necesidad sea auditar estos ambientes. Las instancias de servidores se pueden ver con la transacción SM51 y de esta forma administro los traces en un esquema multi-server.
- La evidencia obtenida llega a nivel de capa 3 de seguridad de accesos (capa 1 S_TCODE, capa 2 TSTCA y capa 3 USOBT, por lo que la enriquece para evitar falsos positivos.
- Para un modelo de prevención de delitos (Ley 20.393) y/o fraudes (procedimientos de detección de fraudes en el marco de las auditorías internas o externas) es muy recomendado, debido a la calidad de la evidencia.
- Para el monitoreo del modelo de control interno de segregación funcional SoD-SOX Compliance, es muy recomendado, ya que nos permite obtener evidencia del monitoreo que hacen los dueños de procesos (process owners) o dueños de roles (role owners) en relación a los accesos bajo su responsabilidad.
- Se puede complementar con los resultados de otras herramientas tales como: Ejecución histórica de transacciones ST03, STAD, SM04, SM20 log de auditoría con obtención de usuario, transacción y terminal (estas herramientas solamente llegan a nivel de capa 1 de seguridad, es decir, a nivel de transacción ejecutada por usuarios y no cubren los objetos de autorización. (Son susceptibles de levantar falsos positivos), pero complementado con el trace de autorizaciones se enriquece la evidencia.
lunes, 7 de marzo de 2011
¿Qué hay de nuevo con SAP Business Objects Governance, Risk & Compliance (GRC) versión 10.0?
A continuación van algunos tips en relación a este tema:
- Lo primero que debemos saber es que este cambio de versión aplica para todos productos de la suite Business Objects GRC (Access Control-AC, Process Control-PC, Risk Management-RM y Global Trade Services, Environment, Health, and Safety Management y Sustainability Performance Management.
- Se juntan o integran los componentes SAP GRC AC, PC y RM de la suite BO GRC en la versión 10.0. Es por este motivo que no hay un release por ejemplo de SAP GRC PC 3.0 a la 4.0. Esto implica además que compartirán datos maestros, reportes y configuraciones generales
- Se centralizan todos los riesgos, controles y planes de remediación en un repositorio único (ya no estarán los riesgos de SoD en una componente como pasaba con SAP GRC AC 5.3 por ejemplo) a esto se le denomina "Content Life Cycle Management". La otra mejora es que no solamente podrá interactuar el personal interno de la empresa que gestiona el modelo de control interno, sino que también lo podrán hacer proveedores que son parte de la cadena de control interno de la compañía. (ejemplo: proveedores de servicios de TI SAS70 compliance, proveedores de servicios de Payroll, etc.)
- Se podrá gestionar estándares de control interno de industrias especificas. (Real Estate, Retail, Automotive, Utility & Public Sector, etc.)
- La interfaz gráfica de usuarios de AC, PC y RM será igual para todas las funcionalidades, a diferencia de las versiones actuales que cada componente de la suite GRC posee sus propias pantallas, esto se traduce en un centro de trabajo común para las tres componentes claves de la suite.
- Se viene un gran cambio a nivel de informes. Ahora ya no será necesario aplicar sentencias de código de programación para generar informes, puesto que la versión 10.0 vendrá con herramientas utilitarias de construcción de informes a la medida del usuario y de forma muy intuitiva, apoyado por "Crystal Reports". Esto aparte de los reportes que traerá por defecto, pero la gran mejora está en la facilidad de poder construir nuevos reportes a la medida (gerenciales, operativos, etc) y con interfaces gráficas muy atractivas, es decir, dependiendo de las necesidades de reporte que existan en la organización.
- Otra de las nuevas funcionalidades, es que permitirá gestionar políticas y procedimientos, la aprobación de las mismas y controles de cambio, toda vez que son parte integra del modelo de control interno y estarán vinculadas a las actividades de control que mitigan ciertos riesgos mapeados en la organización tanto a nivel estratégico como operativo o de procesos.
En conclusión, ahora una herramienta integrada nos permitirá hacer management de riesgos, controles y cumplimiento, sin necesidad de tener que autenticarse en 3 herramientas distintas, ahora se podría hablar de una verdadera herramienta que permite gestionar de forma automatizada e integrada el Governance, Risk & Compliance (GRC) de la organización.
Suscribirse a:
Entradas (Atom)