¿Por qué es necesario auditar SAP GRC Access Control?

En los últimos años, ha aumentado la tendencia de las empresas que implementan la solución SAP GRC Access Control u otras de similares caracteristicas, con el fin de controlar el otorgamiento de privilegios en SAP ERP y otros aplicativos del entorno tecnológico, como también el provisioning de cuentas de usuario en los sistemas (altas, bajas y mantenciones del maestro de usuario), aplicando análisis de riesgo sobre los conflictos de interés (SoD, por sus siglas en inglés) y/o autorizaciones críticas.

Lo que no están haciendo las organizaciones o muy pocas lo hacen, es auditar el aplicativo SAP GRC Access Control o cualquier otro que cumpla esta función.  ¿Por qué habría que auditarlo como parte del plan anual de auditoría? A continuación, les comentaré los 10 principales motivos:

1. Se debe revisar si los aprobadores de privilegios o dueños de roles en SAP GRC Access Control, son los que se autorizó en base a la política y/o procedimiento.
2. Se debe revisar que las reglas de segregación funcional SoD para transacciones conflictivas, no estén siendo desactivadas. Esta es una forma de mostrarle a los auditores (internos y/o externos) o a la organización de que hay pocos conflictos por incompatibilidades o por asignación de transacciones críticas, siendo que la realidad es otra.
3. Se debe revisar las reglas SoD para transacciones Y-Z que han sido creadas ad hoc a la organización y que las mismas estén cumpliendo los fines para los cuales fueron creadas. Se debe aplicar el mismo criterio escéptico del punto anterior. Asimismo, se debe revisar la combinatoria de reglas asociadas a conflictos de transacciones Y-Z con transacciones estándar.
4. Se debe revisar que las reglas SoD para transacciones o autorizaciones criticas estén activas, aplicando el mismo criterio escéptico que mencionamos en el número 2.
5. Se debe revisar que los controles de mitigación denominados “firefighter FF” estén debidamente asignados, tanto para FF ID como para FF role. Ciertas organizaciones tienden a colocar este tipo de controles de mitigación, para ocultar conflictos reales SoD o autorizaciones críticas.
6. Se debe revisar que los workflow de aprobación operen de acuerdo a lo estipulado en las políticas y/o procedimientos de aprobación de otorgamiento de privilegios y cuentas de usuario.
7. Se debe revisar que las reglas de segregación de funciones SoD, diseñadas a la medida de la organización o para cubrir verticales del “core business”, estén diseñadas e implementadas a nivel de objetos de autorización primario, secundario y complementario (3 capas de seguridad de autorizaciones SAP ERP).  Esto es por la potencial proliferación de falsos positivos en los reportes que conllevan a ineficiencia y/o ineficacia.
8. Se debe revisar que se cumpla con los protocolos de control de cambio, en el sentido que se administre SAP GRC Access Control, cumpliendo con la segregación de ambientes: Desarrollo, Prueba y Productivo, de acuerdo a lo que recomiendan las buenas prácticas.
9. Se debe revisar que la integración con los sistemas sea integra y que tanto roles como usuarios, estén siendo analizados de manera exacta y completa, respecto a lo que se administra en ambiente productivo de los sistemas analizados.
10. Se debe revisar que el diseño e implementación de los controles de mitigación para los conflictos SoD y asignación de autorizaciones críticas, sea adecuado y que cubra los riesgos. En este ámbito, se suele colocar controles que no guardan relación con el riesgo y se pierde visibilidad de los riesgos reales y su exposición.

Una de las herramientas que le permite al auditor (interno y/o externo) hacer auditorias independientes a las reglas tanto de conflictos de interés como de autorizaciones críticas, es la que posee SAP ERP y que menciono en el siguiente post: https://goo.gl/idYvG8. De esta forma el revisor podrá comparar el resultado de la regla SAP GRC Access Control con el resultado de su prueba de auditoría y verificar si las reglas realmente están operando de acuerdo a los objetivos que fueron diseñadas e implementadas.

Integración de líneas de denuncia de entidades reguladas por la SVS,con una unidad de investigación de denuncias en este ente regulador.

El otro día reflexionando respecto a la escalada de corrupción en nuestro país, llegué a la conclusión de que la autorregulación definitivamente no está dando los frutos esperados y eso significa que hay que colocar más regulación y controles más eficaces, a fin de evitar que esto se enquiste definitivamente en nuestra sociedad, con el consiguiente daño para todos.

Dentro de estas reflexiones, pensaba en los canales de denuncia y líneas éticas que tienen las empresas y que son parte de las herramientas de prevención de delitos en los gobiernos corporativos, pero que no necesariamente están siendo eficaces, a la luz de lo que está ocurriendo. Entonces la pregunta que me surgió fue: ¿Cómo podemos hacer que estas líneas de denuncia sean más eficaces?

La respuesta que se me vino a la mente fue, que al menos las líneas de denuncia de las entidades reguladas por la Superintendencia de Valores y Seguros (SVS), deberían estar conectadas o integradas con una unidad de investigación de denuncias de la SVS y de esta forma, se podría generar un control por oposición de intereses mucho más eficaz, el cual estaría siendo monitoreado en forma continua por la SVS en coordinación con las unidades de prevención de delitos de las entidades reguladas.

Creo que esta medida, podría ser un control disuasivo bastante eficaz, considerando que aquí se mitigaría el riesgo de que ciertas denuncias importantes que afecten a accionistas, miembros del directorio y a ejecutivos, queden sin ser investigadas y la cantidad de ilícitos que se podría prevenir y detectar oportunamente sería no menor, tomando en cuenta que los ilícitos o actos de corrupción con más daño a los inversionistas o al mercado, tienden a ser cometidos a estos niveles de la pirámide organizacional.

Lo otro, sería simplemente implementar en la SVS una unidad de investigación de denuncias, que trabaje en coordinación con el Ministerio Público y que cuente con una línea de denuncias propia, de manera que cualquier stakeholder (grupos de interés) de las entidades reguladas por la SVS, pueda hacer denuncias de forma independiente y con resguardos de privacidad y confidencialidad.

Este tipo de iniciativas, ayudaría a mitigar riesgos de que se destapen escándalos de corrupción a destiempo, tales como los que hemos conocido en el último tiempo y considerando que hay denuncias importantes de corrupción en las empresas, pero no todas llegan a buen puerto o no todas se llegan a investigar con la rigurosidad que amerita, sobre todo si éstas afectan a algún accionista, miembros del directorio o ejecutivos.

¿La función de auditoría y seguridad de la información, posee una herramienta estándar para revisión y monitoreo independiente de la segregación de funciones y privilegios críticos en SAP ERP?

La respuesta a esta pregunta es un categórico sí. El problema es que esta herramienta es desconocida y en consecuencia no se usa en las organizaciones.

¿Cuántos fraudes producto de fallas en la asignación de privilegios en SAP ERP se podrían prevenir, a partir de un monitoreo certero de estos ámbitos?

Claramente esta herramienta, al ser posible ser poblada con reglas de segregación de funciones y privilegios críticos a nivel de objetos de autorización, permite que la función de auditoría interna, complemente sus auditorías de procesos de negocios en SAP ERP, con una muy buena y profunda revisión de la segregación funcional (SoD, por sus siglas en inglés) y de los privilegios críticos, mitigando el riesgo de que en las evidencias se obtengan falsos positivos.

Una de las grandes falencias de los auditores tanto externos como internos cuando auditan SAP ERP, es el hecho de ejecutar débiles pruebas de auditoría en estos ámbitos y generalmente se entregan informes con hallazgos a la administración que contienen un número importante de falsos positivos, lo cual tiende a desacreditar sistemáticamente sus hallazgos y el valor de los mismos.

Para la función de seguridad de la información, pasa a ser una herramienta bastante buena también, ya que le permitirá monitorear la asignación de privilegios críticos al sistema aplicativo SAP ERP, en el marco de la protección de acceso a los activos críticos de la información.

La buena noticia, es que esta herramienta ya viene incluida en su sistema SAP ERP y no tiene para que comprarla, ya que solamente se configuran sus reglas SoD y luego solamente haciendo un clic, podrá ejecutar sus pruebas de segregación de funciones y de otorgamiento de privilegios críticos en forma escéptica, independiente, automática, continúa y libre de falsos positivos.

Cabe mencionar, que esta herramienta se puede utilizar tanto a través de SAP AIS (Audit Information System), como por fuera de AIS, por lo que para usarla no es requisito tener configurado SAP AIS.

Si quieren conocer en qué consiste esta herramienta estándar de SAP ERP y ver una demo de su funcionamiento, nos pueden contactar: contacto@grcchile.cl.

¿Qué tan eficaz es el modelo de prevención de delitos de nuestra organización?

La pregunta que muchas entidades se hacen, es la planteada en el título de este artículo y haciendo un sondeo rápido en organizaciones de distintas industrias en Chile, nos podemos dar cuenta que la mayoría de las entidades que han implementado un modelo de prevención de delitos, lo han hecho sólo orientado al cumplimiento de la ley 20.393 del 02.12.2009, relativa a la Responsabilidad Penal de las Personas Jurídicas en los Delitos de Lavado de Activos, Financiamiento al Terrorismo y Cohecho.

Como medida inicial es un punto de partida razonable, pero la evolución natural o mejora continua de un modelo de cumplimiento, es implementar una función de prevención de delitos en la organización, pero que la misma sea holística, es decir, que cubra de forma integrada los delitos a los cuales podría verse expuesta la entidad, por lo que no basta con que un modelo de prevención de delitos solamente se base o cubra los requerimientos de la ley 20.393, sino que debería cubrir varios otros escenarios de delitos, integrados entre otros a los siguientes ámbitos:

• Sociedades (si son locales, multinacionales o multilatinas). Revisar los escenarios de delitos fuera de Chile.
• Industria a la cual pertenece, escenarios regulatorios y los potenciales delitos. (Visión de delitos por industria).
• Mapa de procesos por sociedad y su paralelo con los delitos.
• Stakeholders o grupos de interés asociados a las distintas sociedades, tanto internos como externos.  Esto en el ámbito interno de la organización, debe cubrir desde los dueños, pasando por el directorio, la administración y todo el resto de la organización (Top-Down).
• Gestión del cambio y/o planes de sensibilización en prevención de delitos. (Evangelización Top-Down).

Lo anterior, toma mucho más relevancia cuando revisamos los acontecimientos que se han materializado en nuestro país en el último tiempo, donde hemos podido presenciar una serie de compañías a las cuales se les han materializado riesgos relacionados con delitos que probablemente no estaban siendo abordados de forma integrada y profunda por los distintos grupos de interés o stakeholders, con el consiguiente perjuicio y pérdida de valor bursátil, reputación, etc., cuyo impacto incluso puede hacer desaparecer a cualquier organización.

Por consiguiente, es necesario reflexionar profundamente acerca del tipo de modelo de prevención de delitos que posee nuestra organización y basta con ver lo que está pasando en el mercado y tomar acciones preventivas en forma urgente, sobre todo para aquellas entidades que ni siquiera tienen un modelo de prevención orientado a la ley 20.393, lo cual aplica a cualquier entidad, de distinto tamaños e industrias.

En GRC Chile (www.grcchile.cl), contamos con un equipo multidisciplinario de especialistas con vasta experiencia en metodología orientada a diseñar e implementar un modelo integrado de prevención de delitos.

Nuestros socios y especialistas, son ex fiscales de la Fiscalía Nacional Económica, Ministerio Público e investigadores de delitos tributarios en el Servicio de Impuestos Internos, con vasta experiencia en delitos de diversa índole, que lo pueden asesorar de forma eficaz.

Si quiere conocer un modelo integrado de prevención de delitos, nos puede contactar a: contacto@grcchile.cl

¿Cómo se relaciona el modelo de las 3 líneas de defensa con el conceptoGovernance, Risk & Compliance (GRC)?

Para relacionar adecuadamente estos conceptos, es necesario primero desagregar y entender el modelo de las 3 líneas de defensa de acuerdo a lo que implica cada una de ellas:

1ra. Línea de defensa: - Controles de gerencia - Medios de control interno 2da. Línea de defensa: - Controles financieros - Seguridad - Gestión de riesgos - Calidad - Inspección - Cumplimiento 3ra. Línea de defensa: Auditoría interna Una vez desagregado el modelo de las 3 líneas de defensa, nos preguntamos: ¿Cómo se relaciona el modelo de las 3 líneas de defensa con el concepto Governance, Risk & Compliance (GRC)?

Debemos partir de la base de que el concepto GRC lleva implícito las 3 líneas de defensa, ya que cuando hablamos de Governance (G), se relaciona con todas las iniciativas de gobiernos corporativos relacionadas con la junta de accionistas, el directorio y su interacción y supervisión de la alta administración de la organización, lo cual estaría contemplado en la primera línea de defensa, que se relaciona con los controles de gerencia y con los medios de control interno. En este ámbito nos encontramos con las siguientes funciones dentro de las organizaciones: - Junta de accionistas - Directorio - Comités de directorio: Riesgos, Auditoría, Financieros, Inversiones, etc. - Comité ejecutivo de la alta administración Cuando nos referimos a Risk (R), las inicitaivas más operativas de gestión integral de riesgos, están localizadas en la segunda línea de defensa, con supervisión de la alta gerencia realizada por la primera línea y auditado continuamente por la tercera, lo cual dice relación con todas aquellas iniciativas tendientes a gestionar de forma eficaz los riesgos tanto estratégicos como operativos de la organización y las respuestas para mitigar los mismos como parte del modelo de control interno. En este ámbito, nos encontramos con las siguientes funciones y roles dentro de cualquier organización ya sea pública o privada: - Dueños de procesos - Dueños de la información - Responsables de controles - Oficial de riesgos, controles, seguridad de la información, cumplimiento regulatorio, etc - Gerencias de riesgos y control interno

- Salud ocupacional, seguridad industrial, medio ambiente

- Entre otras Ahora bien, nos queda la sigla relativa al Compliance (C), que se relaciona con aquellas iniciativas de cumplimiento regulatorio que son parte de la segunda línea de defensa y que deben llevar a cabo las organizaciones en forma continua tales como: - Cumplimiento legal y laboral - Cumplimiento tributario - Cumplimiento ambiental - Cumplimiento por regulación de la industria - Cumplimiento gubernamental - Cumplimiento de legislación internacional producto de internacionalización - Cumplimiento de leyes especiales tales como: SOX (EE.UU.), 20.393 (Chile) - Entre otros A partir de este concepto, ha proliferado la función de cumplimiento regulatorio que es liderada por el Oficial de Cumplimiento o Compliance Officer, quienes actúan como un “orquestador” de todas estas iniciativas y debe coordinarse con cada una de las unidades organizativas y procesos, a efectos de no incurrir en alguna falla de compliance que lleve a la organización a la materialización de riesgos y por ende pérdida de valor. El rol de la tercera línea de defensa bajo este modelo, es fundamental y transversal, puesto que se relaciona con la auditoría interna y como función independiente debe velar para que tanto la primera como la segunda línea de defensa lleven a cabo sus funciones de supervisión, monitoreo y gestión de riesgos/controles en forma eficaz, contando también con la colaboración de los auditores externos independientes y entes reguladores. Es por esta razón, que estas líneas de defensa, están destinadas más que a la agregación de valor en la organización, a la preservación del mismo y por ende, conseguir un crecimiento de forma sostenida.

Madurez de los modelos Governance, Risk & Compliance (GRC) en Chile y Latinoamérica

Hace ya más de una década que se viene hablando de GRC, acrónimo que contempla los conceptos de Gobierno Corporativo, Gestión Integral de Riesgos y Cumplimiento Regulatorio (En inglés Governance, Risk & Compliance) y algunos lo asocian a soluciones de software, funcionalidades de un sistema de clase mundial, etc., pero en estricto rigor, se trata de la evolución de los conceptos COSO, COBIT, entre otros, ya que integra una triada que de manera implícita contempla estos frameworks o buenas prácticas.

¿Qué busca GRC como modelo integral?

Busca de forma holística armonizar y darle vida en las organizaciones a las diversas iniciativas de gobiernos corporativos, gestión integral de riesgos y cumplimiento regulatorio, de manera tal de que las mismas, funcionen alineadas con la estrategia, visión y misión de las entidades, orientado a la generación de valor de forma sustentable.

En consecuencia, podríamos decir además que los modelos GRC, buscan integrar las iniciativas emanadas de las tres líneas de defensa de control interno.

Dicho lo anterior, cabe preguntarse: ¿Cuál ha sido la realidad en Chile y Latinoamérica respecto a estos conceptos o modelo?

Es muy diverso lo que está pasando en las organizaciones en nuestro país y el resto de Latinoamérica considerando que, dependiendo de la industria, las entidades han ido evolucionando hacia modelos GRC más integrados, pudiendo evidenciar que la industria financiera es la más madura básicamente por exigencias regulatorias, pero falta bastante aún y a continuación les comentaré las principales brechas que hay en nuestro país y en general en Latinoamérica:

- Iniciativas de las unidades de negocio, tienden a estar desalineadas con la estrategia de la entidad en materia de gobiernos corporativos.

- Las unidades de negocio tienden aún a funcionar en silos.

- La gestión del cambio o sensibilización respecto a estas iniciativas, presentan fallas en relación con la ejecución eficaz de las actividades.

- Ausencia de políticas, normas y/o procedimientos que permitan hacer que estos modelos se cumplan y funcionen independiente de las personas que los operan. 

- Ausencia de definición de roles y responsabilidades claras respecto a la operatoria de estos modelos.

- Los procesos de negocio operan desalineados y sin directrices de gobernabilidad de los modelos de control interno.

- Falta de estandarización en los procesos de negocio de las distintas unidades de negocio respecto a iniciativas de control interno o gestión de riesgos.

- Unidades funcionales desarrollan iniciativas de riesgos en forma aislada y no a nivel compañía.

- No hay conciencia a nivel operativo de la importancia de los modelos de control interno, incluida obviamente la gestión integral de riesgos y el cumplimiento regulatorio.

- A nivel de algunos directorios, basta solamente con la existencia de un comité de auditoría y unidad de auditoría interna, no importando mucho implementar funciones de segunda línea de defensa como: Gestión de riesgos, cumplimiento regulatorio, seguridad de información, prevención de fraudes, etc.

- Los escasos modelos implementados en entidades con mayor madurez en materia de control interno, no cuentan con métricas o soluciones que permitan sistematizar la gestión de los riesgos y controles de forma sostenida, salvo lo que se ve en grandes instituciones financieras.

- Muchas entidades privilegian el hecho de tener iniciativas más bien reactivas, correctivas que preventivas, ya que no le ven agregación de valor a las mismas, perdiendo de vista la contribución en preservación de valor de estas funciones.

En fin, podemos seguir enumerando brechas o debilidades que se ven en las entidades estatales y privadas tanto en Chile como en Latinoamérica, lo cual permite explicar la sistemática materialización de ilícitos, fraudes corporativos o destrucción de valor producto de riesgos no mitigados o gestionados en forma errada y, en consecuencia, la exacerbación de la corrupción al interior de las entidades.

Solución de Análisis de Segregación de Funciones y Transacciones Críticas en SAP ERP

Uno de los problemas recurrentes en casi todas las empresas que han implementado un sistema de aplicación world class ERP, es la calibración de los privilegios de accesos para los usuarios finales y súper usuarios, esto debido a que en algunos casos los modelos de seguridad que contienen estos sistemas aplicativos son un tanto complejos y conlleva a que las empresas tengan que destinar esfuerzos sistemáticos y continuos en su administración y con recursos especialistas.

En el caso de SAP ERP, existe la solución SAP GRC Access Control, que contempla una matriz de segregación de funciones y transacciones críticas batante robusta, que permite analizar los riesgos de accesos antes de su asignación a los usuarios, desde la perspectiva de incompatibilidades y accesos críticos, haciendo uso de sus reglas.

Lo bueno de la solución SAP GRC Access Control, es que permite realizar diagnósticos bastante certeros respecto a la asignación real de privilegios que poseen los usuarios, pudiendo revisar miles de usuarios en forma rápida y mitigando el riesgo de la existencia de falsos positivos, lo cual ayuda a optimizar la administración de roles y privilegios de usuarios.

Lo malo es que no es una solución que muchas veces está al alcance de todas las entidades y en ese contexto, SAP ofrece una solución estándar que es parte del ERP y que se debe poblar con las reglas de segregación funcional y de privilegios críticos, pudiendo controlar la asignación de autorizaciones para los procesos más críticos de la organización, ya sea como parte de la auditoría interna, externa, control interno o de monitoreo de la seguridad de la información.

Esta herramienta, es parte de las funcionalidades de SAP AIS (Audit Information System), en los nodos de auditoría de sistemas y seguridad de la información en SAP ERP, pero la misma, en general no es utilizada por las entidades por desconocimiento.

La buena noticia, es que es una herramienta que no requiere adquisición de licencias a diferencia de SAP GRC Access Control, pero es recomendable para entidades que poseen menos de 300 usuarios en SAP ERP y no permite incorporar controles compensatorios y hacer uso de workflow de provisioning de accesos, como lo permite SAP GRC Access Control, por lo que podríamos decir que es una herramienta de monitoreo y auditoría del modelo de roles, perfiles y privilegios de acceso.

Otra de las opciones para realizar estos análisis de segregación de funciones y/o transacciones críticas, es a través de una solución analytics, donde se pueda incorporar las reglas de riesgos a ser analizadas, garantizando que las mismas proporcionen resultados íntegros y libres de falsos positivos.

Solución SAP Regulation Management by Greenlight

Hace poco fue liberada la solución SAP Regulation Management by Greenlight, la cual permite gestionar el compliance regulatorio de las organizaciones, integrándolo tanto con la gestión integral de riesgos como con la gestión de controles.

La solución SAP Regulation Management, viene a complementar la suite GRC de SAP: Access & Process Control, Risk, Audit & Fraud Management, para mantener una gestión del compliance regulatorio de manera integrada con el modelo de control interno "End to End", que le permita a la organización poder contar con una solución holistica en donde tanto las funciones de riesgos, compliance, control interno y auditoría interna, puedan funcionar coordinadamente, evitando ineficiencia por ejemplo por redundancia de gestión de riesgos y controles en el contexto del cumplimiento regulatorio.

Otra de las características de esta solución, es el hecho que permite incorporar diversos frameworks de compliance y para una compañía regulada en Chile, que posea un modelo de compliance regulatorio operando, podrá incorporar por ejemplo: Ley 20.393, Ley SOX, Regulaciones y/o compliance ambiental, seguridad laboral, etc.

Claramente, el hecho de contar con una solución de clase mundial como esta, le permite a las organizaciones racionalizar su modelo de compliance y asegurarse que el mismo, sea gestionado a cabalidad en coordinación con las otras funciones que son parte de un modelo integral de Governance, Risk & Compliance (GRC).

Norma de carácter general Nro. 385 de la SVS. 8 principales diferencias con la NCG Nro. 341

En junio de este año, la Superintendencia de Valores y Seguros (SVS), emitió la norma de carácter general NCG Nro. 385, la cual derogó la NCG Nro. 341 del año 2012, relativa a "Normas para la difusión de información respecto de las prácticas de gobierno corporativo adoptado por las sociedades anónimas abiertas".

La pregunta que muchos se hacen es: ¿Cuáles son las grandes diferencias de esta nueva norma? 

A este respecto, les comentaré  algunas diferencias relativas a la derogada norma NCG Nro. 341, considerando que se han incorporado nuevos requerimientos a ser reportados en carácter obligatorio a la SVS, por lo que las sociedades anónimas abiertas deberán reportar a más tardar el 31 de marzo del año 2016 sus prácticas al cierre del ejercicio anterior, es decir, referidas al 31 de diciembre del 2015.

A continuación revisaremos las 8 principales diferencias:

1.- La NCG Nro. 385 menciona que adicional a las prácticas de gobierno corporativo, las sociedades anónimas abiertas deben reportar sus prácticas de responsabilidad social y desarrollo sostenible.

2.- La NCG Nro. 385 en la práctica Nro. 1, requiere reportar no sólo respecto al funcionamiento del directorio, sino que también se refiere a la composición del mismo.

3.- La NCG Nro. 385 en la práctica Nro. 1, requiere que se informe si el directorio cuenta con una política de contratación de expertos que los asesore en materias, contables, tributarias, financieras, entre otras.

4.- La NCG Nro. 385 en la práctica Nro. 1, requiere que el directorio no sólo se reúna semestralmente con los auditores externos de estados financieros, sino que sea trimestralmente al menos.  Asimismo, requiere que el directorio se reúna al menos trimestralmente con los auditores internos, unidad de gestión de riesgos, oficial de cumplimiento y unidad de responsabilidad social/desarrollo sostenible, a revisar los distintos ámbitos y resultados relativos a estas funciones. Hace mención también, que al menos una de estas reuniones trimestrales, se haga sin la presencia del gerente general de la sociedad.

5.- La NCG Nro. 385 en la práctica Nro. 1, requiere además que el directorio contemple visitas en terreno a las dependencias de la sociedad y conocer "in situ" el estado de la misma y contar con un sistema de información en operación y de acceso por parte de cada director, para conocer entre otros: Las actas de sesión del directorio de los últimos 3 años, contenidos de citaciones, minutas, etc.

6.- Respecto a la práctica Nro. 2 relacionada con la relación entre la sociedad, los accionistas y el público en general, la NCG Nro. 385 es mucho más específica con los requerimientos de procedimientos de información, participación y toma de conocimiento integro de estos stakeholders.  Asimismo, requiere un procedimiento formal de mejoramiento continuo en operación.

7.- La NCG Nro. 385 en su práctica numero 3, contempla los requerimientos de gestión y control de riesgos, dándole mucho más énfasis respecto a lo requerido en la derogada NCG Nro. 341.

8.- En su práctica Nro. 4, la NCG Nro. 385, contempla la evaluación por parte de terceros, por ejemplo: Autoevaluación del directorio respecto a la adopción de las prácticas de gobiernos corporativos, responsabilidad social y desarrollo sostenible. 

Al hacer el análisis detallado de la NCG Nro. 385, es evidente que las prácticas requeridas son mucho más completas y concretas que lo mencionado en la derogada NCG Nro. 341 y en la medida que las sociedades anónimas abiertas implementen estas prácticas, debería mejorar significativamente su gobierno corporativo, preservando el valor de estas y haciéndolas más sostenibles en el tiempo, sin perjuicio que la adopción de estas prácticas por parte de las sociedades, es voluntario, pero como el reporte es público, los inversionistas deberían optar por invertir en aquellas sociedades que efectivamente las han implementado.

Ahora bien, en la medida que el resto de las entidades que no son sociedades anónimas abiertas, implementen este tipo de buenas prácticas, contribuirá de mejor manera a tener entidades mucho más confiables y sustentables.

Seguridad SAP ERP ¿Qué es necesario monitorear continuamente? 10 aspectos claves

En todo sistema de información es relevante mantener y monitorear los aspectos de seguridad, considerando que son parte del entorno de control de los procesos, lo que implica que cualquier vulnerabilidad en la seguridad se estos, se traduce en debilidades de control que podrían poner en riesgo tanto la información financiero-contable como lo relativo al "core business" o la operación.

En este contexto, es necesario mantener un monitoreo continuo de la seguridad del sistema aplicativo, puesto que generalmente las vulnerabilidades o deficiencias de control en este ámbito, conllevan a efectos transversales en los procesos de negocio que están relacionados a estos sistemas, por lo que el impacto podría ser significativo para cualquier entidad u organización pública o privada.

A continuación les mencionaré 10 aspectos claves a considerar en el monitoreo continuo de la seguridad SAP ERP:

1.- Seguridad de los parámetros del sistema relativos a: Password, intentos fallidos de autenticación, desconexión automática por inactividad, conexiones remotas, entre otros.

2.- Seguridad de las transacciones críticas del módulo Basis Component (BC), relativo a la gestión del sistema tales como: SPRO (Customizing SAP), SCC4 (Mantención de Apertura y Cierre de Mandantes), entre otras.

3.- Seguridad de los Roles, Perfiles y Autorizaciones de Usuarios. Transacciones tales como: PFCG (Mantención de Roles, Perfiles y Autorizaciones), SU02 (Mantención de Perfiles y Autorizaciones), entre otras.

4.- Seguridad del Maestro de Usuarios el cual además debe estar segregado de la mantención de roles, perfiles y autorizaciones. Funcionalidades tales como: SU01(Mantención del Maestro de Usuarios), entre otras.

5.- Seguridad relativa al control de cambios del sistema y transportes. Funcionalidad SE10 (Gestión de Transportes), entre otras.

6.- Seguridad para el manejo de ABAP Queries y consultas de tablas del diccionario de datos. Funcionalidades SE16 (Browser de datos), SQ01 (ABAP Query), entre otras.

7.- Seguridad de las interfaces del sistema SAP ERP con otros aplicativos SAP u otros sistemas no SAP.

8.- Seguridad del diccionario de datos, tablas y programas ABAP, transacciones tales como: SE38 (Programación ABAP), SM20 (Mantención de Tablas), entre otras.  Aquí cabe monitorear también los desarrollos fuera del estándar SAP o deltas (transacciones y programas Y-Z).

9.- Seguridad de la segregación de funciones (SoD en sus siglas en inglés), lo cual se debe monitorear transversalmente en el sistema, es decir, tanto en los ámbitos del sistema (tecnológicos módulo Basis) como en los ámbitos funcionales (módulos FI, CO, MM, SD, HR, etc.).

10.- Seguridad de los juegos de datos o batch input, a gestionarse vía transacción SHDB entre otras.

Estas consideraciones a lo menos deben estar en todo programa de monitoreo de la seguridad en SAP ERP, lo cual se debe revisar con énfasis en los Mandantes de Desarrollo Prueba y Productivo, teniendo en consideración siempre el resguardo de la triada de seguridad (Integridad, Confidencialidad y Disponibilidad) de la información.

Auditoría SAP ERP ¿Por qué es necesario ser escéptico? 6 razones fundamentales

La auditoría ha evolucionado y ya no basta con revisar documentos físicos, sino que se debe revisar bases de datos de tal manera de poder pesquisar los hallazgos desde la fuente de origen y los mismos, ser contrastados con los documentos.

La auditoría interna es parte de las 3 líneas de defensa del modelo de control interno de las organizaciones y en consecuencia, los equipos de auditores deben estar preparados técnicamente para llevar a cabo auditorías a los sistemas de información con un enfoque escéptico.

¿Por qué es importante el escepticismo frente a una auditoría de sistemas de información? A continuación 6 razones fundamentales:

1.- Porque el auditor siempre debe revisar la información desde la fuente de origen (bases de datos) y de allí obtener evidencia suficiente y relevante de las desviaciones identificadas. De lo contrario, aumenta el riesgo de detección en la auditoría.

En el contexto de SAP ERP, esto significa entender el modelo de datos del sistema y por ende comprender las tablas que lo componen.

2.- Porque se podrá aplicar pruebas de auditoría sustantivas a las transacciones emanadas de los procesos de negocio las cuales quedarán evidenciadas en las tablas del sistema SAP ERP.

3.- Porque se podrá aplicar procedimientos de detección de fraudes sobre las transacciones contabilizadas en el libro diario de la organización. Estos procedimientos se deben aplicar sobre las tablas que contienen las cabeceras y detalles del libro diario en SAP ERP.

4.- Porque las conclusiones de la auditoría sobre los procesos de negocio, estarán basadas sobre la revisión de transacciones que cubran todo el espectro del negocio bajo SAP ERP y que será centralizado desde el punto de vista financiero-contable en el ERP.

5.- Porque se mitiga la probabilidad de que existan limitaciones al alcance del auditor en lo relativo a la revisión de los procesos que impactan en los estados financieros de la organización, tanto en términos específicos como consolidado.

6.- Porque frente a investigaciones por fraude, el auditor se podrá convertir en un perfecto aliado de los investigadores persecutores (Ministerio Público, policías) en caso que se tenga que evidenciar ante una querella criminal en tribunales de justicia.

Esto significa que los auditores tanto interno como externos, deben estar técnicamente preparados para llevar a cabo auditorías de valor, que permitan finalmente generar evidencia suficiente y relevante para reportar hallazgos tanto a la administración como a los comités de auditoría en el directorio y por ende pasar a ser una línea de defensa sólida para la organización.

Importancia de los canales de denuncias anónimas para combatir lacorrupción

Llevamos meses que en nuestro país se ha hablado de corrupción, producto de acontecimientos tanto en empresas públicas como privadas, que ha generado desconfianza de parte de las personas hacia los políticos, instituciones del gobierno y hacia ciertas empresas que se han visto envueltas en estos episodios.

Lo anterior, ha llevado a las autoridades de gobierno a anunciar un consejo asesor presidencial anticorrupción, que tiene 45 días para presentar una serie de iniciativas tendientes a mejorar los marcos de probidad de nuestro país, tanto en el mundo público como privado.

Es altamente probable que de este consejo asesor, emanen nuevas regulaciones más estrictas, lo cual indudablemente hace que las iniciativas de reformas prioritarias del actual gobierno, queden un tanto desplazadas y el foco esté puesto en las propuestas anticorrupción.

En este contexto, se hace necesario de que todas las entidades públicas y privadas, incorporen como parte de sus iniciativas de probidad y transparencia, canales de denuncias anónimas, que le permita a las personas poder denunciar cualquier ilícito que sea presenciado o del que sean víctimas, de tal manera que puedan aportar con evidencia u otros antecedentes ante eventuales investigaciones de parte del Ministerio Público.  Esto obviamente lleva consigo el hecho de contar con comités de ética y cumplimiento en las organizaciones, que se hagan cargo de la dinámica que genera este tipo de iniciativas.

De acuerdo a estudio global realizado por la Association of Certified Fraud Examiners (ACFE en sus siglas en inglés), en el año 2014 el 42% de los fraudes en las empresas, fueron detectados a través de canales de denuncias anónimos, por lo que este tipo de herramientas, permite sin duda combatir la corrupción disuasivamente y ayuda a generar ambientes mucho más probos en las organizaciones y por cierto, mejora los gobiernos corporativos tanto de empresas públicas como privadas.

Externalización de administración de roles y perfiles SAP ERP. ¿Por qué es conveniente?

En escenarios de desaceleración económica las empresas tienden a ajustar sus costos, especialmente aquellas que pertenecen a industrias más golpeadas por estos ciclos económicos de crecimiento a la baja.

Frente a este tipo de escenarios, las empresas ven más conveniente externalizar ciertos procesos que al no ser parte directa del "core business", resulta ser mucho mejor, transferirlos a un externo especialista.

Es por esto que este último tiempo, han aumentado significativamente las empresas que externalizan el proceso de administración de roles y perfiles SAP, ya que al poner este proceso en manos de especialistas, se obtiene los siguientes 5 beneficios claves:

1.- Ayuda a reducir costos de administración de roles y perfiles.

2.- Ayuda a mitigar los riesgos de errores y/o fraudes al ser administrados los privilegios por equipo de especialistas en seguridad, riesgos y controles en SAP ERP.

3.- Ayuda a mitigar el riesgo de dependencia funcionaria. Las empresa tienden a depender de los administradores de roles y perfiles, por lo complejo de su administración y escasos especialistas en el mercado.

4.- Ayuda a disminuir el hecho de rediseñar roles y perfiles SAP, considerando que cuando esto no es administrado por especialistas, en promedio cada 3 años las empresas deben rediseñar sus modelos de otorgamiento de privilegios. 

5.- Ayuda a potenciar los modelos de gobernabilidad de roles y perfiles de usuario SAP, aplicando buenas prácticas.

Estas consideraciones es importante tenerlas presente, cuando se ve enfrentado a este tipo de decisiones, necesidades o situaciones.

¿Qué skills o competencias se requieren para ser un buen auditor SAP ERP?

Primero: Buena formación profesional como auditor o postítulo de especialización en auditoría y/o certificación internacional profesional de clase mundial (CISA, CIA)

Segundo: Completo conocimiento de procesos de negocio de la entidad a auditar y deseable conocimiento de la industria.

Tercero: Conocimiento de SAP ERP a nivel de los módulos funcionales (ejemplo: FI-CO-MM-SD-PP-PM-QM, etc.) Deseable especialización más que en módulos SAP ERP, en ciclos de negocios "end to end" ejemplo: Ciclo compras-pago, ventas-cobro, existencia y gestion de stock, etc. 
Este conocimiento, se debe relacionar con los procesos de negocio de la entidad a ser auditada.

Cuarto: Conocimiento del modelo de datos de SAP ERP a nivel de tablas físicas funcionales, ya que es clave y auditor de procesos SAP que no domina esto, tendrá muchas limitaciones al alcance. 
Se debe conocer el modelo integrado de SAP ERP a nivel funcional y su relación con los procesos de negocio, a fin de cubrir pruebas de cumplimiento sobre el "customizing" y pruebas sustantivas de las transacciones SAP ERP imputadas históricamente.

Quinto: Conocimiento del modelo de autorización en SAP ERP, a fin de cubrir las pruebas de segregación funcional (SoD) de los procesos de negocio.

Cabe mencionar, que si bien el componente Basis (BC) es el corazón de SAP ERP, es recomendable que lo audite un auditor tecnológico especialista en TI y/o sistemas de información, lo cual permitirá cubrir la auditoría SAP ERP con un enfoque holístico.