Solución de Análisis de Segregación de Funciones y Transacciones Críticas en SAP ERP

Uno de los problemas recurrentes en casi todas las empresas que han implementado un sistema de aplicación world class ERP, es la calibración de los privilegios de accesos para los usuarios finales y súper usuarios, esto debido a que en algunos casos los modelos de seguridad que contienen estos sistemas aplicativos son un tanto complejos y conlleva a que las empresas tengan que destinar esfuerzos sistemáticos y continuos en su administración y con recursos especialistas.

En el caso de SAP ERP, existe la solución SAP GRC Access Control, que contempla una matriz de segregación de funciones y transacciones críticas batante robusta, que permite analizar los riesgos de accesos antes de su asignación a los usuarios, desde la perspectiva de incompatibilidades y accesos críticos, haciendo uso de sus reglas.

Lo bueno de la solución SAP GRC Access Control, es que permite realizar diagnósticos bastante certeros respecto a la asignación real de privilegios que poseen los usuarios, pudiendo revisar miles de usuarios en forma rápida y mitigando el riesgo de la existencia de falsos positivos, lo cual ayuda a optimizar la administración de roles y privilegios de usuarios.

Lo malo es que no es una solución que muchas veces está al alcance de todas las entidades y en ese contexto, SAP ofrece una solución estándar que es parte del ERP y que se debe poblar con las reglas de segregación funcional y de privilegios críticos, pudiendo controlar la asignación de autorizaciones para los procesos más críticos de la organización, ya sea como parte de la auditoría interna, externa, control interno o de monitoreo de la seguridad de la información.

Esta herramienta, es parte de las funcionalidades de SAP AIS (Audit Information System), en los nodos de auditoría de sistemas y seguridad de la información en SAP ERP, pero la misma, en general no es utilizada por las entidades por desconocimiento.

La buena noticia, es que es una herramienta que no requiere adquisición de licencias a diferencia de SAP GRC Access Control, pero es recomendable para entidades que poseen menos de 300 usuarios en SAP ERP y no permite incorporar controles compensatorios y hacer uso de workflow de provisioning de accesos, como lo permite SAP GRC Access Control, por lo que podríamos decir que es una herramienta de monitoreo y auditoría del modelo de roles, perfiles y privilegios de acceso.

Otra de las opciones para realizar estos análisis de segregación de funciones y/o transacciones críticas, es a través de una solución analytics, donde se pueda incorporar las reglas de riesgos a ser analizadas, garantizando que las mismas proporcionen resultados íntegros y libres de falsos positivos.

Solución SAP Regulation Management by Greenlight

Hace poco fue liberada la solución SAP Regulation Management by Greenlight, la cual permite gestionar el compliance regulatorio de las organizaciones, integrándolo tanto con la gestión integral de riesgos como con la gestión de controles.

La solución SAP Regulation Management, viene a complementar la suite GRC de SAP: Access & Process Control, Risk, Audit & Fraud Management, para mantener una gestión del compliance regulatorio de manera integrada con el modelo de control interno "End to End", que le permita a la organización poder contar con una solución holistica en donde tanto las funciones de riesgos, compliance, control interno y auditoría interna, puedan funcionar coordinadamente, evitando ineficiencia por ejemplo por redundancia de gestión de riesgos y controles en el contexto del cumplimiento regulatorio.

Otra de las características de esta solución, es el hecho que permite incorporar diversos frameworks de compliance y para una compañía regulada en Chile, que posea un modelo de compliance regulatorio operando, podrá incorporar por ejemplo: Ley 20.393, Ley SOX, Regulaciones y/o compliance ambiental, seguridad laboral, etc.

Claramente, el hecho de contar con una solución de clase mundial como esta, le permite a las organizaciones racionalizar su modelo de compliance y asegurarse que el mismo, sea gestionado a cabalidad en coordinación con las otras funciones que son parte de un modelo integral de Governance, Risk & Compliance (GRC).

Norma de carácter general Nro. 385 de la SVS. 8 principales diferencias con la NCG Nro. 341

En junio de este año, la Superintendencia de Valores y Seguros (SVS), emitió la norma de carácter general NCG Nro. 385, la cual derogó la NCG Nro. 341 del año 2012, relativa a "Normas para la difusión de información respecto de las prácticas de gobierno corporativo adoptado por las sociedades anónimas abiertas".

La pregunta que muchos se hacen es: ¿Cuáles son las grandes diferencias de esta nueva norma? 

A este respecto, les comentaré  algunas diferencias relativas a la derogada norma NCG Nro. 341, considerando que se han incorporado nuevos requerimientos a ser reportados en carácter obligatorio a la SVS, por lo que las sociedades anónimas abiertas deberán reportar a más tardar el 31 de marzo del año 2016 sus prácticas al cierre del ejercicio anterior, es decir, referidas al 31 de diciembre del 2015.

A continuación revisaremos las 8 principales diferencias:

1.- La NCG Nro. 385 menciona que adicional a las prácticas de gobierno corporativo, las sociedades anónimas abiertas deben reportar sus prácticas de responsabilidad social y desarrollo sostenible.

2.- La NCG Nro. 385 en la práctica Nro. 1, requiere reportar no sólo respecto al funcionamiento del directorio, sino que también se refiere a la composición del mismo.

3.- La NCG Nro. 385 en la práctica Nro. 1, requiere que se informe si el directorio cuenta con una política de contratación de expertos que los asesore en materias, contables, tributarias, financieras, entre otras.

4.- La NCG Nro. 385 en la práctica Nro. 1, requiere que el directorio no sólo se reúna semestralmente con los auditores externos de estados financieros, sino que sea trimestralmente al menos.  Asimismo, requiere que el directorio se reúna al menos trimestralmente con los auditores internos, unidad de gestión de riesgos, oficial de cumplimiento y unidad de responsabilidad social/desarrollo sostenible, a revisar los distintos ámbitos y resultados relativos a estas funciones. Hace mención también, que al menos una de estas reuniones trimestrales, se haga sin la presencia del gerente general de la sociedad.

5.- La NCG Nro. 385 en la práctica Nro. 1, requiere además que el directorio contemple visitas en terreno a las dependencias de la sociedad y conocer "in situ" el estado de la misma y contar con un sistema de información en operación y de acceso por parte de cada director, para conocer entre otros: Las actas de sesión del directorio de los últimos 3 años, contenidos de citaciones, minutas, etc.

6.- Respecto a la práctica Nro. 2 relacionada con la relación entre la sociedad, los accionistas y el público en general, la NCG Nro. 385 es mucho más específica con los requerimientos de procedimientos de información, participación y toma de conocimiento integro de estos stakeholders.  Asimismo, requiere un procedimiento formal de mejoramiento continuo en operación.

7.- La NCG Nro. 385 en su práctica numero 3, contempla los requerimientos de gestión y control de riesgos, dándole mucho más énfasis respecto a lo requerido en la derogada NCG Nro. 341.

8.- En su práctica Nro. 4, la NCG Nro. 385, contempla la evaluación por parte de terceros, por ejemplo: Autoevaluación del directorio respecto a la adopción de las prácticas de gobiernos corporativos, responsabilidad social y desarrollo sostenible. 

Al hacer el análisis detallado de la NCG Nro. 385, es evidente que las prácticas requeridas son mucho más completas y concretas que lo mencionado en la derogada NCG Nro. 341 y en la medida que las sociedades anónimas abiertas implementen estas prácticas, debería mejorar significativamente su gobierno corporativo, preservando el valor de estas y haciéndolas más sostenibles en el tiempo, sin perjuicio que la adopción de estas prácticas por parte de las sociedades, es voluntario, pero como el reporte es público, los inversionistas deberían optar por invertir en aquellas sociedades que efectivamente las han implementado.

Ahora bien, en la medida que el resto de las entidades que no son sociedades anónimas abiertas, implementen este tipo de buenas prácticas, contribuirá de mejor manera a tener entidades mucho más confiables y sustentables.