Convertir los riesgos en resultadosHabilitar la administración de accesos con SAP GRC
Lo que observamos en el mercado
Debido principalmente a la Ley Sarbanes-Oxley de 2002, en los últimos 10 años se ha observado un aumento importante en los esfuerzos por resolver los asuntos de auditoría relacionados con la segregación de funciones (SoD, por sus siglas en inglés) y accesos sensibles y excesivos. Como resultado, muchas compañías implementaron alternativas de administración de accesos como SAP GRC con el módulo de Access Control. Sin embargo, muchas compañías se enfocaron en remediar asuntos relacionados con la auditoría a corto plazo, por lo que no pudieron aprovechar todo el valor de dicha alternativa de administración de accesos a través de GRC.
Este es el momento adecuado para conocer más acerca de las oportunidades para transformar su programa de administración de riesgos relacionados con el control de accesos y habilitar la opción SAP GRC Access Control que le puede traer beneficios como:
• Reducir el costo de la administración de accesos y de las actividades de auditoría relacionadas mediante la centralización y automatización de los procesos relacionados
• Mejorar la sustentabilidad al centralizar y estandarizar las metodologías, procesos y componentes
• Mejorar la eficacia de los procesos de accesos a través de la integración con otros módulos SAP
• Aumentar la eficacia de los procesos del negocio al implementar técnicas de monitoreo continuo
En nuestra reciente Encuesta Global de Seguridad de la Información de EY realizada a más de 1,700 altos ejecutivos de seguridad de la información y de TI, se observó que 46 % de los encuestados considera que las amenazas internas son una preocupación importante. Implementar SAP GRC Access Control mientras se enfoca en mejorar los aspectos fundamentales de la administración de accesos, le ayudará a abordar este tipo de riesgos y al mismo tiempo, reducir los costos y mejorar el valor.
¿Cuáles son las oportunidades en su organización?
Estado típico actual Estado maduro
Complejidad cada vez mayor
Reactivo
Fallas constantes
Presiones de costo
Enfoque incongruente
Simplificado
Proactivo
En cumplimiento
Rentable
Congruente
Procesos de administración de acceso múltiples y manuales
Automatización importante del flujo de trabajo en los procesos de acceso de usuarios
Integración con SAP GRC Process Control
Información fragmentada, manual y ad hoc
Poca visibilidad de los riesgos
Revisiones de SoD obligatorias en el proceso de aprovisionamiento de usuarios
Información en tablero de control sobre el proceso de acceso a usuarios, bitácoras de uso de informes analíticos y tendencias de SoD en tiempo real
Muchos casos de violaciones de acceso Diseño de funciones que cumplen con procesos estandarizados de administración de acceso de usuarios y que consideran SoD
Capacidad para mejorar las actividades de auditoría
Los procesos manuales e incoherenteselevan los costos de TI
Impacto importante sobre el negocio
Eficiencias operativas de seguridad de TI a través de la automatización y estandarización de procesos de control de acceso con SAP GRC
Automatización de las actividades de asignación de accesos
Enfoque incongruente hacia el diseño de roles en todos los procesos del negocio
Roles estandarizados a nivel global en todos los procesos de negocio y procesos homologados de administración de acceso de usuarios para los sistemas de aplicaciones
La tecnología GRC habilita cuatro objetivos clave de la agenda de riesgos
lo cual da como resultado lossiguientes beneficios:
Mejorar la estrategia de riesgos
• Mejor alineación con los objetivos y la estrategia del negocio
• Mejor visibilidad de los riesgos que tienen mayor relevancia para la organización
• Identificación proactiva de riesgos• Mejor toma de decisiones
Mejorar los controles y procesos
• Cobertura de riesgo mejor alineada, incluyendo la identificación de controles más robustos e integrales
• Menor esfuerzo relacionado con la ejecución y prueba de controles
• Mayor eficiencia en los procesos y controles habilitada a través del monitoreo continuo y automatizado
• Mejor mezcla de controles que aborda los riesgos clave del negocio y que a la vez impulsa eficiencias en los procesos
Optimizar las funciones de la administración de riesgos
• Eliminación de actividades de administración de riesgos duplicadas o fragmentadas
• Mayor integración y coordinación entre el negocio, TI y el cumplimiento
• Sustentabilidad del proceso de administración de riesgos
• Información eficaz de arriba hacia abajo y de abajo hacia arriba
Incorporar la administración de riesgos
• Administración de riesgos y monitoreo integral y continuo
• Administración central de los riesgos financieros, operativos, estratégicos y de cumplimiento en toda la organización
• Mayor integración y coordinación entre el negocio, TI y el cumplimiento
• Notificación en tiempo real de posibles fallas relacionados con el acceso con base en las reglas del negocio
• Sustentabilidad del proceso de administración de acceso
• Información fácil de usar para el usuario
• Menores costos de auditoría debido al ambiente de administración de acceso confiable y automatizado
• Control de gastos relacionados con fallas en la auditoría
• Eficiencias relacionadas con la elaboración y análisis de los informes de SoD
• Menor número de controles manuales que deben diseñarse y operarse para mitigar los asuntos relacionados con el acceso
• Eliminación de procedimientos de administración de acceso redundantes y excesivos
• Proceso de aprobación de acceso simplificado
• Identificación de anomalías de acceso que indican posibles actividades de fraude a través de alertas
• Control continuo de acceso, administración y monitoreo de SoD
• Mejor visibilidad de la exposición a los riesgos relacionados con el acceso en la organización
• Administración de acceso de super usuarios
• Detección temprana de posibles fallas de acceso mediante el análisis de escenarios antes de realizar cambios a los accesos y funciones de los usuarios
Riesgo Valor
Costo Costo
Riesgo Valor
Costo
Riesgo Valor
Acerca de EY
EY es líder global en servicios de aseguramiento, asesoría, impuestos y transacciones. Las perspectivas y los servicios de calidad que entregamos ayudan a generar confianza y seguridad en los mercados de capital y en las economías de todo el mundo. Desarrollamos líderes extraordinarios que se unen para cumplir nuestras promesas a todas las partes interesadas. Al hacerlo, jugamos un papel fundamental en construir un mejor entorno de negocios para nuestra gente, clientes y comunidades.
Para mayor información visite www.ey.com/mx
© 2016 Mancera S.C.Integrante de Ernst & Young GlobalDerechos ReservadosBSC No. 1204-1353150 | EYG No. AU1188ED 0113 | Clave CRR2 001
ey.com
EY se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes.
Contacto:
EY | Aseguramiento | Asesoría de Negocios | Fiscal-Legal | Fusiones y Adquisiciones
EY SAP GRC Accelerated Analytics Workbench: herramienta que presenta los conflictos SoD en un formato favorable para el negocio que ayuda a identificar los riesgos clave y puntualiza y determina la remediación inicial.
Ambiente demo SAP GRC: un ambiente de demostración para todas las versiones de software más recientes, incluyendo SAP GRC 10.0 y 10.1 para los Servicios de Control de Accesos, Control de Procesos, Administración de Riesgos y Comercio Global.
Comparación de diseño de roles SAP: métricas clave que permiten que la organización compare su diseño de roles SAP con el diseño de otras organizaciones y prácticas líderes.
EY RiskUniverse®: universos de riesgos específicos de la industria, modelos de procesos normativos y riesgos clave del negocio vinculados con controles específicos de las aplicaciones que pueden utilizarse para personalizar las demostraciones SAP GRC.
• Una perspectiva global y flexible con un enfoque en el negocio
• Un equipo con amplios conocimientos y experiencia práctica en las disciplinas de procesos, riesgos y tecnología
• Contenido y habilitadores específicos de la industria
• Modelos de utilización y diagnóstico de evaluaciones con base en prácticas líderes
• Diseño del modelo de entrega de servicio e indicadores clave de desempeño
¿Por qué EY?
• Diagnóstico rápido de la tecnología GRC
• Selección de proveedores de tecnología
GRC
• Implementación y evaluación de
tecnología GRC
• Transformación de riesgos habilitada por
la tecnología GRC
• Evaluación pre y posimplementada de
tecnología GRC
Nuestros servicios
/EYMexico /ernstandyoungglobal
@EYMexico company/ernstandyoung