1 / 30

SARC 2.0 ( S ystem A udit R isk C ontrol )

SARC 2.0 ( S ystem A udit R isk C ontrol ). Jesús Sandoval Cuesta Aplirh S.L www.sarc-sap.com. AGENDA. INTRODUCCION. 1 .1 ANTECEDENTES.

booth
Télécharger la présentation

SARC 2.0 ( S ystem A udit R isk C ontrol )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. SARC 2.0( System Audit Risk Control) Jesús Sandoval Cuesta Aplirh S.L www.sarc-sap.com

  2. AGENDA

  3. INTRODUCCION 1.1 ANTECEDENTES En estos momentos de convulsión económica y de desconfianza generalizada de los inversores en los gestores de las empresas se hace necesario establecer sistemas férreos y seguros que garanticen un control en las empresas. Con este objetivo ha nacido SoD (Segregación de funciones) que nace del cumplimiento de la Ley Sarbanes-Oxley de EEUU propiciada a partir de los escándalos Enron entre otros. SARC viene a ofrecer una solución rápida, sencilla y económica para cualquier tipo de empresa que precise tener un control de los riesgos en el sistema y al tiempo optimizar y ahorrar con la gestión de usuario de SAP.

  4. INTRODUCCION 1.2 SARC. Concepto SARC (System Audit Risk Control) es una solución sobre sistemas SAP que permite realizar un control de los procesos y funciones en SAP, mostrando los riesgos de usuarios existentes en el sistema en base a los riesgos establecidos por auditoría de negocio. Además SARC, ayuda en la gestión de autorizaciones de usuarios optimizando las autorizaciones a las que realmente necesita cada usuario, bloqueando y limitando aquellos usuarios que no usan el sistema con el consiguiente ahorro en las licencias SAP Por tanto SARC es una herramienta que asegura el cumplimiento de la separación de funciones necesarias para evitar los riesgos de fraude identificados por los auditores. En la práctica los riesgos de SARC en SAP se controlan evitando que las personas dispongan de la suma de autorizaciones en la gestión de la empresa susceptibles de fraude. En concreto en SAP las autorizaciones a cada uno de los flujos de trabajo de la organización se realizan mediante “transacciones” SAP y por tanto dichos objetos son los que tendremos que controlar. En conclusión y derivado de SoD, se tendrán de tomar las medidas organizativas necesarias para adaptar las tareas encomendadas a las personas evitando los riesgos identificados por auditoría. Por consiguiente, se hará necesario en muchos casos desarrollar en las estructuras organizativas una gestión del cambiopara adaptar de manera coherente a lo requerido.

  5. INTRODUCCION 1.3 Integración La asignación de autorizaciones a usuarios es muy dinámica y debe responder de manera rápida y flexible a los distintos cambios que se realizan en la vida de las empresas adaptándose a las normas y controles establecidos por los departamentos de auditoría ( SARC ). Para dar respuesta a esta necesidad se ha desarrollado AAM (Automatic Authorizations Management ) que integrándose con SARC permite realizar un control de los usuarios bajo las directrices de auditoría en un entorno de usuario final y delimitando con precisión las autorizaciones a las estructuras que deba acceder cada usuario. A todo lo anterior se suma la dificultad técnica que supone gestionar las autorizaciones en SAP, técnicamente denominados en SAP Roles y perfiles. Estos roles y perfiles están compuestos básicamente por transacciones que controla GRC por un lado, y por objetos de autorización organizativos (sociedades, centros de coste, grupos de compras, sectores de venta, etc) que delimitan y segmentan a los que podrá tener autorización cada integrante de la organización. En estos casos, habitualmente estos roles vienen gestionados por personas técnicas del departamento de informática que poco saben de la organización de las personas. En respuesta y como solución a dicha problemática se desarrolla GIRHR , una herramienta que integra todos los sistemas con una gestión automatizada manejada directamente por los responsables de organización. Estos dispondrán de un entorno de trabajo apropiado para la gestión de las personas pero con los componentes de control de seguridad integrados en la misma funcionalidad.

  6. 2. COMPONENTES GIRHR 2.1 Informe previo de riesgos • Funcionalidad externa a SAP que permite de una manera rápida realizar un análisis de los riesgos existentes sobre una matriz estándar. Para realizar este primer análisis únicamente necesitamos que se nos remitan varios ficheros en formato txt de su sistema y devolveremos el siguiente informe:

  7. 2. COMPONENTES SARC 2.2. Entorno de trabajo con menús de botonera y/o con menú de ámbito • El menú del entorno de trabajo está desarrollado con SVMI ( System Visual Menú Interactive), con ayudas y organizado para su mejor comprensión.

  8. 2. COMPONENTES SARC 2.3. Matriz de incompatibilidades • La base del funcionamiento de SARC es el mantenimiento de una matriz de incompatibilidades basada en una matriz estándar que cada cliente deberá adaptar a sus necesidades, valorando e incluyendo tanto sus desarrollos propios (Trans. Z), como nuevos riesgos particulares empresa.

  9. 2. COMPONENTES SARC 2.4. Documentación descriptiva de los riesgos • La solución se entrega con documentos anexados a cada riesgo con una explicación detallada y ejemplos de los mismos.

  10. 2. COMPONENTES SARC 2.5 Herramienta de ayuda auditoría y consultores de básico • SARC puede usarse de manera independiente como auditor del sistema para verificar en cualquier momento los riesgos existentes en los usuarios del sistema o incluso en la elaboración de nuevos roles/perfiles como ayuda en su construcción.

  11. 2. COMPONENTES SARC 2.6. Flexibilidad y manejabilidad • SARC es muy sencillo de manejar y mantener. Los responsables de auditoría podrán configurar como deseen los riesgos, funciones y transacciones.

  12. 2. COMPONENTES SARC 2.7. Mantenimiento de Roles • SARC ayuda a configurar de manera correcta los roles/perfiles, evitando incluir en un mismo rol transacciones que supongan riesgo.

  13. 2. COMPONENTES SARC 2.8 Mantenimiento de matriz al alcance del departamento de auditoría • El mantenimiento de la matriz de incompatibilidades es sencillo y navegable. Desde la misma Matriz se puede sacar el informe de las personas con un riesgo.

  14. 2. COMPONENTES SARC 2.9 Gráficos • Permite ejecutar informes de gráficos que nos permite tener una visión general de la situación de los riesgos

  15. 2. COMPONENTES SARC 2.10 Informes • SARC ha desarrollo distintos informes que permiten mantener el sistema libre de riesgos.

  16. 2. COMPONENTES SARC 2.11 Simulaciones • Permite realizar simulaciones para comprobar si al asignar un rol nuevo a un usuario genera incompatibilidades sobrevenidas a otros.

  17. 2. COMPONENTES SARC • 2.12 AAM control de asignación de autorizaciones ( integración ) • La asignación de roles desde la estructura organizativa se puede limitar en base a la matriz de riegos, de manera que a ningún usuario que se le gestione sus roles mediante la estructura organizativa se le permita asignar roles que sean incompatibles.

  18. 2. COMPONENTES SARC • 2.13 Exclusiones • El sistema permite realizar exclusiones de usuarios concretos o grupos de usuario que no se requiera controlar mediante SARC

  19. 2. COMPONENTES SARC • 2.13 Exclusiones II • También se puede determinar a que países se controlan por SARC o riesgos específicos de paÍs.

  20. 2. COMPONENTES SARC • 2.14 Log de cambios en la Matriz SARC • El sistema permite activar log de cambios para conocer en todo momento cuando se ha modificado la matriz y las fechas en las que se han ejecutado los informes.

  21. 2. COMPONENTES SARC • 2.15 Bloqueo/limitación automático de usuarios • Con el objeto de optimizar los costes de licencia SAP. SARC dispone de un sistema de bloqueo/limitación de todos usuarios sin utilizar el sistema desde hace X días.

  22. 3. VENTAJAS

  23. 3. VENTAJAS (2)

  24. 4. PLANIFICACIÓN DE LA IMPLANTACIÓN SARC FASES DEL PROYECTO Y RECURSOS Consultor SARC Aplirh S.L. o partner autorizado con usuario/s clave/s Equipo mixto consultor SARC con recursos de auditoría de negocio Personal Técnico de Aplirh S.L. o partner autorizado. Equipo exclusivo de desarrollo Entrada en productivo y soporte de incidencias Matriz de incompatibilidades Desarrollos y tablas de integración

  25. 5. PARTNERS Y COLABORADORES.

  26. GRACIAS

  27. http://www.gerencie.com/empleados-antiguos-como-fuente-de-riesgo-de-fraude-en-las-empresas.htmlhttp://www.gerencie.com/empleados-antiguos-como-fuente-de-riesgo-de-fraude-en-las-empresas.html Empleados antiguos como fuente de riesgo de fraude en las empresas Los principales casos de fraude en las empresas son protagonizados por trabajadores con alguna antigüedad en la empresa. La antigüedad en la empresa, le permite al trabajador conocer a fondo la empresa, sus debilidades, sus procesos de control y vigilancia y sus vulnerabilidades, facilitando los fraudes. La antigüedad hace que la administración deposite plena confianza en un trabajador, que se despreocupe por los controles e inclusive encargue los procesos de control en los trabajadores antiguos, dejando todo en sus manos. La confianza y las faltas de control, ofrecen la oportunidad para que algunos trabajadores se vean tentados por cometer algún tipo de fraude. Los trabajadores de dependencias claves de la empresa, llegan a conocer la misma mejor que el mismo empresario, que sus administradores. Son de gran vulnerabilidad los inventarios, clientes y proveedores. Aunque el manejo del efectivo por su naturaleza se le considera del mayo riesgo, no lo es, puesto que es el más controlado, y los principales fraudes se comenten en los inventarios y la administración de los proveedores. Para evitar este tipo riesgos, es necesario el diseño de mecanismos estrictos de control permanente, mecanismos que deben ser cambiantes y creativos, de lo contrario, un trabajador experimentado aprenderá rápidamente a evadirlos. Es muy importante también, el rotar periódicamente el personal de los cargos de mayor complejidad y riesgo, para evitar que un trabajador pueda contar con el tiempo suficiente para conocer y conseguir los elementos necesarios para cometer un fraude. Todo este riesgo se disminuye, claro está, mediante una adecuada selección e incorporación de personal, que en últimas es el que determina el riesgo o la propensión a que un empleado cometa fraude en la empresa. En la empresas pequeñas y medianas, se le brinda muy poca importancia al recuso humano, por lo que no se diseñan políticas y programa claros sobre reclutamiento de personal, lo cual concluye en la incorporación de personal que no cuenta con valores y principios éticos adecuados. La combinación de escasas o nulas políticas de reclutamiento, inducción y capacitación de personal, con bajos e inadecuados mecanismos de control, incrementan el riesgo de ser victima de un fraude. Los fraudes en muchos casos, se originan en la deslealtad del trabajador por su empresa, deslealtad que es causada o alimentada por aspectos como remuneración no acorde con el trabajo realizado, trato inadecuado por parte de sus superiores, poca atención del trabajador, etc.

  28. http://latamisrael.com/mas-sobre-el-fraude-en-las-empresas-y-como-evitarlo/http://latamisrael.com/mas-sobre-el-fraude-en-las-empresas-y-como-evitarlo/ Tiempo atrás, les contábamos sobre una interesantísima empresa Israelí, que permitía realizar un “test de honestidad que predice la credibilidad de empleados potenciales”. La empresa que lo ofrece para América Latina está en Mexico, y desde allí brinda el servicio para toda la región. Siguiendo con este tema, hoy queremos compartir con ustedes algunas ideas que publicara la consultora KPMG en su “encuesta de fraude para México” algún tiempo atrás. Parte de los datos expuestos aquí, nos dan una idea de cuan útil puede llegar a ser esta herramienta para empresas de todos los tamaños, tanto en México como en toda la región. “La vulnerabilidad de las empresas a sufrir un fraude en épocas de crisis está relacionada con el debilitamiento de sus mecanismos de control. Por ejemplo, reducir el número de personal que realiza labores de monitoreo y verificación de procesos, reducir o anular las auditorías de control, descuidar el mantenimiento de equipo de vigilancia, relajar los controles de entradas y salidas de mercancía, concentrar en pocas personas funciones vitales de control como autorizaciones de pagos y emisión de cheques o transferencias bancarias y cancelación de programas de capacitación y entrenamiento en materia de ética en los negocios son medidas que al final del día pueden resultar perjudiciales para las empresas.” De aquí cuán importante desde el vamos es tener una idea clara de la lealtad y honestidad de los empleados que contratamos. A continuación vean algunos datos que resaltamos en el informe: El nivel de incidencia de fraudes en México sigue siendo de los más altos a nivel de América Latina, donde el 75% de las empresas encuestadas reportó haber sido víctimas de cuando menos un fraude en los últimos 12 meses. El 15% de los fraudes fue cometido por miembros de la Alta Dirección de las empresas, frente al 54% cometido por personal operativo y el 31% cometido por niveles gerenciales. No obstante, el daño económico causado por los fraudes cometidos por la Alta Dirección representó el 51%, muy superior al daño causado por los niveles gerenciales y operativos, con el 37% y 12% respectivamente. El defraudador más frecuente suele ser un individuo con un puesto operativo, de entre 20 y 30 años, con una antigüedad promedio de 3 años en la empresa y con casi la misma probabilidad de que sea un varón o una mujer. El fraude promedio cometido por este individuo es de aproximadamente $200,000 pesos mexicanos. El defraudador que más daño causa a las empresas suele ser un individuo ubicado en un puesto de la Alta Dirección, de entre 35 a 50 años, con una antigüedad en la empresa en promedio de 10 a 15 años. El fraude promedio cometido por este individuo es de $3.3 millones de pesos mexicanos. El fraude más frecuente sigue siendo la malversación de activos, con 43% de incidencia. El fraude en estados financieros representó sólo el 10% de los fraudes reportados, sin embargo, este tipo de fraude provocó el 70% del daño económico sufrido por las empresas afectadas por algún tipo de quebranto. Mientras que para el 2008 el daño económico anual estimado de fraudes para el sector privado en México fue de 900 millones de dólares americanos, para el 2010 la cifra aumentó a 1,400 millones de dólares americanos. En 2010 casi 2/3 partes de las empresas defraudadas tardó más de un año en detectar el fraude del que fueron víctimas. El 52% de las empresas percibe un mayor riesgo de padecer un fraude en los próximos doce meses, dato que contrasta con el 13% reportado en 2008. 8 de cada 10 empresas que operan en México han padecido cuando menos un fraude en los últimos doce meses.

More Related