Upload
marcos-tevez
View
162
Download
6
Tags:
Embed Size (px)
Citation preview
Governance, Risk and Compliance Management (GRC)como arma estratégica
Antonio ManeroExperto Soluciones Financieras
SAP Iberia
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 2
Gobierno Corporativo - “Corporate Governance”
Gobierno Corporativo es el método por el que una corporación es dirigida, gestionada y controlada.
Buen Gobierno“voluntario”
Buen Gobierno“impuesto”
ConsejoComités de AuditoríaRemuneraciónProcesos estándar
Deudas, acuerdosAuditores externosLegislación EstatalBuenos usos sectoriales
Una carencia de Gobierno Corporativo expone a una corporación aRiesgos significativos : entre otros fraude y no-cumplimiento normativo.
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 3
GobiernoCorporativo
Finanzas RRHHProveedores:
Ciclo de Pagos
Clientes:Ciclo de Cobros
ControlesInternos
Ejecutivos
Empleados
Los Controles proveen una forma de enlazar los objetivos del gobierno corporativo con los procesos de negocio y empleados.La Gestión de Cumplimiento permite gestionar y asegurar que los controles cubren los requerimientos tanto legales como internos.
Riesgos
Cumplimiento y Controles Internos
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 4
SAP lanza una nueva Unidad de Negocios: GRC
Facilita a nuestros Clientes soluciones integradas de GRC– Entre plataformas– Solución completa para toda la
empresa– Forma parte de nuestra estrategia
global, no es sólo una oportunidad circunstancial
Proporciona la primera solución global de GRC con aplicaciones concretas– Darle más valor a la arquitectura de
servicios (ESA)– Ampliar la oferta GRC con soluciones
complementarias de partners.
Governance, Risk & Compliance Management
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 5
SAP adquiere VIRSA: valor añadido para nuestros clientes
La inversión realizada por nuestros clientes en Virsa está protegida.
Virsa complementa otros componentes de prevención del fraude y de cumplimiento ofrecidos por SAP
Juntos se potencia una visión integrada de la gestión de buen gobierno, riesgo y conformidad, (GRC):
Automatización y engarce con los procesos relevantes de la organizaciónIntegración entre sistemas en una organización (inversiones IT en SAP y no-SAP IT)
Governance, Risk & Compliance Management
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 6
Compliance = Conformidad
Puede ser una obligación legal de la empresa (SOX, IFRS, ESA, Basilea 2, FDA ...)
La valoración en Bolsa de la Empresa se vincula con la calidad de su Gobierno Corporativo y de cómo los auditores externos evalúen su gestión.
El fraude es una realidad: un estudio de PWC analiza que el 47% de las grandes empresas europeas están afectadas y que el impacto sobre su margen es de entre el 7% y 10%, y que está en constante aumento.(PWC recomienda que se implementen sistemas preventivos automatizados, consiguiendo así eliminar 50 % de este coste)
GRC: Governance, Risk and Compliance Management
¿Para qué?
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 7
En la medida en que GRC es central para su negocio …es central para la estrategia de Soluciones de SAP
En la medida en que GRC es central para su negocio …es central para la estrategia de Soluciones de SAP
GRC: Governance, Risk and Compliance Management
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 8
Factores Clave para Conformidad
Realizar comprobaciones al final de cada trimestre puede no bastar para prevenir el fraude entre ciclos de informes y consume muchos recursos
No hay comprobaciones periódicas
La gestión de la Conformidad no es sólo algo puntual, sino que requiere un enfoque estructurado y constante
La Conformidad requiere una elevada gestión del cambio
ObservacionesFactores ClaveLos directivos carecen de información fiable que les haga sentir seguros de que los controles internos son los que debieran ser y funcionan adecuadamente
Incertidumbre de si los controles están efectivamente en su sitio
Soluciones basadas en hojas de cálculo son insuficientes a la hora de abordar los requerimientos asociados a la conformidad y proveer seguridad a los directivos
Los desarrollos a medida suelen ser inconsistentes e insuficientes
Los responsables de los procesos de negocio y los ejecutivos deben dedicarse a tareas ajenas a su “trabajo real” para asegurar manualmente que los controles funcionan
Evaluar y monitorizar los controles internos consume mucho tiempo
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 9
ERPSRM SCM PLM CRM
Medir Rendimiento
Facilitar mayor Crecimento
Gestionar Relaciones
Optimiza relaciones operacionales
Consolida el Core
Asegura conformidad
Centrado D
iferenciaciónC
entrado Diferenciación
Centrado P
roductividadC
entrado Productividad
GRC en el Centro de la Estrategia de Soluciones SAP
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 10
Soluciones GRC para todas las industrias o verticales
Discreta Procesos Servicios ServiciosFinancieros
Trade
SAP Global Trade Services
CualquierSector
SAP para Ciencias de la Vida
SAP para Hospitales
SAP para Químicas
xEM
Cumplimiento Medioambiental
RoHS
WEEE
RFID
xEM
RFID Basilea II
SAP Compliance Calibrator by Virsa
SAP Access Enforcer by Virsa
SAP Firefighter by Virsa
SAP Role Expert by Virsa
SAP Treasury & Risk Management
Financial Supply Chain Management
Environmental Health & Safety
Payroll & Taxes
SAP Quality Management
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 11
Características de la Solución GRC
Características de la Solución GRC
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 12
Riegos
Finanzas RRHHProveedores:
Ciclo de Pagos
Clientes:Ciclo de Cobros
Controles
2. Análisis automatizado del Riesgo
Construir reglas y controles basadas en riesgos identificadosAnalizar roles, usuarios, etc.
3. Identificar Quebrantos
Reglas de cambioSeñalar CausasCorreccionesAjustes
1. Identificación riesgosIdentificar riesgos y controlesPolíticas organizativas
6. Prevención y monitorización continua
Análisis “¿Y si…?”Monitorizar cambios para usuarios clave
5.Test & InformesResultados de los Tests periódicos Informes sobre quebrantos y remediacionesCertificación de Efectividad
4.Remediación & Mitigación
Correcciones Rol & UsuarioAprobar controles mitigaciónAsignar usuario a riesgos
Ciclo totalmente Integrado de Conformidad
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 13
Identificar riesgos y objetivos a controlar
Seleccionar comprobaciones alineadas con la política, procesos y regulaciones organizativos de la empresa.
Relacionar controles con los procesos de negocio, riesgos y evaluaciones
– Identificar procesos de negocio
– Establecer criterios estándar para ordenar gravedad de los riesgos
– Ordenar las amenazas posibles con los activos de la organización.
– Obtener aprobación del propietario del proceso de negocio para los controles de segregación de tareas (SoD) a realizar
Documentar controles y riesgos a monitorizar
Especificar prioridades para remediación de deficiencias
Asignar responsables de los riesgos, responsables de los procesos, responsables de monitorización y de aprobar los controles de mitigación.
Mejores Prácticas Clave
1. Identificación
de Riesgos
1. Identificar Riesgos y Controles
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 14
Identificar las tareas de negocio que generan riesgos cuando los ejecuta el mismo individuo.
Asociar funciones de negocio conflictivas con los riesgos identificados
Establecer el enfoque y los procesos para gestionar reglas de riesgo globales y locales
Identificar los propietarios de las reglas de riesgo por funciones de negocio o por procesos
Centrarse en la identificación dinámica de riesgos mientras se construyen las reglas de riesgo para poder evitar que los quebrantos lleguen a ocurrir
Validar las reglas de riesgo a través de comprobaciones conjuntas con los propietarios de los procesos.
Mejores Prácticas Clave
2. Análisis Automático de
Riesgos
2. Aplicar Reglas de Riesgo y Controles
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 15
Ejecutar análisis de riesgos detallados sobre el 100% de los escenarios
Identificar las violaciones de controles de acceso desde la gestión de usuarios hasta la asignación de los mismos
– Roles simples
– Roles compuestos
– Posiciones
– Asignaciones
Identificar y clasificar según violaciones potenciales frente a reales
Identificar alternativas para acciones correctivas según procesos de negocio
Ejecutar evaluaciones recurrentes frente a controles puntuales
Mejores Prácticas Clave
3. Identificar Quebrantos
3. Identificar Quebrantos
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 16
Obtener la aprobación de todos los interesados para las alternativas de mitigación
Realizar correcciones para eliminar riesgo
Precisar el origen de las deficiencias y de la información para identificar medidas preventivas
Revisar políticas organizativas y de procedimientos para incorporar medidas preventivas - cuando proceday sea factible
Basado en excepciones, poner en marcha controles de mitigación alternativos para quebrantos y riesgos
Separar las cuestiones técnicas de las cuestiones de negocio (elaboración de un rol frente a la asignación de dicho rol)
Seguimiento del estatus de la remediación y mantenimiento del rastro auditor
Mejores Prácticas Clave
4. Remediación y Mitigación
4. Resolver y Documentar Mitigación
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 17
Documentar los resultados de las sucesivas comprobaciones y quebrantos por procesos de negocio y organizativos
Documentar resultados por control de diseño, evaluación de efectividad
Mantener conjunto de reglas y criterios documentados por periodo, así como el histórico de los cambios.
Proveer un repositorio para el estatus de las comprobaciones por procesos de negocio, así como los controles para ejecutivos, colaboradores interesados y auditores
Mantener documentación de los cambios y de las aprobaciones, así como el rastro auditor de los mismos
Mejores Prácticas Clave
5. Tests & Informes
5. Tests de Control e Informes de Deficiencias
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 18
Realizar análisis “¿y si …?” antes de comprometerse y aprobar cambios en los controles de acceso:
– Aprobación de Roles
– Aprobación de asignación de Usuario
Notificar a los responsables de los riesgos de las emergencias, deficiencias y cambios críticos
Prevenir sucesos de riesgos accidentales a roles, asignación usuarios, y control de diseño.
Alertar a los propietarios de procesos o hitos relevantes y controlar las deficiencias de acuerdo con la gravedad del riesgo
Ejecutar revisiones periódicas de riesgos y reglas para estar al día con políticas y procedimientos organizativos, así como cambios del marco regulador
Seguimiento del estatus de remediación y mantener rastro auditor
Mejores Prácticas Clave
6. Prevención &
Monitorización continua
6. Prevención Deficiencias & Monitorización continua
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 19
GRC: Aplicaciones para Controles de Acceso
SAP® Compliance Calibrator™
Solución para el análisis de riesgos, detección y remediación de controles de accesos y autorización
SAP® Compliance Calibrator™
Solución para el análisis de riesgos, detección y remediación de controles de accesos y autorización
Role Expert™
Solución parala definición
de roles
Role Expert™
Solución parala definición
de roles
Firefighter™
Solución de Accesos para Superusuarios
Firefighter™
Solución de Accesos para Superusuarios
Access Enforcer™
Solución para cumplimiento
preventivo
Access Enforcer™
Solución para cumplimiento
preventivo
Permiten Cubrir todos los procesos de una organización
CoastCoast PhasePhase(Mantenerse)(Mantenerse)
Fase Fase EsprintEsprint(Limpiarse)(Limpiarse)
Identificar y remediar Riesgos
Gestionar los Roles
Super Usuario:
Control de AccesosPrevención
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 20
Autorización: Mantenimiento
Maestro Proveedor
Autorización: Pagar Factura
Proveedor
Escenario IT Heterogéneo
Legacy Custom
Finanzas y Contabilidad
Inventario y Compras
!RIESGO
SAP Compliance Calibrator:Fijación de reglas multi-empresa
Sistemas no-SAP
Detección Riesgo en todos los Sistemas
SAP® Compliance Calibrator™
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 21
No-SAP
Cliente
SAP® Compliance Calibrator™ by Virsa - Resumen
Gestión de Riesgos
Segregación de Tareas (SoD)
Monitorización de Transacciones Críticas
Remediación / Mitigación Automatizada
Gestión de Riesgos
Identificar riesgosEjecutar valoración de riesgosAnalizar quebrantos (‘violaciones’)Llevar a cabo remediaciónDocumentar controles mitigaciónIdentificar & monitorizar transacciones criticasEjecutar simulación SoDMonitorización continua de violaciones
SAP Compliance Calibrator
Fácil de utilizar con las “mejores prácticas" con contenido de negocio incorporadoAnálisis del riesgo en tiempo realPosibilidad de navegar hasta el origen de la causaInterfaz sencillo para documentar & gestionar mitigaciones autorizadas Análisis de Segregación de Tareas (SoD) para prevenir incumplimientos de conformidadInformes potentes para diferentes grupos de interés
Prevención en tiempo real
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 22
Conformidad: Seis pasos principales
1. Identificación de RiesgosViene con contenido de negocio: reglas predefinidas
Reglas de clientes fácil de añadir (en arquitectura WAS)
2.Análisis automatizado Riesgos
Comunicación vía RFC a SAP u otros sistemas (desde WAS)
3. Identificar Violaciones & Quebrantos
Herramienta en tiempo real para analizar sistema objetivo frente a las reglas de análisis definidas
5.Test & InformesResultados del análisis obtenidos en los sistemas objetivo a través de conexión RFC y presentados en entrono WAS
4.Remediación & MitigaciónNavegación en tiempo real desde informe presentación hasta sistema origen de datosGestión centralizada desde WASColaboración vía workflow
6.Prevención & MonitorizaciónSimulación realizada en tiempo real sobre sistema y datos reales
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 23
SAP® Compliance Calibrator™ - Funcionalidad
Construir y mantener reglas para aceso y autorización de usuarios
Análisis de Riesgos (SoD, transacciones criticas)
Controles mitigación (creación y mantenimiento)
Monitorización de los controles de mitigación
Aprovechar las soluciones SAP de control y seguridad ya existentes (p.ej., AIS, MIC, generador de perfiles)
Remediación
Simulación (conformidad pro-activa)
Simulación remota (conformidad tiempo real 24/7)
Informes de gestión
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 24
Funcionalidad Clave
Estructura de Alertas
InformesInfo
rmes
Simulación en tiempo real
Gestión de Mitigaciones
Workflow de Remediación
Monitorización transacciones Criticas
Análisis de Riesgos en tiempo real
Marco de Reglas de Negocio
Integración de AplicacionesIden
tific
ar R
iesg
oR
emed
iar
Rie
sgo
Prev
enci
ónOfrece una cobertura en tiempo real 24/7, al evitar quebrantamientos de la
seguridad antes de que puedan ocurrir gracias a controles adecuados
Prevención obligatoria
Facilita una automatización total del proceso
Identificar Riesgos
Remediación
Informes
Prevención
Proceso Automatizado
SAP® Compliance Calibrator™
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 25
Recursos / Esfuerzo
Cos
te /
Rie
sgo
Desarrollo
Testeo
Productivo
Lo más Costoso:Identificar violaciones durante proceso de auditoría
Utilizar SAP Compliance Calibrator desde la fase de
Definición para reducir costes
Definición
SAP® Compliance Calibrator™
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 26
Análisis proceso SAP automatizadoEnfoque tradicional - Manual, por pasos
Informe transacciones
analizadas
Manual
Informe Informe de usuarios de las transacciones
Manual
Correlaciones
Manual
Análisis de Riesgos
Manual
Revisión Pro-activa como parte
del Control?
No Posible
Detección de Riesgos en cada Usuario / Empresa
Identificar las transacciones por usuario / sistema
Incluir “transacciones utilizadas” en el perfil
usuario
Análisis de Riesgos
Identificar punto exacto donde se produce el riesgo
Resumen pro-activo como parte
del Control
Informe
Informe Informe
98%98% de los clientes consideran la monitorizacide los clientes consideran la monitorizacióón de los datos por empresa como n de los datos por empresa como importante*importante* * Encuesta Cliente Julio 2005
SAP® Compliance Calibrator™
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 27
Visibilidad de conformidad centralizada y multiempresa
Basado en el servidor de Aplicación de SAP Netweaver
Impacto cero en Sistemas Productivos
Panel de mandos de Conformidad Único
Fácilmente integrado con los procesos de negocio
Arquitectura orientada a servicios completa (ESA)Integrado con SAP CompositeApplication Framework (CAF)
Login desde cualquier lugarCliente SAP no necesario
Arquitectura Web Orientada a Servicios centralizados
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 28
Riesgos
Funciones de negocio
Transacciones Sistema & Permisos
=Reglas de Riesgo
+
No específicos de Sistema
Alto grado de automatización
Gran complejidad
Autorización usuarios
Estructura de Reglas Empresariales de Identificación
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 29
Más de 200 Grupos de Riesgo, p.ej. Caja, Pagos, Contabilidad Financiera, HR/Nóminas, APO, CRM, EBP/SRM, …
Lenguaje de Negocios
SAP Resultados - Más de 180.000 reglas de Segregación de Tareas (SoD)
Reglas a nivel de Objeto de Autorización eliminan la posibilidad de Falsos Positivos.
Construcción de nuevas reglas automatizada
Reducimos el tiempo de Conformidad y Coste de Propiedad (TCO)
Validado por 4 Grandes Auditoras en + 400 clientes
BD de Riesgos Integral y construcción de reglas automatizada
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 30
Interfaz personalizado
Para TODAS las funciones de conformidad, auditoría, seguridad …
Posibilidad de añadir CUALQUIER aplicación Web al mismo interfaz
Adaptación de Informes ilimitada
Interfaz con SAP BI/BW
Construcción de informes con SAP Visual Composer, BEx Analyzer, Web Application Designer.
Sistema de Información de Conformidad
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 31
Info-proveedores de Conformidad
Info Cubos, Objetos ODS
Informes, Extractores,…
SAP ComplianceCalibrator
SAP BW >= 3.0
Violaciones de Control de Acceso
Info-proveedores propios
Integración entre SAP CC y BI
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 32
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 33
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 34
Resumen - Resolución de Riesgos Integrada
La rápida resolución del riesgo acelera el Valor
Identificación riesgo en tiempo real
Navegación hasta la causa
Workflow de remedio o mitigación
Validación inmediata
Informe
ERP
ERP
Ir a sistema off-linepara detalles
Ir a SAP para averiguar la
causa
Remediar en SAP
Validación fija
Recepción desde sistema off-line
Mitigación off-line
Remedios Off-line - Lentos, Ineficientes
Proceso completamente integrado con SAP / ERP
1 2
3
4a 4b
6
esperar 24 hrs.
5
ERP
ERP
ERP
ERP
Con Inteligencia!
Workflow de aprobación eficiente, controlado y documentadoOpciones de seguimiento para todos los cambios en riesgosOpciones de seguimiento para cambios en mitigaciones
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 35
Los resultados del test son documentados y almacenados en p.ej. SAP MIC, ARIS Audit Manager
Documentación de Controles e integración de Testeo
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 36
Soporte para todos los tipos de autorizaciones SAP
… definir qué tipo de autorizaciones tiene el
usuario en los sistemas ERP
… definir qué se visualiza en el portal
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 37
Otras Soluciones GRC - SAP Access Enforcer
Funcionalidad Clave
Autoservicio de reseteo de Claves
Informes auditables
Selección de roles flexible
Integración Gestión Identificación
Solicitud automática
Confirmación / aprobación de Rol
Abastecimiento automáticoWor
kflo
wD
inám
ico
Info
rmes
Serv
icio
sus
uario
Interfaz Análisis Riesgo en tiempo real
Aná
lisis
R
iesg
oProporciona flujo de conformidad de principio a fin
Proporciona Conformidad a través de Workflow dinámico
Solicitud generada
Creaciónautomática
AprobarManager
Análisis Riesgo
Workflow basado en tipo de solicitud y atributos usuario
Workflow de redirección
Workflow de excepción
100% AutomáticaEvento HR
Contratación empleado
Vía e-mail
Simulación Preventiva
100% Automático
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 38
Otras Soluciones GRC - Access Enforcer (ejemplo)
mwongRol1(blaw)Rol2
(cperkins)
Solicitud Nuevo UsuarioManager
mwongRol1(blaw)Rol2
(cperkins)
mwongRol1(blaw)Rol2
(cperkins)
mwongRol1(blaw)Rol2
(cperkins)
Seguridadblaw
cperkins
Creación Automática
en SAP
mwongRol1(blaw)Rol2
(cperkins)
Propietarios Rol
ComplianceCalibrator
Análisis Riesgo tiempo real Mitigación
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 39
Otras Soluciones GRC - SAP Access Enforcer
Aprobación de Solicitudes de Acceso con Simulaciones en tiempo real
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 40
Resultados de una Simulación en tiempo real
Otras Soluciones GRC - SAP Access Enforcer
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 41
¿ Hacia dónde va SAP con GRC ?¿ Hacia dónde va SAP con GRC ?
GRC: Governance, Risk and Compliance Management
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 42
GRC: Governance, Risk and Compliance Management
La Solución se basa totalmente en SAP NetWeaver
WAS como plataforma de desarrollo
SAP Enterprise Portal como Interfaz de usuario
SAP Exchange Infrastructure (Xi) para Conectividad
SAP Business Information Warehouse para los Informes
Integración total con los sistemas SAP (en tiempo real, basado en eventos)
Adaptadores ya existentes para conectividad con otros sistemas (Peopletools, Oracle, Hyperion, …)
Soporte Global (24 / 7) vía SAP Service Marketplace
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 43
GRC: Conjunto de Soluciones SAP
SAP® Compliance Calibrator™
Solución de análisis del riesgo, detección y remedio para accesos y controles de autorización
Role Expert™
Definición roles & solución de gestión
Firefighter™
Solución de control de acceso a
Superusuarios
Access Enforcer™
Solución de abastecimiento de
conformidad
Fase maratón (Mantenerse Limpio)
Fase Sprint(Limpiar)
Gestionar los Roles Control Acceso Superusuarios
PrevenciónIdentificar y remediar Riesgos
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 44
OptimizarOptimizarRespuestaRespuestaPolíticaPolítica EvaluarEvaluar MonitorMonitorGestión total GRC
Interacción Usuario
Servicios Comunes
Fuentes
GRC Aplicaciones
SAP AnalyticsSAP Analytics MóvilMóvilMS OfficeMS Office ClienteCliente
BPMBPM AdaptadoresAdaptadores SeguridadSeguridadWorkflowWorkflow ……
JDE CustomLegacy
Aplicaciones VerticalesAplicaciones VerticalesAplicacionesHorizontalesAplicacionesHorizontales Aplicaciones de PartnersAplicaciones de Partners
Ecosistema Partners
SI’s, Auditors, Content, E-Learning,
Consulting, Hardware,
Infrastructure
Ecosistema Partners
SI’s, Auditors, Content, E-Learning,
Consulting, Hardware,
Infrastructure
Hyperion
Integración ESAIntegración ESA
Repositorio GRC ComúnRepositorio GRC Común
Integración ESAIntegración ESA
Solución SAP para GRC - Arquitectura
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 45
SAP Solutions for GRC – Roadmap
• Compliant provisioning
• Role Management
• Superuser access management
• Segregation of Duties analysis & enforcement
• Process control monitoring
• Control documentation
• Expanded automated process control monitoring and testing library
• Manual control testing
• Global compliance risk dashboard
• Collaborative enterprise risk assessments
• Risk mitigation management
• Risk & compliance analytics & dashboards
• Additional automated process controls
Expanded Process Control
Management
Enterprise Risk Process Management
Integrated GRC
Access Controls & Process Control
Monitoring
Phase 0 - May 06
• Governance & policy development management
• Integrated GRC analytics & dashboards
• Expanded risk assessment models
• SEM / Strategic Planning integration
Phase I – Q4 06 Phase II – Q2 07 Phase III – Q4 07
SAPPHIRE Launch of SAP GRC Business Unit
© SAP AG 2006, Evento GRC - Julio, 2006 / Antonio Manero / 46
> 300 empresas - Objetivo: Conformidad permanente