Cómo construir un proceso GRC efectivo para seguridad y acceso de SAP?

Independientemente del segmento de negocio, es un hecho que todas las organizaciones privadas o que cotizan en bolsa buscan establecer las mejores prácticas de Gobierno, Gestión de Riesgos y Cumplimiento (GRC) para sus procesos de negocio.

Considerado el pilar básico del control GRC, el proceso de gestión de acceso en las organizaciones es el que más genera divergencia ya que es un proceso que requiere la participación de múltiples áreas, tales como: Seguridad y Acceso TI, Gobernanza, Controles Internos, Auditoría, Riesgos. y áreas de negocio.

PRINCIPALES PROBLEMAS CONOCIDOS EN EL PROCESO DE CONTROL DE ACCESO Y SEGUIMIENTO DE RIESGOS SODs EN EMPRESAS

Necesita un proceso de gestión de acceso eficaz, a saber:

• Modelo de gobierno y gestión de perfiles corporativos (negocios y TI): en curso;
• Definición de roles y responsabilidades;
• Adopción de una plataforma GRC sistémica;
• Definición y publicación de las políticas y regulaciones de la organización;
• Otros.

PRINCIPALES DEFINICIONES TÉCNICAS

• PROPIETARIO DEL PERFIL (PROPIETARIO DEL ROL), responsable de evaluar los riesgos y aprobar las solicitudes de perfil que sean de su responsabilidad. También es responsable de solicitar y aprobar ajustes de perfil de acuerdo con los requisitos comerciales.
• PROPIETARIO DE LA TRANSACCIÓN (TRANSACTION OWNER), responsable de evaluar los riesgos y aprobar las solicitudes de transacción que son de su responsabilidad. También es responsable de solicitar y aprobar ajustes a las transacciones de acuerdo con los requisitos comerciales.
• PROPIETARIO DEL RIESGO (PROPIETARIO DEL RIESGO), responsable de definir y determinar la mejor estructura de riesgos capaz de identificar los riesgos de acceso atribuidos a los usuarios. También recomienda y aprueba ajustes a la estructura de riesgo de SoD de acuerdo con los requisitos comerciales.
• TITULAR DEL CONTROL (TITULAR DEL CONTROL), responsable de definir y determinar la mejor opción de control compensatorio capaz de reducir o eliminar los riesgos de acceso atribuidos a los usuarios. También recomienda y aprueba ajustes a los controles de compensación de acuerdo con los requisitos comerciales.
• RISK MONITOR (RISK MONITOR), responsable del seguimiento y recepción de notificaciones de riesgos vulnerados y materializados. Necesita evaluar y determinar la causa raíz y las decisiones de prueba que pueden hacer referencia a la aceptación del incumplimiento y la materialización del riesgo, o la transferencia del riesgo a otra persona.
• APROBADOR (APROBADOR), responsable de aprobar las solicitudes de acceso de los usuarios bajo su responsabilidad. Asimismo, debe evaluar los riesgos derivados de la aprobación de las solicitudes de acceso y concienciar que reconoce la legitimidad del riesgo.
• USUARIO CLAVE (KEY USER), persona con conocimiento funcional del proceso empresarial. También soporta la definición de perfiles de acceso y validación de restricciones de acceso, ejecutando escenarios de negocio con el fin de validar que no exista interferencia (menor o mayor acceso) para realizar actividades transaccionales de negocio. Solicite ajustes de perfil cuando sea necesario de acuerdo con los requisitos comerciales.

SAP ha incorporado el diseño moderno de SAP Fiori en sus productos para que los usuarios puedan disfrutar de una experiencia consistente de principio a fin. SAP Fiori es parte de las soluciones de la plataforma SAP para Gobernanza, Riesgo y Cumplimiento (GRC), que incluye SAP GRC Access Control (solución de supervisión de riesgos y gestión de acceso de SoD). Con el uso de interfaces SAP FIORI para GRC, los procesos SoDs Access Management y Risk Monitoring aumentan su aceptación por parte de los empleados debido a un diseño atractivo y personalizado adaptado a cada tarea.

Ejemplos de aplicaciones FIORI para SAP GRC Access Control

Usuario final | Gerentes | Administradores | Informes

EJEMPLO DE BUENAS PRÁCTICAS PARA EL PROCESO DE CONTROL DE ACCESO Y SEGUIMIENTO DE RIESGOS EN EMPRESAS