260 likes | 437 Views
SARC 2.0 ( S ystem A udit R isk C ontrol ). Jesús Sandoval Cuesta Aplirh S.L www.sarc-sap.com. AGENDA. INTRODUCCIÓ. 1 .1 ANTECEDENTS.
E N D
SARC 2.0( System Audit Risk Control) Jesús Sandoval Cuesta Aplirh S.L www.sarc-sap.com
INTRODUCCIÓ 1.1 ANTECEDENTS En aquestsmoments de convulsióeconòmica i de desconfiançageneralitzadadelsinversors en elsgestors de les empreses es fa necessariestablirsistemes ferris i assegurances que garanteixin un control en les empreses. Ambaquestobjectiu ha nascut SoD (Segregació de funcions) que neix del compliment de la Llei Sarbanes-Oxley d'EUA propiciada a partir delsescàndols Enron entre unsaltres. SARC ve a oferir una solucióràpida, senzilla i econòmica per a qualsevoltipusd'empresa que precisitenir un control dels riscos en el sistema i al tempsoptimitzar i estalviaramb la gestiód'usuari de SAP.
INTRODUCCIÓ 1.2 SARC. Concepte SARC (System Audit Risk Control) és una solució sobre sistemes SAP que permetrealitzar un control delsprocessos i funcions en SAP, mostrantels riscos d'usuarisexistents en el sistema sobre la base dels riscos establerts per auditoria de negoci. A més SARC, ajuda en la gestiód'autoritzacionsd'usuarisoptimitzant les autoritzacions a les qualsrealmentnecessita cada usuari, bloquejant i limitantaquellsusuaris que no usen el sistema amb el consegüentestalvi en les llicènciesSAP. Per tant SARC ésuna eina que assegura el compliment de la separació de funcionsnecessàries per evitar els riscos de frauidentificatspelsauditors. En la pràcticaels riscos de SARC en SAP es controlen evitant que les persones disposin de la suma d'autoritzacions en la gestió de l'empresa susceptibles de frau. En concret en SAP les autoritzacions a cadascundelsfluxos de treball de l'organització es realitzenmitjançant “transaccions” SAP i per tantaquestsobjectessónels que haurem de controlar. En conclusió i derivat de SoD, es tindran de prendre les mesures organitzativesnecessàries per adaptar les tasques encomanades a les persones evitantels riscos identificats per auditoria. Per tant, es farànecessari en molts casos desenvolupar en les estructures organitzatives una gestió del canvi per adaptar de manera coherent al requerit.
INTRODUCCIÓ 1.3 Integració L'assignaciód'autoritzacions a usuarisésmoltdinàmica i ha de respondre de manera ràpida i flexible alsdiferentscanvis que es realitzen en la vida de les empresesadaptant-se a les normes i controlsestablertspelsdepartamentsd'auditoria ( SARC ). Per donar resposta a aquestanecessitats'hadesenvolupat AAM (Automatic Authorizations Management ) que integrant-se amb SARC permetrealitzar un control delsusuaris sota les directriusd'auditoria en un entornd'usuari final i delimitantambprecisió les autoritzacions a les estructures que hagid'accedir cada usuari. A totl'anterior se sumeixi la dificultattècnica que suposa gestionar les autoritzacions en SAP, tècnicamentdenominats en SAP Rols i perfils. Aquestsrols i perfilsestancompostsbàsicament per transaccions que controla GRC d'una banda, i per objectesd'autoritzacióorganitzatius (societats, centres de cost, grups de compres, sectors de venda, etc) que delimiten i segmenten alsqualspodràtenirautorització cada integrant de l'organització. En aquests casos, habitualmentaquestsrolsvénengestionats per persones tècniques del departamentd'informàtica que poc saben de l'organització de les persones. En resposta i com a solució a aquestaproblemàtica es desenvolupa GIRHR , una eina que integra totselssistemesamb una gestióautomatitzada manejada directamentpels responsables d'organització.Aquestsdisposarand'unentorn de treballapropiat per a la gestió de les persones peròambelscomponents de control de seguretatintegrats en la mateixafuncionalitat.
2. COMPONENTS GIRHR 2.1 Informe previ de riscos • Funcionalitat externa a SAP que permetd'una manera ràpidarealitzar una anàlisidels riscos existents sobre una matriuestàndard. Per realitzaraquesta primera anàlisiúnicamentnecessitem que se'nsremetin diversos fitxers en formattxt del seu sistema i retornarem el següent informe:
2. COMPONENTS SARC 2.2. Entornde treballamb menús de botonera i/o amb menú d'àmbit • El menú de l'entorn de treballestàdesenvolupatamb SVMI ( System Visual Menú Interactive), ambajudes i organitzat per a la sevamillorcomprensió.
2. COMPONENTS SARC 2.3. Matriud'incompatibilitats • La base del funcionament de SARC és el mantenimentd'unamatriud'incompatibilitats basada en una matriuestàndard que cada clienthauràd'adaptar a les sevesnecessitats, valorant i incloenttantelsseusdesenvolupaments propis (Trans. Z), com a nous riscos particulars empresa.
2. COMPONENTS SARC 2.4. Documentaciódescriptiva dels riscos • La solució es lliuraambdocumentsannexats a cada riscamb una explicació detallada i exemplesdelsmateixos.
2. COMPONENTES SARC 2.5 Herramienta de ayuda auditoría y consultores de básico • SARC puede usarse de manera independiente como auditor del sistema para verificar en cualquier momento los riesgos existentes en los usuarios del sistema o incluso en la elaboración de nuevos roles/perfiles como ayuda en su construcción.
2. COMPONENTES SARC 2.6. Flexibilidad y manejabilidad • SARC es muy sencillo de manejar y mantener. Los responsables de auditoría podrán configurar como deseen los riesgos, funciones y transacciones.
2. COMPONENTES SARC 2.7. Mantenimiento de Roles • SARC ayuda a configurar de manera correcta los roles/perfiles, evitando incluir en un mismo rol transacciones que supongan riesgo.
2. COMPONENTS SARC 2.8 Mantenimentde matriu a l'abastdeldepartament d'auditoria • El manteniment de la matriu d'incompatibilitatséssenzill i navegable. Des de la mateixaMatriu es pot treure l'informe de les personesamb un risc.
2. COMPONENTES SARC 2.9 Gráficos • Permite ejecutar informes de gráficos que nos permite tener una visión general de la situación de los riesgos
2. COMPONENTES SARC 2.10 Informes • SARC ha desarrollo distintos informes que permiten mantener el sistema libre de riesgos.
2. COMPONENTES SARC 2.11 Simulaciones • Permite realizar simulaciones para comprobar si al asignar un rol nuevo a un usuario genera incompatibilidades sobrevenidas a otros.
2. COMPONENTS SARC • 2.12 AAM control d'assignaciód'autoritzacions ( integració ) • L'assignacióde rols des de l'estructuraorganitzativa es pot limitar sobre la base de la matriu de regs, de manera que a capusuari que se li gestionielsseusrolsmitjançantl'estructuraorganitzativa se li permetiassignarrols que siguin incompatibles.
2. COMPONENTS SARC • 2.13 Exclusions • El sistema permetrealitzarexclusionsd'usuarisconcrets o grupsd'usuari que no es requereixi controlar mitjançant SARC
2. COMPONENTS SARC • 2.13 Exclusions II • També es pot determinar al fet que països es controlen per SARC o riscos específics de país.
2. COMPONENTS SARC • 2.14 de canvis en la Matriu SARC • El sistema permet activar log de canvis per conèixer en tot moment quan s'ha modificat la matriu i les dates en les quals s'han executat els informes.
2. COMPONENTS SARC • 2.15 Bloquejo/limitacióautomàticd'usuaris • Ambl'objected'optimitzarels costos de llicència SAP. SARC disposad'un sistema de bloqueig/limitació de totsusuarissenseutilitzar el sistema des de fa X dies
4. PLANIFICACIÓ DE LA IMPLANTACIÓ SARC FASES DEL PROJECTE I RECURSOS Consultor SARC Aplirh S.L. o partner autoritzatambusuari/s clau/s Equipmixt consultor SARC amb recursos d'auditoria de negoci PersonalTècnic d'Aplirh S.L. o partner autoritzat. Equipexclusiu de desenvolupament Entrada en productiu i suport d'incidències Matriud'incompatibilitats Desenvolupaments i taulesd'integració