sarc 2.0 ( system audit risk control) jesús sandoval cuesta aplirh s.l
TRANSCRIPT
SARC 2.0( System Audit Risk
Control)
Jesús Sandoval CuestaAplirh S.L
www.sarc-sap.com
• 1.1 Histórico• 1.2 SARC. Conceito• 1.3 Integração
1. Introdução
• 2.1 Relatório de riscos.• 2.2 Entorno de trabalho com menus e/ou com menu de âmbito• 2.3. Matriz de incompatibilidades• 2.4. Documentação descritiva dos riscos.• 2.5 Ferramentas de ajuda para auditoria e consultores de básico.• 2.5 Manutenção de perfis(roles).• 2.6. Flexibilidade e capacidade de gerenciamento.• 2.7. Manutenção de perfis(roles).• 2.8 Manutenção da matriz disponível para o departamento de auditoria• 2.9 Gráficos• 2.10 Relatórios.• 2.11 Simulações• 2.12 AAM controle de atribuição de autorizações ( integração)• 2.13 Exclusões.• 2.14 Log de mudanças na Matriz SARC• 2.15 Bloqueio/limitação automático de usuários.
2. Componentes SARC
3. Vantagens
4. Planejamento da Implantação
5. Parceiros e colaboradores
AGENDA
Nos momentos de turbulência econômica e de desconfiança generalizada dos investidores nos gestores das organizações é necessário estabelecer sistemas confiáveis e seguros que garantam um controle nas empresas.
Com este objetivo foi criado o SoX(Segregação de funções) que nasce do cumprimento da lei Sarbanes-Oxley dos Estados Unidos fomentada a partir dos escândalos de Enron e outras corporações. SARC oferece uma solução rápida, simples e econômica para quaisquer tipo de empresas que precise um controle de riscos nos sistemas e ao mesmo tempo otimizar e economizar com a gestão de usuários de SAP.
1. INTRODUÇÂO1.1 HISTÓRICO
SARC (System Audit Risk Control) é uma solução implantada sobre a plataforma SAP que permite realizar um controle dos processo e funções em SAP, mostrando os riscos e perigos existentes de usuários baseado nos riscos definidos pela auditoria do negocio.
o SARC, ajuda na gestão de autorizações de usuário otimizando as autorizações que realmente precisa cada usuários, alem de bloquear e limitar aqueles usuários que não utilizam o sistema economizando em licenças SAP.
o SARC é uma ferramenta que garante o cumprimento da separação de funciones necessárias para evitar os riscos de fraude identificados pelos auditores. Na prática os riscos do SARC em SAP são controlados evitando que as pessoas possui autorizações suscetíveis a fraudes. Em SAP as autorizações de cada um dos fluxos de trabalho da organização é feito utilizando “ transações ” SAP e estes são os objetos que devemos controlar.
Em conclusão e derivado do SoD, é necessário tomar as medidas organizacionais necessárias para adaptar as tarefas atribuídas as pessoas evitando os riscos identificados pela auditoria. Assim será necessário em muitos casos desenvolver nas estruturas organizativas uma gestão da mudança.
1. INTRODUÇÂO
1.2 SARC. Conceito
A atribuição de autorizações aos usuários é muito dinâmica e deve responder de forma rápida e flexível as diversas mudanças que são feitas na vida das empresas e se adaptando as normas e controles estabelecidos pelo departamento de auditoria ( SARC). Para oferecer respostas a esta necessidade foi desenvolvido o AAM(Automatic Authorizations Management) que com a integração com o SARC permite realizar um controle de usuários utilizando as diretrizes da auditoria no entorno de usuário final e delimitando com precisão as autorizações as estruturas que o usuário deve acessar.
Alem de todo o anterior existe a dificuldade técnica da gestão das autorizações no SAP, tecnicamente chamada SAP roles e/ou perfis. Estes roles e/ou perfis estão composto por transações que controla o GRC por um lado e por objetos de autorização organizativos (empresa, centro de custo, grupo de compras, setor de vendas, etc.) que delimitam e segmentam ao que deve ter acesso cada integrante da organização. Estes casos, geralmente, os roles são administrados pelas pessoas do departamento de TI que não entendem o suficiente da organização das pessoas.
Em resposta e como solução a esta problemática se desenvolve o GIRHR, uma ferramenta que integra todos os sistemas com uma gestão automatizada administrada diretamente pelos responsáveis da organização. Estes terão um entorno de trabalho apropriado para a gestão de pessoas mas com os componentes de controle de segurança integrados na mesma funcionalidade.
1. INTRODUÇÂO1.3 Integração
2. COMPONENTES GIRHR
2.1 Informe prévio de riscos
Funcionalidade externa a SAP que permite de uma forma rápida realizar uma análise dos riscos existentes sobre uma matriz standard. Para realizar este primeiro análise unicamente precisamos que sejam enviados vários arquivos em formato txt do seu sistema e retornaremos o seguinte informe:
2. COMPONENTES SARC
2.2. Entorno de trabalho dos menus y/o com menu de âmbito
O menu do entorno de trabalho está desenvolvido com SVMI ( System Visual Menu Interactive), com ajudas e organizado para uma melhor compreensão.
2. COMPONENTES SARC
2.3. Matriz de incompatibilidades
A base do funcionamento do SARC é a manutenção de uma matriz de incompatibilidades baseada numa matriz standard que cada cliente deverá adaptar a suas necessidades, incluindo tanto seus desenvolvimento próprios(trans. Z), como novos riscos particulares da empresa.
2. COMPONENTES SARC
2.4. Documentação descritiva dos riscos
A solução será entregue com documentos anexados a cada risco com uma explicação detalhada e exemplo dos mesmos.
2. COMPONENTES SARC
2.5 Ferramenta de ajuda auditoria e consultores de básico
SARC poderá ser utilizado de forma Independente como auditor do sistema para verificar em qualquer momento os riscos existentes nos usuários do sistema ou inclusive na elaboração de novos roles/perfis como ajuda na construção.
2. COMPONENTES SARC
2.6. Flexibilidade e capacidade de gerenciamento
SARC é muito simples de administrar e manter. Os responsáveis da auditoria poderão configurar como desejem os riscos, funções e transações.
2. COMPONENTES SARC
2.7. Manutenção de roles
SARC ajuda a configurar de forma correta os roles/perfis, evitando incluir num mesmo rol transações que apresentem risco entre elas.
2. COMPONENTES SARC
2.8 Manutenção da matriz ao alcance do departamento de auditoria
A manutenção da matriz de incompatibilidades é simples e navegável. Desde a mesmaMatriz pode obter relatórios das pessoas que possuem algum tipo de risco.
2. COMPONENTES SARC
2.9 Gráficos
Permite executar relatórios de gráficos para ter uma visão geral da situação dos riscos.
2. COMPONENTES SARC
2.10 Relatórios
SARC possui desenvolvido distintos relatórios que permite manter o sistema livre de riscos.
2. COMPONENTES SARC
2.11 Simulações
Permite realizar simulações para comprovar se ao atribuir algum novo perfil(rol) para um usuário gera incompatibilidades sobrevindas a outros.
2. COMPONENTES SARC
2.12 AAM Controle de atribuição de autorizações ( integração)
A atribuição de perfis(roles) desde a estrutura organizacional pode ser limitada na matriz de riscos, de forma que nenhum usuário, onde é administrado seus roles
utilizando a estrutura organizativa, permita atribuir roles que sejam incompatíveis.
2. COMPONENTES SARC
2.13 Exclusões
O sistema permite realizar exclusões de usuários específicos ou grupos de usuário que não seja requerido o controle utilizando o SARC
2. COMPONENTES SARC
2.13 Exclusões II
Também será possível determinar a que países é necessário controlar os riscos específicos de pais utilizando o SARC.
2. COMPONENTES SARC
2.14 Log de mudanças na Matriz SARC
O sistema permite ativar log de mudanças para conhecer em todo momento cuando as modificações da matriz e as datas nas que foram executado os relatórios.
2. COMPONENTES SARC
2.15 Bloqueio/limitações automático de usuários
Com o objeto de otimizar os custos de licencia SAP. SARC dispõe de um sistema de bloqueio/limitações de todos usuários sem utilização do sistema desde um determinado período de dias.
3. VANTAGENS
Vantagens
• Implantação rápida e simples.• Flexibilidade, agilidade e rapidez na atribuição ou mudança das autorizações
existentes ( maior eficácia ).• Maior eficiência e concreção na atribuição dos perfis(roles), evitando atribuir
autorizações que não são necessárias, diminuindo o risco de má utilização de informações e/ou fraude.
• Diminuição considerável nos recursos técnicos necessários para a gestão dos perfis ou roles (economia de custes).
• Gestão de roles de usuário estruturada e relacionada com objetos estruturais da organização da companhia (organograma da empresa).
• Adequação e dimensionamento das autorizações dos usuários aos objetos de autorização (empresa, grupos de compras, centros de custo, etc. ) dentro de suas competências e da estrutura organizativa.
• Limitação dos usuários que não tenham acesso ao sistema gerando uma economia de custos de licenças.
3. VANTAGENS (2)
Vantagens
• Gestão de autorizações baseada no organograma da empresa, utilizando objetos e conceitos próprios de gestão de pessoas (posições, tarefas e funções).
• Visibilidade por parte de usuários chaves sobre os controles aplicados nos processos de negocio e as pessoas, ajudando na tomada de decisões com relação à organização da companhia.
• Unifica e alinha os processos de negocio, o cumprimento normativo interno e a gestão de riscos.
• Ajuda a conhecer os fluxos de trabalho desenvolvidos no sistema que tem como objetivo uniformizar os cargos de trabalho das distintas unidades organizativas, influindo positivamente na padronização dos cargos dentro da organização. Como consequência, melhora consideravelmente a mobilidade das pessoas entre distintos cargos da organização, fornecendo de maior flexibilidade das estruturas organizativas.
4. PLANEJAMENTO DA IMPLANTAÇÂO SARC
FASES DO PROJETO E RECURSOS
FASE I. Instalação em SAP do componente
SARC
FASE II. Parametrização em
GRC dos riscos estabelecidos com transações SAP que
os geram.
FASE III. Capacitação a usuários chaves
(auditores e pessoal técnico SAP)
Desenvolvimentos e tabelas de integração
Matriz de incompatibilidades
Entrada em produção e suporte de incidências
Pessoal Técnico de Aplirh S.L. ou parceiro
autorizado. Equipe exclusivo de
desenvolvimento
Equipe misto consultor SARC
com recursos de auditoria de
negocio
Consultor SARC Aplirh S.L. ou parceiro autorizado com usuário/s clave/s
5. PARCEIROS E COLABORADORES.
OBRIGADO