Si su empresa ya fue auditada, sabe la importancia de gestionar el acceso a los sistemas corporativos, especialmente cuando se trata de sistemas críticos o sujetos a auditoría, como SAP S/4HANA, SAP ECC, SAP HCM, TOTVS Protheus, TOTVS Datasul, TOTVS PIMs, Oracle ERP, MS AD, ARIBA, sistemas CRM, SAP CCS, entre otros, con enfoque en segregación de funciones.
Los sistemas críticos y sistemas auditados son aquellos que generalmente procesan las transacciones comerciales de la organización relacionadas con movimientos financieros, comerciales, materiales, compras, etc. Obtener y/o otorgar acceso a estos sistemas con seguridad y control puede no ser una tarea tan sencilla.
Otorgar acceso a los sistemas de una organización requiere un cuidado específico para evitar errores, fraudes o brechas en la auditoría y la seguridad. La práctica más común antes de establecer un procedimiento de concesión de acceso es observar el grado de madurez del gobierno de seguridad que requiere el negocio. El siguiente listado reúne los principales puntos a considerar como requisitos o prácticas para un buen proceso de control de acceso:
- ¿Mi empresa tiene intención de salir a bolsa y, en consecuencia, tendrá que demostrar un mayor control de acceso a los sistemas corporativos?
- ¿Mi empresa ya cotiza en bolsa y, en consecuencia, necesita seguir cumpliendo con SOx, CVM, JSOX, etc.?
- ¿Mi empresa no tiene intención de salir a bolsa, pero quiere utilizar las mejores prácticas de gobierno IBGC, COSO, COBIT, etc.?
- ¿Mi empresa tiene prácticas de control interno, riesgo, seguridad y auditoría que requieren una gobernanza efectiva?
- ¿Mi empresa cuenta con BPA de auditoría relacionados con la segregación de funciones o la trazabilidad del uso de funciones críticas?
- ¿Mi empresa tiene antecedentes de filtraciones y fraudes en los sistemas corporativos, como consecuencia de accesos que permitieron dichas pérdidas?
- ¿Mi empresa comprende los riesgos de la falta de una gobernanza eficaz del control de acceso y la necesidad de establecer un mayor control?
- ¿Mi empresa no tiene segregación de roles en la gestión de riesgos relacionados con el acceso otorgado?
Abordar los puntos anteriores no necesariamente garantizará un proceso de control de acceso efectivo para evitar brechas con SOx, auditoría y cumplimiento de CVM, etc. Detrás de esta maraña de siglas, conceptos, prácticas y requisitos, aún existe la necesidad de juntar todas las piezas de este «rompecabezas» y establecer una gobernanza que garantice el mejor proceso de control de acceso, sin sobrecargar el costo operativo ni «colocar» a la empresa. procesos.
Un proceso de control de acceso eficaz puede requerir artefactos que requieran tiempo para prepararse e implementarse. Dependiendo de la situación, es posible que la organización no tenga el tiempo mínimo necesario para abordar los artefactos obligatorios para el cumplimiento mínimo de los controles de gobernanza. A continuación se enumeran los principales artefactos inherentes al proceso de gestión de acceso, considerados obligatorios cuando se busca la efectividad del control y el establecimiento de un proceso preventivo:
- Matriz de riesgos por segregación de funciones (SoD – Segregación de Funciones);
- Matriz de riesgos para transacciones críticas (SAT – Transacción de Acceso Sensible);
- Catálogo de controles compensatorios;
- Procedimientos para el análisis de riesgos y control de mitigación de riesgos;
- Flujo de aprobación y otorgamiento de acceso sistémico;
- Visibilidad de la exposición a riesgos SoD y SAT, durante el flujo de aprobación de acceso.
Observando el mercado y evaluando los principales artefactos mencionados anteriormente, Porttus Compliance Solutions desarrolló la solución SaaS GRC Builder, para que las organizaciones puedan mantener el enfoque en su negocio, dejando la gobernanza y el cumplimiento de la gestión de acceso a quienes tienen esta competencia en su ADN. La solución GRC Builder incorpora todos los principales requisitos y mejores prácticas del mercado en materia de gestión de accesos y monitorización de riesgos SoD y SAT.
Contáctanos y solicita presupuesto. Comprenda por qué las grandes corporaciones eligieron la solución SaaS de GRC Builder.
vendas@porttus.com | www.porttus.com
