Saltear al contenido principal

GRC RulesetsGobierno, riesgo y cumplimiento (GRC): reglas básicas

Las reglas gobiernan muchos aspectos de nuestras vidas. Por ejemplo, las de tráfico están diseñadas para reducir los riesgos de los conductores y peatones, aunque también consiguen minimizar las primas de los seguros. Las de las comunidades de propietarios de viviendas dictan los colores que pueden utilizarse en el exterior de los edificios e incluso pueden exigir a los pisos de las plantas superiores que instalen alfombras para reducir el ruido. Si bien estas reglas se desarrollan con las mejores intenciones, a veces pueden excederse en relación con el riesgo o problema real, pasando de ser herramientas con las que garantizar la seguridad y el cumplimiento a convertirse en auténticos lastres.

El entorno de SAP no escapa a esta situación. Los conjuntos de reglas para el gobierno, riesgo y cumplimiento (GRC) se crean para garantizar que las organizaciones cumplen con las regulaciones, protegen los datos útiles y reducen el riesgo de robo y fraude. Además, las funciones y los procesos empresariales se revisan minuciosamente para determinar el nivel y la gravedad del riesgo. Los conjuntos de reglas se desarrollan en función de las combinaciones de riesgo y gravedad, con el objetivo de que la empresa sea capaz de identificar y solucionar las vulneraciones de la segregación de funciones (SdF).

Por ejemplo, un proceso con dos tareas diferenciadas, como un empleado que puede, por un lado, crear y mantener una lista maestra de proveedores y, por el otro, emitir órdenes de compra o ejecutar pagos, es una clara vulneración de la segregación de funciones (SdF). Ambos roles deben separarse y cualquier combinación entre ellos debe ser incluida en un conjunto de reglas, de modo que los intentos de concentrar los accesos y permisos a ambas funciones en una sola persona generen una alerta de vulneración de la SdF.

Por ello, los conjuntos de reglas de GRC son el pilar fundamental de un control de acceso y un análisis de riesgos efectivos. No en vano, ofrecen informes de una gran precisión y ayudan a reducir los costes del cumplimiento y la gestión de riesgos. Por lo que su uso garantiza que no aparezcan datos inesperados en las auditorías. Por otro lado, debido a su importancia en la protección de una organización, estos conjuntos de reglas deben reflejar con claridad la estructura de la organización en materia de procesos y funciones mediante la supervisión de los riesgos adecuados y su adaptación a los correspondientes niveles de gravedad.

Este procedimiento afecta tanto a los requisitos normativos externos, como HIPAA y SOX, como a los procesos internos. En todo caso, tanto estos conjuntos de reglas como la identificación de riesgos en GRC de SAP deben cumplir con los requisitos de los auditores internos y externos. Y, pese a que su implementación puede parecer sencilla, la complejidad de los conjuntos de reglas de GRC no deja de crecer en el marco actual de la economía digital.

Los conjuntos de reglas de GRC: más complejos de lo que parecen

En la actualidad, las organizaciones están sometidas a una transformación permanente en su adaptación a la constante evolución del panorama global de la economía digital. Estos cambios también afectan al marco regulatorio, como demuestra el Reglamento General de Protección de Datos (RGPD) que la Unión Europea acaba de implementar.

Este entorno dinámico ejerce presión sobre los departamentos informáticos de las empresas para que adapten los conjuntos de reglas de GRC a los cambios organizativos y normativos. En poco tiempo, esta situación puede complicarse, generando un exceso de restricciones en algunas funciones empresariales y un déficit en otras.

Pero, incluso en un entorno sin cambios constantes, el desarrollo de conjuntos de reglas de GRC puede ser un proceso complicado. Pese a que SAP proporciona conjuntos de reglas estándar para las funciones, como los de aprovisionamiento y compras, estas herramientas podrían no ser suficientes ante las necesidades concretas de cada organización. Por ello, los conjuntos de reglas se deben personalizar para que se ajusten a las funciones y procesos empresariales y reflejen con precisión las operaciones de la empresa.

En ocasiones, la creación y personalización de conjuntos de reglas de GRC capaces de asociar con precisión el impacto de los riesgos y su probabilidad con cada proceso empresarial puede generar una cantidad excesiva de conjuntos de reglas aplicados a funciones y procesos de bajo riesgo. Esto genera mucho “ruido”, al producir un elevado número de informes sobre riesgos que no suponen un impacto significativo para la empresa.

Este ruido puede suponer un lastre tanto para los usuarios de SAP como para el personal informático y los auditores, que deben analizar páginas de informes para encontrar riesgos de impacto limitado. Asimismo, la complejidad aumenta conforme las nuevas transacciones personalizadas y las posibles combinaciones de transacciones y permisos crecen en respuesta a las modificaciones en los procedimientos y los cambios organizativos, junto con unas normativas en permanente evolución.

Por si esto fuera poco, las funciones no relacionadas con SAP y la incorporación de nuevas aplicaciones, como SAP S/4 Fiori, complican el entorno todavía más. Pese a que SAP Fiori es un potente sustituto de la interfaz gráfica de usuario de SAP, una integración meticulosa con las actividades de SdF resulta esencial para una correcta aplicación de las funciones de GRC y garantizar la visibilidad en toda la organización.

ControlPanelGRC simplifica el proceso de establecimiento de reglas

ControlPanelGRC Risk Analyzer, de Symmetry, simplifica enormemente el proceso de establecimiento de reglas de GRC y facilita la integración con SAP Fiori. Los códigos de normas o rulebooks de Risk Analyzer contienen un conjunto básico de las autorizaciones confidenciales más utilizadas, además de incluir reglas de SdF válidas para cualquier sector. Estos códigos son extensibles y se pueden personalizar fácilmente para cumplir con los requisitos de un auditor o proceso empresarial, permitiendo así que los conjuntos de reglas sean más fáciles de configurar y mantener. Además, los códigos predefinidos incluyen controles de riesgos de acceso relacionados con SOX, HIPAA, GDPR y otros requisitos normativos. Risk Analyzer define los riesgos como funciones contradictorias y ofrece detalles y descripciones sencillas.

También proporciona un alto nivel de granularidad para la definición de riesgos en base a su nivel de autorización y transacción. Además, permite la detección automática de transacciones personalizadas e incluye aplicaciones SAP Fiori, utilizando un conjunto de reglas de SdF de SAP S/4HANA. Risk Analyzer detecta y captura el uso de las aplicaciones SAP Fiori de forma automática, devolviendo los datos del análisis de la SdF a los usuarios empresariales adecuados para su revisión o eliminación.

La diferencia de Symmetry: vamos más allá

Además de las potentes herramientas y funciones de ControlPanelGRC, Symmetry ofrece una implementación rápida respaldada por nuestro liderazgo en el soporte y los servicios gestionados.  Nuestra puntuación Net Promoter Score es la más alta del sector, y nuestros 22 años de gestión de sistemas SAP garantizan que su implementación de ControlPanelGRC Access Control Suite con Risk Analyzer no solo será un éxito, sino que será rentable mucho antes.

Los conjuntos de reglas de GRC son vitales para garantizar la seguridad de los datos, la gestión de riesgos y el cumplimiento normativo de una organización. Pueden ser complejos, pero no deben ser un lastre para el personal informático. ControlPanelGRC ofrece una tranquilidad total a las organizaciones al automatizar las funciones de GRC, reducir los conflictos de la SdF y garantizar la preparación ante las auditorías para afrontar con éxito los retos de una economía digital en permanente evolución.

Póngase en contacto con Symmetry para obtener más información sobre cómo ControlPanelGRC puede ayudarle a simplificar su conjunto de reglas de GRC y convertirlo en un auténtico valor estratégico.

Symmetry