Hoy en día, las empresas, ya sean chicas, medianas o grandes, manejan grandes cantidades de información, y al ser manipulada por humanos a través de dispositivos móviles está en constante riesgo. Mantener la seguridad de la información de tu empresa es indispensable para que la operación se lleve a cabo de la mejor manera y sin fallos. Esto se logra a través de un enfoque GRC para SAP.
Para la correcta administración de un sistema SAP ERP basado la segregación de funciones, existen herramientas especializadas que pueden ayudar. En SYAAT contamos con algunas herramientas y softwares de GRC para SAP que permiten identificar qué es lo que está funcionando bien, qué tan riesgosa es alguna actividad interna o externa y cuáles son los accesos que tiene una persona a la plataforma, y permisos que deben habilitarse para dar acceso a algún colaborador o, por el contrario, quitárselo para mantener tu información a salvo.
Lo importante de GRC para SAP es que permite saber y definir a quién darle la posibilidad de tener acceso a la información sensible de la compañía, que le otorga cierto valor y es parte de sus diferenciadores. Es importante tener en mente que al tener la información concentrada en un sistema como SAP, con esa concentración de información, alguien más puede acceder a ella, siempre y cuando exista un control de acceso.
Para entrar en contexto, la seguridad informática se refiere a las prácticas, medidas y tecnologías utilizadas para proteger los sistemas de información y los datos de una organización contra amenazas y ataques cibernéticos, ya sean internos o externos. Esto incluye la protección de la infraestructura de tecnología de la información (TI), redes, computadoras, servidores, dispositivos móviles y los datos que se almacenan y se transmiten desde la compañía.
Este aspecto es crucial en estos tiempos; antes tener la información dentro de la empresa era algo bien visto, pues estaba controlada, sin embargo, con la revolución en las comunicaciones, ahora la información no está solamente en sitio, sino que se encuentra dentro de nuestros dispositivos móviles. Esto implica conectarnos a una red, y esta tiene que ser segura para mantener nuestra información de cierta manera encriptada.
GRC (Governance, Risk, and Compliance, por sus siglas en inglés) es aplicable para SAP, y en este sentido se refiere a un conjunto de soluciones y herramientas proporcionadas por SAP para abordar los aspectos de gobernanza, riesgo y cumplimiento dentro de una empresa.
¿Qué es GRC? Podríamos definir GRC, en palabras llanas, como el control que quiere tener la empresa (la mesa directiva, el consejo de administración) sobre la información, para conocer lo que ocurre en la parte operativa; ya no solamente confiar en los supervisores y los mandos medios, sino saber qué están haciendo los usuarios de la compañía en todo momento, aunque no se encuentren dentro de las instalaciones de la empresa. GRC tiene un enfoque basado en riesgos y en el cumplimiento de legislaciones y normativas, tanto locales e internacionales, así como propias de la compañía.
Definitivamente, el objetivo principal de GRC para SAP es ayudar a las organizaciones a gestionar y sobre todo controlar los riesgos asociados con sus operaciones, además de garantizar el cumplimiento de las regulaciones y normativas aplicables, y establecer una gobernanza efectiva en relación con los sistemas y datos de la empresa en el sistema SAP.
Algunas de las principales características de GRC para SAP son:
- Gestión de riesgos: para identificar, evaluar y mitigar los riesgos asociados con los procesos, las transacciones y el acceso a los sistemas de SAP. Monitoreo de actividades sospechosas, detección de fraudes e implementación de controles internos efectivos.
- Control interno: para la implementación de controles internos y la automatización de procesos de auditoría. Gestión de accesos y permisos, segregación de funciones y supervisión de actividades críticas.
- Gestión de auditoría: para planificar, ejecutar y gestionar auditorías internas y externas de manera eficiente. Generación de informes y seguimiento de acciones correctivas.
Para comenzar, primero debemos adentrarnos en la teoría de fraude y hablar de un componente muy relevante que se llama “oportunidad”, el cual se refiere a tener la oportunidad de cometer fraude. Al tener un sistema que lleva tu contabilidad empresarial y que puede generar información financiera para los organismos reguladores y la parte medular de la contraloría, esa información será vital, por lo tanto, debe estar íntegra, es decir, debe ser exacta y cumplir con ciertas características propias de la normatividad contable y seguridad informática.
Pero hay que entender que si existe la oportunidad de cometer fraude, hay probabilidad de que alguien la tome; esa es una regla de vida. Esta oportunidad dentro de un sistema como SAP se refiere a la habilidad de llevar cabo dos funciones que no son compatibles. Un ejemplo de esto es lo que tiene que ver con los datos maestros, ya sean los de un trabajador o de un proveedor. Si alguien puede modificar o administrar estos datos maestros, hacer un gran pago a un proveedor o procesar la nómina de un colaborador, cualquier error que ocurra, como pagar de más o un hacer un movimiento premeditado y malicioso, puede generar un fraude importante sin que la empresa se entere, o al menos no en un tiempo adecuado. Con GRC para SAP ya no es tan fácil modificar o hacer cambios para cometer fraude, aunque, sin duda, en SYAAT siempre estamos creando más y mejores soluciones para mantener la información intacta y operando de forma óptima.
Respecto a este tema, muchas compañías son auditadas por consultorías o empresas auditoras, y en muchas ocasiones se menciona que hay una segregación de funciones no correcta o indebida dentro de las organizaciones. El auditor necesita verificar que la empresa tenga políticas y procedimientos conforme a las buenas prácticas, a las normativas y al cumplimiento de leyes y un sistema de GRC te ayudará a entregar reportes de manera óptima y sin tanto trabajo.
El instituto internacional de auditores internos tiene un esquema que se conoce como “las tres líneas de defensa”, en donde todos los integrantes de la empresa colaboran en la aplicación de los controles de riesgo o seguridad informática. La primera línea es la parte operativa, por ejemplo, el usuario que procesa, el cálculo de la nómina o el alta de proveedores. La segunda línea de defensa tiene que ver con el control interno y la supervisión, en donde se revisan los manuales o controles que deben administrarse y evaluarse. La tercera línea es el área de auditoría interna de la empresa, en la que se verificará que efectivamente los controles se lleven a cabo por la operación. Por lo tanto, uno de los principales objetivos de las auditorías es verificar los procesos, revisar los controles y evaluar la parte operativa.
Sin embargo, cualquier compañía que quiera tener un control y medición de riesgo necesita una solución GRC con segregación de funciones. Si bien las empresas que son auditadas deben de cumplir muchos más requisitos, incluso si tienes una empresa mediana que no necesariamente sea auditada por un organismo regulador, es muy útil tener una herramienta que ejerza esta función.
Sin duda, la seguridad informática es un tema complejo, pero también es indispensable cuando se trata de información sensible. Contar con una herramienta de GRC para SAP es un deber de las empresas que buscan ser parte del cambio y hacer las cosas adecuadamente.