2. Atuação da empresa
1. Controles internos e gestão de riscos a partir do SAP;
2. Gestão por processos;
3. Gestão de risco na implantação da solução SAP
principais módulos;
4. Apoio técnico na implantação da solução SAP GRC;
5. Apoio para implantação de sistema de gestão de riscos
corporativos.
4. Motivação
Formas geradoras da fraude: A Origem do Ato Fraudulento:
Roubo de ativos e compras uso pessoal: 30% - MM Funcionários: 61%
Doc. falsos: cheques, faturas e balanços: 29% - FI Prestadores de Serviços: 14%
Notas fiscais frias: 14% - FI Fornecedores : 13%
Despesas com viagens: 12% - FI Clientes: 8%
Outros: 4%
Medidas que evitam a fraude: Circunstâncias Facilitadoras:
Melhoria nos controles internos: 93% Insuficiência de Controles Internos 64%
Elaborar manual ou código de ética: 57% Particularidades do ramo de atuação: 21%
Treinamento de funcionários: 50% Controles Internos burlados: 12%
Aumento dos recursos de revisão: 34% Outros: 11%
Fonte: http://www.kpmg.com.br/publicacoes/forensic/Fraudes_2009_port.pdf
6. Resultados
Preparação da Empresa para
auditorias de Sistemas;
Promoção das melhores práticas
nos processos;
Mitigação de riscos corporativos.
7. Propostas
Controlar acessos críticos;
Mitigar riscos a partir de combinações de
acessos críticos;
Promover melhores práticas nos processos
organizacionais a partir dos acessos;
Promover controles internos automáticos;
Gerir as manutenções dos acessos SAP.
10. Fase
Analisar vulnerabilidades nos acessos atuais;
1
Demonstrar os impactos dessas vulnerabilidades.
Avaliar gestão dos acessos e atribuições dos usuários
Principais atividades executadas;
Processos envolvidos;
Alinhamento entre atividades executadas e responsabilidades;
Modelo de criação de acessos;
Procedimentos para manutenção dos acessos;
Procedimento para concessão dos acessos.
11. Revisar processos executados
Identificar conflitos de atividades críticas no SAP
Entra NF
Cadastra
Fornec. Paga
Faturas
Cria
Fatura Ajusta
estoque
Gera e
Aprova Cadastra
Req Material
Um ou mais usuários com acesso
à combinações críticas
12. Fase
Desenvolver acessos enxutos visando processos;
2
Definir matriz de segregação de tarefas.
Rotinas de trabalho
Criar faturas manuais;
Executar programa de pag.; Desenvolver e validar
Aprovação de Documentos;
Modificação e Exclusão de dados; as especificações
Pagamentos e Recebíveis ; técnica dos novos
Compensações;
Fechamento de custos; perfis visando
Fechamento Contábil; processos
Manutenção de dados;
Customizações e Melhorias.
13. Perfis de acesso por processos
Desenvolver acessos enxutos visando processos
As transações são segregadas por processos
considerando as atividades dos usuários bem como, as
combinações críticas. Ex. Perfis
Exemplo de segregação: O usuário que gera
faturas não possui a atividade de pagamento
14. Segregação de Tarefas
Desenvolver matriz SoD para controlar as combinações
Críticas
Controlar Autorizações e Combinações Críticas
Direto no SAP - Referência SAP Security
Matriz SoD
15. Fase
Criar novos acessos no SAP;
3
Realizar testes dos principais cenários;
Parametrizar Matriz de Segregação (SoD) no SAP.
Criar Perfis Realizar Testes Matriz SoD
16. Fase
Preparar o go live;
4
Realizar revisão das atividades.
Go live;
5
Estabilização do ambiente.
17. Diferencial Competitivo
Utilizar recursos Internos que conhecem os processos da
empresa (usuários chave; Basis; Analista TI);
Utilizar os recursos do SAP disponíveis sem a
necessidade de adquirir novo Software ou licenças;
Promover a cultura de controles internos;
Identificar e gerenciar os riscos dos processos.
18. Controlar e mitigar riscos
Gerenciar os Riscos de Autorizações Críticas pelo SAP
Gerar relatórios:
Usuários que estão com acessos à Autorizações e
Combinações Críticas
19. Retorno esperado
Multiplicar o conhecimento dentro da organização;
Promover cultura de controles internos;
Aprimorar a gestão de acessos no SAP;
Controlar riscos devido a combinações críticas;
Reduzir tempo de auditoria de sistemas.
20. Retorno esperado
Normas
Instruções
Controle Skill
de Técnico
Acessos
SINERGIA
Usuário
Controles
Final e
Internos
Chave
Skill
Funcional