jueves, 17 de noviembre de 2016

Fraudes en las empresas que usan SAP


El fraude laboral (occupational fraud) cometido por los empleados que abusan de las confianzas otorgadas para su enriquecimiento personal sin importar el medio utilizado para esto, de acuerdo a las cifras que entrega la Association of Certified Fraud Examiners, son de preocupación y traigo algunas a modo de ejemplo:
-     El costo en una empresa tipo, por efecto de fraude laboral se estima en un 5% de sus ingresos anuales
-   La pérdida promedio por evento de fraude es de US$ 150.000. En el caso de Latino América y el Caribe, el promedio es deUS$ 174.000 (Chile participa en el estudio con 4 empresas)
-      A nivel global las pérdidas totales se estiman en US$ 6,3 billones anuales
-      Más del 23% de los casos de fraude tuvieron un costo de al menos US$1 millón
Otros puntos de interés:
-     Las principales formas de ocultar el fraude son alterando registros en los sistemas computacionales
-      La mayoría de las víctimas de fraude corresponden a la industria de la banca y servicios financieros
-     Las categorías con mayores fraudes corresponden a:
Fraude de estados financieros con un promedio de US$ 975.000
Fraude por corrupción con un promedio de US$200.000
Fraude por apropiación indebida de activos con un promedio de US$125.000
Y un buen indicador…las empresas que carecían de controles antifraude, sufrieron en promedio el doble de las pérdidas.
Y me preguntarán de qué forma entra SAP en este problema…. La respuesta es más simple de lo que esperan.
Las atribuciones que se entreguen a los usuarios para el uso del sistema, no deben dar las facilidades que permitan fraudes.
Ejemplos asociados a las categorías de mayores fraudes:
-     Fraude a los estados financieros: se sobre estiman los ingresos al simular ingresos ficticios, creando ventas y sus facturas ya sea a clientes existentes o no. En este último caso los bienes nunca son entregado y las ventas se reversan en el siguiente período.
-       Corrupción: confabulación con proveedores realizando compras con precios inflados
-   Apropiación indebida de activos: alteración del destinatario de pagos electrónicos; compras a proveedores ficticios y paga facturas por servicios no prestados.

¿Cuál es la exposición al riesgo de fraudes?
La respuesta se determina al contar con un adecuado diagnóstico del estado de la seguridad, que permita identificar claramente las vulnerabilidades, los riesgos asociados y las líneas de solución, priorizando desde lo urgente hacia lo importante.

¿Qué es urgente?
Ya habrán visto mis anteriores posteos que presentan nuestra visión de  la solución:
-        Eliminar autorizaciones amplias (SAP ALL u otras similares), que entregan miles de transacciones a los usuarios.
-        Controlar las transacciones críticas cuyo mal uso podría tener efectos en los ingresos y en los resultados de la empresa.
-        Retirar a los usuarios los roles que no utilizan.
-        Retirar de los roles las transacciones que no se usan.

¿Qué sigue después?
Primero, establecer las oportunidades de mejora que pueden aplicarse a los métodos de trabajo y a los procedimientos de asignación de transacciones y accesos a usuarios.
Luego, seleccionar los procesos más críticos – idealmente en conjunto con los auditores externos – y solucionar los Conflictos por Segregación de Funciones que se hayan detectado.
Finalmente, realizar un monitoreo permanente de variables críticas de la seguridad que entreguen certezas que los procedimientos se cumplen… de lo contrario, tendrá la certeza que mucho antes de lo que se piensa se retornará al estado inicial.

¿Y quién me puede ayudar?
En TwoBox tenemos el conocimiento, la experiencia y las herramientas para ayudarle en dos grandes áreas:

  • Identificar y resolver los problemas relacionados con las autorizaciones a los usuarios (lo que pueden hacer, lo que no pueden hacer y lo que no deben hacer)
  • Analizar los riesgos que detecta en forma automática de los actos realizados en el sistema por el análisis de los documentos procesados en el sistema, 
Publicado por en No hay comentarios:

Controla la seguridad de SAP en 3 pasos!


Descubre cómo CentinelBox te ayuda a controlar la Seguridad de tu Sistema SAP en nuestro canal de youtube en La Seguridad SAP en 3 pasos.

Con nuestra propuesta metodológica y CentinelBox puedes hacer realidad un sueño: la seguridad del sistema SAP la tienes controlada y en síntesis:

Paso 1: Ya cuentas con CentinelBox, debes conectarte a SAP y cargar tus datos

Paso 2: 
Con los informes de CentinelBox puedes hacer tu primer plan de remediación de corto plazo:
  • Quitar desde cuentas de usuarios, los roles que no se usan
  • Quitar desde roles las transacciones que nadie usa
  • Eliminar roles que nadie tiene asignados y no se usan
  • Quitar autorizaciones amplias a los usuarios (SAP_ALL y similares)
  • Retirar desde roles la asignación de transacciones genéricas
  • Corregir casos de cuentas de usuarios que no tienen cambio obligado de contraseñas

Ejecutas el plan de remediación, CentinelBox te ayuda a controlar la ejecución y la  calidad  del resultado

Luego defines tu plan de mejora de mediano plazo:
  • Defines Funciones Críticas
  • Identificas roles críticos
  • Defines los procesos críticos a los que se debe analizar los conflictos por segregación de funciones e identificas los usuarios que presentan los riesgos por la asignación de las transacciones que los provocan como también quienes hacen uso.


Paso 3: 
Monitoreo periódico a la seguridad del Sistema, usando los reportes e informes de CentinelBox que puede considerar a modo de ejemplo:
  • Variaciones en la cantidad de cuentas de usuarios vigentes, no vigentes y licenciamiento SAP
  • Variaciones en cuentas con perfil crítico
  • Funciones y roles críticos con asignación y / o uso sobre umbrales definidos
  • Estadística de funciones / transacciones en conflicto por segregación de funciones asignadas / usadas
  • Variaciones en cuentas con perfil amplio
·      Aplicación en un contexto de mejora continua el plan establecido.

·     
Video La seguridad SAP en 3 pasos







Publicado por en No hay comentarios:
Etiquetas: ,

CentinelBox, software para una buena gestión de la seguridad en SAP

CentinelBox 
CentinelBox es la mejor solución para administrar la seguridad de su sistema SAP ERP, ya que ofrece un gran desempeño, al mejor precio.
Las empresas usuarias de SAP necesitan operar con altos niveles de seguridad en su configuración, y por ello, CentinelBox , nuestra herramienta para la gestión de la seguridad SAP, le permitirá:
  • Monitorear las variables críticas de la seguridad, las cuentas de usuario, los roles y los perfiles.
  • Identificar los riesgos de acuerdo a matrices de riesgo predefinidas, modificables según sea necesario.
  • Contar con información de alta calidad para aplicar planes de mejora y rediseño de la seguridad.
  • Proceso de simulación permite asignar a los usuarios accesos y privilegios sin conflictos por segregación de funciones
  • CentinelBox y su interfaz bwe, disponible para dispositivos móviles le entregará en forma simle y gráfica, el estado de la seguridad con la posibilidad de revisar desde los temas más generales hasta el menor detalle.
Publicado por en No hay comentarios:
Etiquetas: ,
Suscribirse a: Entradas (Atom)