Se a sua empresa já passou por auditorias, você sabe da importância de gerenciar o acesso aos sistemas corporativos, especialmente quando envolve sistemas críticos ou sujeitos a auditoria, como SAP S/4HANA, SAP ECC, SAP HCM, TOTVS Protheus, TOTVS Datasul, TOTVS PIMs, Oracle ERP, MS AD, ARIBA, sistemas CRM, SAP CCS, entre outros, com foco na segregação de funções.

Sistemas críticos e sistemas auditados são aqueles que geralmente processam as transações de negócios da organização relacionadas a movimentação financeira, comercial, materiais, compras e etc. Obter e/ou conceder acesso para esses sistemas com segurança e controle, pode não ser uma tarefa tão simples assim.

Conceder acesso aos sistemas de uma organização requer cuidados específicos para que sejam evitados erros, fraudes ou GAPs com auditoria e segurança. As práticas mais comuns antes de se estabelecer um procedimento de concessão de acesso, é observar o grau de maturidade da governança de segurança exigida pelo negócio. A lista a seguir reúne os principais pontos a serem considerados como requisitos ou práticas para um bom processo de controle de acessos:

  • Minha empresa pretende abrir capital e, consequentemente, passará a ter que demonstrar um maior controle de acesso aos sistemas corporativos?
  • Minha empresa já possui capital aberto e, consequentemente, precisa se manter em conformidade com SOx, CVM, JSOX etc.?
  • Minha empresa não pretende abrir capital, mas quer utilizar as melhores práticas de governança IBGC, COSO, COBIT etc.?
  • Minha empresa possui práticas de controles internos, riscos, segurança e auditoria, que requerem uma governança eficaz?
  • Minha empresa possui GAPs de auditoria, relacionados com segregação de funções ou rastreabilidade do uso de funções críticas?
  • Minha empresa possui histórico de vazamentos e fraudes nos sistemas corporativos, em decorrência de acessos que permitiram tais prejuízos?
  • Minha empresa compreende os riscos da falta de uma governança eficaz em controle de acesso e precisa estabelecer um maior controle?
  • Minha empresa não possui uma gestão de riscos de segregação de função, relacionados aos acesso concedidos?

Endereçar os pontos acima não irá necessariamente garantir um processo de controle de acesso eficaz para evitar GAPs com auditoria e conformidade SOx, CVM e etc. Por trás desse emaranhado de siglas, conceitos, práticas e requisitos, existe ainda a necessidade de juntar todas as peças deste “quebra-cabeças” e estabelecer uma governança que garanta o melhor processo de controle de acessos, sem onerar o custo operacional ou “engessar” os processos da empresa.

Um processo de controle de acesso eficaz pode requerer artefatos que demandem tempo para a sua elaboração e implementação. Dependendo da situação, a organização poderá não dispor do tempo mínimo necessário para endereçar os artefatos mandatórios para o cumprimento mínimo de controles de governança. A lista abaixo menciona os principais artefatos inerentes ao processo de gestão de acessos, considerados mandatórios quando se busca a efetividade do controle e o estabelecimento de um processo preventivo:

  • Matriz de riscos para segregação de funções (SoD – Segregation of Duties);
  • Matriz de riscos para transações críticas (SAT – Sensitive Access Transaction);
  • Catálogo de controles compensatórios;
  • Procedimentos para análise de riscos e controle de mitigação de riscos;
  • Fluxo de aprovação e concessão de acessos sistêmicos;
  • Visibilidade da exposição aos riscos SoD e SAT, durante o fluxo de aprovação de acessos.

Observando o mercado e avaliando os principais artefatos mencionados acima, a Porttus Compliance Solutions desenvolveu a solução SaaS GRC Builder, para que as organizações mantenham foco em seu negócio, deixando a governança e compliance da gestão de acessos com quem tem esta competência em seu DNA. A solução GRC Builder incorpora todos os principais requisitos e melhores práticas de mercado referente à gestão de acesso e monitoramento de riscos SoD e SAT.

Entre em contato conosco e solicite um orçamento. Entenda por que grandes corporações optaram pela solução SaaS GRC Builder.

vendas@porttus.com   |    www.porttus.com


Abrir bate-papo
Olá
Podemos ajudá-lo?