Historia de xito

SAP GRC
GRUMa CRECE BAJO CONTROL
En GRUMA el control de accesos se ha convertido en un tema crucial. SAP-GRC es la herramienta que ha ayudado a cumplir con los requerimientos externos, pero tambin ha apoyado a minimizar riesgos y, lo ms importante, ha proporcionado controles para mitigarlos GRUMA lleva dos aos utilizando SAP-GRC Control de Accesos. El Ing. Juan Carlos Vela Benavides, responsable corporativo de Sistemas y Tecnologas de la Informacin de GRUMA, expone: Hoy da no visualizo la gestin de la seguridad de accesos en GRUMA sin una herramienta como SAP-GRC. La herramienta ya est embebida en los procesos de la empresa, es parte de nuestro da a da. En tanto, el Ing. Juan Francisco Castellanos Garza, responsable del rea de Aplicaciones y Control de Cambios de GRUMA, seala que: La herramienta de SAP ha ayudado en la gestin de la seguridad, sobre todo para minimizar los riesgos.

Los orgenes
Impulsados por factores externos como Sarbanes-Oxley, auditoras internas, auditoras externas, debilidades en la seguridad de acceso, entre otros, GRUMA tom la decisin de mejorar el acceso de los usuarios a diversos mdulos de SAP. En 2004 en GRUMA desarrollaron una solucin para conocer el status de lo que pasaba en la empresa en trminos de seguridad y accesos al sistema, para dimensionar el tamao del problema.Tratbamos de documentar la problemtica. Parte de las funciones de ese desarrollo eran: Cumplir con las diversas normatividades de GRUMA, las de Sarbanes-Oxley, disminuir el tiempo requerido de anlisis a SAP, y asegurar el accesos a transacciones y datos slo a personal debidamente autorizado, entre otros , explic Castellanos Garza.

the best- run bus I nesses run sap

En 2005 se evaluaron varias herramientas y la seleccionada fue SAP-GRC. Un factor importante para elegirla fue su base de datos de conocimiento. Difcilmente en GRUMA podramos integrar las ms de 20 mil reglas que compila SAP-GRC Control de Accesos y, claro, el alcance del anlisis de la informacin y la aplicacin de la regla en s. Tambin fue relevante el nivel de la documentacin y de las propias mitigaciones de riesgo que permite la herramienta, ya que la nuestra no lo haca, dijo Vela Benavides. SAP-GRC Control de Accesos es la herramienta lder en soluciones para el cumplimiento de Normatividad en materia de seguridad de accesos. De hecho, uno de los principales diferenciadores es la inclusin de contenido de reglas preconfiguradas a un nivel detallado. Si bien SAP-GRC Control de Accesos se instal en todas las reas de GRUMA, una de las reas ms beneficiadas fue la operacin de los negocios porque se minimizaron los riesgos de conflictos en los accesos. Tambin Auditora not ventajas en sus procesos de revisin; la Alta Direccin, en el tema de Gobierno Corporativo, Control Interno y Auditora porque facilit el proceso de revisin; y Sistemas de Informacin pudo administrar la gestin de la seguridad de una manera ms eficiente. Antes de SAP-GRC Control de Accesos, en GRUMA se desconoca qu riesgos de control interno haba ni cmo deban mitigarse. Ahora ya lo saben y estn en posibilidad de resolverlos. Incluso ahora pueden mitigar el riesgo por sistema o, si es el caso, pueden generar un control alterno para resolverlo y documentarlo detalladamente en la herramienta.

Hoy da, no visualizo la gestin de la seguridad de accesos en GRUMA sin SAP-GRC Control de Accesos. La herramienta ya est embebida en los procesos de la empresa, es parte de nuestro da a da
Ing. Juan Carlos Vela Benavides

Impacto en el negocio
SAP-GRC Control de Accesos permiti a los dueos de los procesos identificar los riesgos, documentarlos y tomar los controles necesarios para mitigarlos. En GRUMA fue un tema de convencimiento, de control, de cambio y aunque an no terminamos, mantenemos el proceso de mejora, explico Vela Benavides.

Sistemas y Tecnologas de Informacin GRUMA

Un primer logro con SAP-GRC Control de Accesos fue cuando Pricewaterhouse Coopers (PWC) acept a la herramienta como una fuente oficial de informacin. En el 2006, PWC se bas en los reportes de SAP-GRC para la revisin de la segregacin de accesos en SAP. Entre otros beneficios de SAP GRC Control de Accesos, los ejecutivos de GRUMA enlistan: Se ha reducido considerablemente el esfuerzo de la auditora tanto interna como externa. Se generan observaciones conciliadas desde el inicio y, lo mejor, es que se reduce el tiempo correccin. Es ms sencillo darle seguimiento a las observaciones de mejora y el avance se nota da a da. Y cmo impacta esto en trminos de la operacin del negocio? Al implantar esta aplicacin, la Alta Direccin de GRUMA dio un mensaje muy claro al auditor externo: la organizacin est ocupada por tener mejor control interno e implementando lneas de accin para tener mejores prcticas a nivel internacional, indic Vela Benavides.

Benecios de SAP GRC Control de Accesos

1. Se ha reducido considerablemente el esfuerzo de la auditora tanto interna como externa. 2. Se generan observaciones conciliadas desde un inicio y, lo mejor, es que se reduce el tiempo de correccin. 3. Es ms sencillo darle seguimiento a las observaciones de mejora y el avance se nota da a da.

SOX Y COSO
SAP-GRC Control de Accesos tambin se ha convertido en un apoyo para el cumplimiento de la ley Sarbanes-Oxley. En el caso de la seccin 404 que es la evaluacin de la eficacia de los controles internos y procedimientos para reportar informacin financiera hay ciertos objetivos de control relacionados con el control de accesos. GRUMA est haciendo la liga directamente con SAP-GRC Control de Accesos para apuntar a un responsable de cada proceso de negocio que asegure que se cumple cada control.

www.sap.com/contactsap
SAP Mxico y Centroamrica Prol. Paseo de la Reforma No. 600 Santa Fe, 01210, Mxico, D.F. Tel. +52 55 5257-7500 Fax +52 55 5257-7501 Av. Vasconselos 101, Esquina Ro Nazas Edicio BBV, piso 4 Garza Garca, Nuevo Len Tel. +52 81 8152-1700 Fax +52 81 8152-1701 www.sap.com/mexico

Otro aspecto de mejora ocurre en el cumplimiento del Committee of Sponsoring Organization of Treadway Commission (COSO). En este informe se establecen objetivos de control, GRUMA ha trabajado precisamente en el control de accesos y en la segregacin de funciones. El mejor indicador que GRUMA puede citar hoy da es que antes de SAP-GRC, un usuario llegaba a tener hasta cuatro roles con un total de hasta 700 transacciones. Hoy da slo tiene un rol y con nica y exclusivamente las transacciones que debe realizar. Si en alguna transaccin hay una mala segregacin, eso es justamente lo que estamos mitigando. Administrar los aspectos de seguridad en trminos de administrar perfiles, roles y usuarios, ha significado un beneficio importante en trminos de facilidad y de tiempo. Adems, la administracin para asignar roles se ha minimizado considerablemente, seal Castellanos Garza. Cuando se realizan integraciones de nuevas operaciones, GRUMA estandariza los sistemas y plataformas tecnolgicas basados en sus polticas, se alinean las funciones de los empleados y es necesario adaptarlos al nuevo sistema. SAP-GRC Control de Accesos ayuda a GRUMA a que el personal se adapte y reaccione rpido, una vez que se estabiliz la operacin. Actualmente GRUMA ya cuenta con SAP-GRC Access Enforcer con esto buscan tener mejor control en el proceso de autorizacin de accesos y empiezan a usar SAP-GRC FireFighter con el que se pretende mejorar el control de accesos para el personal de soporte.

Adems, SAP GRC FireFighter ayuda a documentar las acciones del equipo de implantacin. Por ejemplo, los accesos que tiene el equipo implantador de SAP son muy grandes por lo que podran significar altos riesgos posteriores. SAP-GRC FireFighter nos ayuda a evitar estos riesgos manteniendo el control al mximo, concluy Vela Benavides.

La herramienta de SAP-GRC Control de Accesos ha ayudado en la gestin de la seguridad, sobre todo para minimizar los riesgos
Ing. Juan Francisco Castellanos Garza Aplicaciones y Control de Cambios GRUMA

Copyrigth 2007 SAP AG SAP, mySAP, mySAP.com, y otros productos y servicios ofrecidos por SAP que aparecen aqu mencionados son marcas comerciales o marcas comerciales registradas de SAP AG, tanto en Alemania como en otrso pases. MarketSet y Enterprise Buyer son marcas comerciales de propiedad adjuanta de SAPMarkets and Comerce One. Otros nombres de productos o servicios aqu mencionados son las marcas comerciales de sus respectivos propietarios.

the best- run bus I nesses run sap