soluciones soa sarbox accelerator soluciones soa sarbox accelerator
TRANSCRIPT
Soluciones SOA
SarbOx Accelerator
Soluciones SOA
SarbOx Accelerator
Agenda
• Introducción
•Gestión de identidad
•Sarbanes-Oxley/Control interno
•Solución SarbOx Accelerator
• ¿Por qué Sun Microsystems?
•Demo
Soluciones SOA
Introducción
Soluciones SOA
Introducción
AntecedentesSun Microsystems de México y QoS Labs han trabajado conjuntamente en el desarrollo de soluciones de negocio, integrando sus productos y servicios de software, enmarcados bajo la referencia de una arquitectura orientada a servicio (SOA), considerando:
SOA
ELCM SarbOx BI
. . .
• Suites de desarrollo acelerado basadas en SOA.• Ambientes de laboratorio y demostración.• Programas de entrenamiento y
certificación.• Servicios profesionales primer y segundo
nivel.• Consultoría primer y segundo nivel.• Service-Desk.
Objetivo
Ofrecer a nuestros clientes soluciones a través de las cuales se facilite la automatización e incorporación de estrategias, políticas, procesos y mejores prácticas de negocio a su infraestructura de sistemas de TI (BSS), generando beneficios estratégicos como:
• Incremento de la productividad y del ingreso.• Reducción de costos y optimización
operativa.• Generación de negocio incremental.• Seguridad y minimización de riesgos.• Cumplimiento de regulaciones.• Adopción de mejores prácticas.• Mejora en la calidad del servicio.
ESTRATEGIA
TECNOLOGIA
PROCESOS
ClienteConsultor/Auditor
Soluciones SOA
Gestión de Identidad
Soluciones SOA
Gestión de Identidad
IntroducciónEl proceso de Gestión del Ciclo de Vida de Empleados (ELCM, por sus siglas en inglés) representa una actividad crítica para las empresas contemporáneas que cuentan con un alto requerimiento de administración de cuentas de recursos corporativos debido a:• Gran cantidad de cuentas administradas para acceso a
aplicaciones, servicios e instalaciones.
• Constante requerimiento administrativo en la asignación de roles, perfiles y/o privilegios de los empleados.
• Alto uso de personal externo temporal.
• Cumplimiento con regulaciones.
• Alta tasa de rotación y/o temporalidad de los empleados que las requieren.
Antecedentes• El concepto de Gestión del Ciclo de Vida de Empleados
se basa en proveer, tanto al empleador como al empleado, la continua administración de servicios, desde el proceso inicial de contratación hasta el de salida, controlado extremo a extremo.
• ELCM provee a las empresas una solución de negocios que resuelve el problema de “aprovisionar” y “desaprovisionar” empleados con acceso a servicios e instalaciones y mantener rastro de su actividad en los sistemas, así como de los documentos y de las actividades de procesos y proyectos relacionados a los mismos.
• Implementar una solución ELCM, ayuda a las empresas a gestionar en tiempo real los accesos de sus empleados a los servicios e instalaciones, con una mayor efectividad y a un menor costo, a lo largo de su permanencia en la empresa.
El Problema Corporativo
• Baja productividad> Tiempo que se necesita para agregar o retirar servicios.> Uso requerido de varias contraseñas en diversas aplicaciones.
• Alto costo de administración de usuarios
> Costos significativos por llamadas a la mesa de ayuda para reasignar contraseñas.> Administración de múltiples sistemas de autenticación.
• Riesgo de seguridad> Ineficiente “desaprovisionamiento” de empleados. > Proceso/política de cambio periódico de contraseña no sistemático.> Asegurar el cumplimiento regulatorio.
Métricas del Problema Corporativo•El usuario promedio tarda 16 minutos al día en tareas
de autenticación y autorización de acceso (Meta Group).
•El fraude de identidad afecta a más de 2,000 personas al día en el mundo y cada 79 segundos una identidad es robada (National Small Business Travel & Health Association).
•Una organización típica de 2,500 usuarios puede gastar alrededor de $850,000 USD al año en costos relacionados a helpdesk (Gartner Group).
•Se estima que las llamadas al helpdesk cuestan un promedio de $30 dólares americanos cada una y que las solicitudes de administración de contraseña de los usuarios representan un 40% del volumen de llamadas al helpdesk (Gartner Group).
Métricas del Problema Corporativo•El 45% de las llamadas al helpdesk están
relacionadas a reasignaciones de contraseñas. Un sistema automatizado de reinicio de contraseñas reduciría el volumen de llamadas en una tercera parte (Meta Group).
•La administración de contraseñas es uno de los diez puntos de mayor riesgo que hoy enfrentan las compañías (Gartner Group).
•La generación de huecos de seguridad por no desaprovisionar a los empleados que dejan la compañía y que continúan teniendo acceso a los sistemas del negocio, pudiendo utilizar o borrar información propietaria.
Premisas• Al contratar a un empleado, es necesario brindarle acceso a los servicios e instalaciones necesarias que le permitan realizar actividades laborales.
• Existe una gran diversidad de sistemas / aplicaciones, bases de datos y repositorios de usuarios (directorios, DBMS, etc.) en las empresas.
• Las funciones y responsabilidades de los empleados cambian a lo largo de su “ciclo de vida” dentro de la empresa.
• Los empleados pierden u olvidan las contraseñas de acceso a sus servicios.
• Los empleados se ausentan por periodos largos o, simplemente, dejan de pertenecer a la compañía.
Causas Raíz – Problemas en Seguridad de Acceso
La Causa-Raíz de muchos problemas de seguridad y control son:• Sistemas y aplicaciones aisladas• Procesos de negocio aislados• Falta de control centralizado en procesos de administración de usuarios• Repositorios de identidad redundantes
La Causa-Raíz de muchos problemas de seguridad y control son:• Sistemas y aplicaciones aisladas• Procesos de negocio aislados• Falta de control centralizado en procesos de administración de usuarios• Repositorios de identidad redundantes
¿Qué se Observa?
Las tecnologías de información, en particular aquellas relacionadas a
arquitecturas orientadas a servicio (SOA), representan una herramienta poderosa para apoyar y asegurar un manejo adecuado, seguro, rastreable y eficaz del ciclo de
vida de los empleados de las organizaciones que, por su dinámica organizacional, así lo
requieran y justifiquen.“Una correcta gestión del ciclo de vida de empleados genera
un impacto positivo en la disminución de costos administrativos, al reducir la complejidad y el tiempo requerido en la administración de cuentas de usuarios, maximizando la
continuidad y productividad operativa de las empresas.”
“Una correcta gestión del ciclo de vida de empleados genera un impacto positivo en la disminución de costos
administrativos, al reducir la complejidad y el tiempo requerido en la administración de cuentas de usuarios, maximizando la
continuidad y productividad operativa de las empresas.”
¿Qué es ELCM?ELCM es la gestión del ciclo de vida de un empleado ante la organización, el cual contempla las actividades que impactan en la infraestructura de TI durante los procesos de:
a) Contratación o alta del empleado; b) Utilización de los recursos corporativos requeridos por el mismo; c) Modificación de sus accesos o roles; d) Terminación o baja del empleado; y, e) Auditoría de actividades a lo largo de su vida útil ante la organización .
¿Qué DEBE¿Qué DEBEun usuarioun usuarioacceder?acceder?
(Aprovisionamiento) (Aprovisionamiento)
¿Qué PUEDE¿Qué PUEDEun usuarioun usuarioacceder?acceder?
(Auditoría de Identidad) (Auditoría de Identidad)
¿Qué USÓ¿Qué USÓun usuarioun usuarioal acceder?al acceder?
(Auditoría de Actividad) (Auditoría de Actividad)
Diagrama ELCM
Contratación
Modificación
Terminación
ELCM
• Captura de datos• Asignación de recursos• Creación de usuarios• Asignación de permisos
• Respaldo de datos• Negación de recursos• Eliminación de cuentas de usuarios• Negación de permisos• Re-asignación de información
• Autenticar y acceder• Cambio de datos• Re-asignación de recursos• Recuperación de contraseñas• Cambio de contraseñas• Re-asignación de permisos
Utilización
Auditoría
d
d
d
Gestión del Ciclo de Vida de Identidad y Auditoría de Identidad
Tiempo
Pri
vileg
ios
Contratación del Empleado
Aprovisionamientomanual delempleado
Contratación del Empleado
Aprovisionamientomanual delempleado
Término de la Relación Laboral
Desaprovisionamientomanual delempleado
Término de la Relación Laboral
Desaprovisionamientomanual delempleado
Modificaciónde Accesos y Privilegios
El usuario incrementaaccesos y privilegios
anteriores
Modificaciónde Accesos y Privilegios
El usuario incrementaaccesos y privilegios
anteriores
Accesos ActivosDespués de la
Salida del Empleado RIESGO DE SEGURIDAD!!
Accesos ActivosDespués de la
Salida del Empleado RIESGO DE SEGURIDAD!!
“Un promedio de 20% de los empleados que salen de la organización mantienen accesos no autorizados.”
Fuente: NTIA Monitor Password Survey, Meta Group y Gartner
“Un promedio de 20% de los empleados que salen de la organización mantienen accesos no autorizados.”
Fuente: NTIA Monitor Password Survey, Meta Group y Gartner
Comportamiento Típico del Ciclo de Vida
Tiempo
Pri
vileg
ios
Término de la Relación Laboral
Desaprovisionamientoautomatizado del
empleado
Término de la Relación Laboral
Desaprovisionamientoautomatizado del
empleado
No Quedan Accesos ActivosDespués de la
Salida del Empleado
No Quedan Accesos ActivosDespués de la
Salida del Empleado
Comportamiento Óptimo del Ciclo de Vida
Contratación del Empleado
Aprovisionamientomanual delempleado
Contratación del Empleado
Aprovisionamientomanual delempleado
Modificaciónde Accesos y Privilegios
El usuario pierde y ganaprivilegios según
su función se modifica
Modificaciónde Accesos y Privilegios
El usuario pierde y ganaprivilegios según
su función se modifica
Categoría Impacto de Negocio BeneficiosRe-asignación de Contraseña
- Automatización de la capacidad para la re-asignación de contraseña reduce el volumen de llamadas en el Call-Center
- Reducción de Costos hasta en un 60%
Marco de Referencia para Autenticación
- Se reduce el tiempo de liberación y puesta en operación de nuevos servicios web (no se tiene que desarrollar un nuevo método de acceso y autenticación cada vez que se diseña una aplicación).- Reducción de los recursos tecnicos requeridos para adminstrar multiples métodos de autenticación y acceso.
- Reducción de Costos en un 50%- Mejoras hasta en un 10%
Acceso Unificado (SSO) a través del Web
- Mejoras en la productividad de los usuarios al utilizar menos constraseñas y menos tiempo para firmarse en recursos corporativos
- Mejora de la productividad hasta en un 60%
Administración de Cuentas
- Mejora la seguridad de los sistemas al administrar, de manera centralizada, las cuentas de usuarios (aprovisionamiento / desaprovisionamiento)
- Hasta un 60% me mejora en seguridad sobre el ambiente existente
Precisión de datos y eficiencia en la creación de cuentas
- Menor número de errores al introducir datos a los sistemas- Información de los usuarios ingresada menos veces - reduce el trabajo del grupo de captura.
- Mejora del costo hasta en un 100%
Categoría Impacto de Negocio BeneficiosRe-asignación de Contraseña
- Automatización de la capacidad para la re-asignación de contraseña reduce el volumen de llamadas en el Call-Center
- Reducción de Costos hasta en un 60%
Marco de Referencia para Autenticación
- Se reduce el tiempo de liberación y puesta en operación de nuevos servicios web (no se tiene que desarrollar un nuevo método de acceso y autenticación cada vez que se diseña una aplicación).- Reducción de los recursos tecnicos requeridos para adminstrar multiples métodos de autenticación y acceso.
- Reducción de Costos en un 50%- Mejoras hasta en un 10%
Acceso Unificado (SSO) a través del Web
- Mejoras en la productividad de los usuarios al utilizar menos constraseñas y menos tiempo para firmarse en recursos corporativos
- Mejora de la productividad hasta en un 60%
Administración de Cuentas
- Mejora la seguridad de los sistemas al administrar, de manera centralizada, las cuentas de usuarios (aprovisionamiento / desaprovisionamiento)
- Hasta un 60% me mejora en seguridad sobre el ambiente existente
Precisión de datos y eficiencia en la creación de cuentas
- Menor número de errores al introducir datos a los sistemas- Información de los usuarios ingresada menos veces - reduce el trabajo del grupo de captura.
- Mejora del costo hasta en un 100%
Premisas de Analistas
Costo de la solución por usuario 100$ USDTotal 500,000$ USD
Variables de Usuarios y Aplicaciones Variables Calculadas# Usuarios finales 5000 usuarios Promedio de llamadas por usuario al año 81000 llamadas# aplicaciones a las que se firma el empleado 6 aplicaciones # de reasignación de contraseñas al año 32400 llamadas#seg to login an application 5 Segundos Costo anual por reasignación de contraseñas 680,400$ USDPromedio de pago por hora/empleado 15$ USD Costo anual por reasignación de contraseñas una vez
implementado ELCM34,020$ USD
# de accesos requeridos con la solución ELCM 1 acceso
Variables de Costo y Llamadas Ahorros por Productividad del UsuarioPromedio de llamadas por usuario al mes 1.35 llamadas Costo promedio anual por firma a aplicaciones de todos los
usuarios150,000$ USD
% de llamadas para re-asignación de contraseña 40 % Costo promedio anual por firma a aplicaciones de todos los usuarios con la solución ELCM
25,000$ USD
Costo promedio por cada llamada a la mesa de ayuda 21$ USD% llamadas eliminadas con Single-Sign-On 95 % Retorno de la Inversión
Ahorros aproximados por año en llamadas a la mesa de ayuda para reasignación de contraseñas
796,355$ USD
Meses aproximados para el retorno de la inversión 8 meses
Análisis ROICategoría Impacto de Negocio Beneficios
Re-asignación de Contraseña - Automatización de la capacidad para la re-asignación de contraseña reduce el volumen de llamadas en el Call-Center
- Reducción de Costos hasta en un 60%
Marco de Referencia para Autenticación
- Se reduce el tiempo de liberación y puesta en operación de nuevos servicios web (no se tiene que desarrollar un nuevo método de acceso y autenticación cada vez que se diseña una aplicación).- Reducción de los recursos técnicos requeridos para adminstrar multiples métodos de autenticación y acceso.
- Reducción de Costos en un 50%- Mejoras hasta en un 10%
Acceso Unificado (SSO) a través del Web
- Mejoras en la productividad de los usuarios al utilizar menos constraseñas y menos tiempo para firmarse en recursos corporativos
- Mejora de la productividad hasta en un 60%
Propuesta de Valor: Gestión del Ciclo de Vida de IdentidadHabilitando Mejor Seguridad, Reducción de Costos e Incremento de la Productividad
Fuentes: Gartner, Giga
Auto-Servicio de Gestión de Contraseñas–Costos de la Mesa de Ayuda: Reducciones de al menos un 35% con ahorros de hasta $75 USD por usuario por llamada.
Administración Delegada– Seguridad de TI: Mejora de la actividad a través de la delegación de privilegios basada en roles y reglas, auditoría y reporteo.
Sincronización de Información de Identidad–TCO: Implementación y mantenimiento de una sola solución para el manejo de proyectos de meta-directorio y aprovisionamiento.
Aprovisionamiento Automatizado de Usuarios
– Seguridad de TI: Asegura niveles apropiados de acceso al iniciar la relación y la remoción de la totalidad del acceso en cuanto la relación termina.– Eficiencia de TI: Ahorros de $70,000 por cada 1,000 usuarios administrados.– Ganancias por Productividad de los Usuarios: $1,000 USD por empleado nuevo y $350 USD por empleado ya existent.e.
Auditoría de Identidad: Propuesta de ValorHabilitando el Cumplimiento Sostenible y Repetible
Fase 1, Revisión básica, 100% de los
usuarios son revisados.
Fase 2, Revisión con políticas de
auditoría, reduce los usuarios
revisados hasta un 40%.
Fase 3, Revisión con políticas de
auditoría y escaneos de
auditoría constantes, reduce
hasta un 80%.Fase 4, Revisar sólo usuarios actualizados,
reduce hasta un 90%.
Certificación Basada en Políticas y Atestiguación Gerencial
–Eficiencia de TI: Reduce el tiempo de meses a días.
Verificación de Separación de Tareas (SOD)
–Costo de TI: Ahorros de hasta $300K USD por año por sistema.
Remediación Automatizada–Cumplimiento: Arreglar violaciones tan pronto son detectadas y las aprobaciones capturadas.
Cumplimiento Preventivo–Cumplimiento: Verificar la política SOD al aprovisionar, atando la política al usuario.
Conciliación de Accesos Esperados y Reales
–Cumplimiento: Comparar los roles de usuario a los accesos reales a los sistemas.
Soluciones SOA
Sarbanes-Oxley/Control Interno
Soluciones SOA
Sarbanes-Oxley/Control Interno
•El cumplimiento de Sarbanes-Oxley representa una obligación para todas aquellas empresas públicas que, de manera directa o indirecta, cotizan en la bolsa de valores de los EE.UU.
•La iniciativa Sarbanes-Oxley requiere que las empresas públicas implementen controles internos sobre el reporte de información financiera, operaciones y activos. Estos controles dependen fuertemente de la incorporación o el mejoramiento de tecnologías de información y métodos de negocio.
•Sarbanes Oxley trae consigo repercusiones positivas en la organización, al instaurar una serie de controles internos basados en estándares como COSO, COBIT o la norma ISO 17799, los cuales establecen un conjunto de mejores prácticas para optimizar el control interno. La implantación de dichos controles, incrementa considerablemente la confianza de los inversionistas.
Introducción
•Una correcta implementación de la iniciativa Sarbanes-Oxley genera un impacto positivo en la disminución de riesgos en materia de seguridad y prevención de fraudes, manteniendo a salvo la integridad y responsabilidad de la gestión del CEO, CFO y CIO de las compañías, los intereses de sus inversionistas y asegurando la continuidad operativa de las empresas, a través de un mejor control y una mayor eficacia en la supervisión de los procesos administrativos de las mismas.
•Prepara a las empresas en general, y ofrece una guía para el cumplimiento de normas locales, que buscan incrementar la confianza de los inversionistas, socios, empleados y proveedores, así como garantizar la correcta operación y supervisión del negocio.
•La gestión eficaz de procesos y empleados asegura el cumplimiento de políticas corporativas y regulaciones gubernamentales, como es el caso de Sarbanes-Oxley.
Introducción
Antecedentes Sarbanes-Oxley (SOX o SarbOx), o acto del 2002 de Reforma Contable y de Protección a Inversionistas de Empresas Públicas, es una ley federal estadounidense, constituida el 30 de julio de 2002.
Introduce cambios significativos a la regulación de la práctica financiera y corporativa, definiendo reglas estrictas para cumplir con un solo objetivo: “proteger a los inversionistas al mejorar el nivel de certeza y confianza de la información corporativa, apegándose a las leyes que norman las obligaciones financieras”.
La iniciativa, está organizada en once títulos, aunque las secciones 302, 404, 401, 409, 802 y 906 son las más significativas y que mayor atención requieren por parte de las empresas.
Se determinaron algunas fechas límite para su cumplimiento:
• Para empresas estadounidenses públicas: 15 de junio de 2004.
• En el caso de empresas pequeñas y extranjeras: 15 de julio de 2006.
A partir de estas fechas, la empresas deberán emitir sus estados financieros bajo las normas establecidas por SarbOx (trimestralmente para empresas de EE.UU. y anualmente para empresas extrajeras).
El Problema Corporativo …
•Certificación de los reportes financieros por parte del Director General (CEO) y Director Financiero (CFO).
•Las empresas deben encontrarse preparadas para hacer públicos eventos que afecten al negocio en un rango de 48 horas.
•Las empresas deben demostrar niveles apropiados para controlar o forzar el cumplimiento de procesos de negocio involucrados en el reporteo financiero.
•Presentar evidencia en tiempo real de eventos materiales que afecten a la empresa.
•La empresa deberá llevar a cabo ajustes correctivos tan pronto los Auditores los detecten.
•Emisión de reportes que presenten las transacciones que formalmente no aparezcan directamente en el Balance Financiero, pero que pudieran afectar la situación presente o futura de la empresa.
•Presentar ante la SEC (Security and Exchange Commission) de los EE.UU. información Pro-Forma de manera oportuna.
… El Problema Corporativo
• Levantamiento y revisión (assessment) de los controles internos.
• Responsabilidad directa del CEO y/o CFO, que puede traer consigo el reembolso de bonos o compensaciones que se hayan otorgado y que afecten negativamente la información financiera del negocio.
• Fecha límite de dos días para reportar transacciones que involucren los títulos accionarios de la compañía.
• Prohibida la asignación de créditos personales o extensión de éstos a directores y personal ejecutivo.
• Ningún director de la compañía podrá influenciar fraudulentamente o coercitivamente los resultados de una auditoria.
• Creación de nuevas sanciones (multas y encarcelamiento) por:>Destrucción, alteración y falsificación de registros o
documentos.>Destrucción de registros corporativos de auditoría.>Fraude con documentos bursátiles (securities).>Conspiración o intento de conspiración.
Top 10 – Violaciones de Control1. Segregación de tareas no identificadas o no resueltas.
2. Controles de acceso no seguros al SO de aplicaciones financieras o de portal.
3. Acceso no seguro a BD que soportan las aplicaciones financieras.
4. El grupo de desarrollo puede simular transacciones de negocio en la instancia de producción.
5. Muchos usuarios con acceso a transacciones de “super-usuario”.
6. Empleados o consultores que estuvieron previamente en la empresa, aún cuentan con acceso a algunos sistemas.
7. Periodos de actualización en el ERP (GL) sin restricción.
8. En programas a la medida, las tablas e interfases no cuentan con seguridad.
9. Los procedimientos para actualizaciones manuales no existen o no se siguen.
10.Los documentos del sistema no coinciden con el proceso actual.
Fuente: Ken Vander Wal, Partner, National Quality Leader, Conferencia E&YISACA Sarbanes, 4/6/04
Métricas del Problema CorporativoSiendo Sarbanes-Oxley una iniciativa de Ley, la compañía deberá – en todo momento – evitar caer en los supuestos que estipulan la aplicación de multas económicas a la empresa o sus directivos:
•Presentar errores en los reportes anuales o trimestrales podrían ocasionar penas pecuniarias a los directivos de la empresa de hasta por $1,000,000 USD, si estos errores se hacen con intención o dolo, la multa podría subir hasta $5,000,000 USD (Secciones 302 y 404).
•Por no revelar cualquier cambio material de manera oportuna, podrá imponerse una multa de hasta $100,000 USD y hasta 10 años de prisión (Sección 409).
•Se podría incurrir en multas hasta por $1,000,000 USD y/o prisión por alterar, destruir o mutilar cualquier registro o documento para intentar impedir una investigación (Sección 802).
65%70% 74%
Ingreso anual$324,000,000 USD $3,500,000,000 USD $7,900,000,000 USD
CT $1.5 MDD Aprox. 0.46% del ingreso
CT $7.3 MDD Aprox.
0.09% del ingresoCT $3.7 MDD
Aprox.0.11% del ingreso
Costo promedio de implementación (excluyendo los costos promedio de auditorias relacionadas a la sección 404) expresado como porcentaje del costo total
Costo promedio de auditoria relacionada a la sección 404, expresado como porcentaje del costo total
35%
30%
26%
Fuente: Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey Update
Costos Promedio de Cumplimiento SarbOx por Compañía Según Ingresos Anuales
9,000_8,000_7,000_6,000_
5,000_
4,000_
3,000_
2,000_
1,000_ 0_
$1,240$860
$8,510
$4,770$4,310
$2,530
Año 1
Año 2
$324,000,000 USD $3,500,000,000 USD $7,900,000,000 USDIngreso anual
-30.70%
-41.30%
-43.90%
Fuente: Sarbanes-Oxley Section 404 Costs and Implementation Issues: Survey Update
Mile
s d
e U
SD
Costos Totales de Cumplimiento SarbOx en los Primeros Dos Años
Fraude de informes financieros$257,
923
Fraude médico o de seguros$33,7
09
Fraude de consumidor$2,70
5
Fraude relacionado con vendedores, terceros $759
Fraude de empleados $464
Administración deficiente $432
Crimen computacional $67
(en miles de dólares)
Fuente: Encuesta de Fraude 2003. KPMG Forensic
Costo Anual Promedio de Fraude por Categorías Principales
60
32
25
18
15
12
7
0 10 20 30 40 50 60 70
Fraude de Empleado
Fraude de Consumidor
Fraude Relacionado con Vendedores,Terceros
Crimen Computacional
Administración Deficiente
Fraude Médico o de Seguros
Fraude de informes financieros
Fraude de informes financieros
Fraude Médico o de Seguros
Administración Deficiente
Crimen Computacional
Fraude Relacionado con Vendedores,Terceros
Fraude de Consumidor
Fraude de Empleado
Fuente: Encuesta de Fraude 2003. KPMG Forensic
# de veces que se presentó
Tipo de Fraude Experimentado en un Periodo de Doce Meses
19%
15%
11%
9%
7%
35%
4% Fraude de Empleado
Fraude de Consumidor
Fraude Relacionado con Vendedores, Terceros
Crimen Computacional
Administración Deficiente
Fraude Médico o de Seguros
Fraude de informes financieros
Fuente: Encuesta de Fraude 2003. KPMG Forensic
Porcentaje que Representa Cada Tipo de Fraude
0 10 20 30 40 50 60 70 80 90
Controles Internos
Auditorías Internas
Aviso por parte de un Empleado
Por Accidente
Aviso Anónimo
Aviso por parte de un Cliente
Aviso de un Organismo Fiscalizador o que haga aplicar la Ley
Aviso por parte de un Vendedor
Auditoría Externa
199419982003
Fuente: Encuesta de Fraude 2003. KPMG Forensic
Métodos para Descubrir Fraudes (%)
63%
37%
Víctimas de FraudeSin Fraude
Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.
Proporción de Empresas Mexicanas que Sufren Fraude
19% 40%
41%
Nivel Jerárquico Bajo
Nivel Gerencial
Ejecutivos de Alto Nivel
Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.
El mayor número de fraudes se realiza por el Nivel Medio (Gerencial)
El mayor número de fraudes se realiza por el Nivel Medio (Gerencial)
Incidencia de Fraudes Según el Nivel Jerárquico del Empleado
•Moral Baja.
•Incongruencias entre el estándar de vida de un empleado y su nivel de remuneración o cambios súbitos de dicho estándar.
•Empleados que no toman vacaciones.
•Relaciones estrechas o poco profesionales con clientes o proveedores.
•Historial profesional inconsistente.
Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.
Indicadores para la Comisión de Fraudes Entre los Empleados
29%
24%22%
25%Compras
Ventas
Finanzas
Otras Áreas
Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.
El mayor número de fraudes se presenta en las áreas de Compras de
las organizaciones.
El mayor número de fraudes se presenta en las áreas de Compras de
las organizaciones.
Áreas Funcionales con Mayor Número de Incidencias de Fraudes
25%
33%42%
Controles InternosDeficientes oInexistentes
Fallas Administrativas
Por Accidente
Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.
El mayor número de fraudes se podrían evitar si el Control Interno se
implementa o bien, se fortalece.
El mayor número de fraudes se podrían evitar si el Control Interno se
implementa o bien, se fortalece.
Principales Fuentes de los Fraudes
6%16%
78%
Nivel JeárquicoBajo
Nivel Gerencial
Ejecutivos de AltoNivel
En los últimos dos años, las empresas reportaron un promedio de 7 incidentes de fraude y las pérdidas oscilaron entre $50 y $150,000 pesos por incidente.
Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.
A mayor nivel jerárquico, más “oneroso” y menos frecuente será el fraude.A mayor nivel jerárquico, más “oneroso” y menos frecuente será el fraude.
Impacto Económico en la Empresa por Nivel Jerárquico de los Empleados
• Implementar Controles Internos
• Revisión Gerencial
• Auditoría Interna
• Auditoría Externa
• Denuncias
• Detección por Accidente
Fuente: Ernst & Young, Fraude en México: Mitos y Realidades, 2006.
Principales Medidas Preventivas
•Los reportes financieros deben ser verificables y auditables.
•Publicación puntual y confiable de eventos materiales al negocio.
•Habilidad para auditar la estructura y los procesos de control interno.
•Extender más allá los sistemas financieros comunes.
•Incrementar las evidencias operativas y la visión de los órganos reguladores.
•Fortalecer la gobernabilidad corporativa.
•Cumplir con las obligaciones empresariales, que generen confianza y ayuden a crear evidencia.
•Fortalecer la independencia de los Auditores.
•Incrementar la supervisión del Auditor.
•Ampliar las sanciones por acciones mal intencionadas.
Premisas
¿Qué se observa?
Las tecnologías de información, en particular aquellas relacionadas a
arquitecturas orientadas a servicio (SOA), representan una herramienta poderosa para apoyar y asegurar un manejo adecuado,
seguro, rastreable y eficaz de las operaciones cotidianas en las
organizaciones que, por su dinámica organizacional, así lo requieran y justifiquen.“Principalmente, las tecnologías de información pueden apoyar el cumplimiento de los incisos: 103, 107(d), 108, 301, 302, 403 404, 409, 1001, 1102 y el Título VIII de la iniciativa Sarbanes-
Oxley.”
“Principalmente, las tecnologías de información pueden apoyar el cumplimiento de los incisos: 103, 107(d), 108, 301, 302, 403 404, 409, 1001, 1102 y el Título VIII de la iniciativa Sarbanes-
Oxley.”
Soluciones SOA
Solución SarbOxAccelerator
Soluciones SOA
Solución SarbOxAccelerator
¿Qué es la Solución SarbOx Accelerator?Es una suite de desarrollo acelerado, para apoyar y capitalizar el esfuerzo requerido para llevar a cabo el cumplimiento de la iniciativa Sarbanes-Oxley.
La solución SarbOx Accelerator es, en sí, una plataforma de desarrollo para documentar y automatizar procesos, integrar aplicaciones existentes, identificar a los usuarios y participantes, administrar su ciclo de vida ante la organización, gestionar la publicación de información y, en todo momento, generar, gestionar y monitorear los rastros de auditoría requeridos por Sarbanes-Oxley.
Diagrama de la Solución
Documentacióne Implantaciónde Controles
Internos (404)
IntegraciónOperacional
y Ajuste
Monitoreo,Mantenimiento
y Validaciónde Controles
Optimizaciónde Controles
Ciclo de VidaCiclo de VidaSarbOxSarbOx
¿Por Qué Elegir Esta Solución?•Basada en una arquitectura orientada a servicios (SOA).
•Altamente modular, escalable, extensible e integrable, permitiendo una rápida integración y reducción de costos.
•Solución de desarrollo acelerado y rápida implantación.
•Arquitectura abierta y compatible con los principales estándares de la industria (por ejemplo, BPEL, SPML y LDAP).
•Plataforma tecnológica re-usable, compartible, confiable, segura y robusta.
Funcionalidades de la Solución• Gobernabilidad• Acceso unificado• Integración con aplicaciones
de soporte al negocio (BSS o back-end)
• Unificación de registros• Federación de identidad• Certificados y firma electrónica• Repositorio centralizado de
transacciones• Administración de procesos de
negocio (BPM)• Monitor de transacciones
(BAM) • Alta disponibilidad de la
infraestructura tecnológica• Soporte a estándares de la
industria• Biblioteca electrónica• Auditoría de documentos• Motor de transformación de
documentos• Foros de discusión
• Búsqueda avanzada de documentos
• Aprovisionamiento de usuarios• Automatización de flujos de
trabajo de aprovisionamiento• Sincronización de datos de
identidad• Repositorio de identidad virtual• Repositorio centralizado• Conformidad con regulaciones• Auditoría de identidad• Reconciliación de identidad• Gestión de contraseñas• Autenticación• Autorización (control de acceso
centralizado)• Single Sign-On• Federación de identidad• Acceso unificado• Auto-servicio• Administración delegada• Soporte a estándares de la
industria
Líneas Futuras (Evolución)• Tablero de cumplimiento (Compliance Dashboard)
• Auditoría de actividad
• Gestión del ciclo de vida de personas
• Planeación general de la vida del empleado
• Control de documentos
• Control de tareas de proyectos y procesos
• Gestión de niveles de servicio
• Gestión de incidentes
• Inventario de recursos corporativos
• Gestión del ciclo de vida de la información (ILM)
Beneficios de la Solución
•Compromiso Directivo (participación activa del consejo de administración y del comité de auditoría de la empresa).
•Mayor estructura en el proceso de cierre anual y registro de evidencia de las operaciones diarias.
•Implantación de actividades anti-fraude con procesos bien establecidos.
•Mejora en documentación de controles y procesos que sirve de base para capacitación, lineamientos cotidianos y evaluación de la administración (management).
•Mejora en definición de controles sus relaciones y riesgos, a lo largo de la organización.
•Volver el control algo cotidiano para la organización.
•Mayor entendimiento por el personal operativo y administrativo.
•Re-implantación de controles básicos, distribución de responsabilidades y privilegios según perfiles.
Beneficios de la Solución
• Provee seguridad, confiabilidad y escalabilidad en una solución de bajo costo de implementación, administración y adquisición.
• Asegura un alto retorno de inversión al ofrecer cumplimiento continuo y sostenido.
• Automatiza y fortalece los controles internos reduciendo significativamente los riesgos y las repercusiones regulatorias.
• Integra compras, entregas e instalación en un plan de trabajo que reduce riesgos e incrementa velocidad de implantación.
• El cliente se enfoca en la problemática cotidiana del negocio, no en evaluar tecnología.
• Tecnología estandarizada, utilizada a nivel global y bien probada para el diseño, construcción e integración de soluciones innovadoras utilizando metodologías y procesos de punta para soportar las aplicaciones empresariales.
Soluciones SOA
¿Por qué SunMicrosystems?
Soluciones SOA
¿Por qué SunMicrosystems?
Packaged
Liderazgo en el MercadoMagic Quadrant for User Provisioning,
1H06
Forrester Wave™: User Account Provisioning, Q1 ’06
“Sun ha logrado desarrollar una solución altamente funcional y flexible, además de ser relativamente fácil de implementar, mientras que otros competidores aún tienen
problemas para balancear estos objetivos.”
“Sun ha logrado desarrollar una solución altamente funcional y flexible, además de ser relativamente fácil de implementar, mientras que otros competidores aún tienen
problemas para balancear estos objetivos.”
Packaged
¿Por Qué Eligieron Esta Solución?• La mayor base instalada de clientes con una solución de gestión de identidad.
•Gartner, Forrester y Meta Group sitúan a Sun Microsystems como la mejor opción debido a:
> “El más rico en funciones.” - Forrester> Flexibilidad de sus productos para adecuarse a los requerimientos de sus clientes. > Facilidad de implementación de su solución.> Solidez en la funcionalidad de sus conectores.> Mejor suite para la administración de políticas de acceso e identidad.
• Se ofrece en licencia perpetua o bien, renta anual por empleado.
• Único con un módulo de auditoría de identidad, indispensable en proyectos de cumplimiento regulatorio (por ejemplo, Sarbanes-Oxley).
Packaged
Liderazgo en el Mercado
“SeeBeyond (Java CAPS) aparece como uno de los líderes en el cuadrante mágico de Gartner 1H05, siendo
sobresaliente por su visión, amplia funcionalidad y una fuerte habilidad para ejecutar.”
“SeeBeyond (Java CAPS) aparece como uno de los líderes en el cuadrante mágico de Gartner 1H05, siendo
sobresaliente por su visión, amplia funcionalidad y una fuerte habilidad para ejecutar.”
Cuadrante Mágico para Software de Integración, 1H05
Packaged
¿Por Qué Eligieron Esta Solución?• Productos basados en mensajería ligera (web
services), independientes de la plataforma tecnológica.
• Sus soluciones son probadas y soportadas en múltiples servidores de aplicación y sus herramientas de desarrollo funcionan con varios marcos de referencia de desarrollo (ej: Eclipse y Visual Studio.NET)
• Orientados a escenarios de negocio donde la mayoría de las aplicaciones son paquetes comprados o bien, aplicaciones legadas (legacy) operando en un ambiente heterogéneo de servidores de aplicación, sistemas operativos o simplemente, sobre una máquina virtual de Java (JVMs).
• Proveen un contenedor para la creación de nuevas aplicaciones compuestas (composite applications) y múltiples flujos de trabajo.
Cuentas de Referencia
Instalación y Entrega Firma
Consultora/Auditor
Consultoría procesos de negocio
Desarrollo de interfaces
Desarrollo de agentes
Desarrollo de componentes
Desarrollo de Web ServicesSun Microsystems
Hardware
Licenciamiento
Servicios profesionales
Soporte nivel 2
Mantenimiento
QoS Labs
Licenciamiento
Servicios profesionales
Soporte nivel 1
Mantenimiento
Entrenamiento
Soluciones SOA
Demo
Soluciones SOA
Demo
• Escena 1 – Vista del Administrador de Recursos Humanos• Escena 2 – Alta de un nuevo empleado• Escena 3 – Aprobación y aprovisionamiento de cuentas• Escena 4 – Primer acceso del empleado• Escena 5 – Reasignación de labores• Escena 6 – Monitoreo del proceso de pago de bono• Escena 7 – Monitoreo del proceso de solicitud de reportes
financieros• Escena 8 – Auditoría de identidad• Escena 9 – Terminación del empleado
Script del Demo
Arquitectura Tecnológica
Recursos
DirectoriosServidores de
PolíticasBases de datos Mainframes
Aplicaciones de negocio
Sistemas Operativos
Aplicaciones a la medida
Gestión de acceso
Portal(Presentación)
Autenticación Autorización
Gestión de identidad
Servicios de datos de identidad
Políticas y flujos de trabajo
Servicios de directorio
Servicios de aprovisionamiento
Repositorio de contenidos
Administrador semántico
Aplicaciones compuestas
Enterprise Service Bus
BPM BAM
Servicios de negocio
Registro y repositorio
Adaptadores
Usuariointerno
Administrador SLA
Motor de correlación
Ambientevirtual
Adaptadores
VistasVistas y Formas
Au
dito
ría
Mo
nito
reo
Proveedor de servicios
Proveedor de identidades
Federación
SAML
WSRP
Usuarioexterno
d d
Marco de Referencia SOA y Componentes de la Solución
OpcionalRequerido
¿Preguntas?
??
•Declaración de interés.
•Levantamiento de requerimientos de negocio.
•Planteamiento de un proyecto específico.
Siguientes Pasos …
Gracias por su atención … Gracias por su atención …
QoS Labs:
Raúl García ManríquezConsultor Comercial de Proyectos de
[email protected]@qoslabs.com +52 (55) 53402400 x2438
Sun Microsystems:
[email protected] +52 (55) 52586100