SAP Process Control 10.1/12.0 – najlepsze praktyki SAP, reguły do monitorowania procesów biznesowych cz.1

6 kwietnia 2021

SAP Process Control zarówno w definicji, jak i w praktyce jest zcentralizowanym systemem kontroli procesów biznesowych, uwzględniającym ryzyka i wymogi zgodności w organizacji. Prawidłowo zdefiniowane i zaimplementowane kontrole w narzędziu istotnie wpływają na poprawę wydajności i efektywności realizowanych procesów, dzięki czemu organizacja ma możliwość koncentracji na swojej przedmiotowej działalności.

Narzędzie wykonuje i stale monitoruje kontrole najbardziej skomplikowanych procesów wg bardzo prostego schematu (UWAGA: od wersji 12.0 możliwe jest zaplanowanie zadania cyklicznego bez wymogu powiązania ich z kontrolą wewnętrzną):

W przeciwieństwie do bazowej konfiguracji, dostępnej "z pudełka" w ramach aktywacji tak zwanych BC-setów, kontrole, źródła danych oraz reguły biznesowe nie są dostępne w narzędziu od razu po jego zainstalowaniu.

Szczegóły dotyczące kontroli wewnętrznych oraz powiązanych z nimi danych podstawowych (struktura organizacyjna, struktura procesów) wynikają bezpośrednio ze specyfiki konkretnej organizacji oraz wymagań regulacyjnych, dlatego też powinny one zostać zaprojekowane, zbudowane oraz wgrane do narzędzia, np. za pomocą narzędzia MDUG.

Celem tego artykułu jest jednak przybliżenie standardowych reguł biznesowych oraz źródeł danych, pozwalających na budowę środowiska kontrolnego w SAP Process Control. Ogólne zasady dotyczące budowy powiązań między wskazanymi elementami zostały omówione w poprzednim blogu Kontrole detekcyjne w SAP Process Control (tekst w języku polskim, kluczowe sekcje: Dokumentacja struktury przedsiębiorstwa oraz Konfiguracja i testowanie kontroli automatycznej)

Standardowe reguły biznesowe – informacje podstawowe oraz analiza

Aby skorzystać ze standardowych reguł dostępnych dla SAP Process Control wymagane jest przeanalizowane oraz wykonanie działań opisanych SAP Notach, znajdujących się na SAP Portalu.

Po wykonaniu wymaganych działań do weryfikacji pod kątem zasadności dla konkretnego wdrożenia SAP Process Control, dostępnych będzie 58 reguł, dla modułów systemu SAP: FI-AA, FI, HR, IT, MM, SD oraz grupa reguł specyficznych dla uzyskania zgodności z wymaganiami amerykańskiej Agencji Żywności i Leków (FDA).

Dodatkowo, reguły te są również technicznie opisane w zakresie podstawowych atrybutów takich jak: dane podstawowe, kluczowe tabele oraz programy wykorzystane dla omawianych reguł, zasad powiązań, warunki filtrowania, czy również warunki zgłoszenia naruszenia. Dokumentacja ta jest dołączona do określonych SAP Not.

W ramach standardowych reguł dostępne są dwa typy reguł (tzw. sub-scenarios):

Konfigurowalne (ang. Configurable) – najczęściej używany i wykorzystywany typ reguł, budujący powiązania między konkretnymi tabelami i ich polami po stronie systemu backend (sama analiza wykonywana jednak po stronie systemu SAP Process Control)

Programowane (ang. Programmed) – dające możliwość powiązania generowanych naruszeń z konkretnym programem dostępnym na systemie backend po zainstalowaniu dedykowanego pluginu

Powyższy wykres prezentuje zestawienie analityczne ze względu na moduł oraz typ reguł.

W kolejnych sekcjach artykułu dostępne standardowe reguły zostaną pokrótce omówione, należy jednak pamiętać o tym, że powinny one zostać zweryfikowane pod kątem zasadności dla konkretnego wdrożenia SAP Process Control w organizacji. Weryfikacja ta powinna obejmować zarówno przebieg obecnie istniejących procesów, konfigurację techniczną systemu SAP objętego monitorowaniem oraz ewentualne rozwiązania specyficzne, wpływające na logikę wpisów w tabelach. Istniejące reguły mogą być kopiowane, a następnie dopasowywane do architektury danych, występującej w danym środowisku. Nie powinny być one traktowane jako ostateczny produkt, a raczej wstęp do budowy ostatecznych reguł, odpowiadających wymaganiom stawianym organizacji i samemu narzędziu.

Reguły dedykowane dla obszaru finansów i rachunkowości (FI-AA, FI)

W ramach obszaru finansowego dostępne są dwie duże grupy reguł:

reguły dla modułu FI-AA (zarządzanie aktywami), gdzie występują wyłącznie reguły typu Konfigurowalnego (Configurable)

reguły przypisane do modułu FI, gdzie występują zarówno reguły typu Konfigurowalnego, jak i dostępne są, po zainstalowaniu pluginu na systemie backend, dedykowane raporty pozwalające na skorzystanie z typu Programowanego (Programmed)

Dla Zarządzania aktywami (FI-AA) reguły można podzielić na trzy główne grupy:

Monitorowanie zmian kont dla aktywów:

Monitorowanie zmian dla kont bilansowych w obszarze amortyzacji

Monitorowanie zmian dla kont księgi głównej

Monitorowanie zmian dla kont rozrachunkowych w obszarze amortyzacji

Monitorowanie zmian dla zasad księgowania amortyzacji aktywów, kontrolująca zmiany zauważone z poziomu tabeli T093

Monitorowanie zmian dla danych podstawowych aktywów, odniesione do jednostek organizacyjnych, analizująca w dużej mierze zauważone zmiany występujące w tabeli ANLZ

Reguły przypisane do procesu FI dotyczą znacznie bardziej zróżnicowanych obszarów, dlatego nie jest możliwe ich zagregowanie ze względu na grupy.

Pierwszą regułą, występującą dla procesu FI, a w zasadzie dla procesu na styku modułów FI oraz MM jest Weryfikacja zmian występujących w zamykaniu okresów księgowych dla modułu MM. Zadaniem tej reguły zanotowanie zmian wpisów dla tabeli MARV, które spełniają warunki dla pól / flag: dozwolone księgowanie do poprzedniego okresu bądź niedozwolone księgowanie do poprzedniego okresu po zmianie okresu.

Zbliżoną rolę pełni inna reguła Księgowanie księgi głównej dla poprzedniego okresu, której zadaniem jest jednak weryfikowanie poprawności księgowań wykonywanych bezpośrednio w module FI. Ponadto, reguła ta korzysta z wbudowanego programu występującego po stronie systemu z wgranym odpowiednim pluginem. Z technicznego punktu widzenia zadaniem tego programu (a przez to również reguły) jest wyświetlenie zagregowanej wartości księgowań dla księgi głównej dla poprzedniego okresu (jeżeli takie księgowanie występuje).

Trzecią regułą jest reguła Śledzenie zmian, występujących dla typów dokumentów księgowych, której zadaniem jest weryfikacja jakichkolwiek zauważonych zmian, z rozbiciem ze względu na typ dokumentu księgowego (tabela T003).

Następną regułą jest reguła Śledzenie zmian flagi, która pozwala na księgowanie dla określonych typów kont, również monitorująca zmiany ze względu na typ dokumentu księgowego, jednak ograniczona do weryfikacji specyficznej zmiany – zmiany flag / znaczników pozwalających na księgowanie dla konkretnych typów dokumentów księgowych (pola, w zależności od znacznika wskazującego na typ konta: księgi głównej, aktywów, dostawców, odbiorców bądź księgi materiałowej).

Zbliżoną do powyższych reguł jest reguła Zmiany w typach kont dozwolone dla każdego typu dokumentu, której zadaniem jest kontrola nad zmianami na poziomie konkretnych typów dokumentów księgowych, tym razem w zakresie zmian dotyczących typów kont. Dla reguły tej sprawdzane są zmiany występujące również w tabeli T003, ograniczone jednak do grupy autoryzacyjnej oraz weryfikacji zmiany atrybutu dotyczącego księgowania grupowego.

W celu uzyskania kontroli nad zmianami w zakresie kursów przeliczeniowych podczas księgowania w różnych walutach w ramach standardowych reguł dostępna jest reguła: Zmiany kursów wymiany walut. Reguła ta bezpośrednio operuje na kluczowej tabeli TCURR, monitorując i zgłaszając ewentualne zmiany zauważone dla kursu rozliczeniowego.

Aby umożliwić monitorowanie zmian w zakresie danych podstawowych księgi głównej w ramach standardowych reguł występuje reguła Śledzenie zmian w danych podstawowych KG na poziomie jednostki gospodarczej. Reguła ta raportuje wszystkie zmiany wprowadzone na danych podstawowych księgi głównej, wykorzystując do tego zmiany dla tabeli SKB1.

Szczególnym przypadkiem zmian w zakresie danych podstawowych księgi głównej jest reguła nosząca podobną nazwę do wskazanej poprzednio: Zmiany w danych podstawowych KG na poziomie jednostki gospodarczej. Reguła ta jednak monitorujące konkretne zmiany. W tym przypadku chodzi o zmiany wykonane na polach / flagach: oznaczenia do wyłącznego księgowania automatycznego, oznaczenia dotyczącego możliwości wyświetlania pozycji pojedynczych przez wskazane konto a także zmian dla klucza sortowania według numerów przydziału.

Trzecią regułą, monitorującą zmiany dla danych podstawowych księgi głównej jest reguła Monitorowanie wskaźnika konta głównego GL na poziomie planu kont. W przeciwieństwie do poprzednich, weryfikowane zmiany dotyczą tabeli SKA1, a zmiany są grupowane ze względu na plan kont. W wynikach pojawią wpisy, dla których wartość pola typu konta wynikowego została opracowana.

Poza regułami typu Konfigurowalnego, omówionymi powyżej, dla modułu FI udostępnione są również kolejne 3 reguły typu Programowanego. Podobnie jak miało to miejsce dla reguły Księgowanie księgi głównej dla poprzedniego okresu, odpowiednie dedykowane programy dostępne są na systemie backend wraz z wgraniem odpowiedniego pluginu.

Pierwszą regułą tego typu jest reguła Księgowania KG na poziomie pozycji konta, która wyświetla szczegóły księgowań dla księgi głównej z uwzględnieniem dla poszczególnych linii dla kont. Dla reguły tej raportowane jako naruszenie domyślnie są takie pozycje, dla których wartości są większe niż wbudowane początkowe poziomy (więcej niż 5000 USD, więcej niż 3000 USD, więcej niż 1000 USD).

Kolejną regułą jest zaś reguła Księgowania KG na poziomie dokumentu, która również analizuje księgowania księgi głównej. Analiza ta jednak ma miejsce na poziomie dokumentów, z uwzględnieniem informacji o typie dokumentu. Reguła ta korzysta z wbudowanego raportu, zaś raportowanie ma miejsce w sposób zbliżony do poprzedniej reguły (raportowane są poziomy w zależności od wartości: więcej niż 5000 USD, więcej niż 3000 USD oraz więcej niż 1000 USD).

Ostatnią regułą korzystającą z programu występującego na systemie backend jest reguła Zaksięgowane faktury dostawcy w stosunku do limitów tolerancji użytkownika. Reguła ta prezentuje i przekazuje zaksięgowane faktury dla dostawców w kontekście zdefiniowanych poziomów tolerancji (występujące w tabeli T043). Raport ten korzysta z wielu tabel oraz struktur a wyniki analizowane są w kontekście jednostki gospodarczej, typu dokumentu, wskazanych poziomów tolerancji oraz są ograniczone wyłącznie do dokumentów księgowanych netto. Jako naruszenie również wykorzystane są poziomy wartości, jednak ich wielkości są wyjściowo niższe niż dla poprzednich reguł (1000 USD, 500 USD, 200 USD).

Reguły dedykowane dla obszaru zarządzania zasobami ludzkimi (HR)

Dla modułu HR występuje wyłącznie jedna standardowa reguła Śledź zmiany w konfiguracji księgowania listy płac, której zadaniem jest monitorowanie zmian dla tabeli: T52EL oraz powiązanych tabel T52*. Za naruszenie uznawane są zmiany w zakresie znaku dla księgowania, kont symbolicznych dla transferu do FI/CO, specjalnego przetwarzania pozycji, zmiany flagi dla ignorowania splitu C1 oraz rodzaju wydatku.

Reguły dedykowane dla obszaru IT

Dla obszaru IT również dostępna jest jedna reguła Monitorowanie zmian statusu produkcyjnego dla jednostek gospodarczych, jednak jej zadanie jest krytyczne dla poprawności działania całego systemu. Reguła ta ma za zadanie rejestrować i zgłaszać zmiany dot. statusu produktywności dla jednostek gospodarczych, pochodzące z tabeli T001.
Wraz z każdą zauważoną zmianą dla tego pola ma miejsce zgłoszenie naruszenia, oraz w zależności od konfiguracji powiązanej kontroli w SAP Process Control, przekazanie odpowiedniej informacji do właściciela.

Reguły specyficzne, potwierdzające uzyskanie zgodności z wymaganiami amerykańskiej Agencji Żywności i Leków (FDA)

Poza regułami, powiązanymi bezpośrednio z konkretnymi obszarami i modułami systemu SAP w ramach standardowych reguł dostępne są reguły specyficzne, ułatwiające uzyskanie zgodności z wymaganiami FDA. Reguły te dotyczą przede wszystkim zarządzania jakością (moduł QM) oraz zarządzania magazynem (obszar WM).

Pierwsza reguła Zarządzanie jakością: monitorowanie zmian związanych z typami certyfikatów, ma zadanie sprawdzać, czy pojawiły się zmiany w zakresie typów certyfikatów (tabele TQ05 oraz TQ05T). Jako naruszenie pojawiać się ma sytuacja, kiedy: certyfikat jest niedostępny, gdy jest on wymagany na poziomie każdego zamówienia, bądź dostawy oraz gdy wymagana jest weryfikacja na poziomie PZ.

Druga reguła zaś również dotyczy modułu QM i nosi nazwę Śledzenie zmian w procedurze próbkowania. Reguła ta ma za zadanie monitorowanie zmian w zakresie próbkowania i jego atrybutów (tabele QDSV oraz QDSVT).

Pozostałe dotyczące zarządzania magazynem dotyczą monitorowania i zgłaszania naruszeń dla ustawień obsługi kolejki:

FEFO – First Expired, First Out

FIFO – First In, First Out

W kolejnej części

W kolejnej części artykułu omówione zostaną szczegóły standardowych reguł dedykowanych dla dwóch pozostałych kluczowych obszarów działalności organizacji: gospodarki magazynowej (moduł MM), oraz sprzedaży i dystrybucji (moduł SD). Podobnie jak dla uprzednio przedstawionych reguł zaprezentowane zostaną podstawowe informacje dotyczące zasad działania oraz raportowania naruszeń dla wskazanych reguł.

O Autorze

Łukasz Dudek
Starszy Konsultant w Dziale Usług Doradczych, GRC Advisory Sp. z o.o.
Starszy Konsultant GRC z 6 letnim doświadczeniem w realizacji projektów w zakresie wdrożeń systemów GRC, zarządzania ryzykiem, opracowywania matryc rozdziału obowiązków oraz mapowania i optymalizacji procesów biznesowych.

W artykule wykorzystano materiały firm SAP SE.

SAP Process Control 10.1/12.0 – najlepsze praktyki SAP, reguły do monitorowania procesów biznesowych cz.1

Powyższy wykres prezentuje zestawienie analityczne ze względu na moduł oraz typ reguł.

O Autorze

Powiązane wpisy

Newsletter Q IV 2020

Upgrade SAP® AC do wersji 12.0 dla największego koncernu w Europie Środkowo-Wschodniej

Wsparcie audytu- Sarbanes- Oxley (SOx) Act