Kontrole mitygujące – czy to lek na „całe zło” w nadmiarowych uprawnieniach w SAP?
Cześć #2/5 – Kiedy warto tworzyć, a kiedy należy unikać kontroli mitygujących?
Opisane w części pierwszej tego artykułu wyzwania związane z kontrolami mitygującymi, chcemy w tej części rozwinąć o praktyczne aspekty związane z tym, kiedy warto, a kiedy należy unikać tworzenia dodatkowych czynności kontrolnych w procesach biznesowych.
Czy jest ‘jakiś’ algorytm postępowania z nowym ryzykiem nadmiarowych uprawnień? Jak postępować? Kiedy i jakie działania realizować? W poniższym materiale dzielimy się naszą wiedzą i doświadczeniem w temacie zabezpieczeń i ryzyka SOD.
Kiedy warto korzystać z kontroli mitygujących?
W trakcie pracy przy projektach doradczych obserwujemy, że kadra zarządzająca, pracując nad odpowiedzią na ryzko nadmiarowych uprawnień, znacznie częściej korzysta z tworzenia i przypisywania kontroli mitygujących niż jest to faktycznie uzasadnione w konkretnej sytuacji. Często dzieje się to pod presją i silną potrzebą spełnienia wymagań zewnętrznych lub wewnętrznych audytorów. Czy faktycznie posiadanie więcej mechanizmów kontrolnych, bardzo kosztownych w późniejszym utrzymaniu, powinno być pierwszym wyborem kierownictwa? Jak zaprojektować mechanizm kontrolny, aby wnosił realną korzyść do systemu kontroli wewnętrznej i istotnie obniżał ryzyko, dla którego powstał? Jest to pytanie, na które odpowiemy w tej części artykułu.
Z naszych obserwacji cyklu życia mechanizmów kontrolnych wynika, że zdecydowanie warto korzystać z kontroli mitygujących w następujących sytuacjach:
- Konfliktujące uprawnienia są wymagane do realizacji zadań powierzonych i określonych przez dział HR na danym stanowisku pracy. Wprowadzenie zmian w takiej sytuacji jest trudne i skomplikowane, bo jej źródło leży w ograniczonych zasobach Organizacji.
- Nie jest możliwa zmiana lub przekształcenie organizacyjne np. poprzez korektę dotychczasowego sposobu realizacji procesu biznesowego, zmiany zakresu czynności do realizacji, wydzielenie tych czynności do innego obszaru organizacyjnego
- Istnieją ograniczone zasoby ludzkie i nie można w danym momencie nadmiarowych obowiązków powierzyć innej osobie w dziale lub skorzystać z możliwości scentralizowania tej funkcji lub wydzielenia jej do dedykowanego centrum usług wspólnych.
Wystąpienie powyższych sytuacji sprawia, że zastosowanie kontroli mitygujących jest bardziej uzasadnione. Niemniej jednak w ustaleniu najlepszej metody odpowiedzi Organizacji na konflikt rozdziału obowiązków ważna jest też kolejność postępowania. Poniżej przestawiono modelową sekwencję działania.
1. Konfliktowe uprawnienia są częścią zakresu obowiązków na danym stanowisku pracy
Pierwszym krokiem każdego projektu przebudowy uprawnień jest odebranie uprawnień nadmiarowych. Uprawnienia określane jako nadmiarowe, to te przypisanie i możliwe do uruchomiania natomiast w praktyce (np. za okres ostatnich 12 m-c) nie są wykorzystywane w pracy przez pracownika. Często, ale nie zawsze, takie uprawnienia nie zostały określone w zakresie obowiązków pracownika na danym stanowisku HR. Zidentyfikowanie a następnie odebranie takich uprawnień, z naszego doświadczenia, likwiduje około 50-60% wszystkich ryzyk zidentyfikowanych w uprawnieniach użytkownika. W każdym przypadku powinien to być pierwszy krok w postępowaniu z nadmiarowymi uprawnieniami. Pominięcie tego kroku powoduje, że zaczynamy opracowywać mechanizmy kontrolne dla ryzyk, które tego nie wymagają lub istnieje dla nich tańsza w utrzymaniu i skuteczniejsza w działaniu alternatywa. Jeżeli występuje podejrzenie, że uprawnienia są wykorzystywane w realizacji zdań opisanych w zakresie obowiązków, to należy wykonać szczegółową analizę, aby potwierdzić przypuszczenia. Analiza nie zawsze jest taka prosta, gdyż „ogólny język” w jakim opisywane są obowiązki realizowane na danym stanowisku HR, często nie może być wprost przełożony na wymiar czynności wykonywanych w systemie SAP ERP, które często wymagają określenia konkretnych czynności (transakcji) do realizowania. Wymaga to doświadczenia w pracy w Organizacji, technicznej wiedzy systemowej oraz czasu niezbędnego na wykonanie takiej analizy. Jeżeli w wyniku wykonanej analizy okazuje się, że wszystkie nieużywane transakcje (uprawnienia) zostały odebrane możemy przystąpić do sprawdzania kolejnego aspektu uprawnień użytkownika.
2. Nie jest możliwa zmiana organizacyjna w procesie.
Jeżeli wszystkie nadmiarowe uprawnienia zostały odebrane, a w dalszym ciągu istnieje ryzyko rozdziału obowiązków oznacza to, że na etapie projektowania procesów w dziale lub definiowana zakresu odpowiedzialności w dziale HR nie została uwzględniona matryca ryzyk rozdziału obowiązków. Zespół, który projektował procesy lub docelowe obowiązki pracowników, nie wziął pod uwagę faktu, że niektóre czynności w procesach biznesowych w systemach ERP nie powinny być realizowane przez tą samą osobę. W takiej sytuacji należy rozważyć zmianę sposobu realizacji procesu biznesowego. Zastanowić się czy konfliktujący zakres uprawnień może być realizowany przez inne stanowisko w dziale lub inną komórkę organizacyjną. Często w trakcie prac wydziela się do dedykowanych zespołów czynności związane z danymi podstawowymi: partnerów biznesowych, indeksów materiałowych, planu kont księgowych, struktury obiektów kontrolingowych, itp. W trakcie prac powstaje nowy proces określany jako „Master Data Governance”, który polega na wydzieleniu uprawnień dla pracy z danymi podstawowymi, w celu lepszej kontroli na zakresem zmian wprowadzanym do tych newralgicznych elementów, każdego procesu biznesowego.
3. Ograniczone zasoby ludzkie.
Jeżeli przydzielone uprawnienia są zgodne z zakresem odpowiedzialności na danym stanowisku, a sam proces nie może być w krótkim terminie zmieniony, następnym krokiem powinna być analiza czy w ramach zasobów, które Organizacja posiada jest możliwość przekazania tych obowiązków do innego pracownika. Tego typu zmiany nie wymagają kompleksowej reorganizacji procesów tylko innego rozłożenia obowiązków realizowanych w dziale. W praktyce bywa to trudne do wdrożenia. Bardzo pomocne w realizowaniu takiej zmiany jest funkcjonalność „Symulacji”, w której system klasy GRC tworzy podgląd teoretycznej sytuacji, w której dane uprawnienia zostaną przypisane innemu pracownikowi. Więcej o funkcjach systemu GRC można przeczytać na naszej stronie (#grcadvsory, #smartGRC). Wracając do często pojawiającego się wyzwania ograniczonych zasobów ludzkich, warto posłużyć się przykładem jednego z naszych projektów. Pracownik lokalnego, małego Działu Obsługi Klienta, w którym pracują 2 osoby, odpowiada za rejestrowanie zleceń sprzedaży od Klientów, które spływają z różnych kanałów sprzedaży oraz zapewnienie (poprzez weryfikowanie i ew. korektę), że ceny na zleceniach sprzedaży są zgodne z aktualnym cennikiem firmy. Tak zdefiniowany zakres obowiązków powoduje, że pracownik w systemie SAP oprócz dostępu do pracy ze zleceniami musi mieć dostęp do korygowania warunków cennych. Łączenie tych dwóch czynności w systemie powoduje ryzyko, że ceny wprowadzane na zleceniach będą błędne a firma utraci marżę handlową wskutek nieprawidłowych informacji wprowadzonych na zleceniu sprzedaży. Zmiana organizacyjna nie jest możliwa, bo w dziale pracują tylko dwie osoby, które znają specyfikę lokalnego rynku i klientów. Skala operacji powoduje, że bez zatrudnienia lub centralizacji tej funkcji, nie będzie możliwe podzielenie obowiązków. Zastosowanie kontroli mitygującej w przypadku takiej sytuacji jest decyzją najkorzystniejszą z biznesowego punktu widzenia.
Podsumujmy więc, kiedy nie warto implementować kontroli mitygujących:
- W sytuacji, gdy w systemie SAP/ERP możliwe jest częściowe ograniczenie lub odebranie uprawnień użytkownika, szczególnie jeżeli to ograniczenie wynika z aktualnego zakresu obowiązków na danym stanowisku HR,
- Organizacja posiada zasoby lub w krótkim okresie dopuszcza możliwość zmiany aktualnego sposobu realizacji procesu,
- Uprawnienia użytkownika można przekazać innemu pracownikowi, nie powodując w ten sposób nowych ryzyk lub konfliktów rozdziału obowiązków.
W kolejnej, trzeciej części artykułu opiszemy, jak budować repozytorium kontroli – czyli jak radzić sobie z Trójkątem Bermudzkim, w którym ‘magicznie’ znikają wszystkie nasze konflikty SoD i ryzyka dostępowe a następnie powracają w trakcie audytu finansowego? Jak uniknąć ich przeniesienia w czasie i nagłego pojawienia się podczas audytu? Jak uniknąć zagrożeń ich materializacji? Zapraszamy do lektury!