Kontrole mitygujące – czy to lek na „całe zło” w nadmiarowych uprawnieniach w SAP? Część #3/5 – Jak budować repozytorium kontroli mitygujących?

Krok Pierwszy – Rozpoznanie

Jeśli pracujesz w organizacji, w której wdrożono system kontroli wewnętrznej w oparciu o COSO, ICFR, podlegasz SOX, J-SOX, czy innej regulacji w zakresie ICS, to zapraszam od razu do Drugiego Kroku.

Dla tych, którzy pracują w organizacjach, gdzie te praktyki nie zostały jeszcze wdrożone, dedykowane są działania, które od lat dobrze sprawdzają się w realizowanych przez nas projektach. 

Co może wydawać się na początek zaskakujące, z naszej praktyki wynika, że najlepszym mechanizmem identyfikacji kontroli, który wykorzystujemy na projektach jest rozmowa. Zanim przystąpisz do implementowania tzw. najlepszych praktyk w zakresie kontroli czy przyniesiesz do biznesu benchmarki i standardy do powielania, zacznij od rozmowy z właścicielami i kluczowymi użytkownikami procesów biznesowych

Podstawowe informacje, które chcemy zdobyć w trakcie takiej rozmowy, to przede wszystkim: dobre zrozumienie kontekstu biznesowego w którym ryzyko występuje, jaki to element procesu, kto go wykonuje, jakie działania są realizowane (w systemie i poza systemem), jakie inne elementy procesu są realizowane (raportowanie, zatwierdzanie itd..). Jeśli w trakcie tych rozmów (przejścia przez procesy natrafisz na działania zbliżone do elementów kontrolnych), to warto je szczegółowo opisać (najlepiej zgodnie z zasadą 5W – często stosowaną systematyką opisu kontroli). 

Efekty takich spotkań zaskakują, zazwyczaj ponad połowa kontroli, które następnie wykorzystujemy do mitygacji jest już realizowana przez biznes i nie ma potrzeby żadnych dodatkowych działań, aby zaadresować nimi ryzyko czy konflikt SoD. 

Krok Drugi – Selekcja

Mając zdefiniowaną listę kontroli wewnętrznych, niezależnie od metody pozyskania – czy poprzez rozpoznanie opisane powyżej, czy na podstawie dostępnej dokumentacji, możemy przystąpić do filtrowania, które z tych kontroli możemy wykorzystać do mitygacji konfliktów SoD.

Przede wszystkim ustalmy kryteria, które będziemy stosować przy wyborze kontroli mitygujących. 

Zazwyczaj uwzględnia się co najmniej te aspekty, które są kluczowe dla tworzenia repozytorium:

• proces, w którym kontrola występuje (czy w zakresie analizy SoD),
• zakres organizacyjny – które jednostki są objęte kontrolą, czy to są jednostki w zakresie SoD,
• stopień pokrycia transakcji – czy całość istotnych danych transakcyjnych jest pokryta kontrolą, czy nie pomijamy istotnej części, np. rozpatrywaliśmy tylko wybrany typ zatrudnienia, specyficzne zamówienia itd.,
• wyłączenia – metoda obsługi wyłączenia, kontrole komplementarne,
• aktorzy – osoby wykonujące kontrole vs. osoby realizujące transakcje, czy to te same, czy różne osoby,
• dokumentacja – opis przebiegu kontroli, czy dostępny, czy jesteśmy w stanie uzyskać,
• skuteczność kontroli – jak upewnimy się, czy dana kontrola faktycznie jest wykonywana i skutecznie ogranicza ryzyka.

Mając tak zdefiniowane aspekty analizy, kryteria selekcji nasuwają się same – wybieramy tylko te kontrole, które są adekwatne do zidentyfikowanych ryzyk dostępowych, czy konfliktów SoD.

Bazując na tej wstępnej selekcji będziemy w stanie określić, czy adresujemy potrzeby wszystkich obszarów biznesowych czy też potrzebujemy dodać nowe kontrole, które pozwolą na mitygację w obszarach „białych plam”. To na tym etapie możemy posiłkować się źródłami zewnętrznymi, czyli tzw. najlepszymi praktykami.

Krok Drugi’ (Prim) – Źródła zewnętrzne

Podstawowe źródła zewnętrzne dla kontroli, to oczywiście wszelkiego typu standardy, obejmujące m.in. COSO, CoCo, ICFR, IFC, ICS, CobIT  itp. Jeśli poszukujemy informacji, które jest już przetworzona dla potrzeb systemu SAP, to zachęcam do zapoznania się z repozytorium procesów, które SAP udostępnia dla S/4 – jest to kopalnia pomysłów dla kontroli i specyficznych ustawień procesowych.

Dla systemów SAP dostępne są również predefiniowane kontrole automatyczne dostępne np. w rozwiązaniu SAP Process Control szerzej opisane np. tutaj (https://grcadvisory.com/aktualnosci/sap-pc-10-1-12-0-reguly-do-monitorowania-procesow-biznesowych-cz-1/).

W najbliższym czasie planujemy publikację serii artykułów dotyczących kontroli automatycznych w poszczególnych procesach biznesowych, które możemy wykorzystać do mitygacji ryzyk. Udostępnimy link do materiałów zaraz po ich aktualizacji. 

Krok Trzeci – Repozytorium

Po zebraniu informacji i wstępnej selekcji możemy przystąpić do budowy repozytorium kontroli.

W zależności od zapotrzebowania i złożoności naszego środowiska przyjmowane są różne kryteria dla potrzeb opisu danych podstawowych, nasze doświadczenia praktyczne wskazują, że w repozytorium kontroli warto ująć co najmniej następujące informacje:

Dane podstawowe 

• ID kontroli
• Opis (najlepiej w oparciu o 5W)
• Typ: prewencyjna, detekcyjna, korekcyjna
• Określenie czy kontrola jest zdarzeniowa (opis zdarzeń) czy okresowa (zdefiniowany przedział czasu)
• Automatyzacja wykonania kontroli i testowania (automatyczna, częściowo zautomatyzowana, ręczna)

Kontekst biznesowy

• Proces / podproces / obszar biznesowy
• Jednostka organizacyjna (lub zakres jednostek)
• Właściciel kontroli w danej jednostce, osoby wykonujące kontrole

Kontekst ryzyka

• Powiązane ryzyka (tzn. które ryzyka, konflikty SoD możemy mitygować z wykorzystaniem tej kontroli)

Efektywność mitygacji:

• Wyniki testowania efektywności kontroli (okres / zakres / wynik)

Przypisania do użytkowników:

Niezależnie od powyżej przedstawionych kryteriów, konieczne jest również przechowywanie danych dotyczących przypisania kontroli mitygujących do działań poszczególnych użytkowników. W tym przypadku konieczne jest przechowywanie informacji o:

• konfliktach SoD, ryzykach dostępu zidentyfikowanych na użytkownikach 
• sposobie mitygacji (ID kontroli mitygującej)
• zakresie organizacyjnym (identyfikator jednostki, dla której przypisano kontrolę)
• czasu ważności przypisania (maksymalny okres, po którym należy zweryfikować, czy przypisanie wciąż jest aktualne i wymagane)

Dane dotyczące przypisania kontroli do użytkowników jako dane transakcyjne, powinny zostać umieszczone w osobnym repozytorium (powiązanym z repozytorium kontroli).

Krok Czwarty – Utrzymanie aktualności

Utworzenie i zarzadzanie repozytorium wymagają wsparcia w postaci zaplecza narzędziowego. Zależnie od możliwości, którymi nasza firma dysponuje może to być wersja minimum, czyli wykorzystanie arkuszy Excel i udostępnienie ich jednostkom zainteresowanym, a następnie ręczne przypisywanie do ryzyk dostępowych, konfliktów SoD, a w konsekwencji do osób dla których te ryzyka występują (nawet pisząc o tym mam przed oczami koszmar osób, które później będą musiały tym repozytorium zarządzać i ręcznie śledzić wszystkie przypisania, ich wygasanie…). 

Istnieje oczywiście szereg dedykowanych produktów automatyzujących pracę, przeznaczonych dla SAP – np. SAP Access Control, czy SmartGRC. Więcej o nich opowiem w kolejnym artykule z serii „. …” 

Podsumowując, budowa repozytorium kontroli mitygujących wymaga:

• Znajomości kontekstu biznesowego,
• Identyfikacji działań kontrolnych i właściwej selekcji dla potrzeb mitygacji,
• Dokumentacji w oparciu o ustalone kryteria, 
• Wsparcia narzędziowego do zarządzania danymi podstawowymi i przypisaniem do użytkowników.

W kolejnej, czwartej części artykułu przenalizujemy temat automatyzacji i implementacji kontroli w systemach klasy GRC. Omówimy kluczowe funkcjonalności, które powinny być zaimplementowane, aby efektywnie wspierać analizę ryzyka SoD i zarządzanie kontrolami mitygującymi. Zapraszamy do lektury!