Kontrole mitygujące – czy to lek na „całe zło” w ryzykach nadmiarowych uprawnień w SAP?
Wdrożenie dodatkowych kontroli mitygujących to częsta odpowiedź, ze strony kierownictwa, na ryzyko wynikające z nadmiarowych uprawnień w systemach ERP (SAP). Czy w ten sposób eliminujemy przyczynę problemu nadmiarowych uprawnień, czy jedynie walczymy z jego skutkiem? Czy jest to słuszne podejście? Jakie są konsekwencje takiego działania? Czy jest jedna odpowiedź, która jest dobra w każdej organizacji/każdej sytuacji? W trakcie projektu SoD (z ang. Segregation of duties / rozdział obowiązków) pojawia się też wiele mitów dotyczących nadmiarowych uprawnień użytkowników w SAP. Chęć rozwiania wątpliwości i obalenia mitów dotyczących kontroli mitygujących i SoD zainspirowały nas do napisania tego artykułu. Zapraszamy do lektury!
Poprawnie przeprowadzony projekt zbudowania lub przebudowy uprawnień użytkowników w SAP powinien być oparty o wypracowaną w trakcie warsztatów biznesowych – matrycę podziału obowiązków w procesach biznesowych. Matryca to kluczowy produkt takiego projektu, często pomijany w trakcie wdrożeń przez firmy wdrożeniowe, skoncentrowane na innych aspektach uruchomienia nowego systemu klasy ERP. W ciągu ostatnich kilku lat nasza firma przeprowadziła kilkadziesiąt takich warsztatów w różnych przedsiębiorstwach prywatnych, jak również organizacjach publicznych. Prowadziliśmy szkolenia w różnej wielkości organizacjach – średnich oraz dużych międzynarodowych korporacjach. Pośród wielu wniosków z tych warsztatów, ciekawym aspektem wydaje się być temat kontroli mitygujących. Czym są kontrole mitygujące i kiedy są stosowane? W przypadku wielu firm, z którymi mieliśmy do tej pory okazję współpracować, zdają się być najczęstszą odpowiedzią na pojawianie się nadmiarowych ryzyk związanych z nadawaniem uprawnień w SAP.
Czy słusznie?
Zapraszamy do lektury serii artykułów:
- Wyzwanie dla kontroli mitygujących.
- Kiedy warto tworzyć, a kiedy należy unikać kontroli mitygujących?
- Przykłady i repozytorium kontroli – przegląd najlepszych praktyk budowania kontroli.
- Jak zaimplementować kontrole mitygujące w systemach klasy GRC?
- Podsumowanie i wnioski.
Co dwa tygodnie będziemy publikować jedną jego część. Czy obecne podejście rynkowe jest prawidłowe? Zapraszamy do zapoznania się z artykułem i dowiedzenia się więcej na temat kontroli łagodzących.
Zapraszamy do lektury Andrzej Partyka & Filip Nowak