Kontrole detekcyjne w SAP Process Control
Obecnie rozwiązywanie problemów w przedsiębiorstwach to proces złożony, często wymagający wprowadzenia odpowiednich kontroli wewnętrznych w organizacji. Dobrze wdrożona kontrola (na bazie przyjętych przez organizację polityk i regulacji) powinna umożliwiać ciągły monitoring kluczowych procesów biznesowych, redukować ryzyko i być fundamentem ładu w przedsiębiorstwie. Kontrole są również istotnym elementem z punktu widzenia audytu. Zapewniają zgodność z wymaganiami zewnętrznymi nałożonymi na przedsiębiorstwa przez organizacje rządowe np. SOX (są dowodem ich spełnienia) oraz wspomagają pracę audytorów przy przeprowadzaniu audytów wewnętrznych (np. okresowych audytów finansowych czy przeglądów uprawnień).
Kontrole, możemy podzielić według typu na:
- Kontrole prewencyjne, zapobiegające wystąpieniu zdarzenia, które może negatywnie wpływać na cele oraz działalność przedsiębiorstwa np. wdrożenie rozdziału obowiązków (SoD) w celu minimalizacji ryzyka popełnienia przez jednego z pracowników nadużycia.
- Kontrole detekcyjne, projektowane w celu wykrycia błędów lub nieprawidłowości po ich wystąpieniu np. comiesięczny audyt i weryfikacja zwrotów, uzgadnianie rachunków bankowych, utworzenie dokumentów zakupowych na produkty wcześniej nieuwzględnione w zapotrzebowaniu (tzw. PO bez referencji do zapotrzebowania) czy inwentaryzacje magazynów.
- Kontrole korekcyjne, umożliwiające podjęcie działania naprawczego np. usunięcie zbyt szerokich uprawnień użytkowników w systemie ERP.
SAP w ramach swojego portfolio dla produktów klasy GRC umożliwia implementacje każdego powyższego typu kontroli. Kontrole prewencyjne mogą być wdrażane z wykorzystaniem modułu SAP Access Control. Moduł Access Risk Analysis (ARA) pozwala na import matrycy SoD do aplikacji i przeprowadzenie proaktywnych analiz, dzięki którym możliwe jest wykrywanie zagrożeń wynikających ze zbyt szerokiego dostępu i autoryzacji użytkowników. Access Control pozwala również na wdrożenie kontroli korekcyjnych. Moduł Access Request Management (ARM) automatyzuje proces zarządzania uprawnieniami, a poprzez analizę ryzyka na wniosku pozwala na wykonanie korekty wnioskowanych ról, tym samym zapobiegając powstawaniu nowych konfliktów rozdziału obowiązków.
Dla wprowadzenia w życie kontroli detekcyjnych dobrym rozwiązaniem może być wdrożenie SAP Process Control, który pozwala na m.in. zaprojektowanie kontroli automatycznych (finansowych, operacyjnych i IT) oraz wdrożenie i zarządzanie politykami przedsiębiorstwa.
Zaprojektowane kontrole detekcyjne w momencie spełnienia wcześniej określonego warunku rejestrują wybrane zdarzenia w systemie – możliwe naruszenia tzw. deficiency. Przykładowym, potencjalnym naruszeniem może być stworzenie PO o wartości większej niż 100 000 zł bez referencji do zapotrzebowania zakupu. SAP Process Control, zależnie od preferencji przedsiębiorstwa, w momencie wystąpienia zdarzenia lub cyklicznie (np. co godzinę, codziennie, co tydzień, co miesiąc) powiadamia wyznaczoną osobę o nowych rekordach, które spełniają postawione wcześniej warunki. Przeglądający ma za zadanie zweryfikować czy dane czynności były zgodne z celami biznesowymi przedsiębiorstwa. W przypadku nadużycia przeglądający ma możliwość rozpoczęcia w systemie procesu naprawczego.
Dokumentacja struktury przedsiębiorstwa
By wdrożona przy wykorzystaniu SAP Process Control, kontrola detekcyjna w pełni spełniała swoje zadania konieczne jest odwzorowanie struktury organizacyjnej w systemie. SAP Process Control pozwala uwzględnić istniejące organizacje, spółki i działy w przedsiębiorstwie i zidentyfikować występujące w nich procesy oraz podprocesy wliczając w to stosowane regulacje i polityki.
Kontrole wewnętrzne w systemie SAP Process Control przypisywane są do podprocesów (operacji), dla których ich stosowanie będzie adekwatne. System oferuje wiele parametrów, które umożliwiają dopasowanie kontroli do rzeczywistych wymagań biznesowych m.in. zdefiniowana typu i natury kontroli, okresu ważności czy istotności. W systemie po przypisaniu kontroli i podprocesu do poszczególnych organizacji mamy możliwość wyboru osób odpowiedzialnych m.in. właściciela kontroli, przeglądającego czy testera. Osobę odpowiedzialną przypisuje się do wybranego połączenia podproces – kontrola.
Przykładowy schemat struktury przedsiębiorstwa zawierającego dwie spółki X i Y przedstawia rysunek 1. Spółka X została objęta jedną regulacją (która obejmuje całą organizację) i podlega kontrolom z zakresu jednej regulacji. Natomiast w przypadku spółki Y jeden z procesów spółki objęty jest dodatkową regulacją wewnętrzną stąd jego podprocesy dodatkowo podlegają kontrolom FY i GY.
Konfiguracja i testowanie kontroli automatycznej
Kolejnym etapem wdrożenia kontroli detekcyjnej jest określenie jej zakresu i specyfiki działania. Elementy zdefiniowane w poprzednim kroku stanowią tylko zobrazowanie tego jak funkcjonuje / zbudowane jest przedsiębiorstwo – charakter i specyfika działania kontroli określana jest na tym etapie.
Rysunek 2 przedstawia w sposób chronologiczny poszczególne fazy konfiguracji kontroli wewnętrznej w aplikacji SAP Process Control. Bez ukończenia wcześniejszej fazy nie ma możliwości rozpoczęcia kolejnej.
Do zdefiniowana cech kontroli SAP Process Control wymagane jest wcześniejsze określenie:
- Źródła Danych – wskazanie typu źródła danych i zakresu tabel przechowujących kontrolowane dane / wpisy i ich wzajemnych powiązań.
- Reguły Biznesowej – czyli specyfiki konkretnej kontroli bazującej na danych zawartych w Źródle Danych. Tutaj określane są reguły definiujące, jakie zdarzenia i w jakiej formie powinny być zarejestrowane i wysłane do osoby odpowiedzialnej za przeglądanie. Do określenia tego typu zdarzeń wykorzystuje się zazwyczaj reguły BRF.
Konfigurację kontroli automatycznej kończy etap, w którym ustawiane jest cyklicznie wykonujące się zadanie określające m.in:
- Kiedy zadanie ma się rozpocząć,
- Które zdarzenia będą monitorowane,
- Przez jaki okres dane zdarzenie będzie monitorowane,
- Co ile czasu (np. codziennie, co tydzień, co miesiąc) do osoby odpowiedzialnej będą wysyłane zbiory zapisanych rekordów (potencjalnych naruszeń) do przeglądu.
Sposób zarządzania kontrolami i przenoszenia ich pomiędzy środowiskami jest zależny od wewnętrznych ustaleń w przedsiębiorstwie. Oprogramowanie umożliwia utworzenie od podstaw całej konfiguracji na środowisku produkcyjnym lub transport utworzonej konfiguracji z niższych środowisk.
Przegląd naruszeń i plan naprawczy
Przegląd rekordów w systemie SAP Process Control odbywa się z poziomu transakcji NWBC. Dla każdego z wygenerowanych zdarzeń osoba weryfikująca ma możliwość podjęcia następujących decyzji:
- przypisanie planu naprawczego dla wygenerowanej pozycji (Assign Remediation Plan) – opcja dla zdarzeń, które np. zostały ocenione, jako nadużycia lub za niezgodne z polityką firmy. Zdarzenie jest przekazywane do osoby odpowiedzialnej za wdrożenie planu naprawczego,
- zamknięcia zgłoszenia bez podejmowania działań dla pozycji (Close Without Plan) – opcja dla zdarzeń niewpływających negatywnie na działalność firmy, nie są podejmowane żadne dodatkowe działania,
- przekazania wybranej pozycji innej osobie odpowiedzialnej (Reassign the issue) – opcja wybierana w przypadku, gdy zdarzenie nie leży zakresie odpowiedzialności przeglądającego lub w przypadku chęci skonsultowania zdarzenia lub eskalacji,
- oznaczenie pozycji, jako wyjątek (Exception) – wybranie tej opcji powoduje ponowne wygenerowanie pozycji w następnej wygenerowanej turze (kolejnego dnia, tygodnia lub miesiąca),
- oznaczenia pozycji, jako nieistotna (Void) – zamknięcia zgłoszenia dla pozycji np. gdy zgłoszenie zostało wcześniej przeprocesowane.
Analiza i optymalizacja
Na podstawie podjętych przez weryfikujących decyzji aplikacja generuje raporty znacznie wspierające prowadzenie czynności analitycznych. Dzięki temu kierownictwo może weryfikować czy skonfigurowane kontrole są efektywne oraz analizować, które procesy biznesowe narażone są na największe ryzyko. Na podstawie danych historycznych mogą również określić prawdopodobieństwo i wpływ poszczególnych zdarzeń, a także przewidywać ich bliskość. Dodatkowo w drodze analizy, przedsiębiorstwo ma możliwość wprowadzenia kontroli prewencyjnych dla procesów, wśród których odnotowano największą liczbę naruszeń.
W aplikacji uzupełnieniem kontroli automatycznych są ankiety – kontrole manualne. Przy ich wykorzystaniu (bazując na ocenie pracowników) możliwa jest m.in. ocena efektywności i adekwatności wdrożonych kontroli automatycznych. Kontrole w SAP Process Control mogą być wykorzystywane również przy mitygacji ryzyk SoD (SAP Access Control). Tam gdzie rozdział obowiązków nie jest możliwy, ryzyka są mitygowane. W takim wypadku rekomendowane jest wprowadzenie bieżącej kontroli działań użytkownika np. poprzez wdrożenie odpowiednich kontroli detekcyjnych.
Konsultant w dziale usług doradczych, GRC Advisory