Ya muchas empresas durante el 2013 ejecutaron
proyectos de implementación de modelos de monitoreo continuo a través de la
solución SAP GRC Access y/o Process Control.
En el caso de SAP GRC Access Control, este tipo de
iniciativas han sido más sencillas, dado a la madurez del producto con sus
reglas de segregación funcional (siglas en inglés SoD), las cuales generan
conexiones con SAP ERP de forma mucho más natural y estable, pero tratándose de
SAP GRC Process Control, la experiencia ha sido distinta y un tanto más
compleja, es así como a partir de las vivencias en implementación de reglas de
monitoreo continuo en SAP GRC Process Control, les comparto las siguientes
lecciones aprendidas:
1.- Privilegios adecuados en ambiente
de Desarrollo SAP GRC Process Control y SAP ERP.
Se debe contar con un mandante de Desarrollo SAP
GRC Process Control y SAP ERP con privilegios adecuados para el diseño,
construcción y pruebas unitarias de las reglas. El no contar con este requisito
esencial, pone en serio riesgo el éxito del proyecto y el cumplimiento de las
expectativas del mismo.
2.- Apoyo de equipo funcional SAP ERP.
Otros de los factores críticos de éxito tratándose
de implementación de reglas automáticas de monitoreo continuo, es el
involucramiento de los líderes funcionales o key users de los módulos SAP ERP a
los que se les aplicará reglas, de lo contrario el diseño de estas reglas puede
ponerse en riegos por el conocimiento funcional específico que se requiere de
los modelos de datos de cada aplicación funcional de SAP ERP.
El diseño y
construcción de reglas requiere de mucho conocimiento del modelo de datos del
módulo (bases de datos lógicas, tablas físicas, campos claves, etc.).
En algunos casos, es necesario crear ciertos
controles automáticos que emanan de programas y tablas Z (desarrollos no
estándar a la medida), ya que las reglas de control estándar que vienen con SAP
GRC Process Control, eventualmente puede que no cubran completamente la
necesidad de monitoreo de la entidad y en ese caso, se hace necesario crear un
control más ad hoc.
Nos podríamos preguntar. ¿Por qué debemos diseñar y construir reglas de controles para el monitoreo continuo con SAP GRC Process Control, si el producto las trae incorporadas de forma estándar?. La respuesta es, porque simplemente las reglas estándar no necesariamente cubren todas las necesidades de reglas de control que requieren las entidades y de ahí nace la necesidad de tener que crear reglas más acorde a los procesos de negocio.
3.- Conocimiento de los módulos
funcionales de SAP ERP del equipo implementador y de la empresa donde se
implementarán las reglas de control.
A lo menos se debe involucrar como parte del equipo
de consultores, un especialista conocedor del módulo funcional donde se aplicarán
las reglas, es decir, dentro de este equipo debe existir un grupo
multidisciplinario entre consultores especialistas en SAP GRC Process Control y
un especialista funcional del módulo SAP ERP que corresponda aplicarle reglas.
Es importante que el equipo multidisciplinario conozca de modelos de control interno y de esa forma se facilita de sobremanera el éxito de las reglas de control.
Respecto a este punto, es importante saber que hay
empresas que si cuentan con equipos de consultores funcionales internos (módulo
FI, CO, MM, SD, etc.) y que conocen muy bien los atributos funcionales de estos,
pero es factible encontrarse con empresas donde no necesariamente existirá este
tipo de especialistas y eso implica un riesgo para el proyecto,
salvo que este se mitigue con la incorporación de un consultor externo
funcional y el conocimiento de los procesos de negocio se obtiene de los
"key users", líderes funcionales o dueños de procesos de la entidad.
4.- Claridad en el diseño de los
controles y el objetivo que se quiere cubrir sobre los procesos de negocio.
En algunas situaciones se tiende a diseñar
controles que no necesariamente cubren lo que se desea controlar y este tipo de
issues puede impactar en la relación del control con la regla SAP GRC
Process Control, por lo que es necesario validar con los dueños de
proceso de forma exhaustiva el diseño y la relación de este con la regla de
control automático que quedará asociada a SAP GRC Process Control.
Recordemos que cuando los auditores internos o externos, auditen estos controles de procesos, lo harán sobre la base de validar en primera instancia el diseño de los mismos y si este es deficiente, estaremos frente a una debilidad de control que puede ser alta, media o baja (leve, material o significativa), dependiendo de que tan clave es el control y el proceso para la entidad.
5.- Conocimiento funcional especialista
de SAP GRC Process Control.
Es factor relevante el hecho que los
consultores asesores conozcan las funcionalidades de la solución SAP
GRC Process Control en lo relativo a creación de frameworks, manejo de los
workfkows, alertas, configuración de las reglas de controles automáticos
estándar y cuatomizadas (Z). No basta involucrar a consultores especialistas en
SAP GRC Access Control, ya que se trata de funcionalidades distintas y que
apuntan a otros ámbitos distintos a los que cubre Access Control y en eso debe ser
cuidadoso y el perfil de profesionales que debe involucrarse en proyectos de
SAP GRC Process Control, es más relacionado con procesos de negocio de diversas industrias que
tecnológico, por lo que es importante involucrar a profesionales con dichas skills y formar equipos multidisciplinarios.
6.- Diseñar escenarios de pruebas
integrales de los controles automáticos y ejecución de las mismas en un
ambiente de prueba (QAS).
La confección de escenarios de pruebas integrales y
el hecho de ejecutar las mismas en un ambiente QAS, es de suma
importancia en un proyecto de implementación de controles automáticos en SAP
GRC Process Control y en algunas implementaciones me ha tocado ver, que ciertas
empresas no contemplan un ambiente "QAS" de pruebas dado a que ven
erróneamente que es un sistema que no lo requiere y en rigor si lo requiere
alineado con buenas prácticas de control de cambios.
Lo otro, se debe contar con datos de prueba
funcionales adecuados para verificar que las reglas de controles automáticos
interactúan adecuadamente con el modelo transaccional funcional de SAP ERP, de
lo contrario es factible que la información que arroja la regla, fracase y no
cumpla el objetivo de mantener un adecuado monitoreo continuo de los controles
claves de SAP ERP.
