miércoles, 1 de enero de 2014

6 lecciones aprendidas de implementaciones de reglas automáticas de monitoreo continuo en SAP GRC Process Control

Ya muchas empresas durante el 2013 ejecutaron proyectos de implementación de modelos de monitoreo continuo a través de la solución SAP GRC Access y/o Process Control.

En el caso de SAP GRC Access Control, este tipo de iniciativas han sido más sencillas, dado a la madurez del producto con sus reglas de segregación funcional (siglas en inglés SoD), las cuales generan conexiones con SAP ERP de forma mucho más natural y estable, pero tratándose de SAP GRC Process Control, la experiencia ha sido distinta y un tanto más compleja, es así como a partir de las vivencias en implementación de reglas de monitoreo continuo en SAP GRC Process Control, les comparto las siguientes lecciones aprendidas:

1.- Privilegios adecuados en ambiente de Desarrollo SAP GRC Process Control y SAP ERP.

Se debe contar con un mandante de Desarrollo SAP GRC Process Control y SAP ERP con privilegios adecuados para el diseño, construcción y pruebas unitarias de las reglas. El no contar con este requisito esencial, pone en serio riesgo el éxito del proyecto y el cumplimiento de las expectativas del mismo.

2.- Apoyo de equipo funcional SAP ERP.

Otros de los factores críticos de éxito tratándose de implementación de reglas automáticas de monitoreo continuo, es el involucramiento de los líderes funcionales o key users de los módulos SAP ERP a los que se les aplicará reglas, de lo contrario el diseño de estas reglas puede ponerse en riegos por el conocimiento funcional específico que se requiere de los modelos de datos de cada aplicación funcional de SAP ERP.  

El diseño y construcción de reglas requiere de mucho conocimiento del modelo de datos del módulo (bases de datos lógicas, tablas físicas, campos claves, etc.).

En algunos casos, es necesario crear ciertos controles automáticos que emanan de programas y tablas Z (desarrollos no estándar a la medida), ya que las reglas de control estándar que vienen con SAP GRC Process Control, eventualmente puede que no cubran  completamente la necesidad de monitoreo de la entidad y en ese caso, se hace necesario crear un control más ad hoc.

Nos podríamos preguntar. ¿Por qué debemos diseñar y construir reglas de controles para el monitoreo continuo con SAP GRC Process Control, si el producto las trae incorporadas de forma estándar?. La respuesta es, porque simplemente las reglas estándar no necesariamente cubren todas las necesidades de reglas de control que requieren las entidades y de ahí nace la necesidad de tener que crear reglas más acorde a los procesos de negocio.

3.- Conocimiento de los módulos funcionales de SAP ERP del equipo implementador y de la empresa donde se implementarán las reglas de control.

A lo menos se debe involucrar como parte del equipo de consultores, un especialista conocedor del módulo funcional donde se aplicarán las reglas, es decir, dentro de este equipo debe existir un grupo multidisciplinario entre consultores especialistas en SAP GRC Process Control y un especialista funcional del módulo SAP ERP que corresponda aplicarle reglas.

Es importante que el equipo multidisciplinario conozca de modelos de control interno y de esa forma se facilita de sobremanera el éxito de las reglas de control. 

Respecto a este punto, es importante saber que hay empresas que si cuentan con equipos de consultores funcionales internos (módulo FI, CO, MM, SD, etc.) y que conocen muy bien los atributos funcionales de estos, pero es factible encontrarse con empresas donde no necesariamente existirá este tipo de especialistas y eso implica un riesgo para el proyecto, salvo que este se mitigue con la incorporación de un consultor externo funcional y el conocimiento de los procesos de negocio se obtiene de los "key users", líderes funcionales o dueños de procesos de la entidad.

4.- Claridad en el diseño de los controles y el objetivo que se quiere cubrir sobre los procesos de negocio.

En algunas situaciones se tiende a diseñar controles que no necesariamente cubren lo que se desea controlar y este tipo de issues puede impactar en la relación del control con la regla SAP GRC  Process Control, por lo que es necesario validar con los dueños de proceso de forma exhaustiva el diseño y la relación de este con la regla de control automático que quedará asociada a SAP GRC Process Control.  

Recordemos que cuando los auditores internos o externos, auditen estos controles de procesos, lo harán sobre la base de validar en primera instancia el diseño de los mismos y si este es deficiente, estaremos frente a una debilidad de control que puede ser alta, media o baja (leve, material o significativa), dependiendo de que tan clave es el control y el proceso para la entidad.

5.- Conocimiento funcional especialista de SAP GRC Process Control.

Es factor relevante el hecho que los consultores asesores conozcan las funcionalidades de la solución SAP GRC Process Control en lo relativo a creación de frameworks, manejo de los workfkows, alertas, configuración de las reglas de controles automáticos estándar y cuatomizadas (Z). No basta involucrar a consultores especialistas en SAP GRC Access Control, ya que se trata de funcionalidades distintas y que apuntan a otros ámbitos distintos a los que cubre Access Control y en eso debe ser cuidadoso y el perfil de profesionales que debe involucrarse en proyectos de SAP GRC Process Control, es más relacionado con procesos de negocio de diversas industrias que tecnológico, por lo que es importante involucrar a profesionales con dichas skills y formar equipos multidisciplinarios.


6.- Diseñar escenarios de pruebas integrales de los controles automáticos y ejecución de las mismas en un ambiente de prueba (QAS).

La confección de escenarios de pruebas integrales y el hecho de ejecutar las mismas en un ambiente QAS, es de suma importancia en un proyecto de implementación de controles automáticos en SAP GRC Process Control y en algunas implementaciones me ha tocado ver, que ciertas empresas no contemplan un ambiente "QAS" de pruebas dado a que ven erróneamente que es un sistema que no lo requiere y en rigor si lo requiere alineado con buenas prácticas de control de cambios.

Lo otro, se debe contar con datos de prueba funcionales adecuados para verificar que las reglas de controles automáticos interactúan adecuadamente con el modelo transaccional funcional de SAP ERP, de lo contrario es factible que la información que arroja la regla, fracase y no cumpla el objetivo de mantener un adecuado monitoreo continuo de los controles claves de SAP ERP.

De no considerar estos factores críticos de éxito, es probable que su proyecto de implementación de reglas de controles automáticos en SAP GRC Process Control, no llegue a cubrir las expectativas deseadas y no sólo para SAP GRC Process Control, sino que para cualquier iniciativa de implementación de controles automáticos de monitoreo continuo, se deben tener estas consideraciones.

Publicado por en
Etiquetas:

2 comentarios:

  1. Sebajuez #12D21 de mayo de 2014, 8:02

    Excelente Pedro, adhiero a todos los puntos. La misma experiencia de este lado de la cordillera.

    ResponderEliminar
  2. Anónimo15 de septiembre de 2014, 19:04

    Muy de acuerdo. Excelente identificación de escenarios de riesgos. Saludos desde RD!

    ResponderEliminar

Comentarios blog GRC Chile

Suscribirse a: Enviar comentarios (Atom)