Cosa significa questa sigla? Che differenza c'è tra SAP GRC e SAP BIS? Si tratta di una evoluzione o prodotti diversi tra loro?

Come è possibile prevenire le frodi nei sistemi SAP e non-SAP?

Frodi in SAP, come gestirle?

I sistemi SAP, soprattutto il sistema ERP contiene moltissimi dati, in base ai processi aziendali che sono gestiti su questo sistema.

Nella maggior parte dei casi sono almeno i processi finanziari, ma in altre situazioni sono parecchi i processi gestiti su questi sistemi. Non solo finanziari, ma anche legati agli acquisti, alla gestione del magazzino, le vendite, la gestione delle risorse umane e così via.

In tutti questi processi possono essere effettuate operazioni che potenzialmente potrebbero attivare una frode.

L'idea è quella di riuscire a rispondere principalmente alle seguenti domande:

• come è possibile identificare una frode prima che avvenga?
• come è possibile identificare dei pattern che potrebbero attivare delle frodi?
• come è possibile ridurre e gestire i falsi positivi?
• ci sono impatti sulle performance dei processi analizzando tutti i dati aziendali e tutte le transazioni impattate?

Non sono sicuramente tematiche semplici, anche perché non sempre si riesce ad intervenire per tempo. Nonostante le statistiche ci dicano che una frode mediamente si compie nel giro di 14 mesi (pag. 14 Report to the Nations 2020 - ACFE).

Infine, la velocità nel rilevare la frode (detection fase) ha una importanza strategica. In quanto con prima viene individuata, con molta probabilità si ridurranno i possibili effetti negativi.

Attenzione, non tutto deve essere gestito internamente e tramite strumenti informatici. Parte fondamentale del processo di prevenzione delle frodi deve avvenire attraverso tutte le parti interessate (stakeholders), quindi non solo dipendenti ma anche, ad esempio fornitori, clienti.

In non sapere a chi rivolgersi quando c'è un problema non agevola questo processo.

Diventa quindi importante pubblicizzare e diffondere dei canali specifici di ascolto e comunicazione.

Cosa significa SAP BIS?

Si tratta di un acronimo della soluzione SAP Business Integrity Screening. Questo nome ha sostituito il predecessore SAP Fraud Management.

Ma qual è la relazione tra Fraud Management e GRC? Mentre il SAP Enterprise Threat Detection? Sono relazionati questi sistemi/moduli SAP?

Sì, sono molto relazionati tra loro, ognuno ha uno specifico scopo ovviamente. Più in generale, il prodotto SAP Assurance and Compliance Software è formato da queste soluzioni:

• SAP Business Integrity Screening
• SAP Audit Management
• SAP Business Partner Screening
• SAP Tax Compliance

Le soluzioni sopra rientrano nell'application component GRC (Governance Risk and Compliance). Nel caso sel SAP Enteriprise Threat Detection la vista è più architetturale ed infrastrutturale, meno business oriented. 

Ma cosa permettono di fare questi strumenti?

SAP Business Integrity Screening powered by SAP HANA permette alle organizzazioni di: identificare, investigare, analizzare e prevenire irregolarità o frodi, controllando sistemi con altissimi volumi di dati coinvolti.

• È possibile analizzare sistemi SAP e non-SAP che potrebbero essere oggetto di possibili frodi
• Fornisce una soluzione per definire delle modalità di identificazione delle frodi in maniera parametrica e strutturata.

SAP Audit Management powered by SAP HANA supporta e migliora le operazioni di auditing effettuate in azienda, sostituendo di fatto l'excel che spesso viene usato anche in contesti molto grandi con i limiti del caso.

• Fornisce un approccio risk based durante la pianificazione degli audit
• Permette di approcciare l'audit in maniera collaborativa, sfruttando team diversi che usano la stessa piattaforma in modo strutturato

SAP Business Partner Screening powered by SAP HANA permette di verificare (rating) che i business partner utilizzati dall'azienda siano selezionati e potenzialmente certificati, usando anche elenchi pubblici disponibili.

SAP Tax Compliance powered by SAP HANA permette di rilevare automaticamente delle inconsistenze o anomalie nel rispetto delle fiscalità (es. dichiarazioni IVA).

Ulteriori approfondimenti anche nella nota OSS seguente: Release Information Note for SAP Assurance and Compliance Software

Nota: nel caso si voglia utilizzare le Predictive Detection Methods App, servono ulteriori licenze oltre a quelle del SAP BIS, SAP BusinessObjects Predictive Analytics, SAP HANA Predictive Analysis Library (PAL)

Infine, non può essere installato sulla stessa macchina dove risiede già il SAP GRC.

Cosa ti permette di fare SAP BIS?

Sono 5 le macro-attività che permette di fare questo strumento:

1. Progettazione (Design)
2. Simulazione ed armonizzazione (Setup)
3. Identificazione (Detect)
4. Investigazione (Ricerca)
5. Reportistiche (Analyze Performance)

Di fatto permette di gestire quanto riportato e descritto all'inizio dell'articolo.

Tramite la fase di progettazione è possibile definire delle proprie regole (anche sfruttando l'engine HANA) oppure usufruire delle più di 70 regole già pre-definite, ad esempio:

• Modifiche frequenti ad anagrafica fornitori
• Creazione o modifica di fornitori in paesi a rischio
• Irregolarità nel processo dei pagamenti
• Scritture contabili effettuato fuori da orari "standard"
• Controllo sulle descrizioni, di fornitori o ordini di acquisto
• Irregolarità nei processi di rimborsi spesa

Queste regole possono essere a seguito "armonizzate" ovvero è possibile ritoccare i parametri definiti per limitare il numero di falsi positivi.

A seguito della identificazione dei possibili casi, sono generate delle alert, queste ultime devono essere visionate ed approfondite, per capire se è necessario ritoccare di nuovo le regole "Detection Method" oppure se è necessario svolgere altre attività (es. organizzative o dichiararle come falsi positivi).

Quanto sopra è possibile anche dall'architettura utilizzata, che sfruttando SAP HANA può elaborare molti dati ed essere anche collegata ai sistemi SAP GRC Process Control o Risk Management.