AGLEA SAP Security Blog

SAP GRC Process Control

Scritto da Massimo Manara | Mar 9, 2022 7:15:00 AM

La gestione dei controlli interni aziendali può avere diverse prospettive e viste. A seconda delle normative o framework nelle quali una azienda deve operare. 

 

 

In questa situazione il prodotto SAP GRC Process Control può aiutare a semplificare non solo la gestione dei controlli interni (Internal Control) ma anche quella degli altri attori che sono chiamati a contribuire al sistema di controllo aziendale.

 

Le normative e framework di riferimento

Prima di parlare di soluzioni e strumenti è utile avere chiaro il perimetro normativo, gli obblighi le best practices ed i ruoli/responsabilità.

 

Una delle normative più famose nel contesto finanziario, ad esempio, è sicuramente la Sarbanes and Oxley (SoX) americana e le sue declinazioni nei vari stati.

 

In questo contesto la normativa riporta nelle sezioni seguenti, alcuni passaggi importanti:

  • Sezione 302
    • viene richiesto un miglioramento e la trasparenza dell'informativa finanziaria
  • Sezione 404
    • responsabilizzazione delle figure di controllo aziendale, in particolare CEO e CFO, sul sistema di controllo interno aziendale. Il management in generale deve valutare l'efficacia del sistema di controllo interno sul reporting finanziario (ICFR Internal Control over Financial Reporting) in aggiunta al revisore esterno

 

È importante inoltre sottolineare che l'internal Audit, quindi, non deve essere confuso con l'internal control. Il primo fa solitamente riferimento direttamente all'amministratore o consiglio. Mentre il secondo viene rappresentato dalle funzioni aziendali che svolgono le attività di controllo. 

 

Cosa viene richiesto quindi dalle normative?

Di fatto viene richiesto di:

  • formalizzare i controlli interni
  • definire delle responsabilità chiare
  • fornire e documentare le evidenze dei controlli
  • le valutazioni effettuate sui controlli devono seguire degli standard di riferimento, ad esempio, il COSO framework (The Committee of Sponsoring Organizations)

 

In base alle linee guida definite dal Public Company Accounting Oversight Board (PCAOB), una società no-profit, costituita proprio dalla legge SoX vengono definite le modalità con le quale condurre gli assessment (valutazioni), diventando uno standard di riferimento anche al di fuori degli Stati Uniti. Ovvero definire lo scoping, effettuare le valutazioni sulla bontà dei controlli (Design Assessment e Test of Effectiveness) e la condivisione con le parti interessate.

 

A cosa può servire il sistema SAP GRC Process Control quindi?

Il sistema SAP GRC Process control serve proprio per rispondere alle tematiche sopra. Ma anche ad altre normative o policy aziendale, più in generale le Regulation, come sono definite nello strumento. Alcuni esempi:

  • SoX, JSOX
  • Dlgs. 231/2001 Legge 262/2005
  • Basilea / Solvency
  • FCPA - Foreign Corrupt Practices Act statunitense
  • GDPR - General Data Protection Regulation
  • FDA - Food and Drug Administration
  • GxP
  • Legge 81/2008

 

Attenzione, nel caso, ad esempio, del GDPR, il process control non i occupa ad esempio di diritto all'oblio, masking dei dai o scrambling, ma piuttosto definisce le logiche dei controlli che devono essere svolti per verificare che i requisiti del GDPR siano rispettati.

 

Definendo quindi un insieme di anagrafiche, tra le principali:

  • Processi
  • Sotto processi
  • Controlli
  • Rischi
  • Account group
  • Regulation/Policy

 

che permettono di centralizzare la gestione e la documentazione dei controlli interni aziendali (evitando quindi di usare ad esempio fogli elettronici).

 

Non solo. Tutto i processi di valutazione degli oggetti sopra possono essere automatizzati. Ovvero è possibile definire dei workflow specifici come suggerito dai principali framework citati in precedenza. Ad esempio:

 

  • Control Risk Assessment
  • Control/SubProcess Design Assessment (vedi esempio sotto)

  • Control Self-Assessment
  • Control Effectiveness Test

 

Il tutto basato sulla possibilità di eseguire dei risk based assessment ed individuare gli oggetti da sottoporre ad auditing, in due principali modalità:

 

  • Materiality analysis, in questo caso è possibile riportare i gruppi conti aziendali, stabilire delle soglie di materialità e di conseguenza indirizzare gli audit (sfruttando i collegamenti tra le anagrafiche)
  • Control risk assessment and level of evidence, in questo caso è possibile sfruttare l'analisi dei rischi per guidare il processo di verifica dei controlli

 

Quali i vantaggi dell'uso del SAP GRC Process Control

Sono diversi i vantaggi:

  • la possibilità di centralizzare tutte le anagrafiche per la gestione processi di controllo
  • la possibilità di tracciare tutte le valutazioni effettuate e tutte le evidenze
  • definire dei workflow per la gestione dei processi di valutazione (controlli, rischi, issue o remediation plan)
  • la possibilità di automatizzare i controlli

 

Su questo ultimo punto importante è la funzionalità di automated monitoring del SAP GRC Process Control che permette di automatizzare il test dei controlli.

 

SAP GRC Automated Monitoring

Questa funzionalità permette di associare ad un controllo, delle regole automatiche che ne permettono il test. Ovvero che in automatico verificano una certa configurazione del sistema.

 

Nella sezione Continuous Monitoring è possibile definire le regole di controllo ovvero:

  • Data Sources
  • Business Rules

 

I data source rappresentano una astrazione dei sistema target dove saranno recuperati i dati da testare. Ad esempio, nel contesto SAP, voglio verificare che il mandante sia chiuso, oppure che non vi siano fatture doppie. 

 

In questo caso il data source sarà associato ad un sistema SAP ERP oppure S/4HANA e attingerà alle relative tabelle per recupere le informazioni.

 

Successivamente sarà necessario creare delle Business Rule ovvero le logiche di lettura dei dati (recuperati tramite il Data Sources) applicando eventualmente dei calcoli, filtri o condizioni di verifica. Definendo soprattutto i Deficiency Criteria ovvero i criteri per la quale il test del controllo sarà superato o meno.

 

Infine, sarà necessario associare la regola creata (Business Rules) al relativo controllo, Tramite il legame Organizzazione -> Sotto Processo -> Controllo -> Business Rules

 

Nel tab specifico del controllo chiamato appunto "Business Rules" sarà possibile vedere che il controllo automatico, nel caso sotto "GL Posting document type level" sarà associato alla regola BR_DS_002"

 

 

Infine, tramite la pianificazione di un job specifico, in base alla cadenza selezionata il sistema andrà a verificare se la business rule sarà soddisfatta o meno (Pass o Fail) confermando la bontà del test oppure generando automaticamente una issue in caso contrario.

 

Il control owner in caso di anomalia riceverà una notifica di avviso da gestire, come mostrato nella figura seguente

 

Decidendo come processare la issue, tramite un remediation plan oppure chiudendo ad esempio la issue dopo la sua risoluzione.

 

Il tutto sarà poi tracciato nell'anagrafica del controllo con la possibilità di vederne esiti.

 

 
Visualizza articolo completo