La gestione dei controlli interni aziendali può avere diverse prospettive e viste. A seconda delle normative o framework nelle quali una azienda deve operare.
In questa situazione il prodotto SAP GRC Process Control può aiutare a semplificare non solo la gestione dei controlli interni (Internal Control) ma anche quella degli altri attori che sono chiamati a contribuire al sistema di controllo aziendale.
Prima di parlare di soluzioni e strumenti è utile avere chiaro il perimetro normativo, gli obblighi le best practices ed i ruoli/responsabilità.
Una delle normative più famose nel contesto finanziario, ad esempio, è sicuramente la Sarbanes and Oxley (SoX) americana e le sue declinazioni nei vari stati.
In questo contesto la normativa riporta nelle sezioni seguenti, alcuni passaggi importanti:
È importante inoltre sottolineare che l'internal Audit, quindi, non deve essere confuso con l'internal control. Il primo fa solitamente riferimento direttamente all'amministratore o consiglio. Mentre il secondo viene rappresentato dalle funzioni aziendali che svolgono le attività di controllo.
Di fatto viene richiesto di:
In base alle linee guida definite dal Public Company Accounting Oversight Board (PCAOB), una società no-profit, costituita proprio dalla legge SoX vengono definite le modalità con le quale condurre gli assessment (valutazioni), diventando uno standard di riferimento anche al di fuori degli Stati Uniti. Ovvero definire lo scoping, effettuare le valutazioni sulla bontà dei controlli (Design Assessment e Test of Effectiveness) e la condivisione con le parti interessate.
Il sistema SAP GRC Process control serve proprio per rispondere alle tematiche sopra. Ma anche ad altre normative o policy aziendale, più in generale le Regulation, come sono definite nello strumento. Alcuni esempi:
Attenzione, nel caso, ad esempio, del GDPR, il process control non i occupa ad esempio di diritto all'oblio, masking dei dai o scrambling, ma piuttosto definisce le logiche dei controlli che devono essere svolti per verificare che i requisiti del GDPR siano rispettati.
Definendo quindi un insieme di anagrafiche, tra le principali:
che permettono di centralizzare la gestione e la documentazione dei controlli interni aziendali (evitando quindi di usare ad esempio fogli elettronici).
Non solo. Tutto i processi di valutazione degli oggetti sopra possono essere automatizzati. Ovvero è possibile definire dei workflow specifici come suggerito dai principali framework citati in precedenza. Ad esempio:
Il tutto basato sulla possibilità di eseguire dei risk based assessment ed individuare gli oggetti da sottoporre ad auditing, in due principali modalità:
Sono diversi i vantaggi:
Su questo ultimo punto importante è la funzionalità di automated monitoring del SAP GRC Process Control che permette di automatizzare il test dei controlli.
Questa funzionalità permette di associare ad un controllo, delle regole automatiche che ne permettono il test. Ovvero che in automatico verificano una certa configurazione del sistema.
Nella sezione Continuous Monitoring è possibile definire le regole di controllo ovvero:
I data source rappresentano una astrazione dei sistema target dove saranno recuperati i dati da testare. Ad esempio, nel contesto SAP, voglio verificare che il mandante sia chiuso, oppure che non vi siano fatture doppie.
In questo caso il data source sarà associato ad un sistema SAP ERP oppure S/4HANA e attingerà alle relative tabelle per recupere le informazioni.
Successivamente sarà necessario creare delle Business Rule ovvero le logiche di lettura dei dati (recuperati tramite il Data Sources) applicando eventualmente dei calcoli, filtri o condizioni di verifica. Definendo soprattutto i Deficiency Criteria ovvero i criteri per la quale il test del controllo sarà superato o meno.
Infine, sarà necessario associare la regola creata (Business Rules) al relativo controllo, Tramite il legame Organizzazione -> Sotto Processo -> Controllo -> Business Rules
Nel tab specifico del controllo chiamato appunto "Business Rules" sarà possibile vedere che il controllo automatico, nel caso sotto "GL Posting document type level" sarà associato alla regola BR_DS_002"
Infine, tramite la pianificazione di un job specifico, in base alla cadenza selezionata il sistema andrà a verificare se la business rule sarà soddisfatta o meno (Pass o Fail) confermando la bontà del test oppure generando automaticamente una issue in caso contrario.
Il control owner in caso di anomalia riceverà una notifica di avviso da gestire, come mostrato nella figura seguente
Decidendo come processare la issue, tramite un remediation plan oppure chiudendo ad esempio la issue dopo la sua risoluzione.
Il tutto sarà poi tracciato nell'anagrafica del controllo con la possibilità di vederne esiti.