Duże korporacje coraz częściej przyjmują ujednolicone reguły w zakresie ładu korporacyjnego, ryzyka i zgodności z przepisami (Governance, Risk and Compliance, GRC). Strategia GRC pozwala nakreślić jasne reguły dla pracowników i standaryzować procesy. Dzięki wsparciu technologicznemu, jakie zapewnia rozwiązanie SAP GRC, możliwe jest objęcie tymi regułami każdego poziomu złożonej organizacji.

Działanie w otoczeniu biznesowym, które obejmuje także partnerów, dostawców i klientów, i związane z tym wychodzenie podstawowych procesów organizacji poza obszar przedsiębiorstwa sprawia, że coraz częściej zagadnieniami GRC są zainteresowane nie tylko największe międzynarodowe korporacje.

Rozwiązania SAP wspierające procesy GRC można podzielić na trzy grupy obejmujące narzędzia do zarządzania ładem korporacyjnym (SAP GRC Repository, SAP GRC Corporate Sustainability Management), zarządzanie ryzykiem (SAP GRC Risk Management) oraz zgodność z przepisami (SAP GRC Access Control, SAP GRC Process Control, SAP GRC Global Trade Services i aplikacje SAP dla zgodności z wymaganiami w zakresie ochrony środowiska).

W artykule skupiamy się na wzbudzających największe zainteresowanie polskich firm rozwiązaniach SAP GRC Risk Management (Zarządzanie ryzykiem) oraz SAP GRC Process Control (Kontrola procesów).

SAP GRC Risk Management

Zarządzanie ryzykiem staje się koniecznością nie tylko w wielkich koncernach. Wraz z postępem globalizacji i integracji rynków powstają nowe rodzaje ryzyka, które dotyczą także mniejszych firm. Dzięki narzędziom SAP GRC Risk Management możemy określić i zakomunikować cele zarządzania ryzykiem i jego ramy.

Proces zarządzania ryzykiem wymaga, aby ryzyko było nie tylko akceptowane, ale też aktywnie zarządzane. Wymagana jest także akceptacja kosztów, które zarządzanie ryzykiem zawsze ze sobą niesie.

Efektywne zarządzanie ryzykiem pozwala minimalizować zagrożenia. Budowa strategii zarządzania ryzykiem pozwala też tworzyć nowe wartości poprzez identyfikowanie ryzyk mających wpływ na rentowność biznesu, zwiększenie konkurencyjności i efektywności procesów w organizacji.

Proces zarządzania ryzykiem powinien być postrzegany nie tylko jako program łagodzenia skutków zagrożeń, ale również jako strategiczna szansa rozwoju. Przegląd listy zagrożeń, planów i ryzyk powinien być zintegrowany z celami strategicznymi firmy zarówno krótkoterminowymi, jak i długoterminowymi.

Jednym z zagrożeń dla firm produkcyjnych jest np. nieplanowana przerwa w produkcji spowodowana awarią systemów IT. Dlatego ważne jest opracowanie scenariuszy postępowania uwzględniających wszystkie możliwe awarie. Wynikiem analizy istniejących zagrożeń są zarówno procedury (np. system kontroli), jak i rozwiązania technologiczne. Innymi zagrożeniami dla procesów produkcyjnych mogą być blackouty czy też niemonitorowane opóźnienia dostaw.

Obecnie funkcjonuje wiele standardów i metodologii zarządzania ryzykiem. W obszarze ładu korporacyjnego jest to COSO Enterprise Risk Management, dla spółek giełdowych notowanych w USA wymagane jest spełnianie zapisów ustawy Sarbanes-Oxley Act (SOX), dla zarządzania bezpieczeństwem informacji wykorzystywana jest norma ISO/IEC 27001 System Zarządzania Bezpieczeństwem Informacji.

Proces zarządzania ryzykiem wspierany przez narzędzie SAP GRC Risk Management składa się z czterech podstawowych etapów:

  • Planowanie ryzyka (definiujemy procesy, założenia, cele i ograniczenia ryzyka. Co chcemy monitorować? Identyfikujemy punkty krytyczne z uwzględnieniem istniejących zagrożeń i ryzyk);
  • Identyfikacja i analiza ryzyka (identyfikujemy ryzyko, jego prawdopodobieństwo wystąpienia oraz to, jaki ma ono wpływ z punktu widzenia ilościowego i jakościowego funkcjonowania firmy);
  • Minimalizowanie ryzyka (w jaki sposób możemy zminimalizować lub usunąć zagrożenie? Ile to kosztuje? Jaki jest możliwy zwrot z inwestycji? Kto jest odpowiedzialny za podjęcie decyzji? Określenie planu postępowania z ryzykiem);
  • Monitorowanie ryzyka (ciągłe monitorowanie stanu i poziomu ryzyk w firmie, tak aby zapobiec wystąpieniu incydentu lub utraty ciągłości działania. Budowa mechanizmów monitorowania ryzyka w organizacji).

W odróżnieniu od innych procesów funkcjonujących w firmie zarządzanie ryzkiem jest procesem ciągłym, opartym na metodologii cyklu Deminga (zawiera chronologicznie uporządkowane działania, typowe dla układu sterowania ze sprzężeniem zwrotnym).

Planowanie ryzyka

Planowanie ryzyka dla poszczególnych procesów jest możliwe dzięki integracji SAP GRC z innymi funkcjonalnościami systemu SAP. Odbywa się ono m.in. poprzez określenie kluczowych wskaźników ryzyka w SAP GRC Risk Management:

  • Zasoby ludzkie. SAP GRC Risk Management jest zintegrowany z SAP HR/SAP HCM, dzięki czemu możemy otrzymywać alerty, np. w przypadku jednoczesnego odejścia kluczowych pracowników z jednego działu (np. dyrektor handlowy oraz przedstawiciele handlowi lub menedżer IT i administratorzy SAP);
  • Projekty. Status projektów oraz weryfikacja umów będących w zawieszeniu są monitorowane dzięki integracji SAP GRC Risk Management z SAP PS i SAP CRM. Można otrzymywać alerty dotyczące przekroczenia terminów etapów projektów;
  • Konkurencja. Przykładem może być sytuacja, gdy kluczowy klient zostanie przejęty przez konkurencję. SAP GRC Risk Management jest zintegrowany z SAP CRM, dlatego może zgłosić alert dotyczący wszystkich istotnych działań związanych z procesem sprzedaży w przypadku utraty klienta;
  • Zarządzanie dostawcami. SAP GRC Risk Management dzięki danym z SAP ERP może zgłaszać alerty dotyczące opóźnień ze strony dostawców. W przypadku procesów priorytetowych dla firmy opóźnienia dostawców mogą stanowić duże zagrożenie dla ciągłości produkcji. Dzięki wskaźnikom w SAP GRC Risk Management możemy reagować na zmiany na rynku oraz wahania w łańcuchu dostaw;
  • Wymagania prawne. Wszelakie wymagania wynikające z ustaw, zarządzeń i umów oraz podejście firmy do ich wypełnienia powinny być wyraźnie określone, udokumentowane i aktualizowane dla każdego procesu. SAP GRC Risk Management umożliwia kontrolowanie prawidłowego wykonywania procesu zgodnie z politykami bezpieczeństwa i standardami;
  • Wahania rynku. Efektywne zarządzanie ryzykiem rynkowym jest niemożliwe bez wsparcia narzędzi IT. SAP GRC Risk Management umożliwia monitorowanie wskaźnika, np. dla aktywnej oceny ryzyka portfeli czy zabezpieczenia marży;
  • Środowisko pracy. SAP GRC Risk Management integruje się z SAP Environment, Health & Safety, możemy więc otrzymywać alerty, jeśli występujące wypadki przy pracy mają wpływ na bezpieczeństwo pracy i środowisko (przepisy BHP). Istotne jest również utrzymanie bezpiecznego środowiska pracy. Niektóre firmy są zobowiązane do utrzymania urządzeń zgodnie z normami bezpieczeństwa. Dzięki integracji SAP GRC Risk Management z SAP ERP możemy wybrać opcję otrzymywania alertów, kiedy przeglądy nie są prowadzone na czas;
  • Wejście na nowy rynek. Jednym z ryzyk jest niezgodność z regulacjami dotyczącymi handlu. SAP GRC Risk Management integruje się z SAP Global Trade Services, dzięki czemu można wybrać opcję otrzymywania alertów, np. jeśli dokumentacja dotycząca eksportu nie została zaakceptowana przez organy celne.

Wykorzystanie wszystkich informacji z SAP GRC Risk Management, jak również ryzyka uwzględniające nieusystematyzowane informacje zawarte w innych systemach IT firmy, serwerach pocztowych, arkuszach kalkulacyjnych i innych dokumentach w wersji elektronicznej umożliwiają stworzenie jednego repozytorium dla ERM (Enterprise Risk Management – zintegrowane zarządzanie ryzykiem).

(Nie)straszne kontrole wewnętrzne

Ustawa Sarbanes-Oxley Act (SOX) zatwierdzona przez Kongres USA w 2002 r. ustanowiła nowe obowiązki związane z kontrolami wewnętrznymi i raportowaniem finansowym dla przedsiębiorstw zarejestrowanych w Amerykańskiej Komisji Papierów Wartościowych i Giełd (US Securities and Exchange Comission, SEC). Choć obowiązuje ona tylko przedsiębiorstwa z USA, to w rzeczywistości zmieniła podejście do kontroli wewnętrznych na całym świecie.

Zarządzanie uprawnieniami

Innym narzędziem z rodziny SAP GRC, o które coraz częściej pytają nasi klienci, jest Access Control. Zapewnienie właściwego podziału obowiązków z odpowiednimi uprawnieniami (segregation of duties – SoD), to nie lada wyzwanie, szczególnie w rozległych środowiskach SAP.

SAP GRC Access Control jest narzędziem, które pozwala zaimplementować odpowiednie reguły w zakresie uprawnień i dostarczać narzędzia monitorujące. Wspiera również w przestrzeganiu regulacji prawnych (np. SOX). Dzięki funkcjom audytów dostępne są obszerne raporty, które pozwalają eliminować konflikty, nadużycia i błędy w uprawnieniach oraz dostarczać precyzyjnych informacji dla kierownictwa firmy. SAP GRC Access Control wspiera organizację w kontroli dostępu do kluczowych zasobów informacyjnych firmy, które są jej największą wartością.
Tomasz Wawrzonek, Menedżer IT w Dziale Usług Outsourcingowych, All for One Poland

Z powodu powiązań kapitałowych z firmami zarejestrowanymi w SEC lub dobrowolnego przyjęcia dobrych standardów wprowadzonych przez tę ustawę także przedsiębiorstwa spoza Stanów często dostosowują się do wymogów tej ustawy.

Działanie w złożonym otoczeniu biznesowym sprawia, że zagadnieniami ładu korporacyjnego, zarządzania ryzykiem i zgodnością z przepisami jest zainteresowanych coraz więcej firm

SOX wprowadza między innymi odpowiedzialność zarządu za utworzenie i utrzymanie systemu kontroli wewnętrznych raportowania finansowego na potrzeby SEC. Wymaga certyfikowania danych zawartych w okresowych sprawozdaniach finansowych przez prezesa zarządu i dyrektora finansowego oraz informowania o wszelkich problemach w zakresie kontroli wewnętrznych. Każdy raport roczny musi zawierać raport adekwatności i wydajności systemu kontroli wewnętrznych danych finansowych, przygotowany przez zarząd oraz zewnętrznego audytora.

Wewnętrzne kontrole finansowe to temat delikatny i wymagający uwzględnienia wielu aspektów. Problemem może być ograniczony wgląd osób kontrolujących w kontrolowane środowisko. Dla pracowników działu kontroli wewnętrznej nie wszystkie aspekty zagadnień finansowych są przejrzyste. Konieczne jest więc zaangażowanie w kontrolę dużej liczby pracowników.

Często problemem jest „brak jednej prawdy” wynikającej z rozproszenia i dublowania się systemów dostarczających dane na potrzeby kontroli. Przy dużej liczbie obszarów, które należy audytować, wyzwaniem są ograniczona automatyzacja kontroli i konieczność wykonywania powtarzalnej pracy manualnie.

Nawet przedsiębiorstwa ze sprawnie funkcjonującymi systemami kontroli wewnętrznej mają trudności z weryfikacją przedsięwzięć ad-hoc, np. projektami. Często problemem jest też brak wystarczających zasobów wewnętrznych do wykonywania kontroli oraz zbyt duże zaufanie do kontroli wykonywanych przez firmy zewnętrzne.

By sprostać wymaganiom, działy kontroli wewnętrznej muszą dokumentować procesy biznesowe i miejsca kontrolne dla najważniejszych zadań w organizacji, przeprowadzać ocenę koncepcji kontroli i jej wydajności, identyfikować i śledzić pojawiające się problemy oraz zastosowane środki zaradcze, a także przygotowywać raporty kontroli wewnętrznej.

Do tej pory zadania te kojarzyły się z żmudną i powtarzalną pracą, której efektem były stosy papierowych dokumentów. Tę pracę w dużej mierze można ułatwić i zautomatyzować dzięki narzędziom IT.

SAP GRC Process Control

Wyposażenie firmy w narzędzie do automatyzacji i dokumentowania procesu kontroli wewnętrznej może zamienić pracę biurową w wyzwanie kontrolne godne Jamesa Bonda. SAP udostępnił dedykowane rozwiązanie wspierające kontrole wewnętrzne pod nazwą SAP GRC Process Control.

Dla kogo SAP GRC?

  • spółki giełdowe
  • przedsiębiorstwa powiązane kapitałowo z firmami amerykańskimi
  • przedsiębiorstwa z sektora finansowego
  • duże firmy produkcyjne mające rozbudowane instalacje SAP
  • Inne przedsiębiorstwa zainteresowane najnowszymi standardami biznesowymi w zakresie bezpieczeństwa i audytu

Najważniejsze funkcje SAP GRC Process Control to:

  • Administracja procesów i ich dokumentacja. Zarządzanie administracją aplikacji i procesów bazuje na hierarchiach organizacyjnych i procesów. Hierarchie te uwzględniają zmienność w czasie, dzięki czemu dobrze odzwierciedlają dynamiczne środowisko biznesowe. Rozbudowany system uprawnień pozwala na nadawanie uprawnień przez użytkowników biznesowych do poszczególnych obiektów kontroli. Narzędzie umożliwia unifikację procesów kontroli na poziomie grupy, pozwalając jednocześnie na elastyczność na poziomie lokalnym. Dokumentacja procesów może być wprowadzana ręcznie bądź wczytywana przez interfejs plikowy.
  • Testy i oceny. By ułatwić implementację i ułatwić wykorzystanie najlepszych praktyk biznesowych, SAP GRC dostarcza predefiniowane reguły kontrolne i skrypty reguł kontrolnych. Skrypty pozwalają na automatyczne wykonanie kontroli w systemach przedsiębiorstwa, wykrycie błędów, ustalenie priorytetów akcji korekcyjnych. Dla systemu SAP ERP dostępnych jest wiele gotowych reguł kontrolnych z ponad 200 skryptami automatycznie weryfikującymi system. Dzięki ustawieniu harmonogramów dla testów automatycznych i raportowaniu wyjątków oraz alarmów możliwe jest monitorowanie statusów wykonanych testów oraz powiadamianie o zagrożeniach poprzez wysyłanie komunikatu mail. Oprócz testów automatycznych dostarczonych z oprogramowaniem lub zdefiniowanych samodzielnie wspierane jest tworzenie harmonogramów i wykonywanie kontroli nieautomatycznych. Plany testów mogą zawierać szczegółowe skrypty testowe i instrukcje standaryzujące testy. Możliwe jest wykorzystanie ankiet do weryfikacji procesów ze wspomaganiem systemu workflow i powiadamianiem za pomocą e-maili. Wszelkie informacje zbierane podczas testowania oraz wszelkie akcje korekcyjne są dokumentowane.
  • Raportowanie. Raportowanie statusu procesów może przebiegać w oparciu o hierarchię organizacji/procesów. W ten sposób można przeglądać i weryfikować parametry kontroli procesów na różnych szczeblach organizacji. Inny raport pozwala na tabelaryczną analizę kontroli i ich statusu w obrębie całej organizacji, z możliwością porównywania wyników rożnych typów ocen. Kolejnym typem raportów są raporty zmian dla wybranego okresu. Za pomocą tego narzędzia można np. filtrować zmiany danych transakcyjnych lub danych podstawowych. Oprócz raportowania w samej aplikacji SAP GRC możliwe jest wykorzystanie hurtowni danych SAP do pogłębionej analizy danych kontrolnych. Przykładowo można wykorzystać hurtownię SAP Business Warehouse do prezentacji danych w układzie geograficznym (na mapach).
  • Identyfikacja i rozwiązywanie problemów. SAP GRC zapewnia unifikację identyfikowania i rejestracji wykrytych problemów, pozwala na nadawanie im priorytetów oraz właściwe adresowanie do osób odpowiedzialnych. Możliwe jest natychmiastowe rozwiązywanie problemów lub formalne ich przekazanie do rozwiązania osobom odpowiedzialnym. Cały proces, począwszy od weryfikacji procesu, znalezienia problemu, wprowadzenia akcji korygującej i ponownej weryfikacji procesu, jest szczegółowo dokumentowany.
  • Certyfikacja i zatwierdzanie kontroli. Funkcjonalność zatwierdzania umożliwia formalne aprobowanie kontroli zgodnie z hierarchią odpowiedzialności z dołu do góry. Menedżer może przeglądać statusy podległych mu elementów oraz weryfikować zgłoszone problemy i komentarze. Zatwierdzanie bądź odrzucenie zatwierdzenia danego elementu skutkuje poinformowaniem osób zainteresowanych za pomocą mechanizmu workflow.

Od pilotażu do pełnej kontroli

Implementacja rozwiązania SAP GRC powinna być procesem etapowym. By osiągnąć sukces, trzeba stosować zasadę „małych kroków” w celu zbudowania dużego systemu wspierającego kontrole wewnętrzne.

Dobrą praktyką jest rozpoczęcie od małego projektu – pilotażu, podczas którego zostanie przeszkolony zespół wdrożeniowy i zgromadzone doświadczenia pozwalające lepiej wybrać zakres kolejnego projektu, tzw. początkowej implementacji. Sukces projektu pilotażowego pozwoli też przekonać decydentów do kolejnej inwestycji w SAP GRC.

Początkowa implementacja powinna mieć jasno zdefiniowany i ograniczony zakres. Może np. obejmować wdrożenie SAP GRC Process Control dla jednego lub dwóch procesów na wskroś organizacji lub większej liczby procesów w jednej jednostce biznesowej.

Częstą praktyką jest też ograniczanie na początku zakresu wykorzystywania oprogramowania w projekcie pilotażowym tylko do komórki organizacyjnej odpowiedzialnej za procesy kontroli wewnętrznej w firmie. Kolejne projekty powinny mieć na uwadze cel długodystansowy i przybliżać do jego realizacji. Chodzi przecież o to, by kontrole wewnętrzne były skuteczne.