Uno de los casos de éxito más complejos dentro del Área de SAP© GRC ha sido la realización de un proyecto de implementación de Controles Automáticos a través de la herramienta Continuous Control Monitoring en SAP© GRC Process Control.
Dicho caso fue presentado en el Evento de SAP© GRC en Ámsterdam el día 15 de Junio de 2017
“How VCEAA automated SOX controls for business and IT in SAP© Process Control and improved risk visibility”
Votorantim Cimentos Europa, Africa & Asia forma parte del Grupo Votorantim Cimentos. Este grupo es la cementera más grande de Brasil y la octava más grande del mundo. La compañía fue fundada en 1933 y sus “headquarters” están en Sao Paulo. Votorantim Cimentos opera en Brasil, Argentina, Bolivia, Canadá, España, EEUU, Uruguay, Túnez, Turquía, Marruecos.
El reto
La dificultad del proyecto residía en dos partes, por un lado, la parte tecnológica puesto que la herramienta de Controles Automáticos era bastante novedosa en aquel momento y, por otro lado, la parte funcional relacionada con la gestión del cambio, puesto que el equipo de VCEAA no había trabajado con los controles automáticos de Process Control hasta el momento.
Desde la organización de VCEAA vieron que el foco debía estar en la automatización de los controles SoX (Sarbanes Oxley) para conseguir reducir los esfuerzos que se estaban destinando en la ejecución de dichos controles, y que la gran mayoría del trabajo fuera destinado en analizar las incidencias o desviaciones del control. La clave se encontraba en que la herramienta de Controles Automáticos hiciera el trabajo de análisis, y que el equipo de VCEAA se centrase en la toma de decisión de las desviaciones que el sistema iba a detectar.
Solución Inprosec
La solución de Inprosec fue realizar un proyecto corto para la implementación de 19 controles automáticos para las Áreas de Cuentas por Pagar, Controlling, Cuentas por Cobrar y IT.
Los Controles acordados en el alcance eran los siguientes:
Cuentas por Pagar
-
- Creaciones y Modificaciones en el Maestro de Proveedores
- Partidas Abiertas de Proveedores
- Modificación en Cuentas de Libro Mayor
- Apertura y Cierre de Periodos Contables
- Control el Riesgo P003
Controlling
-
- Creaciones y Modificaciones sobre el Maestro de Materiales
- Modificaciones en los Ciclos de Reparto de Costes
- Modificaciones sobre Tablas Clave
Cuentas por Cobrar
-
- Creaciones y Modificaciones en el Maestro de Clientes
- Partidas Abiertas de Clientes
- Gestión de Alertas
- Cambios en el Bloqueo por Límite de Crédito en Clientes
- Modificaciones en los Límites de Crédito
- Deudas con Cliente superiores a 15 días del vencimiento
- Modificaciones sobre Programa Clave
- Devoluciones Bancarias
- Aprobaciones de los Límites de Crédito por parte del Director Comercial
IT
-
- Usuarios Externos
- Revisión Trimestral de Usuarios
A lo largo de la ejecución del proyecto, identificamos que pese a que, desde el punto de vista funcional la organización de VCEAA identificaba un Control Automático, desde el punto de vista técnico era necesario crear 2-3 Reglas de Controles Automáticos para cumplir completamente con el Control.
Por otra parte, de los 19 Controles propuestos se identificaron 3 que no podían ser automatizados puesto que no toda la información relacionada con el control se encontraba en el sistema SAP©, y por lo tanto la herramienta de Controles automáticos no podía completar correctamente el análisis. Esto fue, por ejemplo, el caso del “Control de Usuarios Externos”, puesto que gran parte de la información relativa a la identificación de las cuentas de Externos estaba fuera del sistema SAP©. Para este caso, se tomó la decisión de aprovechar el módulo de Assessments de Process Control para activar el siguiente flujo.
- El Equipo de Seguridad creaba y subía el archivo que contenía el detalle de la información que aplicaba al control.
- El propietario del Control incluía una serie de comentarios dentro del archivo.
- El Equipo de Seguridad realizaba los cambios sobre las acciones que se habían acordado.
Una de las lecciones aprendidas durante este proyecto, se relacionaba con el conocimiento por parte de la organización de VCEAA de las posibilidades tecnológicas de la herramienta. Eso hacía que algunos controles en una primera etapa fueran pensados como un reporte, que posteriormente sería trabajado por parte de los Equipos de VCEAA para detectar las desviaciones. Justamente lo que nosotros buscábamos era todo lo contrario, queríamos que el sistema hiciera todo el análisis para que los equipos pudieran trabajar y enfocarse solamente en lo que el sistema estaba detectando como desviación.
Otra de las lecciones aprendidas se relacionó con la parte tecnológica puesto que el sistema necesito la instalación de muchas notas de SAP© para poder funcionar correctamente. En el siguiente gráfico se detallan, todas las notas que fueron necesarias para poder trabajar con la herramienta de Controles automáticos:
La herramienta de Controles automáticos soporta la utilización de varios idiomas, pero se recomienda el establecimiento de un único idioma para evitar problemas.
Se desplegaron los Controles automáticos a través de diferentes fases en base a unas prioridades definidas:
- Cuentas por Pagar Prioridad Alta
- Controlling Prioridad Media
- Cuentas por Cobras Prioridad Media
- IT Prioridad Baja que posteriormente fue modificada a Media.
Se realizaron dos sesiones de formación, puesto que al final estábamos utilizando una nueva tecnología y por lo tanto era necesario que las personas que estarían utilizándola tuviesen el mayor conocimiento posible sobre ella. La primera sesión, se realizó como parte del proceso de pruebas por parte de VCEAA, y se realizó una segunda sesión de formación como parte de la etapa de despliegue, y así poder estar enseñando casos reales que fueron identificados por el sistema.
Adicionalmente, se realizó una tercera sesión de formación puesto que algunos equipos estaban muy involucrados en las tareas del día a día y no recordaban correctamente que tenían que hacer dentro del sistema de GRC.
Resultados
La implementación de la herramienta de controles automáticos de GRC fue un éxito, y supuso un comienzo en la automatización de controles dentro de la organización de VCEAA. Los diferentes grupos que formaron parte del proyecto entendieron las posibilidades del sistema y los esfuerzos que les podría estar ahorrando, y eso supuso un aumento notable en el número de controles que se han ido automatizando desde que el proyecto se completó. El proyecto se realizó en un comienzo en España, pero posteriormente se realizó la migración parcial de varios de los controles automáticos implementados a lo largo de este proyecto en otros países dentro del Grupo.
En relación con la parte técnica, para un total de 16 Controles definidos por parte de VCEAA fueron necesarios el establecimiento de 36 Reglas de Negocio dentro del sistema de SAP© GRC. Esto es importante, puesto que muchas veces la descripción funcional de un control supone la implementación técnica de varias reglas para poder cumplir al 100% con la definición del control.