Uno de los mayores casos de éxito de nuestra compañía en el Área de SAP© GRC ha sido la realización de un proyecto de implementación de Process Control. Dicho proyecto se enfocó en la implementación de todos los flujos de Assessment que están disponibles en SAP© GRC Process Control.
Dicho caso fue presentado en el Evento de SAP© GRC en Las Vegas el día 21 de Marzo de 2017.
Fundada en 1979 y con un volumen de ingresos en 2020 de 3,2B USD y más de 22.000 empleados, Nemak es una multinacional Mexicana especializada en la producción de componentes aluminio de alta complejidad para la industria automovilística, tales como cabezas cilíndricas, bloques de motor, piezas de transmisión y otros componentes estructurales.
El reto
La dificultad del proyecto era por un lado identificar los procesos de Control Interno que se podrían automatizar en la herramienta de Process Control, y por otro lado actualizar toda la información relativa a dichos procesos en la herramienta.
El punto de la automatización era fácilmente conseguible puesto que la herramienta de Process Control ya tenía incorporada dicha funcionalidad. La clave estaba en adaptar el proceso actual a la tecnología disponible en GRC, y por otra parte realizar una correcta gestión del cambio para todas las partes interesadas que trabajaban en el proceso.
Solución Inprosec
El proyecto se dividió en 3 Fases donde las 2 primeras se relacionaban con la funcionalidad de “Assessments” que proporcionaba SAP© GRC Process Control, y posteriormente se completó una pequeña Fase 3 para entender las posibilidades del módulo de Continuous Control Monitoring en Nemak.
Primero identificamos los procesos que formarían parte del alcance del proyecto, para así después priorizar cada uno de ellos en función de su criticidad, en base a la perspectiva de Control Interno. De esta manera teníamos clara la prioridad de automatización de cada proceso:
Fase I
Internal Control Questionnaire (Subprocess Design Assessment)
A lo largo del proyecto se definió un formato de preguntas relacionadas con el proceso de control interno que tienen que ser respondidas por parte del Finance Manager. Una vez completado el archivo, se reenviará al Plant Manager para su revisión. En esta etapa el Plant Manager no puede modificar la información incluida por el Finance Manager, y en caso de desacuerdo rechazará la solicitud para que llegue nuevamente al Finance Manager para su revisión.
Self Assessment
Este proceso es crítico para la regulación Sarbanes Oxley (SOX) y por lo tanto era necesario y prioritario automatizarlo en SAP© GRC Process Control. El proceso inicia con la programación por parte de Corporate Audit y lo reciben los diferentes propietarios de Controles existentes en la Organización de Nemak. Responden un cuestionario definido y si registran alguna incidencia en el proceso, se genera una deficiencia que utilizará el Workflow Estándar de Issue Management.
Fase II
Test of Effectiveness
Este flujo tiene una complejidad un poco mayor puesto que es necesario incluir los “Test Plan” de cada Control para que pueda ser ejecutado por el operador.
En el caso de Nemak, y de cara a buscar aumentar el ROI de este proceso, se dividió la implementación en dos Fases, donde la primera se enfocó en los Controles Críticos y la segunda fue la integración del resto de los Controles en SAP© GRC Process Control. El proceso desde el punto de vista del flujo es sencillo, pero la clave está en la elaboración de los Manual Test para que el “Control Tester” pueda completar el proceso sin dificultades.
Control Design Assessment
Este flujo se implantó de manera adicional debido a que venía dentro de las funcionalidades disponibles de Process Control. Es un flujo sencillo en el que se le envía una serie de preguntas al Propietario del Control y si se registra alguna incidencia sigue el Workflow Estándar de Issue Management.
Todas las comunicaciones realizadas a través del módulo de Assessments utilizaban la funcionalidad de “Interactive Adobe Forms”, puesto que facilitaban la ejecución por parte de los usuarios y reducía los esfuerzos por parte de los autorizadores, puesto que no requerían que entraran en el sistema de SAP© GRC.
Fase III
Continuous Control Monitoring
El proyecto estaba principalmente orientado a la implementación de la funcionalidad de Assessment de Process Control, no obstante, se hizo una exploración de las opciones que traía el módulo de Continuous Control Monitoring (CCM) y que ventajas tenía en Nemak. Se empezó generando un par de Controles Automáticos relacionados con el Proceso de Compras en Nemak. Los resultados fueron muy interesantes y de ahí en adelante se ha continuado con la implementación de Controles Automáticos.
Resultados
La implementación de SAP© GRC permitió a Nemak no solo la automatización de los Procesos de Control Interno, sino también la reducción de esfuerzos dedicados por parte del equipo de Control Interno a dichos procesos:
- El proceso de Internal Control Questionnaire y de Self Assessment se manejaban a través de archivos Excel. Se obtenían cerca de 100 archivos Excel por cada proceso de Self Assessment, y el disponer de una herramienta que permitía no solo el lanzamiento del proceso, sino también la generación de los archivos para cada Control Owner y luego la recopilación de todas las respuestas, simplificó enormemente la gestión del proceso por parte del Equipo de Control Interno.
- En relación con el proceso de Internal Control Questionnaire, la clave estaba relacionada con la obtención de la firma por parte del Plan Manager y Process Control, para tener no solo la evidencia de la confirmación, sino que además proveía de una monitorización sobre cómo estaba el Proceso que no se tenía con anterioridad.
Adicionalmente, la utilización de “Interactive Adobe Forms” y de la Customización de las Notificaciones permitió que los autorizadores tuvieran instrucciones claras sobre las actividades que tenían que realizar en cada proceso. Se adjuntaron manuales de formación en las notificaciones para apoyar a las personas que tenían que ejecutar por primera vez el proceso.
Finalmente, la exploración de las posibilidades de Continuous Control Monitoring supuso el primer paso en la automatización de Controles en Nemak, que posteriormente fue aumentando con el paso de los años.