En un entorno cada vez más regulado y cada vez más complejo, supone un reto para las organizaciones encontrar la mejor solución para gestionar y documentar adecuadamente sus controles con el objetivo de cumplir con las diferentes regulaciones que les apliquen. Por ello en este techpaper explicaremos cómo realizar una Gestión Eficiente con SAP GRC Process Control en Entornos Regulados.
Las “tres líneas de defensa” three lines of defense como modelo para la gestión de riesgos permiten a las organizaciones cumplir y definir sus riesgos y niveles de cumplimiento. La IIA (Instituto de Auditores Internos) avala este modelo como guía de cómo se deben dividir las responsabilidades. Las tres líneas de defensa son las siguientes:
Primera línea de defensa: Gestión operativa
Está formado por managers y personal que son responsables de identificar y gestionar el riesgo y que ello forme parte de sus objetivos. Deben tener el conocimiento suficiente, habilidad y autoridad para definir y operar con las diferentes políticas y procedimientos de la gestión de riesgos. Requiere conocimiento de la empresa y los riesgos a los que enfrenta.
Segunda línea de defensa: Gestión de riesgos, cumplimiento y supervisión
Proporciona políticas, herramientas y técnicas y el apoyo necesario para que el riesgo y el cumplimiento se gestionen en la primera línea de defensa. Debe realizarse un seguimiento para juzgar la eficacia y garantizar la coherencia de las definiciones y la medición del riesgo.
Tercera línea de defensa: Auditoría interna independiente
Esto lo proporciona auditoría interna. Debe ser ajeno a los procesos de la gestión de riesgos de las dos primeras líneas de defensa y sus funciones son garantizar que las dos primeras líneas funcionen de manera efectiva y asesorar sobre cómo mejorar. Debe proporcionar una evaluación, a través de un enfoque basado en el riesgo, sobre la eficacia del gobierno, gestión del riesgos y control interno al órgano de gobierno y a la alta dirección de la organización. También debe dar garantías a los reguladores oportunos y a los auditores externos de que los controles y procesos están implementados y funcionan de manera efectiva.
SAP GRC Process Control
SAP GRC Process Control es una herramienta muy completa que permite llevar a cabo un seguimiento y control efectivo de los procesos que ocurren dentro de una empresa.
El usuario objetivo es una compañía donde exista una documentación mínimamente detallada de cada una de la transacciones y tareas que ocurren dentro de cada uno de los departamentos que la conforman. Este punto es de suma importancia para la aplicación del módulo de Process Control, ya que sin una definición clara de los procesos y subprocesos que se desarrollan durante la actividad de la empresa no se puede aplicar un control efectivo que garantice el correcto funcionamiento de la herramienta.
SAP GRC Process Control permite dar soporte a los diferentes procesos de negocio, control interno y auditoría interna para que puedan llevar a cabo las gestiones y realización de las actividades de cumplimiento según corresponda desde una herramienta que centraliza toda esta gestión de manera que los testeos, certificaciones y políticas y la documentación asociada están disponibles una única herramienta.
Las funcionalidades core de SAP GRC Process Control son:
- Documentación de Controles. Permite un entorno flexible para definir Datos Maestros (Master Data), alineándolos a las diferentes regulaciones e incluye las siguientes características:
- Estructura Organizativa.
- Catálogo de Procesos.
- Objetivos y Riesgos de Controles.
- Evaluación de Controles. Permite emitir valoraciones a través de las diferentes evaluaciones de riesgos y análisis, así como planificar testeos de controles. Además, permite el ToE (Test of Effectiveness) de los controles y registra las evidencias y las issues que se encuentren en los diferentes procesos de testeo.
- Assessments.
- Test of Efectiveness.
- Controles Automáticos.
- Planes.
- Certificación. Aprovecha la funcionalidad de sign-off y las disclosure surveys con el objetivo de formalizar la gestión de aprobaciones; incluyendo seguimiento de las diferentes issues, así como de los diferentes planes de remediación.
- Reporting & Análisis. Permite auditorías completas y un amplio log de las diferentes modificaciones sobre el sistema, incluyendo sign-off documentados para permitir una auditoría de control independiente.
Es importante destacar que no sólo se puede utilizar Process Control para los procedimientos de auditoría de IT, sino que toda la gestión documental y las diferentes evaluaciones de controles y riesgos pueden ser utilizados para auditorías, por ejemplo, a nivel financiero.
Implementación SAP GRC Process Control
Las consideraciones más importantes a la hora de implementar SAP GRC Process Control son:
Inicio
Previo a adentrarse en la configuración de Process Control, resulta esencial comprender la interacción de los factores internos y externos, los beneficios de negocio y su concordancia con la estrategia general de transformación de controles. A su vez, es imperativo establecer objetivos a corto y largo plazo de manera realista para forjar expectativas bien fundamentadas.
Definición Datos Maestros
La definición de los Datos Maestros es clave a la hora de tener éxito en una implementación de Process Control. Los Datos Maestros tienen dos componentes principales: jerarquía a nivel organizacional y procesos de negocios, donde se definen los procesos de negocio existentes, así como los subprocesos correspondientes y los controles que aplican a cada proceso/subproceso.
En cuanto a la definición de la jerarquía organizacional es importante conocer a qué nivel se requiere que los datos se reporten. Es decir, a nivel de sociedad, unidad de negocio o por región. No obstante, es posible que la compañía tenga múltiples requerimientos a diferentes niveles organizacionales y sea necesario definir toda la estructura.
Con respecto a la definición de procesos de negocio, se debe clarificar qué procesos aplican en nuestra compañía, así como los controles que aplican a dicho proceso.
Además, En SAP GRC Process Control es obligatorio que todos los controles estén asignados a un subproceso y se debe tener claro sobre qué organización/unidad de negocio/región aplican los diferentes controles que se deseen dar de alta.
La importancia de una buena definición de los datos Maestros en función las necesidades de la compañía es capital, pues puede existir impacto a la hora de la generación de los diferentes informes e impacto sobre la eficiencia de las diferentes funcionalidades a utilizar.
Testeo y capacitación
Durante la fase de prueba y capacitación de la herramienta, la participación activa de los usuarios finales es fundamental. Involucrar a usuarios clave garantiza una comprensión completa y abarcar todos los flujos de trabajo necesarios. Adoptar un enfoque de “capacitar al capacitador” agiliza la formación. Las sesiones interactivas, respaldadas por materiales de referencia, son clave. Además, se debe asignar suficiente tiempo para la transición, especialmente para los datos maestros. Esta estrategia asegura una implementación exitosa y una “adopción” sin problemas de la herramienta.
Constante evolución
Process Control exige una actualización constante para mantenerse a la par de las transformaciones en el negocio, como adquisiciones de plantas, requerimientos de auditoría o necesidad de un mayor grado de automatización. Esta cualidad “viva” resulta esencial para asegurar su pertinencia a largo plazo. Por ende, se vuelve imperativo considerar aspectos como la transición al soporte, el apoyo de consultorías externas con experiencia en este tipo de desarrollos, el aprendizaje derivado de experiencias previas y la mejora continua de la hoja de ruta de la herramienta. Esta capacidad de adaptación asegura que la herramienta conserve su eficacia y relevancia en concordancia con la evolución del entorno empresarial.
Conclusión
En conclusión, la implementación exitosa de SAP GRC Process Control en un entorno empresarial sujeto a regulaciones y creciente complejidad requiere una cuidadosa consideración de varios aspectos clave. El enfoque de las “Tres Líneas de Defensa” emerge como una estrategia efectiva para distribuir responsabilidades y establecer una estructura sólida que promueve la conformidad y el control. La herramienta no solo facilita la automatización y organización de controles, esenciales para cumplir con regulaciones diversas, sino que también permite una visibilidad amplia de los datos generados mediante informes detallados. La configurabilidad y adaptabilidad de la herramienta son destacables, ya que se pueden personalizar según las necesidades específicas de cada empresa.
Durante el proceso de implementación, resulta crucial abordar varios puntos estratégicos. Marcar objetivos claros y alinearlos con la estrategia general de la empresa establece una base sólida. La definición precisa de procesos y responsabilidades, respaldada por una estructura de Datos Maestros bien definida, juega un papel esencial en la eficacia de la herramienta. La participación activa de los empleados clave en las fases de prueba y capacitación garantiza una adopción exitosa y una comprensión profunda de la herramienta. Además, la continua actualización y adaptación de SAP GRC Process Control para estar en sintonía con los cambios empresariales es vital para su éxito a largo plazo. En conjunto, la herramienta no solo se enfrenta a los desafíos reglamentarios de manera efectiva, sino que también empodera a las organizaciones para mantener el cumplimiento y el control en un entorno empresarial en constante evolución.