Implementación de SAP® GRC Process Control en Campofrío Food Group

Te presentamos la primera implementación de SAP® GRC Process Control en Campofrío Food Group centrada principalmente en la configuración de una serie de controles automáticos estratégicos a través de la funcionalidad de SAP GRC Process Control Continuous Control Monitoring (CCM).

Campofrío Food Group es líder en el sector de elaborados cárnicos en Europa; produce y vende sus productos además de en España, en Francia, Bélgica, Países Bajos, Portugal y Alemania y exporta a 80 países a través de distribuidores independientes.

A su vez, Campofrío Food Group es una subsidiaria de Sigma Alimentos, compañía productora de elaborados cárnicos, lácteos y otros productos refrigerados y congelados que comercializa a través de marcas bien posicionadas en los mercados donde participa. Sigma opera en 68 plantas y 144 centros de distribución, atendiendo a más de 500.000 clientes en 18 países del norte, centro y sur de América, Europa Occidental y el Caribe. Actualmente Sigma emplea a más de 40.000 personas.

 

EL RETO

Campofrío utilizaba el módulo de Access Control de SAP GRC para controlar y monitorizar los riesgos de acceso en sus sistemas SAP. Para ampliar la funcionalidad de esta herramienta y establecer mecanismos de control y supervisión de los riesgos de negocio, se propone implementar el módulo SAP GRC Process Control. Esta implementación incluirá una configuración inicial de la herramienta y la realización de un piloto en el que se definirán y configurarán una serie de controles automáticos, considerados estratégicos para las auditorías.

 

SOLUCIÓN INPROSEC

La propuesta de implementación de la herramienta SAP GRC Process Control y la funcionalidad de Continuous Control Monitoring (CCM) tenía un plazo de puesta en producción de 4 meses desde el inicio del proyecto.

Durante la fase inicial del proyecto, identificamos dos riesgos principales a mitigar:

  • Accountability. Es crucial que los responsables de procesos y subprocesos dentro de la compañía adquieran conocimiento sobre la herramienta, ya que su participación es clave para el éxito presente y futuro del proyecto.
  • Tecnología. Para obtener el registro de modificaciones en ciertas tablas, se requería activar el check “change log”, especialmente en tablas no estándar (tablas “Z”)

 

Implementación

Tras la configuración inicial, es fundamental definir los Datos Maestros a nivel de Unidades de Negocio, Procesos, Subprocesos y Controles, reflejando la estructura de Campofrío. Estos Datos Maestros se registrarán en SAP GRC Process Control con sus descripciones y características específicas. 

En este punto, se determinaron los 10 controles que se automatizarían a través de la herramienta de CCM:

  • Cambio de crédito a clientes.
  • Modificaciones de las Condiciones de Compra una vez creada la PO.
  • Revisión de Modificación en la cuenta bancaria de proveedor (incl. Términos de pago).
  • Revisión de Aperturas de Periodo ontable.
  • Revisión de cambios en 3 Way Match.
  • Diferencias de Inventario.
  • Apuntes Manuales
  • Órdenes de compra abiertas por un periodo mayor a 6 meses.
  • Modificacion en los Terminos de Pago de Clientes.

 

Para cada uno de estos controles automáticos, se definieron las siguientes características:

  • Frecuencia de ejecución: horario, diario, semanal, mensual, trimestral, semestral o anual.
  • Propietario: usuario que recibirá las alertas (deficiencias) del control para su revisión.
  • Organización y proceso: será necesario asignarlo dentro de la estructura organizativa.
  • Definición de lógica del control: dentro de la herramienta “Process Control” existen varios tipos de controles, como análisis de riesgos, informes, búsqueda de valores específicos o revisión de cambios en campos críticos. En este último caso, es esencial evaluar qué tipo de tecnología de registro de cambios se utiliza para ejecutar el control. En la siguiente tabla se puede ver una comparativa entre los dos tipos principales de logs:

 

Change Log Change Documents
Un control para cada tabla Un control para varias tablas
Requiere activación Activado por defecto
Se registra cualquier cambio en cualquier campo de la tabla Se registran los cambios si las transacciones lo permiten
Las creaciones muestran el valor de la creación del campo Las creaciones muestran el valor actual del campo
Una única columna para describir el campo, el valor viejo y el valor nuevo Descripción del campo, valor viejo y valor nuevo en columnas distintas para las modificaciones
No muestra la transacción desde la que se hizo el cambio Muestra la transacción desde la que se hizo el cambio
Reglas lógicas simples y limitadas (p.e.: no es posible eliminar cambios de cierto usuario en todos los casos) Prácticamente puede implementarse cualquier lógica para el funcionamiento de las deficiencias
Mayor facilidad de mantenimiento de la regla en el tiempo Añadir un nuevo campo a la regla requiere configurar el control desde cero

 

Desarrollo y Despliegue

Una vez completado el diseño funcional, se procedió con la implementación técnica de la herramienta, siguiendo el proceso de gestión de cambios a programas de Campofrío. Este proceso incluyó la configuración básica, el registro de la estructura organizativa y la implementación de los controles automáticos. A nivel de datos maestros, se dieron de alta 9 unidades organizativas, 2 regulaciones, 10 procesos, 90 subprocesos y 134 controles, de los que 10 son controles automatizados a través de Continuous Control Monitoring, siguiendo la matriz definida en Campofrío.

 

En relación con los controles automatizados se optimizó el informe estándar que ofrece SAP Control Monitoring History with Ratings con el objetivo de aportar mayor visibilidad de los controles ejecutados y revisados. También se ha establecido un estándar de revisión para cada uno de estos controles automáticos.

A continuación, se inició la fase de pruebas y se registró toda la documentación relacionada con la herramienta, tanto técnica como los manuales de usuario (propietario del control) y administrador. Se llevaron a cabo sesiones de formación específicas para cada uno de los controles y una sesión adicional sobre la administración del sistema.

Finalmente, se realizó el despliegue en producción, programando la ejecución periódica de los controles automáticos y comenzando el período de soporte. Durante este período, se atendieron los problemas de funcionamiento que se identificaron y se afinaron las reglas para evitar falsos positivos, asegurando que los controles generaran las alertas adecuadas.

Entregables

A continuación, se detallan todos los entregables que han sido identificados en los apartados anteriores:

  • Informe quincenal de seguimiento del proyecto.
  • Matriz de riesgos y controles.
  • Documentación relacionada con Process Control.
  • Herramienta SAP GRC PC configurada y en funcionamiento.
  • Plan de Proyecto.
  • Documento Blueprint con el diseño funcional y técnico de la herramienta SAP GRC PC.
  • Manuales de capacitación para el uso de la aplicación SAP GRC PC.
  • Informe de cierre que incluirá las lecciones aprendidas y las próximas acciones a recomendar.

 

RESULTADOS

 

Con la finalización de este proyecto, Campofrío cuenta con una herramienta única que centraliza su matriz de controles y procesos, así como los resultados de cada ejecución de dichos controles. Además, dispone de una metodología propia de revisión de control para cada propietario, estandarizando así este proceso. También dispone de un informe optimizado que proporciona datos relevantes a nivel ejecutivo, permitiendo visibilidad en tiempo real de la ejecución y revisión de los distintos controles, facilitando la identificación y corrección inmediata de cualquier no conformidad.

La implementación de SAP GRC Process Control ha mejorado significativamente la capacidad de Campofrío para controlar y supervisar los riesgos de negocio, estableciendo una base sólida para futuras auditorías y asegurando el cumplimiento continuo. Esto se traduce en un menor esfuerzo y, por tanto, mayor eficiencia, a la hora de presentar información ante las auditorías.

¿Te ha gustado?

¡Compártelo en redes sociales!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

Categorías

Calendario de entradas

Nuestros servicios

keyboard_arrow_up