FEDER
C/María Berdiales, 20, 4ª Vigo (Spain)
+34 886 113 106
info@inprosec.com
esEspañol
enEnglish

Implementación SAP® GRC Process Control en VCEAA

Casos de éxito
No hay comentarios

Uno de los primeros retos relacionados con la implementación de SAP® GRC Process Control centrado en la parte de Controles Automáticos mediante la utilización de la herramienta de CCM (Continuous Control Monitoring).

Dicho proyecto fue presentado en el Evento de SAP® GRC Europa en Ámsterdam el día 15 de Junio de 2017 “Case Study: How Votorantim Cimentos España Automated SOX Controls for Business and IT in SAP® Process Control and Improved Risk Visibility”

VCEAA es la filial de Votorantim Cimentos en Europa, África y Asia. Votorantim Cimentos forma parte del TOP 10 de las mayores cementeras del mundo:

EL RETO

La dificultad de este proyecto venia por dos directrices diferentes, por un lado, la parte tecnológica puesto que la herramienta de CCM (Continuous Control Monitoring) no estaba siendo utilizada en la mayoría de las organizaciones usuarias de SAP® en aquel momento y, por otro lado, la parte organizativa puesto que no se tenía claridad de las posibilidades de la herramienta en relación con los procesos que habían implementados en SAP®.

Debido a toda esta incertidumbre se decidió hacer un primer piloto para entender las posibilidades, buscando la automatización de Controles para las Áreas de Cuentas por Cobrar, Cuentas por Pagar, Controlling y RRHH. En un principio, se estableció un alcance inicial de 20 Controles Automáticos para todas las Áreas mencionadas anteriormente.

SOLUCIÓN INPROSEC

Se acordó implementar la herramienta de SAP® GRC Process Control puesto que la organización de VCEAA ya tenía la licencia adquirida. Adicionalmente a este punto, el proyecto se enfocaría en la automatización de controles a través de CCM puesto que era el Área donde se podía obtener un ROI (Return of Investment) más alto.

Por lo tanto, el proyecto estaría completando la configuración general del sistema de SAP® GRC Process Control y adicionalmente se estaría realizando la configuración de implementación de CCM.

De cara a evaluar correctamente los controles que serían implementados, tanto su diseño como su viabilidad, se realizó una reunión inicial con los responsables de los departamentos para identificar controles manuales recurrentes que se estaban ejecutando de cara a buscar su automatización. Como parte de esas reuniones se identifico que gran parte de la información relativa al Área de RRHH no estaba incluida en SAP®, y por lo tanto, las posibilidades de automatización eran imposibles, es por eso que se tomó la decisión de modificar el alcance del piloto reemplazando el Área de RRHH por el Área de IT.

A continuación, se detallan las actividades clave con las fechas inicialmente planificadas.

  • Instalación y Configuración General de SAP® GRC Process Control:
    • Enero 2017
  • Implementación Controles Cuentas por Pagar
    • Febrero 2017 
  • Implementación Controles Controlling
    • Febrero/Marzo 2017 
  • Implementación Controles Cuentas por Cobrar
    • Febrero/Marzo 2017 
  • Implementación Controles IT
    • Marzo 2017 

El equipo de Proyecto de Inprosec se enfrento a un producto que tecnológicamente era bastante inestable, y esto se puede ver en la próxima imagen donde aparece el listado de notas de SAP© que fueron necesarias instalar durante el proyecto:

Debido a esta situación las fechas que habían sido incluidas en el plan inicial tuvieron que ser actualizadas. Adicionalmente, se estableció un criterio donde los controles mas prioritarios de cada Área se implantarían antes que aquellos que tendrían una menor prioridad:En relación con la parte formativa, se estableció una sesión de formación para cada Área incluida dentro del alcance del proyecto. No obstante, en algunos casos fue necesario realizar una segunda sesión de formación. Es importante entender que este tipo de proyectos supone una actividad adicional en el día a día del negocio puesto que es normal tener que realizar un refresco de los conocimientos impartidos en la primera sesión de formación.

Por otra parte, es importante entender que, pese a que a nivel de definición podemos tener solamente un control, a nivel técnico la automatización puede requerir la implementación de varias reglas de negocio dentro del módulo de CCM.

Detalle de los Controles en Cuentas por Pagar

Detalle de los Controles en Cuentas por Cobrar

Detalle de los Controles en Controlling

RESULTADOS

Se cumplieron con todos los retos y objetivos del proyecto, aumentando notablemente el retorno de la inversión de la Licencia de SAP®GRC Process Control. Se automatizaron un total de 16 Controles que supusieron la implementación de 36 “Business Rules”. Adicionalmente se implementó el proceso de Self Assessment (evaluación manual), de cara a poder cubrir uno de los controles de IT que se relacionaban con la revisión de los usuarios externos de SAP®. El resultado del piloto en España fue bastante satisfactorio, lo que supuso que durante los siguientes años se implementasen más Controles Automáticos, tanto para la parte de Negocio como para la parte de IT. Adicionalmente, durante los años posteriores a este piloto, se incorporaron más países en la utilización del modulo de CCM dentro de la herramienta de SAP®GRC Process Control.

Como cualquier presentación de un “Case Study” en los eventos de GRC de SAP® es necesario destacar 7 puntos clave del proyecto que mencionaremos a continuación.

  • La aplicación de CCM puede aumentar el ROI de la Licencia de SAP®GRC Process Control en tu organización. Sin embargo, piensa que muchos Controles pueden requerir de la configuración de varias reglas (Business Rules).
  • Planifica con cuidado el despliegue de este tipo de proyectos. Puesto que, en este caso, la versión inicial y la versión final del plan tuvo una diferencia de un mes de retraso, principalmente por que la parte tecnológica requirió de la implementación de muchas notas de SAP®.
  • Para este tipo de proyectos donde la parte tecnológica no es muy estable, es importante reservar recursos de SAP® BASIS dedicados a este tipo de iniciativas. 
  • Es importante dejar claro lo que puede hacer la herramienta de CCM, identificando las ventajas y desventajas en cada unos de los controles diseñados.
  • Estimar el doble de tiempo en relación con la parte formativa.
    • Es un punto clave porque da igual que se implemente el mejor sistema del mundo si los usuarios no saben utilizarlo.
  • Tener cuidado cuando tengáis un entorno de SAP® con multilenguaje puesto que dificulta un poco la implementación en este tipo de proyectos. Se ha mencionado esta casuística en la implementación de SAP®GRC Access Control y para el caso de SAP© GRC Process Control sería lo mismo. Evita si es posible un entorno multi-idioma.
  • Revisar siempre el estado actual de tu Support Package (SP) en GRC, en este caso el haber dispuesto de un SP más bajo supuso la necesidad de implementar gran cantidad de notas para hacer que el sistema de CCM funcionase correctamente.

¿Te ha gustado?

¡Compártelo en redes sociales!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Rellena este campo
Rellena este campo
Por favor, introduce una dirección de correo electrónico válida.
Tienes que aprobar los términos para continuar

Categorías

Calendario de entradas

Nuestros servicios

keyboard_arrow_up