Controls Monitoring met Business Warehouse (BW) in SAP

VNSG Magazine | maart 2014
Controls Monitoring met Business Warehouse (BW) in SAP
GRC PC
Inleiding
Organisaties implementeren SAP GRC Process Control (PC) voor het monitoren van hun Control
Framework. Naast het gebruik van Continuous Control Monitoring (CCM) in SAP GRC PC om
preventieve maatregelen te monitoren, kan deze geautomatiseerde functionaliteit ook gebruikt
worden om BW rapporten te draaien met een BW sub-scenario. Dit sub-scenario ondersteunt
monitoring met behulp van query's in BW. Dit biedt de gebruiker de mogelijkheid om relevante
compliance informatie te verzamelen op één locatie, zijnde SAP GRC.
SAP GRC ondersteunt dit door het testen en het rapporteren over de effectiviteit van een scala van
interne controles die zowel aan business & operationele vereisten voldoen. Deze controles moeten de
risicopositie van de onderneming optimaliseren door middel van preventie, detectie en correctie van
ongewenste gebeurtenissen in de belangrijkste bedrijfsprocessen.
Naast het gebruik van SAP GRC PC voor Continuous Controls Monitoring (CCM ) om de preventieve
controles in ECC te monitoren kan PC ook worden gebruikt om detectieve controles uit te voeren en
corrigerende maatregelen te initiëren. In dit artikel wordt beschreven hoe GRC Process Control met
behulp van het BW Query Sub-Scenario een organisatie kan helpen om risico's te beperken en de
zakelijke doelstellingen beter te ondersteunen. Allereerst zal hieronder een voorbeeld worden
gegeven van hoe GRC zowel preventieve als detectieve controles kan monitoren.
Voorbeeld
Een organisatie heeft een potentiële controle doelstelling dat alleen gevalideerde en juiste
inkooporders kunnen worden gecreëerd. Dit kan worden gewaarborgd door de uitvoering van een
combinatie van controles in het Interne Controleraamwerk die GRC dan kan monitoren.
SAP GRC PC Continuous Controls Monitoring (CCM) kan worden gebruikt voor het monitoren van de
relevante preventieve controles op dit gebied . Bijvoorbeeld om ervoor te zorgen dat alleen geldige
inkooporders kunnen worden gecreëerd, worden release strategieën geconfigureerd in het ECCsysteem. Wanneer de release strategieën zijn geconfigureerd in ECC, kunnen inkooporderss niet
worden gecreëerd of gewijzigd zonder de juiste toestemming. Afhankelijk van de waarde van de
inkooporder selecteert het systeem automatisch het vereiste goedkeuringsniveau. Maar er zijn
manieren om deze controle te omzeilen, bijvoorbeeld door het splitsen van een inkooporder om de
geconfigureerde autorisatiegrenzen te omzeilen.
Om dit risico te beperken, zou een controle kunnen worden gedefinieerd om mogelijke omzeiling van
de autorisatiegrenzen voor inkooporders te signaleren. SAP GRC PC kan worden gebruikt om een
detectieve controle uit te voeren op dit gebied. Met behulp van het BW Query Sub - Scenario kan
GRC PC een analyse uitvoeren om deze mogelijke omzeiling van de autorisatiegrenzen te
identificeren. Met behulp van BW wordt een query gedraaid om het aantal en de waarde van de door
een gebruiker gecreëerde inkooporders te identificeren en vast te stellen of deze bijvoorbeeld
gesplitst zijn. GRC zal vervolgens een rapport presenteren met een lijst van inkooporders zodat deze
geanalyseerd en gecorrigeerd kunnen worden indien nodig.
VNSG Magazine | maart 2014
Voordelen
Het gebruik van het BW Query Sub - scenario in combinatie met andere controle
monitoringstechnieken heeft een aantal voordelen. Ten eerste automatiseert het de detectieve
controles in het Interne Controleraamwerk door periodiek query’s te draaien in BW. Ten tweede wordt
de compliance informatie (audit trail) van zowel de preventieve als detectieve controles verzameld in
een centrale repository (het GRC systeem).
In aanvulling hierop, kan - indien tekortkomingen zijn vastgesteld - een ‘remediationproces’ worden
opgestart in GRC PC en kan de voortgang van issues worden bewaakt. Het voordeel van het starten
van dit proces in GRC is dat het bewijs van de corrigerende maatregelen ook wordt opgeslagen in
GRC voor een volledige audit trail.
Een bijkomend voordeel van het gebruik van het BW- query Sub - scenario is dat het de gebruiker de
mogelijkheid biedt om bestaande en bewezen detective controles (rapporten) te hergebruiken. Hierbij
worden alle voordelen van controle automatisering en “management by exception” behouden, omdat
de controle eigenaar alleen om input zal worden gevraagd als mogelijke problemen zijn
geïdentificeerd .
Mogelijke bedrijfsvoordelen zijn een verhoogde assurance door de mogelijkheid om de testfrequentie
te verhogen en ervoor te zorgen dat de controles werken zoals bedoeld. Tevens bestaat de
mogelijkheid om de operationele kosten te verlagen, omdat de noodzaak van handmatige controles
wordt verminderd.
Randvoorwaarden
Er zijn een aantal technische randvoorwaarden om rekening mee te houden bij het opzetten van dit
sub - scenario of het besluit om dit op te nemen in de scope van de controle- set. Er moet een RFCconnectie tussen GRC en het BW bronsysteem worden gecreëerd.
De info providers waaruit de BW-query de gegevens moet halen, moeten klaar zijn en gegevens
bevatten voor analyse.
Er zijn ook een aantal randvoorwaarden betreffende de BW-query zelf. Bijvoorbeeld dat de BW-query
een resultaat moet hebben. Als de output van de BW-query is 'Geen toepasselijke gegevens
gevonden' kan dit leiden tot een foutmelding in GRC. Ook BW- queries waarbij de gebruiker
gegevens moet invoeren voor het starten, kunnen problemen veroorzaken . Bij het uitvoeren van de
query in GRC kunnen geen verdere analyses worden uitgevoerd zoals drilldown of gebruik van vrije
karakteristieken.
Deze tip is aangeleverd door Integrc Netherlands B.V. (www.integrc.com). Voor verdere vragen of
informatie over dit onderwerp kunt u contact opnemen met Ralf Grootendorst
([email protected]). Voor andere vragen op het gebied van SAP GRC kunt u contact
opnemen met Werner van Haelst ([email protected]).
Den Bosch, 12 februari 2014

Download Report