Aquí hay 5 hechos sorprendentes basados en nuestra vasta experiencia con clientes SAP con requisitos de cumplimiento SOX, consultores de GRC y empresas auditoras.
1. La clave está mucho más en los controles compensatorios que en la eliminación del riesgo
… cuando debería ser justo lo contrario.
Muchas personas, al encontrarse conflictos de la SOD, no quieren resolverlo por dos motivos: o bien tienen que reducir el número de autorizaciones del usuario, lo que le molestará, o bien tienen que consultar el caso con consultores externos, lo que es costoso. Centrarse en los controles compensatorios es la solución más cómoda para los que no quieren enfrentarse a sus usuarios o contratar auditores.
En su lugar, aplicarán controles compensatorios. Un ejemplo podría ser un informe que relacione todas las personas que crean proveedores y pagan a esos proveedores, y que el informe fuera aprobado. Pero lo que resulta irónico es que, andado el tiempo, en muchos casos el proceso de aprobación lleva mucho más tiempo (y, por ende, más costes), del que hubiera llevado resolver el conflicto… y, además, no se elimina el riesgo.
2. Muchas veces, las únicas personas que realmente se preocupan de eliminar los riesgos GRC son los responsables y auditores de evaluación de riesgos.
Al igual que las normas ISO, el GRC está ahí por una buena razón: disminuir la posibilidad de fraude y mejorar los procesos de negocio.
Sin embargo, en la mayoría de los casos la gente ve el GRC como una visita al dentista. Se quejan sin cesar y lo posponen todo lo posible hasta que no pueden posponerlo más. Y, unos diez minutos antes, usan el hilo dental por primera vez en seis meses. O, en el caso de la conformidad con SOX, podrían quitarles autorizaciones a los usuarios avanzados con SAP_ALL justo antes de la auditoría, para volver a concedérselas justo después. Solo quieren pasar la auditoría. Increíble.
Uno esperaría que la gente tratara el GRC con más seriedad y otra actitud. Recuerde, las regulaciones no se idearon para hacerle la vida imposible, sino para un bien mayor.
3. Después de la puesta en marcha, los desarrollos propios no son tratados adecuadamente.
Cuando una empresa desarrolla una nueva actividad, como por ejemplo la gestión de facturas, esta necesita que la incluyan en el grupo de actividad correcto. Sin embargo, si el proyecto GRC ya está en marcha y la implementación ha terminado, por lo general esto no ocurre. La mayoría de las personas establecen grupos de actividades en la ejecución del proyecto inicial del GRC, pero no los mantienen regularmente, normalmente porque se han olvidado de ellos. ¿El resultado? Posibles violaciones ocultas de las normas de la segregación de funciones.
Es vital añadir y actualizar los grupos de actividades periódicamente, pero es casi imposible que se acuerde de hacerlo por su cuenta. Por eso tenemos alertas cuando se crean nuevos códigos T en el sistema de producción, para que pueda considerar si este es relevante para alguno de los grupos que están manteniendo.
4. Adquirir una solución GRC de alto precio sin inspeccionar los costes de implementación y mantenimiento es un error.
Si cree que conseguir algo gratis es un tanto a su favor, recuerde que al final del día nada es gratis.
Obtener una solución GRC de precio elevado gratuitamente y no considerar el tiempo de implementación y los costes generales es como que le regalen un enorme camión con dos remolques de 15 metros (carga máxima de 67.000 kg) gratis y no caer en la cuenta de su escandaloso consumo de combustible y los enormes costes de mantenimiento. Al final, se trata de un vehículo especialmente caro si tan solo lo necesitas para hacer la compra. Además, tan solo llevarlo al garaje podría llevarle un año y costarle una fortuna.
Pagar por adelantado una solución de GRC más eficiente puede ser una mejor opción desde el punto de vista del tiempo de implementación, las posibilidades de éxito y los costes generales.
5. Incluso las grandes organizaciones tan solo necesitan unas 60 reglas eficaces de SOD.
Aprendimos este hecho sorprendente de nuestros socios de empresas consultoras. Los clientes suelen pensar que, a medida que crecen, necesitan más y más reglas para la SOD. Esto no tiene por qué ser cierto.
Si las empresas están bien gestionadas, los procesos comerciales principales —tales como emitir facturas o pagar proveedores— de empresas grandes y pequeñas no son tan diferentes. Por lo tanto, si las reglas de la SOD están bien definidas, su número no debería crecer, aunque lo haga la organización.
Es cierto que las grandes empresas son más complejas y tienen más actividades que controlar, pero estas caen dentro de los mismos grupos de actividades que una empresa más pequeña. Elija a sus consultores GRC cuidadosamente e inspeccione sus reglas SOD a fondo para ver si están ajustadas a las necesidades de su organización. No complique demasiado el proceso; se volverá un engorro excesivamente costoso.
