Część #1/5 – Wyzwanie dla kontroli mitygujących.
Kontrole mitygujące, to mechanizmy zaimplementowane w procesach biznesowych, ograniczające ryzyko nadmiarowych uprawnień przyznanych dla użytkowników. Są to czynności w większości przypadków realizowane poza systemem ERP (SAP) i w sposób manualny (ręczny), bazujące na raportach lub innych zestawieniach generowanych z systemu.
Kontrole mitygujące to częsta odpowiedź ze strony kierownictwa na ryzyko wynikające z nadmiarowych lub konfliktowych uprawnień użytkowników w SAP. Odebranie uprawnień lub modyfikacja ról dostępowych jest zadaniem trudnym, czasochłonnym i wieloaspektowym.
Rozpatrując ryzyko pojawienia się nadmiarowych lub niewłaściwych uprawnień w systemie SAP jako poważną chorobę, należy pamiętać, że każde leczenie wymaga przede wszystkim odpowiedniej diagnozy. Dzięki wiedzy i doświadczeniu lekarza, właściwemu zapleczu diagnostycznemu i planowi leczenia choroba jaką jest niewłaściwe zarządzanie nadawaniem uprawnień w SAP może zostać wyleczona.
Podobnie jak w przypadku każdej choroby, również w tym zakresie każdy, kto mierzy się z problemem niewłaściwego nadawania uprawnień w SAP, może rozważać zastosowanie doraźnego rozwiązania. Jest ono jednak tabletką przeciwbólową, która będzie chwilowym sposobem zażegnania poważnego problemu. Czasem taki wybór może okazać się korzystny, jednak nie powinien być rozważany jako rozwiązanie możliwe do zastosowania w dłuższej perspektywie.
Praktyka projektów wdrożeniowych
Poprawnie przeprowadzony projekt przebudowy ról i uprawnień użytkowników w SAP powinien być oparty o wypracowaną w trakcie warsztatów biznesowych – matrycę rozdziału obowiązków użytkowników w procesach biznesowych. Matryca to kluczowy produkt takiego projektu, często pomijany w trakcie wdrożenia nowego systemu SAP. Zespół projektowy skoncentrowany na szybkim i efektywnym kosztowo uruchomieniem nowego systemu SAP, pomija aspekty dotyczące bezpieczeństwa przenosząc ciężar za ich wdrożenie na okres po starcie systemu SAP. Matryca rozdziału obowiązków to kluczowy produkt, który podsumowuje i kompletuje wymagania w zakresie budowy uprawnień z perspektywy specyfiki firmy, która wdraża nowy system SAP. Wymagania te stanowią fundament dla przyszłej architektury uprawnień, która jest pochodną metody realizacji czynności w procesach biznesowych. Ten produkt bierze pod uwagę to w jaki sposób firma: księguje dokumenty, pracuje z danymi podstawowymi, zatwierdza dane poprzez system typu Workflow, realizuje płatności i operacje magazynowo – logistyczne, itp. Jest to zebrane w jednym miejscu kompendium wiedzy na temat tego jak w praktyce powinny wyglądać uprawnieniach pracowników firmy. Przygotowanie materiału jest sporą inwestycja, jednak z naszego doświadczenia warto ją ponieść w trakcie wdrożenia, aby lepiej się przygotować się do późniejszej eksploatacji systemu. Takie podejście zapewnia bezpieczeństwo danych finansowych już od pierwszego dnia działania systemu. Rozwiązywanie tych problemów później powoduje, że potrzebny jest dodatkowy nakład pracy, aby ocenić czy w okresie od startu systemu do momentu naprawy, błędnie nadane, nadmiarowe uprawnienia nie zostały niewłaściwie wykorzystane. W razie wystąpienia takich problemów można działać doraźnie, wdrażając dodatkowe mechanizmy w postaci kontroli mitygujących, jednak warto zastanowić się wcześniej czy jest to rozwiązanie korzystne w dłuższej perspektywie?
W ciągu ostatnich kilku lat nasza firma przeprowadziła kilkadziesiąt projektów przebudowy uprawnień w różnych organizacjach. Współpracowaliśmy z przedsiębiorstwami prywatnymi jak również jednostkami administracji publicznej. Mieliśmy również okazję współpracować z szeroko rozpoznawalnymi, międzynarodowymi korporacjami.
Pośród wielu wniosków z takich projektów, ciekawym aspektem wydaje się temat kontroli mitygujących, a precyzyjniej zauważalna tendencja do adresowania tych nadmiarowych ryzyk w uprawnieniach w SAP poprzez wprowadzenia dodatkowych elementów kontrolnych tzw. „Kontroli mitygujących”. Czy jest to słuszne podejście? Jakie są konsekwencje takiego działania? Czy jest jedna odpowiedź, która jest dobra w każdej organizacji lub każdej sytuacji?
Na czym zatem polega wyzwanie?
Nadmiarowe dostępy w systemie SAP to sytuacja, w której dany użytkownik posiada w systemie dostęp, który generuje ryzyko dla firmy, a w praktyce użytkownik nie używa tych transakcji i dostępów. Jest to istotna słabość, która nie daje korzyści (np. zastępowanie pod nieobecność innego pracownika) a generuje dodatkowe ryzyko dla firmy. W projektach wykorzystujemy mechanizmy, które pozwalają nam określić z których narzędzi użytkownik korzystał w ciągu ostatnich kilkunastu lub kilkudziesięciu tygodni w systemie. Takie zestawienie można przygotować uwzględniając aspekt częstotliwości. W efekcie pozwala to na przygotowanie raportu z informacjami nie tylko co użytkownik realizuje w systemie, ale również jak często w zadanym okresie czasu wykonywał te zadania.
Przykład z projektu
Aby lepiej zrozumieć wyzwanie związane z kontrolami mitygującymi, posłużmy się przykładem z obszaru sprzedaży. Cena po jakiej sprzedajemy produkt naszemu Klientowi powinna wynikać z cenników opracowanych przez zespół odpowiedzialny za politykę cenową. Jest ona starannie przygotowywana w oparciu o bieżącą sytuację na rynku, aktualne koszty pracy i stany magazynowe oraz prognozowany popyt na towary i usługi. Następnie propozycje cen przechodzą szczegółowy proces weryfikacji oraz akceptacji. Na koniec każdego tygodnia lista obowiązujących cen trafia do systemu na kolejny okres rozliczeniowy. Dostęp do tych operacji jest ograniczony.
W procesie sprzedaży, kluczowym nośnikiem informacji o cenach jest zlecenie sprzedaży, które pracownik Działu Obsługi Klienta przetwarza w systemie SAP. Jedną z wartości, które może zmodyfikować (celowo lub przypadkowo) jest cena produktu. Ta otwarta furtka w procesie biznesowym generuje dla organizacji ryzyko wyrzucenia całej pracy zespołu odpowiedzialnego za politykę cenową do kosza, ale co gorsze, również powstaje ryzyko, że ceny będą niedostosowane do warunków rynkowych. Przełoży się to również bezpośrednio na ryzyko spadającej marży handlowej, a w dalszej konsekwencji zysku netto, który jest podstawowym wskaźnikiem analizowanym przez inwestorów i właścicieli spółki. Oczywiście argumentów za taką sytuacją jest wiele, te najczęściej wypowiadane to możliwość korekty w przypadku błędu lub specjalna sprzedaż dla ‘wyjątkowego’ Klienta.
Naturalnym działaniem byłoby ograniczenie dostępu do zarządzania ceną po stronie zespołu Działu Obsługi Klienta. Jednak w praktyce dużo łatwiej jest zaproponować nową kontrolę mitygującą w której osoba, raz jak jakiś czas będzie porównywać ceny użyte w zleceniach sprzedaży do tych umieszczonych w cennikach. Ta kontrola będzie miała charakter wyrywkowy, a sposób jej wykonania będzie sprowadzał się do mozolnej i czasochłonnej operacji porównywania dwóch zestawień. Oczywiście ten początkowy model kontroli będzie ulegać optymalizacji i ewolucji, zostaną wprowadzone nowe elementy automatyzacji np. w postaci raportu rozbieżności cen, który po kilku tygodniach lub miesiącach będzie generowany w automatyczny sposób. Czy jednak na pewno jest to dobra droga? Czy zamiast automatyzować takie operacje można by ich po prostu ‘uniknąć’? Czy możliwości automatyzacji powinny zastąpić myślenie na temat metody i sposobu projektowania procesów biznesowych, aby były bezpieczne?
Często, zamiast rozważyć zmianę podejścia do wystąpienia ryzyka niewłaściwego korzystania z uprawnień, firmy zlecają dalsze automatyzacje: powstają nowe raporty czy systemy które szybciej i taniej porównują te dwa zestawienia.
Łatwość tego typu rozwiązania często powoduje, że nie patrzymy na problem z szerszej perspektywy i nie bierzemy pod uwagę innych rozwiązań z zakresu całego systemu kontroli wewnętrznej. Jest to również problem dlatego, że wielu właścicieli biznesowych pod wpływem silnej presji ze strony audytu wewnętrznego lub zewnętrznego ulega złudnemu przekonaniu, że im więcej jest kontroli mitygujących tym operacje w procesach biznesowych będą bezpieczniejsze. Warto jednak zastanowić się, czy wybór tej drogi nie spowoduje ciągłego pojawiania się kolejnych problemów, „pożarów” wymagających gaszenia i generujących niepotrzebne koszty? Czy są inne metody, sposoby którą pozwolą na skuteczne i bezpieczne korzystanie z systemu SAP przez użytkowników wewnątrz organizacji?
Czy wszystkie przydzielone w SAP dostępy są potrzebne?
Powyższy przykład dotyczy świadomie nadanych szerokich uprawnień, ale znacznie częściej mamy do czynienia z sytuacją, w której dostęp nadany jest mniej świadomie. Nadmiarowy dostęp jest często niepotrzebny i nieużywany (np. logi z transakcji SM19 lub SM20 nie wskazują użycia za okres ostatnich 12 miesięcy) przez użytkownika, a jego obecność w uprawnieniach powoduje istotne zagrożenie dla firmy. Tym samym obalamy popularny mit, który często pojawia się w obawach naszych Klientów, że projekt rozwiązywania ryzyk SOD związany jest bezpośrednio z faktem, że użytkownicy utracą uprawnienia do transakcji, których potrzebują do pracy. Często projekt przebudowy uprawnień zaczyna się w pierwszej kolejności od odebrania uprawnień, które zostały wcześniej nadane użytkownikom, a z których Ci nie korzystają podczas wykonywania codziennych obowiązków w pracy. Te uprawnienia odpowiadają, z naszych obserwacji projektowych, za około 50-60% ryzyk nadmiarowych dostępów.
Wyzwanie, przed którym staje organizacja polega na tym, że menedżerowie odpowiedzialni za procesy biznesowe muszą zdecydować kiedy i w jakich sytuacjach rozwiązanie ryzyka związanego z nadmiarowym dostępem użytkownika w systemie powinno być zaadresowane poprzez odebranie uprawnień a kiedy należy zdecydować się na zastosowanie kontroli kompensującej ryzyko.
Podsumowanie
Często rozwiązaniem jest zaangażowanie osób z różnych departamentów biznesowych o odpowiednich kompetencjach i połączenie ich z kompetencjami technicznymi, posiadającymi wiedzę na temat praktyk budowania uprawnień. Takie połączenie stanowi podstawowy element sprawnej odpowiedzi na przedstawiony problem nadmiarowych dostępów lub nadużywania kontroli ograniczających ryzyko.
W kolejnej, drugiej części przedstawimy krótko algorytm postępowania z nowym ryzykiem nadmiarowych uprawnień. Jak można wywnioskować z dotychczasowego opisu problemu, ten algorytm nie powinien zaczynać i kończyć się na tworzeniu nowej kontroli mitygującej. Jak zatem reagować? Na co zwrócić szczególną uwagę? O tym już w kolejnej części artykułu. Zapraszamy do lektury!