BLOG

Przegląd okresowy uprawnień SAP

Przegląd okresowy uprawnień SAP i implementacja decyzji w praktyce. Studium przypadku wdrożenia systemu smartGRC w firmie z branży retail.

Wstęp

Przeprowadzanie okresowych przeglądów uprawnień w systemach informatycznych staje się coraz częstszym mechanizmem kontrolnym spotykanym w środowiskach, gdzie duże systemy ERP stanowią podstawę funkcjonowania operacji. Często wynika to z chęci implementacji dobrych praktyk, lub jest to efekt realizacji zalecenia po zakończonym audycie sprawozdań finansowych. Zabezpieczenie procesów biznesowych via dobrze zbudowane i przypisane uprawnienia użytkowników stanowią istotną kontrolę prewencyjną, ograniczającą ryzyko nadmiarowych dostępów. To również dobre wzmocnienie systemu kontroli wewnętrznej przedsiębiorstwa. Warto zastanowić się, dlaczego wciąż tak niewiele firm w praktyce skutecznie wdraża tę kontrolę i opiera o nią zarządzanie ryzykiem nadmiarowych uprawnień. Celem tego studium przypadku jest przybliżenie w szczegółach praktycznego doświadczenia powstałego po wdrożeniu narzędzia oraz takiego procesu w globalnej amerykańsko-europejskiej organizacji z branży retail.

Wyzwanie

Zarząd firmy, po otrzymaniu zalecenia ze strony audytora finansowego, o konieczności realizacji okresowego przeglądu uprawnień, wyznaczył Dyrektora IT jako odpowiedzialnego za wsparcie procesu przeglądu uprawnień od strony narzędziowej, gdyż od początku jasne było, że skala operacji biznesowych nie pozwala, aby ten proces realizować ręcznie, bez użycia wsparcia systemu. Dyrektor Audytu również postanowił wnieść do przedsięwzięcia wkład ze swojej perspektywy i dlatego przygotował listę kluczowych założeń i ryzyk w tym obszarze, które miałyby być podstawą do dalszego zaprojektowania i wdrożenia procesu przeglądu uprawnień. Kierownictwo firmy nie miało opracowanego szczegółowego pomysłu na realizację tego przedsięwzięcia, nie było przygotowanych procedur i polityk, które by określały jak taki proces będzie realizowany. Od początku wiadomo było, że nie ma sensu wymyślać od nowa – firma szukała na rynku gotowych praktyk i technicznego rozwiązania, które pozwoli w krótkim czasie sprostać następującym wyzwaniom:

  • Rozproszone dane: Informacje o uprawnieniach były przechowywane w dwóch systemach klasy ERP, z których korzystało łącznie ponad 1000 użytkowników
  • Międzynarodowy zasięg: Użytkownicy pracowali w systemie ERP w kilkunastu krajach na terenie Europy i poza nią, używali do codziennej komunikacji języka angielskiego
  • Liczni uczestnicy: W procesie przeglądu uprawnień zaangażowanych było około 100 weryfikatorów biznesowych
  • Presja czasu / ograniczony czas na realizację: Spółka dysponowała zaledwie 3 tygodniami na przeprowadzenie całego procesu przeglądu uprawnień i około 7 tygodni na przygotowanie i uruchomienie całego procesu
  • Niejasne opisy ról użytkowników: Role opisane językiem technicznym, bez dedykowanych opisów biznesowych, które byłyby niezrozumiałe dla weryfikatorów nieposiadających wiedzy technicznej
  • Duża liczba ryzyk SOD: Łącznie zidentyfikowano 1518 ryzyk nadmiarowych uprawnień (SoD – Segregation of duties) w uprawnieniach użytkowników dialogowych

 
Podsumowując te wyzwania z perspektywy czasu, potrzebne było rozwiązanie, które będzie wspierało organizację zarówno pod względem technicznym jak i organizacyjnym, a całość zostanie uruchomiana w mniej niż 3 miesiące. Dodatkowo, jakby ta lista wyzwań była za krótka a zadanie zbyt łatwe, Dyrektor audytu określił następujące ryzyka i wymagania dla procesu, które miałyby być spełnione już w pierwszym przeglądzie uprawnień użytkowników systemów ERP:

  • Kompletność: W procesie muszą być uwzględnione wszystkie ryzyka nadmiarowych uprawnień o poziomie wysokim oraz krytyczne i wrażliwe dostępy użytkowników z perspektywy biznesowej (dane podstawowe, rachunki bankowe, płatności, etc.) oraz IT (dostępy techniczne – edycja tabel, uruchamianie programów, etc.)
  • Dokładność: Każdy aktywny dialogowy użytkownik (może być zablokowany z uwagi na błędne hasło, ale musi być ważny), który ma min. 1 średnie lub wysokie ryzyko musi być na zestawieniu. Wszystkie jego uprawnienia, które generują ryzyka mają być ujęte w zestawieniu. W pierwszej kolejności mają być wzięte pod uwagę systemy SAP ECC ERP, oraz SAP HR. W kolejnych latach również systemy dziedzinowe, dedykowany do sprzedaży, portal zakupowy, etc.
  • Transparentność: Po zakończeniu przeglądu administrator musi mieć możliwość przygotowania zestawienia, w którym można udowodnić kompletność listy użytkowników i ryzyk, tak aby mieć pewność, że wyżej wskazane wymagania zostały spełnione
  • Terminowość: W trakcie realizacji przeglądu jest widoczny postęp (np. procentowy) przeglądu. Weryfikatorzy, którzy nie podejmują działań otrzymują powiadomienia – ważnym aspektem jest terminowość zakończenia przeglądu. Administrator przeglądu po upływie terminu, ma zakończyć i zgłosić wszystkie do odebrania uprawnienia biznesowe, które nie zostały zaakceptowane
  • Użyteczność: Użytkownik biznesowy – weryfikator ma wgląd w opis i poziom danego ryzyka, może zobaczyć czy transakcje powiązane z ryzykiem były używane, czy są tylko dostępne w uprawnieniach. Przegląd musi być łatwy do przeprowadzenia, jeden weryfikator nie może spędzić na analizie uprawnień swoich użytkowników więcej niż 3-4h. Informacje u uruchamianych transakcjach przez użytkownika wraz z ich opisem biznesowym mają być dostępne na żądanie weryfikatora. W kolejnych przeglądach, ma być umieszczona informacja o decyzjach podjętych w poprzednim przeglądzie
  • Follow-up dla decyzji biznesu: Zespół IT ma około 1 m-c po zakończeniu przeglądu na implementację decyzji, implementacja decyzji (odebranie ryzyk) jest ważniejszym procesem niż sama decyzja weryfikatorów – status postępu implementacji decyzji biznesowych musi być monitorowany
  • Zarządzanie przeglądem: W trakcie trwania przeglądu może okazać się, że pierwotny weryfikator jest poza biurem lub na urlopie – w takiej sytuacji Administrator przeglądu powinien móc, w trakcie trwania przeglądu, zmienić osobę wykonującą przegląd np. poprzez możliwość zdefiniowania delegacji lub też przekazania do innej osoby z organizacji

 
Chcesz zobaczyć, jak poradził sobie nasz zespół z takim wyzwaniem?
Kliknij tutaj i zostaw nam swoje dane, a wyślemy Ci pełen opis przypadku.

Chcesz wiedzieć więcej? Skontaktuj się z nami.

Wypełnij poniższy formularz. Zwykle odpowiadamy w ciągu dwóch godzin.