Beheer

IT beheer

SAP GRC: adequaat risicobeheer?

4 april 2014

Het is alom bekend. Wet- en regelgeving stellen hoge eisen aan de IT-huishouding. De accountant verlangt grip op de organisatie. Dat betekent dus ook controle op processen en adequaat risicobeheer. Zo moeten onrechtmatige toegang tot informatie en functiescheidingsconflicten worden vermeden. De SAP Governance, Risk’s and Compliance-software (GRC) wordt veelal ingezet om functiescheidingsconflicten op te sporen. Het is nu eenmaal niet de bedoeling dat een willekeurige medewerker zijn eigen bestellingen kan accorderen. Tegelijkertijd is er veel kritiek op deze software. De implementatie van SAP GRC zou erg kostbaar zijn. Klopt dat? Dit artikel geeft inzicht in het hoe en waarom van de al dan niet prijzige SAP GRC-implementaties. De investering heeft alleen zin als het autorisatiesysteem goed op orde is.

Chaos

Wie krijgt toegang tot welke informatie? Mensen hebben veelal de neiging alles zelf te willen afhandelen. In een bedrijf van vijf mensen is het handig dat mensen elkaars activiteiten zoveel mogelijk kunnen overnemen. In een organisatie met meer dan tweehonderd medewerkers werkt het contraproductief als te veel mensen zich met hetzelfde proces bemoeien. Medewerkers komen en gaan in onze huidige arbeidsmarkt. Daarmee krijgen steeds meer werknemers meer taken en verantwoordelijkheden. Minder mensen krijgen meer te doen. Dat lijkt in eerste instantie erg kostenefficiënt. Dat is helaas niet altijd het geval. Een bekend voorbeeld is debiteurenbeheer door verschillende afdelingen. Iedereen doet dat op zijn eigen manier. Zo worden correcties uitgevoerd die op hun beurt weer opnieuw gecorrigeerd worden. Kortom, alom chaos. Een adequate toewijzing van rechten in SAP is bepalend voor de mate van orde of chaos in een systeem. Organisaties signaleren dit probleem van verspilling. Dan wenden ze zich tot een Lean- of Six Sigma-implementatie. Verstandig, maar van korte duur als de organisatie niet in staat is het effect vast te houden.

SAP GRC is dan een geschikter tool om de touwtjes structureel in handen te houden. Echter, de software biedt zelf geen garantie op efficiëntiewinst. Het is geen wondermiddel dat alle verspillingsproblemen oplost. Het behalen en behouden van efficiëntie is een complexe zaak waarin het SAP rechtenmodel, functionele beschrijvingen van componenten, abstractie van rechten en helderheid over eigenaarschap naadloos op elkaar aan moeten sluiten. Als deze structuur op orde is, dan is SAP GRC geschikt gereedschap om rechten te beheren.

Risico’s

Wat zijn de risico’s? SAP GRC geeft inzicht in de functiescheidingsconflicten. Daarmee draagt de software bij aan de vermindering van frauderisico’s. De tool kan echter niets doen tegen hackers die van buitenaf het bedrijf binnen willen dringen. Daar is SAP GRC niet voor ontworpen. Het is niet zo dat toegang tot SAP direct leidt tot onontdekte betalingen naar een vreemd rekeningnummer. SAP is een ERP-systeem waarin alles gelogd wordt. Erg vreemde zaken vallen op en worden onderschept.
Gezien het aantal trojans met focus op de bankrekening, is het naïef te veronderstellen dat SAP niet hun aandacht geniet. In november 2013 is de eerste SAP-trojan gevonden. Het slechtste scenario zou zijn als er malafide activiteiten onzichtbaar geïntegreerd worden met bedrijfsprocessen in SAP met een besturing van buitenaf. Het bewaken van functiescheidingsconflicten en toegang tot kritieke functies is cruciaal. Tegelijkertijd komen de grootste risico’s naar mijn mening nog altijd van buiten. Wie steelt van de baas loopt vroeg of laat tegen de lamp. Dat kun je niet zeggen van iemand die van buitenaf invloed krijgt op interne bedrijfsprocessen.

Niet iedereen beseft het belang van het voorkomen van functiescheidingsconflicten. Dat is niet zo vreemd want waarom zou je misbruik willen maken van conflicterende rechten? Daarom ervaart de gebruiker de implementatie van GRC veelal als een vrijheidsbeperker. Het voordeel van het systeem is echter dat misbruikscenario’s direct inzichtelijk zijn. Daarmee groeit het bewustzijn onder gebruikers van mogelijke functieconflicten. En stellen zij zich coöperatief op bij het oplossen van het conflict. Het spreekt voor zich dat misbruikscenario’s niet voor iedereen toegankelijk zijn. Dat brengt mensen tenslotte ook op ongewenste ideeën.

Het functiescheidingsconflict is niet alleen inzichtelijk maar krijgt ook een eigenaar. We hadden al geconstateerd dat met name kleine organisaties niet altijd in staat zijn alle rechten zo te verdelen dat er geen conflicten ontstaan. Volledige uitsluiting van alle mogelijke conflicten is een utopie. In dat geval kan de conflicteigenaar ervoor kiezen, het functiescheidingsconflict te laten bestaan. En tegelijkertijd erop toezien, dat het niet uit de hand kan lopen. Rapportages bieden dan een uitkomst. De salarisadministrateur die zijn eigen salaris moet aanpassen, is zo’n voorbeeld.

‘Verdacht schoon’

Welke hobbels moeten worden overwonnen? GRC levert dus zichtbaarheid in functiescheidingsconflicten op, maar geen directe methode om dit op te lossen. Een functiescheidingsmatrix is daarom een vereiste voor een goede werking van GRC. Hierin staat welke combinatie van rechten een conflict is. Dit kan van bedrijf tot bedrijf verschillen. Ook weet GRC niets van het klantspecifieke maatwerk. Vaak zijn organisaties zelf niet altijd op de hoogte van wat hun maatwerk doet. Het maatwerk kan zo geprogrammeerd zijn dat er geen SAP-rechten getoetst worden. Zo doet het maatwerk dan precies één ding maar is niet meer bestuurbaar met SAP-rechten. De grote uitdaging is dus een duistere maatwerksituatie helder te krijgen in een functiescheidingsmatrix. Als dit niet wordt gedaan, levert dat een ‘verdacht schone’ situatie op. Hoewel ‘schoon’ juist het doel voor een audit is, prikken de meeste auditors hier wel doorheen.

De volgende hobbel is het opschonen van alle SAP-autorisaties. Dit kan een oneindig project worden. En is daarmee ook zeer kostbaar. SAP-autorisaties moeten voortdurend worden aangepast, gebruikersrollen worden verwijderd en activiteiten tussen mensen worden anders verdeeld. Ondertussen kunnen opnieuw ingebouwde SAP-transacties de situatie weer doen veranderen. Autorisatiebeheer is en blijft daarom de achilleshiel van GRC-projecten. Dat maakt het kostbaar.

Tijdens de verwijdering van functiescheidingsconflicten moeten autorisaties blijven werken zonder dat bedrijfskritische functies stil komen te liggen. Dat is een complexe zaak. De aandacht gaat veelal uit naar het verwijderen van de functiescheidingsconflicten. Dit levert fouten op die hals over kop hersteld moeten worden. Met name het onderhoud van de autorisatierollen is een zwakke plek. Nieuwe functieconflicten worden onderschept. Dat is helaas lang geen garantie voor een soepele werking van de verschillende autorisatierollen in de organisatie. Ook ingesleten werkwijzen moeten veranderen. Anders worden ontbrekende transacties gewoon weer toegevoegd aan de rollen.

En het kan nog erger. Soms lijkt het alsof fouten opnieuw ontstaan bij het verwijderen van een conflict. Als de rollen technisch volledig correct zijn, wordt er toch nog geklaagd. Dit komt door het zogenaamde ‘hidden drain syndrom’. Een onjuiste rol kan werken dankzij een andere rol die niet functioneert. Er ontstaan nieuwe problemen als je slechts één van beide corrigeert. Deze dynamiek veroorzaakt de hoge kosten van GRC-implementaties. De GRC-projectleider moet dus een holistische blik hebben op organisatieprocessen. Bij het draaien aan één knop, weet hij precies welke consequenties dat elders kan hebben.

Testen

Het is van groot belang dat SAP-autorisatierollen zeer goed getest worden. Het testproces moet meegenomen worden vanaf het moment dat SAP GRC wordt aangeschaft in de organisatie. Er is altijd volop aandacht voor functioneel testen. Terwijl het testen van autorisaties helaas niet zo vanzelfsprekend is. Testen onder SAP_ALL in de Gebruikers Acceptatie Test (GAT) is één van die fouten waardoor defecten langer onontdekt blijven.

Al met al helpt SAP GRC de organisatie beter te besturen. SAP GRC geeft inzicht in conflicten. Een gedegen autorisatiesysteem is wel een voorwaarde. GRC kan de fouten van een slecht autorisatiesysteem helaas niet compenseren. Samen met een effectieve functiescheidingsmatrix nemen de operationele kosten af en frauderisico’s worden verminderd. Bovendien is de auditor tevreden en is daarmee een betrouwbare jaarrekening ook binnen handbereik. Dat is voor veel organisaties veel geld waard.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!