SAP GRC, perché è indispensabile nella gestione dei rischi aziendali

Migliorare la Governance Aziendale, valutando correttamente i rischi e i presidi necessari alla loro mitigazione: a questo mira SAP Governance Risk and Compliance (GRC), la soluzione integrata all’ERP SAP.

 In risposta ai rilevanti impatti normativi sulla governance e sui processi di controllo sempre più sofisticati nella capacità di intercettazione del rischio, SAP ha sviluppato la suite GRC quale soluzione applicativa integrata all’ERP, che supporta il management in tutti gli aspetti dei processi ERM, automatizzando le attività di risk management e di control assessment e fornendone visibilità in tempo reale.
Al management è richiesta quindi una resilienza fuori dal comune per gestire il crescente fabbisogno regolamentare che richiede allo stesso tempo semplificazione, velocità e gestione integrata di controlli e rischi all’interno di sistemi e processi aziendali. Allo stesso tempo, è necessario acquisire tempestivamente, anche in modalità predittiva, informazioni su anomalie e potenziali rischi mediante un’attenta risk analysis.

 Soluzioni integrate come SAP GRC presentano un fondamentale vantaggio intrinseco: sono incorporate nella base stessa delle operazioni aziendali e dei progetti di trasformazione digitale. Tutto ciò consente loro di rendere possibile l’automatizzazione delle attività e di fornire visibilità e controllo in tempo reale.
L’uso di una piattaforma comune rende più semplice la gestione dei rischi, fornendo ai decision-maker aziendali le informazioni necessarie per regolare obiettivi e strategie, nonché per prevedere, rilevare e rispondere a opportunità e minacce. È ad esempio possibile valutare quali rischi ostacolano gli obiettivi aziendali e di processo, come un rischio sia stato gestito fino ad oggi, visualizzare i collegamenti tra cause ed effetti, identificare le anomalie e monitorare continuamente i rischi a livello aziendale.

Un portafoglio di soluzioni integrate

In ambito GRC, SAP offre un portafoglio completo di soluzioni integrate che aiutano a governare i rischi e a proteggere le innumerevoli attività quotidiane nel rispetto di un approccio compliance by design, all’interno e all’esterno dell’organizzazione.
Il loro utilizzo consente all’azienda di:

• supportare il “Three lines of Defense Model” (best practice per l’Institute of Internal Auditor);
• documentare, monitorare, rimuovere e gestire i rischi a livello centrale;
• migliorare la governance dei processi;
• allineare la gestione e i controlli dei rischi agli obiettivi di business;
• documentare e gestire le policy aziendali;
• evidenziare le criticità e sviluppare piani di rimedio in un processo iterativo e auditabile;
• gestire centralmente gli accessi ai sistemi, automatizzando il provisioning e garantendo assegnazioni di autorizzazioni conformi alle politiche SOD aziendali

Gli elementi base di SAP GRC

 Vediamo allora nel dettaglio i principali moduli che compongono la soluzione SAP Governance, Risk and Compliance: 

1. SAP Access Control: è l’applicazione che gestisce la Segregation of Duties e i relativi rischi di accesso, sia nel processo di Provisioning di ruoli e utenze, sia nella gestione dei super user, riducendo al minimo eventuali violazioni. Consente pertanto di ridurre gli accessi non autorizzati, le frodi interne e i costi di non conformità;
2. SAP Risk Management: è l’applicazione che consente di definire, controllare e valutare, in termini di analisi costi opportunità, i rischi aziendali. Viene quindi utilizzata per valutare i rischi aziendali in relazione alle opportunità di business e alla risk tolerance and appetite aziendale e definire e monitorare le relative azioni di mitigazione;
3. SAP Process Control: è l’applicazione che permette di gestire il sistema dei controlli interni e le policy dell’organizzazione nella sua interezza. Tramite un processo iterativo e guidato è possibile gestire la valutazione del disegno dei controlli (TOD), eventuali self assessment e i test di effettiva operatività (TOE). Per ognuno dei workflow supportati è possibile documentare le check evidence ed eventuali criticità e piani di rimedio rilevati. Consente inoltre un controllo continuo su tutti i processi aziendali tramite l’integrazione nativa con l’ERP di SAP che permette di strutturare dei test automatici in tempo reale.
4. SAP Audit Management: è la soluzione che aiuta a pianificare e gestire i piani di audit, coordinare i piani di lavoro e le risorse, documentare le evidenze, eseguire audit e gestire i relativi problemi a livello globale.

Le altre funzionalità

A questi moduli principali si uniscono ulteriori applicazioni dalle finalità specifiche. Fra di esse:

• SAP Tax Compliance: è la soluzione che aiuta a definire il TAX Control Framework aziendale, automatizzando i controlli fiscali senza bloccare i processi di business.
• SAP Business Integrity Screening: è l’applicazione che consente di rilevare, prevenire e scoraggiare attività Ideata per gestire una notevole mole di dati, consente lo screening di volumi elevati di dati transazionali in tempo reale sulla base di analisi predittive e set di regole estensibili, per scoprire tempestivamente anomalie, frodi o deviazioni dalle policy;
• SAP Cloud Identity Access Governance: è l’applicazione che consente di gestire gli accessi ai sistemi aziendali, in conformità alle procedure in ambito SOD, con architetture ibride (Cloud e On Premise).

 L’insieme di queste soluzioni accompagna l’azienda nel suo percorso di crescita, aiutandola a governare i propri processi in risposta alle diverse prescrizioni normative, garantendo il supporto di modelli organizzativi ERM based sempre più articolati e complessi.
L’assenza di SAP GRC potrebbe condurre all’allungamento dei tempi decisionali con forti difficoltà nel presidiare puntualmente i rischi di non conformità alle prescrizioni regolamentari. Ciò potrebbe costituire di certo il rischio più grave, potenzialmente letale, che l’impresa possa trovarsi ad affrontare.