As regras básicas para garantir o sucesso dos projetos valem para projetos de implantação do SAP Access Control e para projetos de Redesenho de Perfis de Acesso SAP e/ou para projetos que contemplem os 2 cenários ao mesmo tempo.

Geralmente a necessidade um projeto de implantação da solução SAP Access Control e Redesenho de perfis de acesso SAP quase sempre surge após a execução de auditorias internas ou auditorias independentes (auditorias externas), que em muitos casos apontam não conformidades com Segregação de Funções (SoD) nos perfis de acesso dos usuários. Quando isso ocorre, a área de TI responsável por gestão de perfis de acesso SAP é responsabilizada pelo resultado das auditorias e, às vezes, até injustamente.

A área de TI então assume sozinha o papel de colocar em pratica o projeto de implantação SAP Access Control e Redesenho de Perfis de Acesso SAP e inicia o planejamento e definição do escopo. E é a partir deste ponto que ocorrem os principais erros que levam às falhas dos projetos desta natureza e, quase sempre, influenciados pelo falta de competências “GRC” que os times de TI geralmente não possuem, caso contrário, as não conformidades não teriam sido apontadas. Então, o que deve ser feito para evitar as falhas mencionadas e o fracasso dos projetos desta natureza?

Aplicar as regras básicas a seguir garante a redução da maioria das principais falhas em projetos de implantação do SAP Access Control e Redesenho de Perfis de Acesso SAP. São elas:

Mão de Obra Especializada: Definir um bom time implementador ou uma consultoria prestadora de serviços com excelência no assunto é fundamental para ter um projeto sem surpresas. No entanto, o fornecedor de serviços sozinho não garante o sucesso do projeto. O envolvimento da empresa contratante é fundamental para que sejam feitas as definições que melhor atendem a cultura e requisitos da organização. Especialização nesta área de prestação de serviços em GRC é um diferencial enorme que deve ser buscado pelas empresas, além de experiência comprovada em projetos similares anteriores.

Mapeamento dos Requisitos: Se a organização optou por uma assessoria especializada em GRC para o processo de definição do projeto, o mapeamento dos requisitos será determinado pela assessoria priorizando o orçamento, cultura e metas da organização. É essencial identificar os seguintes itens:

  • Mapear os principais GAPs de auditoria que possam ter motivado o projeto
  • Definir as práticas ou frameworks de mercado (exemplo: COSO, SOx, COBIT etc.) que deverão ser incorporados ao projeto
  • Determinar se o projeto comtemplará Redesenho de Perfis de Acesso e implantação do SAP Access Control, ao mesmo tempo
  • Identificar se há outros projetos planejados na organização que possam impactar no projeto que será contratado
  • Não cair na tentação de adotar um modelo de autorização SAP (perfis) proposto sem que os requisitos e cultura da organização sejam avaliados e considerados na sua aderência
  • Buscar um modelo de autorização SAP (perfis) que facilite a manutenção, reutilização e tratamento de riscos SoD
  • Entender as principais funcionalidades disponíveis na solução SAP Access Control e definir aonde se deseja chegar com a implantação:
    • Adotar a Matriz de Riscos SoD Standard ou adequar uma matriz personalizada para o seu negócio
    • Definir o catalogo de Controles Compensatórios para mitigar Riscos SoD ’s
    • Identificar os riscos nos desenvolvimentos ABAP customizados e incluir os mesmos na matriz de Riscos SoD
    • Definir procedimento de governança ABAP para garantir que futuras manutenções em desenvolvimentos ABAP customizados estejam alinhadas com práticas de GRC
    • Definir uma matriz de responsabilidades (RACI) para que os envolvidos no projeto e operação tenham a visão de suas responsabilidades
    • Estabelecer os principais fluxos GRC desejados

Determinação do Patrocinador: Por se tratar de um projeto que envolve diferentes áreas da organização (área de negócios, área técnica, controles internos, auditoria etc.), se faz necessário o envolvimento de alguém com representação na estrutura organizacional, como por exemplo CFO, CIO etc., para atuar como patrocinador e facilitador para o engajamento dos envolvidos de outras áreas impactadas. Projetos de implantação do SAP Access Control e Redesenho de Perfis de Acesso SAP requerem patrocinador da alta diretoria!

Vamos fazer o seu projeto acontecer?