SAP GRC me interesó siempre. Quizás desde que he tenido contacto con la seguridad SAP desde el punto de vista de la gestión de roles y perfiles. Hoy me ha tocado leer un artículo de Peter Cortes, quien desde SAP.com nos ilumina con las "tres etapas del síndrome de la post-implementación de SAP GRC".
La verdad, es muy interesante como Peter introduce al lector en el artículo... casi podría decir que el texto está dirigido al cliente (y no al consultor SAP). Hechemos una mirada (en español):
Entonces estás en un proyecto GRC (Governance, Risk y Compliance) que ha superado todos los trabajos técnicos. SAP GRC ha sido instalado y todos los flujos de trabajo, comunicaciones, puestos de trabajo, etc están funcionando sin problemas. El departamento de IT ha dado un suspiro de alivio y todo parece estar bien. ¿Y ahora qué?
Ahora el cliente está listo y dispuesto para hacer frente a las conclusiones que da GRC. Así es, los resultados. Todos los "SoDs", el riesgo de acceso crítico, las banderas de riesgo, los resultados de mejora de procesos, etc que su reciente aplicación SAP GRC hace/lanza tan bien.Su cliente se dirige a usted y le pregunta: "Ok, así que ahora hemos implementado, ¿cuál es la mejor manera de afrontar estos problemas que indica el sistema?" Todos hemos estado allí. Mirando a un cliente, preguntando cuál es la mejor manera posible para responder a esa pregunta y la respuesta debe realizarse con la línea más usada por los consultores:.... "Bueno, depende"Preparáste a tu cliente con el blueprint, y le dijiste que este momento llegaría y ahora está aquí. ¿Por dónde empezar? ¿Cuáles son las opciones de su cliente? Aquí es donde esa habilidad de overclocking de la CPU que en el cerebro tiene que venir. Usted debe comenzar a presentar las opciones, el rediseño de procesos de negocio, la remodelación de la seguridad, la mitigación, etc y te encontrarás a tu cliente en lo que me gusta denominar como las tres etapas de "Síndrome post-Implementación de GRC".
Si usted es un cliente que ha implementado GRC, no se preocupe. Un buen consultor debe saber guiarlo a través de este síndrome:
- NEGACIÓN - "QUE? Tenemos CUANTOS riesgos en nuestro el sistema?"
La negación puede ser una reacción inicial, pero a sabiendas de lo que está pasando en el sistema es una buena cosa. Después de haber implementado SAP GRC no sólo visualmente destaca cosas por mejorar, sino que proporciona las herramientas necesarias para que estos temas sean corregidos de una manera simplificada a través de catálogos de respuesta al riesgo y cumplimiento de políticas. Pero la mayor ventaja de este método es la prevención. Recuerde que su objetivo es no sólo eliminar el riesgo identificado, sino también mantener libre de riesgo en el futuro. NEGOCIACIÓN - "Bueno, yo sé que el riesgo era para que se considere crítico cuando empezamos a mirarlo, pero hay demasiadas excepciones, así que vamos a disminuir algunos de estos niveles de riesgo."No manipule las estadísticas. Trate de no sacar segundas conjeturas (u opiniones) en cuanto se disponga de datos. Si bien es cierto que los riesgos y sus niveles asociados deben ser evaluados periódicamente, confíe en sus normas de referencia y apéguese a resolver los problemas. ACEPTACIÓN -Todo va a estar bien. Confíe en su software, su análisis en tiempo real, la notificación de flujo de trabajo y la aplicación de auditorías. Por encima de todo, confíe en sus recursos. Una señal segura de una implementación exitosa de SAP GRC es que todos los participantes habrán aprendido algo nuevo. Los clientes se encuentran con una comprensión más firme de su negocio, una nueva y mejor apreciación por el cumplimiento y la tecnología que los rodea.
La verdad que, muy buen artículo el de Peter Cortes. Si quieren disfrutarlo en Inglés, la fuente original de mi traducción, pueden encontrarlo en SAP SDN a un clic de distancia.
Y ustedes, usan SAP GRC? Vivieron este síndrome después de implementar? Sus consultores los supieron tranquilizar?
Saludos
0 comments:
Publicar un comentario
Nota Importante: los comentarios son para agradecer, comentar o sugerir cambios (o hacer preguntas) sobre el artículo de arriba.
SAP y el logotipo de SAP son marcas comerciales registradas de SAP AG en Alemania y en varios otros países. No estamos afiliados ni relacionados con ninguna división o subsidiaria de SAP AG.