SAP GRC защитит корпорации от мошенничества сотрудников
Компания SAP представила решение SAP GRC, призванное предотвратить миллионные убытки, наносимые организациям злонамеренными действиями сотрудников.
В целом SAP GRC («Управление рисками и соответствие требованиям регулирующих органов») является интегрируемым масштабируемым решением, использующим обширный функционал для обнаружения и управления рисками и непрерывного контроля бизнес-процессов.
Продукт включает в себя следующие компоненты: SAP GRC Access Control — для управления рисками несанкционированного доступа и распределения должностных обязанностей; SAP GRC Process Control — для управления процессами обеспечения соответствия требованиям регуляторов, автоматизации процессов внутреннего контроля и управления рисками достоверности финансовой отчетности; SAP GRC Risk Management — для управления корпоративными рисками. Как сообщили CNews в компании, эти компоненты используют единый пользовательский интерфейс и основные данные, применяемые, например, при документировании бизнес-процессов и контролей.
Реализация системного подхода к управлению рисками требует наличия соответствующих инструментов. Автоматизация процесса внутреннего контроля средствами специализированных информационных систем существенно повышает эффективность процесса контроля, считают в SAP.
По данным компании, решение SAP GRC позволяет компаниям соответствовать требованиям информационной безопасности в части обеспечения безопасности ИСПДн (информационная система персональных данных), а также разграничения полномочий сотрудников, и контролировать риски несанкционированного доступа в режиме реального времени. «Совместная работа решений SAP GRC позволяет выявлять и предотвращать случаи мошенничества не только посредством выявления конфликтов разделения полномочий, но и в случае, когда мошенничество реализуется на уровне разрешённых функций посредством непрерывного мониторинга бизнес-процессов компании», — подчеркнули в SAP.
Вместе с системой SAP GRC компаниям также доступна матрица контроля и мониторинга бизнес-процессов, матрица разделения полномочий и начальный каталог рисков с ключевыми индикаторами риска, среди которых такие факторы, как проверка отклонения цены в счете-фактуре по сравнению с заказом на закупку, проверка отклонения количества закупаемого товара и накладной, проверка на расхождения в дате поставки, динамика изменения цен за последние три месяца, закупка без контракта и др.
По словам Дмитрия Лисогора, заместителя генерального директора SAP СНГ, решение SAP GRC уже успешно внедрено многими компаниями во всем мире. «Так, компания ABB India, имеющая ежегодную выручку в $29 млрд и 6,5 тыс. сотрудников в штате, использует решение SAP GRC в качестве единого решения, работающего в офисах компании в 14 странах мира. Благодаря использованию решения SAP в ABB India удалось добиться сокращения затрат на соответствие требованиям закона Сарбейнса-Оксли и проведение аудита. А компания Panalpina Group при помощи SAP GRC проводит анализ рисков на основе единых стандартов. Внедрение решения позволило компании повысить прозрачность процессов распределения полномочий, снизить затраты на аудит на 5-10% и сократить время на управление полномочиями пользователей в информационных системах в среднем на 60-75%», — рассказал он.
По данным исследования Ассоциации специалистов по расследованию хищений и мошенничества (ACFE) в котором приняли участие специалисты из 94 стран мира, в среднем потери обычной организации в результате мошеннических действий составляют до 5% ее доходов в год. Таким образом, общая сумма потерь от действий мошенников во всем мире в среднем превышает $ 3,5 трлн.
Карина Саркисян, партнер группы управления рисками организаций компании «Делойт» считает, что внедрение и поддержание руководством организации системы внутреннего контроля наиболее результативно для снижения рисков мошенничества. Оптимальным решением, по её мнению, может быть сбалансированный подход, при котором организация и исполнение процесса внутреннего контроля является обязанностью руководителей, участвующих в операционной деятельности, а за эффективностью средств контроля следит подразделение внутреннего аудита. «Важным принципом внутреннего контроля является разграничение полномочий сотрудников. Нарушение этого принципа может привести к ошибкам или злонамеренным действиям сотрудников, которые не будут своевременно выявлены», — добавила Карина Саркисян.
© CNews