我们SAP GRC团队中的人正在尝试重新想象SAP S/4HANA世界中的风险和合规性。

我最近写了一篇关于"将GRC转移到发布的左侧"的博客。该博客关注的是在极端风险发生之前预测和管理极端风险的需要。

但在成熟市场中管理不频繁或较低级别的风险是一个很好的案例使用"启动权"策略的业务流程。

当前管理控制的范例似乎要求控制重点放在预防风险事件上，即使是无关紧要的事件。控制有效性的定义似乎暗示了一种左派的发射模式。我甚至敢说COSO的控制框架似乎是建立在左派发射控制理念的基础上，可能会扼杀技术创新。（但那是另一个博客。）

有理由采用左侧发射控制模式，但现在是时候再看一眼了。

今天许多风险事件可以从右侧发射非常有效地管理。SAP S/4HANA世界中的控件可以采用非常不同的结构来实现这一点。让我们比较一下传统的方法和发布权场景。

重新想象采购到付款

最近两个不相关的事件在不同环境下如何管理采购到付款（P2P）方面形成了鲜明的对比。

传统的P2P最近，在最近的一次sapgrc内部会议上，我雇佣了一个供应商来提供一些服务，结果搞砸了。合同的价格不到2000美元，互联网大数据，但我没有事先得到适当的批准，我发现自己在我们的"采购到付款"团队中与3-4人打交道，以纠正问题。花了好几个星期，打了很多电话和电子邮件。用于信用卡/借记卡交易商户报销的P2P几周前，我接到一个来自信用卡提供商的电话，提醒我有一笔购买交易。有人假扮我，用我的证件在一个遥远的城市用信用卡购物。我的银行正确地预测到这是一个欺诈交易，甚至在与我交谈之前就阻止了它。

比较P2P中的"启动左侧"和"启动右侧"

如果我不得不猜测，我估计大多数P2P进程（大量文件、职责分离、批准、，和其他控制措施）使企业的成本约占交易价值的3%-5%。更重要的是，它们抑制了支出，大大减缓了支出过程。那可能是个问题。企业花钱赚钱。快速消费应该意味着快速受益。

但银行和信用卡公司也运行一个P2P流程，平销返利，为消费者购买的商户提供补偿。无论是价值还是交易量都是巨大的，但是P2P过程似乎要简单得多。这里是一个简单的比较。

SAP S/4HANA环境中的预测控制启用"启动权"

信用卡公司已将关键控制放在购买交易之后，而不是交易之前。信用卡和借记卡的交易量之大使得SOW、POs和发票变得不可能。今天的技术允许事后预测控制。银行和信用卡公司将一部分风险转移给了商户，也许还有一部分风险转移给了客户。但加快交易速度是至关重要的。

甚至信用卡审批流程也得到了简化。卡是预先批准的，并通知客户。

为什么简化采购很重要？

我相信典型P2P流程中的多重控制、文档和批准是一个巨大但隐藏的成本。在大多数公司，大量的总账过账都是由P2P流程驱动的。财务报表是由支付信息驱动的。处理付款的延迟导致应计项目和不准确、延迟的财务报告的需要。了解成本、掌握准确、最新财务信息的公司可以做出更好的决策。

更糟糕的是，返利怎么使用，我认为，对左发射控制的责任很少由流程负责人承担。我相信启动控制权会更好地与管理层的责任相一致。

我知道存在欺诈的恐惧，当然商家的报销流程也容易受到欺诈的影响。不同的是，他们没有放慢流程并承担成本来防止欺诈和错误，而是在事后发现它们。

有什么技术支持预测控制？

当今存在着持续监控控制的技术，以确保供应商和客户都得到适当的授权和配置。但是，使启动权方法成为可能的是强大的工具，这些工具能够监控控制、检测大量交易中的异常模式以及预测能力，什么是软件企业，机器学习和审计能力。在不良交易完成之前，检测、评估和停止不良交易是可行的。

我几周前走进一家商店，通过出示身份证和提供电话号码，获得了银行发行的1万美元信用卡的资格。我不需要也不想要这张卡，但它表明，通过使用强大的右启动而不是左启动工具和功能，商家和信用卡提供商可以更快地发展他们的业务。我们如何在业务中利用这种能力？

现在谁在做这个？

我对P2P流程以及信用卡和借记卡处理的了解是从消费者的角度出发的。我确信其他人已经考虑过这一点，甚至可能已经测试过P2P过程中的变化。

但我确实对GRC有一点了解，我也知道企业的控制实践似乎严重依赖于防止欺诈或错误。GRC工具和SAP S/4HANA的强大功能应该允许对许多业务流程进行大规模的优化和重新思考。预防性控制在某些情况下可能有用。但是，如果有可能在事后以光速发现并阻止欺诈或错误，那么这样做是有意义的。

展望