Quali sono le sviste principali quando si usa SAP GRC o si sta decidendo se usarlo o meno?

Cosa è SAP GRC?

È un acronimo che significa Governance Risk and Compliance. Al di sotto di questa area, SAP ha inserito tutta una serie di strumenti. Alcuni di questi legati alla gestione degli accessi, altri legati alla compliance delle normative.

Quali sono i principali sistemi coinvolti in questa area:

• SAP GRC Access Control
• SAP GRC Process Control
• SAP GRC Risk Management
• SAP Nota Fiscal Elettronica NF-e
• SAP Global Trade Services
• SAP EHS (Environment, Health and Safety)

Alcuni di questi hanno anche dei sotto moduli. Ad esempio il Process Control contiene un sotto modulo per automatizzare la fase di testing dei controlli SAP GRC Process Control Automated Monitoring (AM), utile anche al team di internal auditing.

In svariati casi è possibile utilizzare impropriamente questi strumenti. Le ragioni sono diverse:

• Mancata conoscenza della "big picture" di SAP sui prodotti di governance
• Poca esperienza del system integrator
• Replica di sistemi legacy nei sistemi GRC (senza sfruttare ciò che SAP, da standard, mette a disposizione)

Da non trascurare infine i prodotti della suite chiamati SAP Business Integrity Screening per S/4HANA:

• SAP Audit Management
• SAP Fraud Management
• SAP Business Partner Screening

Cosa non devi fare con la suite GRC?

Non è un sistema di ticket management

• GRC, soprattutto il sistema Access Control, nel modulo Access Request Management (ARQ), non è un sistema di ticketing. Anche se ha funzionalità che possono assomigliare. Permette infatti di creare delle richieste, alle quali è possibile assegnare dei Service Level Agreements.

• Nel caso di utilizzo del GRC Access Control ARQ, gli utenti dovrebbero gestire le richieste di attribuzione/rimozione ruoli direttamente nello strumento. In alternativa, in caso si scenari centralizzati, nella richiesta di accesso è possibile inserire il ticket di riferimento.

Non è un sistema di Identity Management

• Sì, tra SAP GRC Access Control, modulo ARQ e SAP IDM (Identity Management) vi è una sovrapposizione. Entrambi infatti possono effettuare il provisioning (creazione automatica nei sistemi ad essi collegati e attribuzione/rimozione delle abilitazioni) delle utenze nei sistemi ad essi collegati (sistemi di backend).
• SAP IDM è pensato per poter essere collegato potenzialmente a qualsiasi sistema target. GRC è progettato per poter gestire principalmente sistemi SAP, nella fase di provisioning delle utenze

• Solitamente in un landsacape con entrambi gli strumenti, GRC viene utilizzato per il solo controllo della Segregation Of Duties, lasciando all'identity management la gestione del ciclo di vita delle utenze (User Provisioning)

Non serve per fare la mappatura dei processi (es. Process Control)

• Nonostante la terminologia, che potrebbe portare fuori strada, il sistema SAP GRC Process Control non serve a fare la mappatura di processi, come ad esempio sistemi ARIS o Solution Manager

• Viene infatti utilizzato per definire una struttura organizzativa ad uso e consumo dei rischi e controlli aziendali (potenzialmente su ogni normativa di riferimento, chiamata regulations) sui processi presenti in azienda

Non inventare processi e workflow non supportati

• Sono strumenti che contengono al loro interno dei workflow pre-definiti. Possono essere certamente personalizzati, ma hanno già una struttura precisa, soprattutto nel sistema Process Control. Evita di definire dei workflow totalmente custom e non previsti dallo strumento se possibile, ma sfrutta lo standard per migliorare i tuoi processi

Non personalizzare il sistema

• Le soluzioni custom portano con sé problematiche di gestione nel lungo periodo, sotto diversi aspetti: performance, security e scalabilità.

• Può essere fisiologico avere delle casistiche particolari ed introdurre quindi del custom anche in questi sistemi. Ma non deve certo superare una certa soglia, altrimenti conviene valutare altri tipi di strumenti

Non serve per individuare in real-time delle frodi (es. SAP Fraud Management)

• La suite dei sistemi GRC non permette di individuare delle frodi in real time. Si lavora principalmente in modalità detective a posteriori quindi. Gli strumenti che permettono di lavorare in real time sono quelli della suite di Business Integrity e SAP Business Assurance

Se non hai mai affrontato un processo di gestione della SoD, inizia ad affrontarlo anche senza il supporto di un sistema SAP GRC, a seguito usa lo strumento

• Iniziare a gestire la segregation of duties senza l'ausilio di uno strumento può essere un modo per formalizzare i processi, anche su carta

• L'attivazione dei sistemi di SAP GRC permetterà di automatizzare dei processi già in essere riducendo i costi di gestione

Se acquisiti il prodotto, partecipa al corso SAP

Può essere sempre utile, prima di installare un prodotto, vedere e capire tutte le possibili funzionalità, per come sono state pensate da SAP.

Può accadere infatti di utilizzare impropriamente alcune funzioni.

Leggi qui quali sono i corsi SAP.

Cerca di sfruttare tutti i moduli che hai acquistato

La suite GRC contiene molti sistemi e molti sotto-moduli. Spesso questi non sono sfruttati, anche se pagati. Ad esempio in molte installazioni dell'Access Control i moduli Access Request Management (ARQ) e Business Role Management (BRM) non sono sfruttati. Così come nel Process Control le funzionalità di controlli automatici non sono attivate

Cogli l'utilizzo e la struttura che propone SAP GRC Process Control e Risk Management

Anche se l'attuale gestione dei controlli potrebbe essere diversa da quanto propone lo standard SAP, può essere comunque colta l'opportunità di valutare l'impostazione proposta da SAP. Evitando quindi di costruire mondi paralleli allo standard all'interno dello strumento