Hai installato uno dei sistemi SAP GRC? 10 suggerimenti su come migliorare l'utilizzo della suite di Governance SAP
All'interno dell'area SAP GRC (Governance, Risk and Compliance) rientrano diversi sistemi i principali sono i seguenti:
10 punti di attenzione che potresti applicare! Non hai ancora installato SAP GRC? Allora leggi qui.
In particolare per i sistemi Access Control, Process Control e Risk Management è utile iniziare con pochi processi aziendali coinvolti. Gestendo dall'inizio alla fine, nel caso dell'Access Control, la definizione dei rischi di Accesso (Rischi SoD, Critical Actions o Critical Permission), la risk analysis/remediation e soprattutto la parte di mitigation e continuous compliance.
Nel caso del Process Control, realizza un PoC (Proof of concept) per capire se è applicabile alla tua realtà e quali sono eventuali limiti o problematiche.
L'utilizzo di questo modulo del SAP GRC Access Control (Emergency Access Management o Firefighter), che permette di gestire l'accesso in emergenza da parte degli utenti viene spesso attivato senza poi rivederne il reale utilizzo. Capita spesso infatti che venga utilizzato quotidianamente senza ragione a volte.
In quali casi/scenari potrebbe essere utilizzato?
La super utenza può essere richiesta tramite un workflow approvativo (attraverso l'utilizzo del modulo SAP GRC Access Control Access Request Management - ARQ) oppure essere assegnata o pre-assegnata da un amministratore per un determinato periodo di tempo.
Quali sono i punti di attenzione dopo aver attivato l'uso delle super utenze SAP?
Il modulo Access Risk Analysis della suite Access Control permette di definire una matrice di Segregation Of Duties (SoD) contenente funzionalità standard o custom.
Se attivi nuovi processi dovresti adeguare la matrice SoD.
La matrice non è statica, deve essere costantemente aggiornata ogni volta che viene definita una transazione custom o un nuovo processo SoD relevant.
Tramite questo componente è possibile includere nella risk analysis alcuni sistemi legacy (non SAP). Sistemi proprietari o terzi.
Puoi definire delle regole (usando le strutture dati SAP) che permettono a SAP GRC di analizzare anche sistemi non SAP.
Se hai diversi sistemi, in particolare se un processo SoD è suddiviso in vari sistemi, potrebbe essere utile definire delle regole Cross System.
Immagina che i fornitori siano definiti nel sistema SAP SRM (SAP Supplier Relationship Management) mentre il pagamento dei fornitori sia effettuato in SAP ECC o S/4HANA.
Nel caso sopra una utenza analizzata sul singolo sistema potrebbe non rappresentare un rischio. Analizzata tenendo conto degli accessi ad entrambi i sistemi, potrebbe al contrario rappresentare un rischio.
Una volta che hai definito i controlli compensativi, questi devono essere "testati". La fase di testing dei controlli (testing controls audit) permette di eseguire effettivamente il controllo.
Definisci delle procedure che indichino chi, come e quando deve eseguire questa fase.
La gestione dei controlli mitigativi è una fase molto dispendiosa, in termini di tempo di realizzazione ma soprattutto durante la loro esecuzione.
Se hai configurato il GRC Process Control, valuta l'attivazione del componente di Automated monitoring (SAP GRC Process Control AM)
Se attivi il sistema Access Request Management, puoi automatizzare la fase di provisioning dei ruoli SAP e delle utenze nei vari sistemi coinvolti.
Ricorda che questo componente ha delle sovrapposizioni con i sistemi di Identity Management.
Nella maggior parte dei casi, dove questi sistemi sono presenti, il GRC viene utilizzato per la sola verifica della conformità SoD mentre l'IDM per il provisioning nei vari sistemi SAP e non SAP.
Sono dei workflow standard all'interno del SAP GRC Access Control che permetto di rivalidare:
Hai effettuato la migrazione da SAP ECC a SAP S/4HANA?
Ricordati che in base all'utilizzo che ne fai devono o meno essere adattate le transazioni o applicazioni usate. Di conseguenza anche la matrice dei rischi deve essere adattata.