Sei orientato ad acquistare SAP Governance Risk and Compliance Access Control? Allora potresti essere interessato a qualche suggerimento per l’acquisto la configurazione e la gestione nel tempo di questo strumento.
1. Qual è il licensing?
Prima di tutto è importante identificare bene di che cosa stiamo parlando. SAP GRC è un acronimo (Governance Risk and Compliance) che unisce diversi sistemi SAP. Esistono infatti diversi sistemi che stanno sotto quest’area. I principali sono i seguenti (ma ve ne sono altri):
- Access Control (AC)
- Process Control (PC)
- Risk Management (RM)
- Nota Fiscal Elettronica (NF-e)
- Global Trade Service (GTS)
- Health and Safety (EHS)
- …
I primi tre, sono sicuramente quelli più noti. Inoltre, pur essendo tre sistemi distinti, ma fortemente correlati tra loro, vengono installati tutti assieme tramite un unico pacchetto di installazione chiamato GRC Foundation. Il cui nome tecnico è GRCFND.
Come detto sopra, per poter installare questi sistemi, solitamente in un sistema ABAP ad hoc, collegato ai sistemi di backend da analizzare (es. SAP ERP, CRM, SRM o altri sistemi legacy) serve acquistare singolarmente la relativa licenza.
Ecco le metriche per le licenze SAP. Qui le metriche per il sistema SAP GRC AC, PC e RM
2. Quali moduli attivare per primi?
SAP GRC Access Control è formato da quattro moduli principali, di seguito i vari nomi nelle release di SAP GRC Access Control.
L’ultima release disponibile al momento è la 12 (SAP GRC 12). Che ha mantenuto i nomi dei vari componenti della 10.x.
- Access Risk Analysis (ARA) (10.0)
- Emergency Access Management (EAM) (10.0)
- Business Role Management (BRM) (10.0)
- Access Request Management (ARQ) (10.0)
Nelle precedenti release i nomi sono cambiati, probabilmente per ragioni commerciali, pur mantenendo sostanzialmente le medesime funzionalità.
Solitamente il processo di configurazione del GRC access control segue questo iter:
- Dopo aver definito una matrice SoD (ruleset) si attiva il componente Access Risk Analysis (ARA)
- A seguito si implementa il componente “Firefighter” Emergency Access Management (EAM)
A seguito, ed in questo caso è bene verificare lo stato di salute del proprio concetto autorizzativo e delle procedure security attive i restanti moduli:
- Access Request Management (ARQ)
- Business Role Management (BRM)
Tutti i moduli sono correlati tra loro, ma non ci sono moduli da attivare contemporaneamente.
Ti raccontiamo le nostre esperienze sull’area GRC!
3. Se non voglio attivare subito i moduli ARQ e BRM come posso fare?
SAP GRC prevede nel processo di implementazione l’utilizzo di un componente chiamato Risk Terminator. Questo componente, che risiede nella parte ABAP (quindi nel backend) effettua una risk analysis sui ruoli assegnati agli utenti e sui ruoli che si stanno costruendo, in realtime.
SAP suggerisce di utilizzare questo piccolo sotto-modulo dell’ARA solamente nella fase di transizione e completamento dei moduli ARQ e BRM.
4. Esistono delle certificazioni per il system integrator?
Se vuoi avvalerti di un system integrator, esistono due tipi di certificazione, per i consulenti SAP GRC Access Control. La seguente:
Ed anche una come società nel programma SAP REX (SAP Recognized Expertise) area GRC.
Ecco la pagina AGLEA per la certificazione REX di GRC.
Chiedi sempre delle referenze ed informati su che tipo di installazioni sono state fatte e su quali moduli del SAP GRC sono state realizzate. Una configurazione del modulo Access Risk Analysis (ARA) può essere molto diversa in termini di complessità da una configurazione del modulo Access Request Management (ARQ).
I progetti GRC richiedono spesso competenze trasversali, security, business ed infine anche di sistema.
Perché conviene avvalersi di un fornitore? L’installazione e configurazione del prodotto GRC non è complicata, nella maggior parte degli scenari.
Tuttavia, può capitare che alcune scelte fatte senza la giusta esperienza possano portare nel lungo periodo a limiti dello strumento.
Questi limiti nella quasi totalità dei casi sono dovuti a mancanza di configurazioni o utilizzo improprio delle funzionalità messe a disposizione da SAP.
5. Una volta installato GRC quanto mi costa la gestione?
SAP GRC non deve essere uno strumento da accendere alla richiesta di arrivo dei revisori (interni o esterni). Deve essere uno strumento realmente utilizzato in azienda.
Questo comporta anche uno sforzo in termini di tempo e risorse da parte di qualche figura aziendale.
Quali sono le figure e il tempo richiesto da dedicare alle tematiche di governance, nel contesto del SAP GRC Access Control, dipende dalla complessità e dai moduli implementati.
Possiamo dire che usando solamente i moduli ARA ed EAM sono richieste almeno le seguenti figure:
- ARA
- Risk Owner (coinvolgimento del business)
- Function owner (necessario se attivitù workflow di approvazione)
- ICT di riferimento
- EAM
- Controller ed Owner delle super utenze (ICT o Business) deve avere una conoscenza tecnica di SAP, soprattutto l’owner
- ICT di riferimento per il modulo
Nel caso di utilizzo dei moduli ARQ e BRM il coinvolgimento può essere molto maggiore, questo tuttavia dipende da come vengono realizzati i workflow approvativi.
In generale le installazioni di SAP GRC Access Control non richiedono degli sviluppi custom.
Questo rende lo strumento molto semplice da gestire, soprattutto durante upgrade o nuove personalizzazioni.
6. Come posso prepararmi?
1) Identifica il fornitore al quale richiedere un supporto vedi punto 4
2) Definisce una matrice SoD, non dimenticarti delle custom
3) Identifica quali potrebbero essere gli owner
4) Definisci su carta i processi security SAP (simula di attivarli, anche senza uno strumento). Ricordati che più complessi sono più saranno difficili da gestire e di lunga durata (prima delle varie approvazioni)
5) Frequenta il corso GRC300 in SAP per approfondire tutte le funzionalità del SAP GRC Access Control (guarda qui quali altri corsi SAP potrebbero interessarti)
6) Effettua un audit dei tuoi sistemi per capire se sono già compatibili con le logiche proposte da SAP GRC.
