SAP GRC - Governance Risk and Compliance

A seguito degli scandali finanziari (ad esempio Enron, Parmalat) degli anni duemila e della sfiducia nel mercato che hanno generato, i governi hanno deciso di definire delle regole per tutelare gli investitori.

Sono diversi gli adempimenti che le aziende quotate devono rispettare. Tra queste, ad esempio, le tematiche di accountability dei sistemi, la definizione dei sistemi di controllo interno ed i principi di separazione dei compiti. Leggi qui l'approfondimento sulla SoD (Segregation Of Duties)

Per questo motivo SAP ha deciso dal 2006 più o meno di creare una specifica sezione di soluzioni dedicate alla gestione dei rischi aziendali, alla gestione della conformità rispetto a normative alla prevenzione delle frodi aziendali.

Già prima del 2006 esistevano strumenti specifici per la conformità dei sistemi, in particolare della normativa Sarbanes and Oxley Act. Uno di questi era VIRSA, della società VIRSA System. Ecco sotto come si presentava il sito della società nel 2006.

VIRSA_SYSTEM

Proprio come mostrato nell'immagine sopra, SAP decide di acquisire la società per sviluppare ed evolvere lo strumento VIRSA definendo una business unit per le soluzioni di governance e compliance dei sistemi SAP. Quella che oggi ricade nell'area delle soluzioni Governance Risk and Compliance.

Indice

Che cos'è SAP GRC?
SAP GRC Access Control
SAP GRC Process Control
SAP GRC Risk Management
SAP Audit e Fraud Management
Come Aglea ti può aiutare per la gestione della Governance dei sistemi SAP?

Che cos'è SAP GRC?

GRC Control SAP GRC è un acronimo che significa Governance Risk and Compliance. Questo acronimo raggruppa diverse soluzioni applicative SAP.

Non tutte queste soluzioni sono dedicate alla gestione dei controlli interni e governo degli accessi in senso stretto. Ecco i principali sistemi dell'area GRC:

SAP GRC Access Control
SAP GRC Process Control
SAP GRC Risk Management
SAP GRC GTS Global Trade Services
SAP Audit Management
SAP BIS Business Integrity Screening
SAP ETD Enterprise Threat Detection
SAP Cloud Identity Access Governance

Upgrade del GRC all'ultima release, leggi qui per approfondimenti. 10 cose da fare dopo averlo installato, leggi qui!

Guarda ed ascolta qui le FAQ (Frequently Asked Questions) di SAP GRC:

SAP GRC Access Control

slide-dx-4 Si tratta di uno dei sistemi dell'area GRC più installati e diffusi. Questo componente è formato da quattro moduli:

Access Risk Analysis (ARA)
Emergency Access Management (EAM)
Business Role Management (BRM)
Access Request Management (ARQ)

Una volta installato, solitamente su una macchina a sé, sono contenuti anche gli altri sistemi GRC Process Control e GRC Risk Management che devono essere a loro volta licenziati per essere utilizzati.

In passato questa soluzione era stata sviluppata in linguaggio ABAP (da VIRSA) successivamente, dopo l'acquisizione da parte di SAP, è stata riscritta completamente in JAVA (release 5.x). Negli ultimi anni, dalla release 10, all'ultima versione (attualmente la 12) SAP ha riscritto completamente l'applicazione nuovamente in ABAP (WebDynpro).

In questo percorso anche i nomi dei vari componenti sono stati cambiati nel tempo. Ecco le varie terminologie che aiutano, sotto in certo punto di vista, anche a capire di quale versione si tratti leggendo la documentazione.

(ARA) Access Risk Analysis (10.x, 12.x)
- (RAR) Risk Analysis and Remediation (5.x)
- (CC) Compliance Calibrator (4.x)
- Risk Terminator (questo sotto-componente non ha cambiato nome nelle varie release)
(EAM) Emergency Access Management (10.x, 12.x)
- (SPM) Super User Privilege Management (5.x)
- (FF) Firefighter (4.x)
(BRM) Business Role Management (10.x, 12.x)
- Enterprise Role Management (5.x)
- (RE) Role Expert (4.x)
(ARQ) Access Request Management (10.x, 12.x)
- (CUP) Compliance User Provisioning (5.x)
- (AE) Access Enforcer (4.x)

Che cosa permettono di fare questi componenti:

Access Risk Analysis. Permette di effettuare una analisi degli accessi (Access Risk Analysis) basata su una matrice dei rischi. Può essere utilizzata come base di partenza una matrice già presente nello strumento oppure definita una ad hoc. Lo strumento permette di effettuare questa analisi sui sistemi SAP e non SAP tenendo in considerazione tutte le specificità dei sistemi SAP, quindi analisi organizzative, tramite tenendo conto degli oggetti autorizzativi e degli eventuali controlli mitigativi caricati nello strumento. Quanti rischi deve avere una matrice SOD?
Emergency Access Management. Permette di gestire degli accessi privilegiati durante le attività quotidiane da parte degli utenti, principalmente ICT o amministratori. Leggi qui per approfondimento sulla gestione delle super utenze SAP.
Business Role Management. Permette di definire una metodologia di creazione dei ruoli tecnici nel sistema. Ovvero aggiunge una serie di funzionalità non previste nel profile generator di SAP (transazione PFCG) come ad esempio, naming convention, processi approvativi e risk analysis preventive
Access Request Management. Permette di definire dei workflow per la gestione degli accessi. Ad esempio processi: nuove utenze, modifica utenze, blocco utenze. Questo componente può essere collegato all'LDAP aziendale oppure al sistema SAP HR. Permette inoltre di definire dei workflow anche su processi dei componenti ARA, EAM o BRM, processi di gestione ed approvazione delle modifiche alla matrice dei rischi, approvazione richiesta delle super utenze o approvazione di modifiche ai ruoli autorizzativi.

Cosa devi sapere prima di installarlo: 6 Suggerimenti Prima di installare GRC Access Control?

Cosa devi sapere dopo che lo hai installato: 10 suggerimenti dopo che hai installato SAP GRC

SAP GRC Process Control

A differenza del SAP GRC Access Control che permette di controllare la gestione degli accessi, il process control permette di creare e gestire una anagrafica dei controlli aziendali presenti. Più in generale permette di definire un ICS Internal Control System basato sui framework internazionali di riferimento, ad esempio, il COSO (Committee of Sponsoring Organizations of the Treadway Commission)

Quanti controlli esistono in azienda? Potrebbero essere moltissimi per diverse ragioni:

Policy interne
Certificazioni
Ragioni normative es. Dlgs. 231/2011 Legge 262/2005, Sarbanes and Oxley Act, Basilea, 679/2016 (GDPR) etc..

Utilizzare un foglio elettronico che definisca la matrice dei rischi (Risk Control Matrix) può non essere gestibile in uno scenario dove possono diventare molte le normative di riferimento (Regulation nello strumento) su molti sistemi e per molti paesi da gestire.

Lo strumento Process Control permette quindi di svolgere tre principali operazioni:

Definire una anagrafica dei controlli, rischi presenti in azienda, classificati per Processi aziendali
Definire dei processi periodici di controllo ovvero Self Assessment, Design Control e Testing Control, Sign-Off. Si tratta di veri workflow che permetto in maniera automatica di avviare, gestire e controllare le fasi di controllo interno
Effettuare dei controlli automatici. Tramite il sotto-modulo Automated Monitoring è possibile scrivere o richiamare dei controlli presenti nei sistemi per automatizzare la fase di testing dei controlli.

Se hai già definito dei controlli compensativi, in particolare per SAP, puoi richiamarli o utilizzarli nello strumento GRC Process Control.

La definizione dei controlli compensativi o mitigativi comporta lo studio dei processi coinvolti e l'individuazione tecnica delle tabelle-campi coinvolti al fine di rilevare una determinata situazione di rischio. Nel caso sotto un estratto delle tabelle di un controllo compensativo per un rischio di accesso, "Gestione dei periodi contabili" (Maintain Posting Periods) contro la "Registrazioni contabili" (Post Journal Entry)

CONTROLLI_COMPENSATIVI

"GRC è un acronimo che per SAP può avere molti significati"

SAP GRC Risk Management

Rappresenta lo strumento che SAP mette a disposizione per la gestione dell'ERM Enterprise Risk Management. Una organizzazione deve definire gli obiettivi che intende perseguire. Questi obiettivi possono ad esempio essere:

Nuovi clienti
Incremento del fatturato
Migliorare la gestione dei costi
Incrementare la soddisfazione dei clienti
etcc.

Il modello di business definisce come raggiungere gli obiettivi definiti, ad esempio quelli riportati sopra. Chiaramente gli obiettivi definiti si devono relazionare con eventuali vincoli normativi definiti dai governi o stabiliti dalla società stessa (ad esempio tramite la partecipazione volontaria della società a programmi).

Inevitabilmente, in ogni business, possono esserci degli ostacoli da superare o controllare per raggiungere gli obiettivi strategici definiti. Il sistema SAP Risk Management si focalizza proprio su questo. Identificare e valutare questi rischi.

Esiste una metodologia di gestione dei rischi in azienda?
È stata definita una Risk policy aziendale?

Lo strumento permette di controllare le varie fasi di gestione dei rischi:

Risk Planning
Risk Identification
Risk Analysis
Risk Response
Risk Monitoring

SAP Business Integrity Screening

Si tratta di una nuova aree di prodotti che SAP ha rilasciato:

SAP Audit Management
SAP BIS Business Integrity Screening (prima noto come Fraud Management)

Importante sottolineare anche il SAP Enterprise Threat Detection, pur non essendo collegato al SAP BIS.

SAP Audit Management è uno strumento pensato per eseguire audit interni all'azienda e permette di migliorare la gestione delle seguenti fasi:

Audit Planning
Audit Preparation
Audit Execution
Audit Reporting
Audit Follow-up

SAP BIS si pone come principali obiettivi i seguenti:

Identificare frodi prima che ci sia un danno
Gestire le frodi aziendali, in altre parole avere uno strumento che ne governi l'intero ciclo di vita ponendo in essere eventuali azioni compensative
Prevenire le frodi ed ipotizzare la probabilità che avvengano

Le fasi di gestione del processo prevedono:

Design
Setup
Detection
Investigation
Performance Analysis

Il SAP Fraud Management (SAP BIS) così come l'Audit Management possono essere integrati con il SAP GRC Process Control. Entrambe le soluzioni sono basate su SAP HANA.

Come ti può aiutare Aglea nel definire o migliorare un processo di Governance dei sistemi SAP?

Abbiamo effettuato più di 30 installazioni del SAP GRC Access Control gestendo inoltre per alcuni clienti anche il Process Control e Risk Management. Purtroppo questi ultimi sono ancora poco utilizzati, almeno in Italia.

Quale architettura conviene adottare? Soprattutto se ci sono sistemi eterogenei.
Alcune funzionalità degli strumenti che SAP GRC mette a disposizione devono essere configurate in casistiche precise. Una configurazione non corretta dello strumento potrebbe portare ad avere molti falsi positivi o addirittura falsi negativi. Soprattutto per quanto riguarda la suite dell'access control.
Quanto la tua struttura dei controlli aziendali si avvicina al modello definito in SAP GRC Process Control?
Quanto tempo serve per l'implementazione e soprattutto per la gestione ordinaria degli strumenti?
Come conviene partire? Tutto subito o approccio graduale? In che ordine?
Davvero credi che il GRC Access Control risolve tutti i problemi di profilazione utenti? Forse non è proprio così ed è importante sapere quali sono i confini di questo strumento

Contattaci se vuoi approfondire o confrontarti sulle tematiche sopra!

Iscriviti al blog se ancora non lo hai fatto!

Articoli Suggeriti

6 suggerimenti prima di installare SAP GRC Access Control

Sei orientato ad acquistare SAP Governance Risk and Compliance Access Control? Allora potresti essere interessato a qualche suggerimento per l’acquisto la configurazione e la gestione nel tempo di questo strumento.

SAP GRC 12, perché conviene farlo? Quali sono le nuove funzionalità?

Anche il sistema SAP GRC deve essere aggiornato, nuove funzionalità, risoluzione di problematiche e miglioramenti.

Ecco perché dovresti pensare ad aggiornare questo strumento. Parliamo del SAP GRC Access Control.

10 suggerimenti dopo aver installato SAP GRC

Hai installato uno dei sistemi SAP GRC? 10 suggerimenti su come migliorare l'utilizzo della suite di Governance SAP