SAP GRC to narzędzie wspierające zarządzanie ładem korporacyjnym w organizacjach, szczególnie tych, które korzystają już z innych systemów SAP (ERP, CRM). Rozwiązania SAP wspierające procesy GRC można podzielić na trzy grupy obejmujące narzędzia do zarządzania ładem korporacyjnym, ryzykiem (SAP GRC Risk Management) oraz zgodnością z przepisami i dostępem (SAP GRC Access Control, SAP GRC Process Control i aplikacje SAP dbające o zgodność z wymaganiami w zakresie ochrony środowiska).

Procesy zarządzania ładem korporacyjnym w SAP GRC w odniesieniu do zarządzania działem IT są zgodne ze zbiorem najlepszych praktyk ITIL oraz wymogami zarządzania bezpieczeństwem informacji z normy ISO/IEC 27001.

Rozwiązanie SAP GRC umożliwia zaimplementowanie w środowiskach heterogenicznych podejścia zapobiegawczego w odniesieniu do niepożądanych działań i zjawisk w czasie rzeczywistym. Dostarczane przez aplikację informacje mogą zaspokoić potrzeby wielu zainteresowanych stron:

  • menedżerom IT pomagają zmniejszyć koszty wdrożenia i utrzymania wielu instalacji w obszarze projektów zbliżonych funkcjonalnie do GRC w całej organizacji,
  • menedżerom finansów umożliwiają zapewnienie zgodności z aktualnie obowiązującymi regulacjami (zarówno zewnętrznymi, np. prawo podatkowe, jak i wewnętrznymi, np. budżety, układy zbiorowe itp.);
  • menedżerom wszystkich szczebli dają możliwość szybkiej identyfikacji ryzyka i zarządzania nim.

Audyty, kompetencje, wczesne ostrzeganie

Zasady przechowywania danych i zarządzania ryzykiem zawarte w uregulowaniach i normach SOX, HIPAA, Basel II czy innych przepisach regionalnych wywarły duży wpływ na szeroko pojęty dział IT. Biznes oczekuje od IT śledzenia i ciągłej koordynacji zgodności działań w skali całego przedsiębiorstwa z obowiązującymi normami. Ze względu na duże i złożone obciążenia regulacyjne narzędzia dostępne w ramach rodziny rozwiązań SAP GRC będą miały coraz większe znaczenie dla spełnienia tych norm i wymagań.

Rosnące koszty audytu w obszarze ładu korporacyjnego są silnym czynnikiem motywującym dla przedsiębiorstw, by automatyzować procesy GRC, tak aby kontrole i badania stały się łatwiejsze i krótsze, a co za tym idzie – tańsze.

Podział obowiązków wymaga rozdzielenia kluczowych kroków w danym procesie biznesowym pomiędzy różnych pracowników w celu zapobiegania nadużyciom, które mogłyby mieć miejsce, jeśli jedna osoba posiadałaby uprawnienia do całego procesu. Z oczywistych powodów mniejsze firmy mają zwykle więcej problemów z podziałem obowiązków i dokładnym przypisaniem odpowiedzialności. Jednym z celów wdrożenia SAP GRC jest również minimalizacja ryzyka konfliktów kompetencyjnych, wynikających z przydzielenia tych samych obowiązków do więcej niż jednej osoby (w terminologii SAP funkcjonuje pojęcie SOD – Segregation of Duties).

Kolejną ważną korzyścią z wdrożenia SAP GRC jest możliwość stworzenia systemu wczesnego ostrzegania w celu identyfikacji i zarządzania potencjalnym ryzykiem operacyjnym. Błędem jest myślenie o GRC wyłącznie w aspekcie procesów finansowych. Ryzyko, które może mieć poważne konsekwencje finansowe, może wynikać z wielu czynników operacyjnych, które nie pojawiają się w bilansie.

Poprawnym funkcjonowaniem rozwiązań Governance, Risk, Compliance są również zainteresowane podmioty spoza firmy. Inwestorzy i akcjonariusze mogą dokonywać regularnych inspekcji niepowodzeń, kontrolować ewentualne naruszenia prawa oraz wszystkie inne negatywne zdarzenia, które można było przewidzieć.

Kontrolować i zapobiegać

Rozwiązanie SAP BusinessObjects GRC obejmuje plan działania, w tym kilka aplikacji umożliwiających pełne kontrolowanie dostępu i zapobieganie nadużyciom w całym przedsiębiorstwie.

Spośród tych aplikacji należy wymienić trzy główne komponenty:

  • SAP GRC Risk Management,
  • SAP GRC Access Control,
  • SAP GRC Process Control.

Do poprawnego funkcjonowania komponenty te wymagają oprogramowania w wersji minimum SAP NetWeaver 7.40 SP4. Powyższe aplikacje obecnie funkcjonują w wersji 10.1. Wymagania NetWeavera są związane z dostosowaniami tych rozwiązań do współpracy z silnikiem bazodanowym HANA, wsparciem dla HTLM5 oraz UI5.

Aktualna wersja SAP GRC 10.1 udostępnia kilka nowych funkcji i dostosowań. Przede wszystkim warto podkreślić, że firma SAP dołączyła produkt do rodziny rozwiązań SAP BusinessObjects, co dla użytkowników oznacza m.in. możliwość dostępu do aplikacji przez przyjazny dla użytkownika interfejs.

Poniżej przedstawiamy przegląd nowości we wszystkich trzech podstawowych obszarach GRC.

Co nowego w GRC Risk Management 10.1

W obszarze zarządzania ryzykiem udostępniono następujące nowe rozwiązania:

  • dostosowane do norm ISO 31000 oraz dodanie narzędzia edycji terminologii, rozszerzania terminologii oraz wysyłania i odbierania terminologii o format Microsoft Excell,
  • możliwość uruchomienia na SAP HANA,
  • rozbudowana funkcjonalność okienka wejściowego o panel boczny, który może być wykorzystany do wyświetlania dodatkowych informacji o aplikacji,
  • rozbudowany mechanizm wyszukiwania danych poprzez wprowadzenie jednolitego wyszukiwania w czasie rzeczywistym do poszukiwań danych i informacji,
  • eskalacja ryzyka ad hoc pozwala na podjęcie zdefiniowanych kroków w momencie wystąpienia ryzyka przekraczającego predefiniowany próg w obrębie firmy.

Nowości w SAP Process Control 10.1

Rozwiązania do śledzenia zgodności działań z przepisami i innymi uregulowaniami rozszerzono o:

  • dwie nowe kategorie pozwalające na obserwację statusu prowadzonych badań; są to Workshop Survey oraz Disclosure Survey,
  • podobnie jak w przypadku GRC Risk Management 10.1 wprowadzono panel boczny do okienka wejściowego.

Największe zmiany w SAP GRC Access Control 10.1

Kontrola dostępu w SAP GRC wzbogaciła się o następujące nowości:

  • uproszczony formularz zgłoszeniowy nadania dostępu,
  • umożliwienie tworzenia własnych grup użytkowników w oparciu o atrybuty SU01 i wykonywania na ich podstawie analizy ryzyka,
  • wprowadzenie odpowiedniego raportu pokazującego wszystkie nieprawidłowości w przypisaniu użytkownika do roli biznesowej.

GRC pomaga w ocenie ryzyka – case study

Każdy użytkownik kluczowy wie doskonale, jak trudnym i złożonym procesem jest nadanie użytkownikowi biznesowemu „optymalnych” uprawnień. Każda zmiana ciągnie za sobą ryzyko takiej kumulacji uprawnień, która w przyszłości może być powodem nadużyć.

W poniższym przykładzie zaprezentujemy jedną z wielu możliwości kontroli i zarządzania, jakie daje SAP GRC Access Control 10.1. Na potrzeby prezentacji została utworzona rola TESTOWA_ROLA_GRC, która posiada tylko jedną transakcję – XK02 – zmiana danych dostawcy. Użytkownik zgłosił potrzebę uzyskania uprawnień do transakcji PFCG – Opracowywanie ról. Użytkownik kluczowy musi zdecydować, czy nadanie powyższej roli niesie potencjalne zagrożenie dla funkcjonowania organizacji.

Jedną z funkcjonalności SAP GRC Access Control 10.1 jest możliwość przeprowadzenia symulacji przypisania określonej transakcji lub kilku transakcji. Rozwiązanie jest o tyle praktyczne, że jest to jedynie nieinwazyjna symulacja, którą może przeprowadzić użytkownik kluczowy.

Po uruchomieniu User Level Simulation wypełniamy odpowiednie pola wyboru.

W naszym przykładzie dokonujemy analizy użytkownika TESTOWYGRC.

Następnym krokiem jest określenie, jakie transakcje chcemy poddać symulacji. PFCG to rola Basis, która pozwala na tworzenie, edycję oraz usuwanie ról wraz z przypisaniem do użytkowników. Takie dane poddajemy pod ocenę ryzyka systemu GRC.

Wynikiem analizy jest ocena ryzyka na poziomie wysokim, co dla użytkownika kluczowego stanowi przesłankę do odrzucenia prośby o nadanie uprawnień. Podobną analizę możemy wykonać w oparciu o role. Analizie będą wtedy podlegać transakcje zawarte w rolach. Będziemy mogli sprawdzić, czy po połączeniu nie będą stanowić zbyt wysokiego ryzyka, mimo że jako pojedyncze role go nie wykazują.

Symulacja transakcji nadania uprawnień w SAP GRC Access Control 10.1 – przykład

 

Zaprezentowaliśmy tylko jeden z wielu przykładów, w jaki sposób SAP GRC 10.1 może w sposób zautomatyzowany wspomagać organizację w zachowaniu akceptowalnego dla firmy poziomu ryzyka. Dzięki wdrożonemu rozwiązaniu zainteresowane strony zawsze mają do dyspozycji aktualne dane, co sprawia, że podejmowanie trudnych decyzji organizacyjnych staje się łatwiejsze.