Sei orientato ad acquistare SAP Governance Risk and Compliance Access Control? Allora potresti essere interessato a qualche suggerimento per l’acquisto la configurazione e la gestione nel tempo di questo strumento.
Prima di tutto è importante identificare bene di che cosa stiamo parlando. SAP GRC è un acronimo (Governance Risk and Compliance) che unisce diversi sistemi SAP. Esistono infatti diversi sistemi che stanno sotto quest’area. I principali sono i seguenti (ma ve ne sono altri):
I primi tre, sono sicuramente quelli più noti. Inoltre, pur essendo tre sistemi distinti, ma fortemente correlati tra loro, vengono installati tutti assieme tramite un unico pacchetto di installazione chiamato GRC Foundation. Il cui nome tecnico è GRCFND.
Come detto sopra, per poter installare questi sistemi, solitamente in un sistema ABAP ad hoc, collegato ai sistemi di backend da analizzare (es. SAP ERP, CRM, SRM o altri sistemi legacy) serve acquistare singolarmente la relativa licenza.
Ecco le metriche per le licenze SAP. Qui le metriche per il sistema SAP GRC AC, PC e RM
SAP GRC Access Control è formato da quattro moduli principali, di seguito i vari nomi nelle release di SAP GRC Access Control.
L’ultima release disponibile al momento è la 12 (SAP GRC 12). Che ha mantenuto i nomi dei vari componenti della 10.x.
Nelle precedenti release i nomi sono cambiati, probabilmente per ragioni commerciali, pur mantenendo sostanzialmente le medesime funzionalità.
Solitamente il processo di configurazione del GRC access control segue questo iter:
A seguito, ed in questo caso è bene verificare lo stato di salute del proprio concetto autorizzativo e delle procedure security attive i restanti moduli:
Tutti i moduli sono correlati tra loro, ma non ci sono moduli da attivare contemporaneamente.
Ti raccontiamo le nostre esperienze sull’area GRC!
SAP GRC prevede nel processo di implementazione l’utilizzo di un componente chiamato Risk Terminator. Questo componente, che risiede nella parte ABAP (quindi nel backend) effettua una risk analysis sui ruoli assegnati agli utenti e sui ruoli che si stanno costruendo, in realtime.
SAP suggerisce di utilizzare questo piccolo sotto-modulo dell’ARA solamente nella fase di transizione e completamento dei moduli ARQ e BRM.
Se vuoi avvalerti di un system integrator, esistono due tipi di certificazione, per i consulenti SAP GRC Access Control. La seguente:
Ed anche una come società nel programma SAP REX (SAP Recognized Expertise) area GRC.
Ecco la pagina AGLEA per la certificazione REX di GRC.
Chiedi sempre delle referenze ed informati su che tipo di installazioni sono state fatte e su quali moduli del SAP GRC sono state realizzate. Una configurazione del modulo Access Risk Analysis (ARA) può essere molto diversa in termini di complessità da una configurazione del modulo Access Request Management (ARQ).
I progetti GRC richiedono spesso competenze trasversali, security, business ed infine anche di sistema.
Perché conviene avvalersi di un fornitore? L’installazione e configurazione del prodotto GRC non è complicata, nella maggior parte degli scenari.
Tuttavia, può capitare che alcune scelte fatte senza la giusta esperienza possano portare nel lungo periodo a limiti dello strumento.
Questi limiti nella quasi totalità dei casi sono dovuti a mancanza di configurazioni o utilizzo improprio delle funzionalità messe a disposizione da SAP.
SAP GRC non deve essere uno strumento da accendere alla richiesta di arrivo dei revisori (interni o esterni). Deve essere uno strumento realmente utilizzato in azienda.
Questo comporta anche uno sforzo in termini di tempo e risorse da parte di qualche figura aziendale.
Quali sono le figure e il tempo richiesto da dedicare alle tematiche di governance, nel contesto del SAP GRC Access Control, dipende dalla complessità e dai moduli implementati.
Possiamo dire che usando solamente i moduli ARA ed EAM sono richieste almeno le seguenti figure:
Nel caso di utilizzo dei moduli ARQ e BRM il coinvolgimento può essere molto maggiore, questo tuttavia dipende da come vengono realizzati i workflow approvativi.
In generale le installazioni di SAP GRC Access Control non richiedono degli sviluppi custom.
Questo rende lo strumento molto semplice da gestire, soprattutto durante upgrade o nuove personalizzazioni.
1) Identifica il fornitore al quale richiedere un supporto vedi punto 4
2) Definisce una matrice SoD, non dimenticarti delle custom
3) Identifica quali potrebbero essere gli owner
4) Definisci su carta i processi security SAP (simula di attivarli, anche senza uno strumento). Ricordati che più complessi sono più saranno difficili da gestire e di lunga durata (prima delle varie approvazioni)
5) Frequenta il corso GRC300 in SAP per approfondire tutte le funzionalità del SAP GRC Access Control (guarda qui quali altri corsi SAP potrebbero interessarti)
6) Effettua un audit dei tuoi sistemi per capire se sono già compatibili con le logiche proposte da SAP GRC.