Okresowa walidacja ryzyk SoD w uprawnieniach użytkowników SAP

[KaNowek]

Dzień dobry,
Używamy systemu SAP od kilku lat i mamy około 800 userów w 3 różnych systemach SAP (BW,ECC,HCM).
Dostaliśmy ze strony audytu finansowego zalecenie, aby okresowo przeglądać uprawnienia użytkowników pod kątem ryzyk dostępu i SoD.

Mam pytanie, czy ktoś z użytkowników forum robił jakieś podejście do tego tematu?
Na co warto zwrócić uwagę? Dział IT chce przygotować narzędzie ABAP, ale potrzebują wymagania do procesu? Ktoś coś?

Zapowiada się sporo pracy, więc każda rada będzie cenna.

Z góry dziękuje i pozdrawiam!

[RKISIEL]

Dzień dobry,
Używamy systemu SAP od kilku lat i mamy około 800 userów w 3 różnych systemach SAP (BW,ECC,HCM).
Dostaliśmy ze strony audytu finansowego zalecenie, aby okresowo przeglądać uprawnienia użytkowników pod kątem ryzyk dostępu i SoD.

Mam pytanie, czy ktoś z użytkowników forum robił jakieś podejście do tego tematu?
Na co warto zwrócić uwagę? Dział IT chce przygotować narzędzie ABAP, ale potrzebują wymagania do procesu? Ktoś coś?

Zapowiada się sporo pracy, więc każda rada będzie cenna.

Z góry dziękuje i pozdrawiam!

Cześć Kolego,
Nie ten dział
Jesteś świeży i nie wiesz gdzie to wybaczamy...
RaV

[dominik.tylczynski]

Są gotowe narzędzia, które obsługują ten proces np.
SAP Governance, Risk, and Compliance (GRC)
Akquinet SAST

Na pewno są też inne narzędzia. Moim zdaniem analiza ryzyk SoD to zbyt duży temat do ogarnięcia prostym ABAP'em. Najważniejsze w tym jest zdefiniowanie map ryzyk i podziału odpowiedzialności (SoD). Uruchomienie takiego narzędzia to samo w sobie całkiem spore wdrożenie.

[Filip_GRC]

Dzień dobry,

jeżeli macie 3 różne systemy to ważne będzie, aby taki przegląd robić dla wszystkich systemów jednocześnie. Uzgadnianie wyników per system jest później problematyczne i czasochłonne. Osoba, która dokonuje przeglądu ważne jest aby widziała pełen zakres ryzyk związanych z dostępem (nie tylko SoD, ale również inne aspekty dostępu np. RODO, etc) i uprawnień we wszystkich systemach. Z ważnych aspektów:
-) Musisz odpowiedzieć sobie jak ten przegląd ma wyglądać - czy chcesz go robić po przełożonych pracowników czy per obszar biznesowy np. szef sekcji księgowej robi przegląd dla wszystkich swoich pracowników działu lub dyrektor finansowy robi przegląd dla całego obszaru.
-) Przegląd powinien być jak najprostszy dla osób które taki przegląd realizują, np. powinna być dostępna informacja o transakcjach biznesowych do których osoba ma mieć dostęp wraz z informacją ile razy dana transakcja była wykonywana, wszystko po to aby łatwiej było podjąć decyzję co zrobić z danym dostępem
-) Ten proces jest cykliczny, więc dobrze jakby osoba dokonująca przeglądu widziała historię swoich decyzji - np. jaką decyzję podjęła ostatnio lub jaki komentarz podała.
-) Na wniosku powinna być możliwość zaznaczenia że dany pracownik już nie pracuje - aby cały dostęp został mu odebrany
-) Idealnie, gdyby pomiędzy pozycjami do przeglądu decyzje rewidenta automatycznie się przenosiły - czyli np. odbieram jakiś dostęp aby usunąć ryzyko a następnie ta informacja się propaguje na wszystkie inne pozycje na wniosku, wszystko aby sam przegląd dla biznesu był łatwiejszy do strawienia
-) Od strony audytowej - całość powinna mieć dokumentację i info jak została zapewniona kompletność przeglądu, to istotne aby później przegląd został 'zaliczony przez audytora'

Jeżeli chodzi o pytanie czy samemu (ABAP) czy narzędzie zewnętrzne, to najpierw zastanów się jakie są Twoje potrzeby w tym zakresie, jaki masz budżet, ile czasu masz na przygotowanie przeglądu i jak on będzie wyglądał w przyszłości. Na rynku dostępnych jest wiele narzędzi - ten najpopularniejsze jak SAP GRC, Oracle (OIM), RSA zwykle wdraża się kilka miesięcy i wiąże się to ze sporymi kosztami. Wiem, że są firmy które oferują gotowe rozwiązanie w chmurze, być może to jest coś czy warto sie zainteresować na początek.

Zapraszam do kontaktu bezpośredniego jeżeli coś wymaga dalszego omówienia,

Pozdrawiam, Filip

[KaNowek]

Dzień dobry,

Problematyka wykonywania przeglądów okresowych w naszej firmie pojawiła się w Departamencie Finansów, więc ten dział wydał mi się najlepszym miejscem.

Dziękuje @Dominik Tylczyński za potwierdzenie, że jest to za szeroki temat na próbę ogarnięcia go ABAP-em. Sprawdzałam sugerowane narzędzia GRC.

Generalnie zależy nam na całościowym podejściu do przeglądu ryzyk, by stworzyć sobie taki wzorcowy model procesu, aby go cyklicznie powtarzać. W naszym założeniu chcielibyśmy uzyskać szybki dostęp do danych potrzebnych do przeglądu, opracować sprytną formułę ich analizy i przejrzystą formę podsumowania wyników, które moglibyśmy przedstawić audytorom... To taka nasza wizja, ale brakuje nam praktyki.

Ciekawe to co opisałeś @Filip_GRC. Trochę kontrowersyjne, by tak zwyczajnie przekazać decyzyjność w zakresie uprawnień i ryzyk w nich ukrytych do biznesu. Chociaż fajnie jeśli można by ten proces sprzężąć z udziałem wiedzy obszarowej biznesu. Odpowiadając jednak na Twoje pytania to:
- przegląd chcemy zrobić po obszarach biznesowych, zaczynamy od Finansów.
- to, że przegląd powinien być prosty to jasne, ale przy obecnej ilości systemów, użytkowników i transakcji, to najbardziej problematyczne jest zebranie rozproszonych informacji do przeglądu.
- z uwagi na wytyczne po stronie audytu dobrze by było, aby nasza praca nad przeglądem była zapisana w postaci jakiegoś dokumentu (również przejrzystego), który potwierdzałby nasze działania zaradcze.

Ogólnie chciałabym wiedzieć jak fizycznie mógłby taki wzorcowy przegląd wyglądać, czyli np.: kto powinien zarządzać tym procesem, kogo do niego zaangażować, jakie są kluczowe problemy, ile czasu trwa, czy są jakieś modelowe podejścia, jak kontrolować progres, jak dokumentować wyniki?

Będę wdzięczna za wszelkie uwagi od osób, które przerabiały to w swojej organizacji.

Z góry dziękuję,

Katarzyna