Desayuno Grc Access Control 10 0

www.pwc.cl

 Desayuno SAP GRC  Access Control 10.0 Características, beneficios y mejoras Noviembr Novie mbree de 2011

 SAP – GRC – 10.0 SAP GRC apoya poya las las dec decisi isiones nes de la ger gerenci ncia y la eva evaluac uación ión del ries iesgo de dife iferentes maneras, además de agregar valor a la organización. De esta forma, no sólo se con controla y miti itiga el ries iesgo, sin sino que que se apr aprove ovecha cha al máx máximo imo esta inf inform ormaci ación par para desarr desarroll ollar ar ventaj ventajas as competi competitiv tivas. as.

La Suit Suitee GRC GRC 10.0 10.0 incl incluy uyee las las sigu siguie ient ntes es solu soluci cion ones es:: 

SAP GRC Access Control, que asegura el control adecuado de la sepa separa raci ción ón de func funcio ione nes. s.



SAP GRC Process Control, que asegura la visibilidad y regulación al centralizar los controles claves de los procesos de negocio que cruzan múltipl múltiples es sistem sistemas. as.



SAP GRC Risk Management, que apoya los procesos tanto manuales como como auto automa mati tiza zado doss de iden identi tifi fica caci ción ón y moni monito tore reoo de ries riesgo gos. s.

 SAP – GRC – 10.0 SAP GRC apoya poya las las dec decisi isiones nes de la ger gerenci ncia y la eva evaluac uación ión del ries iesgo de dife iferentes maneras, además de agregar valor a la organización. De esta forma, no sólo se con controla y miti itiga el ries iesgo, sin sino que que se apr aprove ovecha cha al máx máximo imo esta inf inform ormaci ación par para desarr desarroll ollar ar ventaj ventajas as competi competitiv tivas. as.

La Suit Suitee GRC GRC 10.0 10.0 incl incluy uyee las las sigu siguie ient ntes es solu soluci cion ones es:: 

SAP GRC Access Control, que asegura el control adecuado de la sepa separa raci ción ón de func funcio ione nes. s.



SAP GRC Process Control, que asegura la visibilidad y regulación al centralizar los controles claves de los procesos de negocio que cruzan múltipl múltiples es sistem sistemas. as.



SAP GRC Risk Management, que apoya los procesos tanto manuales como como auto automa mati tiza zado doss de iden identi tifi fica caci ción ón y moni monito tore reoo de ries riesgo gos. s.

¿Qué es lo nuevo en GRC 10.0?   Área

Qué hace

Plataforma Técnica

Unifica el modelo de datos de los componentes componentes Risk Management, Management, Process Process Control Control y Access Control en una misma plataforma técnica (ABAP).

 Visualización  Visualización mejorada

Interfaz Interfaz de usuario usuario configurable

Mejoras en los informes

Proporciona una apariencia más agradable y configurable en base a los roles que se otorgan desde el componente ABAP.

Permite personalizar, personalizar, sin necesidad de programar, la visualización de los componentes y campos de datos a través de la configuración. Opciones mejoradas de informes para todas las soluciones GRC.

¿Cuál es el valor? Reduce costos de implementación, administración y mantención. Mejora la facilidad de uso con una solución personalizada que integra 3 componentes en una sola interfaz gráfica. Reduce el costo y el esfuerzo necesarios para administrar y personalizar la interfaz de usuario. Permite a los usuarios presentar la información en diversos formatos y reduce el tiempo dedicado a la elaboración de informes.

¿Qué es lo nuevo en GRC 10.0?   Área

Qué hace

¿Cuál es el valor?

 Administración de Políticas

Permite la administración global de las políticas corporativas, alineadas con los riesgos y el cumplimiento incluyendo creación, almacenamiento y distribución de las mismas.

Mejora la gestión empresarial a través de procedimientos que generan acciones específicas que ayudan a la toma de decisiones.

Reglas de Negocio Mejoradas

Tiene mayor flexibilidad con las reglas de negocio definidas por el usuario , incluyendo la posibilidad de monitorear más sistemas backend y de plasmar mediante configuraciones y datos maestros los objetivos de cumplimiento de la compañía.

Se pueden testear y monitorear más controles, permitiendo obtener un mayor nivel de cumplimiento  y en mejores plazos de tiempo

 Administración de Contenido (Lifecycle)

Permite mantener una correcta gestión de contenidos, mediante la implementación de control de  versiones, compresión de datos, funciones de importación y exportación.

Reduce tiempos de implementación y permite fácilmente llevar a cabo procesos de actualización  y/o migración a posteriores  versiones.

 Plataforma técnica

 Plataforma técnica – Suite GRC   La

Suite GRC 10.0 se ejecuta sobre un AS  ABAP 7.02 SP6 o superior.  Access

Control, Process Control y Risk  Management se encuentran dentro del add-on  ABAP “GRCFND_A”  El

Administrador de Contenidos (CLM), contiene funciones que permiten transportar datos de negocio de GRC, como por ejemplo: las reglas de AC o los controles definidos en PC. El CLM puede deshabilitarse si no se utiliza.  Las

configuraciones y desarrollos en GRC son transportados usando el sistema de transportes estándar de SAP

 Plataforma técnica – Front end client   El

Front End necesita de un navegador de internet o bien del Netweaver Business Client 3.0 (NWBC).  El

Adobe Flash Player se utiliza para la  visualización de gráficos, como por ejemplo el Heat Map de Risk Management.  El

SAP GUI 7.10 PL 15 o superior, se utiliza para ejecutar las tareas de administración y  configuración.  El

CRA (Crystal Reports Adapter) se utiliza para visualizar Reportes Crystal de GRC

Visualización mejorada

En la versión 5.3  Estructura de

Menú

 Viñetas  Alternativas de

Navegación estrcuturada  Experiencia de usuario

reutilizable

 Utilización

SAP Portal

Visualización mejorada

En la versión 10.0  Acceso directo a

los componentes AC, PC, y RM.

 Eliminación de item de

menú redundantes

 Acceso nativo basado en

autorizaciones

 Utilización

de SAP Portal y/o Netweaver Business Client

 Cambios de

configuración afectan todas las interfaces

 Interfaz de usuario configurable Mediante configuración, es posible establecer el estado de  varios campos dentro de cada componente





Obligatorio u opcional

 Visible

o Invisible

Permite adaptar la interfaz gráfica a las necesidades de la compañía, sin demasiados requerimientos de configuración y/o desarrollo



 Mejora en los informes Reportes más útiles y mayores opciones de reporte para lograr presentaciones más adaptadas a las necesidades del cliente.



Permite mayor flexibilidad en la generación de reportes, mejorando la utilidad de los mismos sin generar gastos adicionales.



Provee reportes analíticos e interactivos; detallados y resumidos, técnicos y gerenciales.



 Administración de políticas Esta es una nueva funcionalidad, común a los 3 componentes, que se utiliza para administrar aspectos relacionados con las políticas de riesgos y cumplimiento de la compañía.



Cuenta con múltiples métodos de distribución (preguntas, encuentas, evaluaciones) que se utilizan para documentar el cumplimiento de las políticas.



 Reglas de negocio mejoradas Incluye reglas de negocio más intuitivas y mejoras que permiten a los usuarios finales crear y configurar reglas de negocio mediante una guía de fácil utilización.



Las reglas de negocio mejoradas incluyen agrupaciones, cláusulas de condiciones lógicas y logs de modificaciones a las configuraciones.



 Administración de contenido (LifeCycle) Permite la importación, exportación y edición masiva de datos maestros.



Provee

chequeos de consistencia de datos y control de versiones.

Provee funcionalidades

de comparación de contenidos, reutilización de configuraciones comunes entre distintas plataformas GRC y exportación e importación de contenidos.

 Ramp up Partner   Escenario Debido a que PwC participó como Ramp up Partner del proceso de ramp up de la nueva versión 10.0 de SAP GRC  Access Control, SAP GRC Process Control y SAP GRC Risk Management, fuimos los primeros en tomar contacto y  consecuentemente experiencia con ella. Esta experiencia nos permitió realizar instalaciones de las 3 herramientas de la suite GRC en los laboratorios con los que PwC cuenta para esos efectos.  Laboratorios PwC   pwclabs.com es el dominio que aloja los servidores de  PwC en los que se instalan las distintas herramientas que se usan para demostraciones y capacitación interna; entre ellas SAP GRC Access Control y SAP GRC Process Control 

 Demostración Online

www.pwc.com/cl

Advisory

© 2011, PricewaterhouseCoopers Consultores, Auditores y Compañía Limitada. Todos los derechos reservados. Prohibida su reproducción total o parcial. P “ wC” se

¿Qué es SAP – GRC – Access Control?  SAP – GRC Access Control es una herramienta de SAP orientada a eficientizar los procesos de la compañía en materia de riesgos y seguridad de accesos. Cuenta con los siguientes sub-módulos:  Analyze

and Manage Risk   AMR (Ex RAR) –

 Emergency  Provision  Business

Access Management

and Manage User

–

Role Management

–

–

EAM (Ex SPM)

PMU (Ex CUP) BRM (Ex ERM)

 Esquema operativo de AMR Analyze and Manage Risk (AMR)

Modelo de Seguridad Riesgo 1 = Función 1 vs Función 2 Riesgo 2 = Función 4 vs Función 6 …

Riesgo N = Función N vs Función M

 Análisis y Remediación de Funciones Incompatibles

SAP ERP + CRM + IS…..

Datos que recolecta AMR   Usuarios  Perfiles y roles  Transacciones   Autorizaciones

Analyze and Manage Risk (AMR)

En su actual configuración de seguridad de SAP y de acuerdo al Modelo de Seguridad definido, existen:  10 riesgos críticos  12 riesgos altos  03 riesgos medios  15 riesgos bajos ¿Desea quitar las autorizaciones conflictivas o asignará controles mitigantes a los riesgos identificados?

 Modelo de Seguridad  Riesgo de Negocio

Función de Negocio

Función A

Riesgo 1

Riesgo 2

+

 Acciones y Permisos  Acción1+ Permiso 1  Acción2 + Permiso 2  Acción3 + Permiso 3  Acción “n” + Permiso “n”

Todas las combinaciones entre Funciones A & B

Función B

Función C

 Acción7+ Permiso 7  Acción8 + Permiso 8  Acción9 + Permiso 9  Acción “n” + Permiso “n”

Función D

Generación automática de Reglas de Riesgo

de “Acción + Permiso”

 Acción4 + Permiso 4  Acción5 + Permiso 5  Acción6 + Permiso 6  Acción “n” + Permiso “n”

+

 Análisis y Remediación de Funciones Incompatibles

Miles de combinaciones

Todas las combinaciones de “Acción + Permiso”

 Acción10 + Permiso 10  Acción11 + Permiso 11  Acción12 + Permiso 12  Acción “n” + Permiso “n”

entre Funciones C & D

Miles de combinaciones

Regla Riesgo 1 Regla Riesgo 2 Regla Riesgo 3 Regla Riesgo 4 Regla Riesgo 5 Regla Riesgo 6 Regla Riesgo 7 Regla Riesgo 8 Regla Riesgo 9 Regla Riesgo “n”

Regla Riesgo 10 Regla Riesgo 11 Regla Riesgo 12 Regla Riesgo 13 Regla Riesgo 14 Regla Riesgo 15 Regla Riesgo 16 Regla Riesgo 17 Regla Riesgo 18 Regla Riesgo “n”

 Modelo de Seguridad  Compras 1

2

   M    M   e    d    d   e   s   e    P   n    l   o   o    S    i   c   e   a   r    d   u   n   g   o    i    f    i   n    t   s   o   e    C    G

  s   a   r   p   m   o    C   r   s   a   a   g    t   a   n   P   e   r   u    C  o   p   s   a    t   n   e    V

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

Configuraciones de MM Gestion de SolPed Liberación de Solped Gestión de Pedidos / Contratos Liberación de Pedidos / Contratos Gestión de DM de Proveedore s (MM) Gestión de DM de Proveedores (FI) Evaluación de proveedores Aprobación de proveedores AP Procesamiento de Facturas (MM) Liberación de Facturas Bloquedas Administración de DM de Clientes Administración de DM de Ventas Administración de DM de Condiciones Gestión de Pedidos de Ventas Gestión de Entregas

m

3

4

 Análisis y Remediación de Funciones Incompatibles

Ctas por Pagar 5

6

7

8

 Ve nt as

Ctas por Cobrar

Adm. Inv entario

9 10 11 12 13 1 4 15 16 17 18 19 20 21 22 23 24 25 26 27 28

  s   e   n   s   o   e    i    t   s    i   c   n   a   e    t    d    i    l   n   e   n   o   s    C    V   a    t   e   e    C   e   n    d    d    d   e   s    V   o   r    M    M   e    t    D    D    d   s   e   e   e   s   a    d    d   o    d    M   n   n    i    ó    i    ó    d   s    i   e   o   c    P    t   c   a   a   a   e   r    t   r    d    D    t   s   s    i    i   e   n   n   n    d    i    ó    i    i   m   m   m    t    d    d    d   s   e    A    A    A    G

   d   e   p    l   o    S   e    d   n    ó    i   c   a   r   e    b    i    L

  s   o    t   a   r    t   n   o    C    /   s   o    d    i    d   e    P   e    d   n    ó    i    t   s   e    G

  s   o    t   a   r    t   n   o    C    /   s   o    d    i    d   e    P   e    d   n    ó    i   c   a   r   e    b    i    L

   )    M    )    I    M    (    F    (   s   s   e   r   e   r   o   o   s    d    d   e   e   e   r   e   o   v   e   v    d   o   r   o   e   r    P    P   e   v   e   e   o    d    d   r   p   e    M    M    d    D    D   n   e   e    ó    d    d    i   n   n   c    ó    i    ó   a    i   u    t    t    l   s   e   s   e   a   v    G    G    E

  s   e   r   o    d   e   e   v   o   r   p   e    d   n    ó    i   c   a    b   o   r   p    A

   )    M   s    M   a    (    d   s   e   a   u   r    q   u    l   o    t   c    B   a   s    F   a   e    d   r   u   o    t   c    t   a   n    F   e    i   e   m    d   a   n   s    ó   e   c    i   c   o   r   a    P   r   e    P    b    i    A    L

a

m

a

a

m

a

a

a

a

a

m

b

a

b

  s   a   g   e   r    t   n    E   e    d   n    ó    i    t   s   e    G

   )    )    I    D    F    (    S    (   s   s   s   a   a   o   p   e   r   r   u   u    i   c    t    i    t    t    t   c   c   n   n   e   a   a    i    F    F    A   r   r   e   e   e   o    d    d    d    C   o    t   o    t   o    t   a    t   n   n   n   n   e   e   e    i    i    i   e   u   m   m   m    C   a   a   a   e   s   s   s    d   e   c   e   c   e   c   n   o   r   o   r   o   r    ó    P    P    P    i    t    R    R    R   s   e    A    A    A    G

  s   e    l   a   c   s    i    f   s   a    t   o    N

  s   e    l   a    i   r   e    t   a   o    M    i   r   e   a    d    t   n    M   e   v   n    D    I   e   e    d    d   n    ó   o   e    i    t    t   s   e   n   o    G    C

  o    i   r   a    t   n   e   v   n    I   e    d   s   e    t   s   u    j    A   e    d   n    ó    i   c   a   r    t   s    i   g   e    R

m   a

 .   v   r   e    S   e    d   n    ó    i   c   a   c    i    f    i    t   r   e    C    /   s   e   n   o    i   c   p   e   c   e    R

  s   e   n   o    i   c   u    l   o   v   e    D

   k   c   o    t    S   e    d   s   o    t   n   e    M    i    M   m   e    i   v   r   r   o    i   e    M    C

a

a

a

a

b b m

m

a a

a b

m

a

a

a

a

a

a

a

a

a

a

a

a

a

a m

m

m

m

b m

a

a

m

m

m

m

m

m

a

a

a

m

a

b

b

b

b

b

a

m

m

m

a

a

 ACE - PwC tiene el conocimiento

 Ramp up Partner   Escenario Debido a que PwC participó como Ramp up Partner del proceso de ramp up de la nueva versión 10.0 de SAP GRC  Access Control, SAP GRC Process Control y SAP GRC Risk Management, fuimos los primeros en tomar contacto y  consecuentemente experiencia con ella. Esta experiencia nos permitió realizar instalaciones de las 3 herramientas de la suite GRC en los laboratorios con los que PwC cuenta para esos efectos.  Laboratorios PwC   pwclabs.com es el dominio que aloja los servidores de  PwC en los que se instalan las distintas herramientas que se usan para demostraciones y capacitación interna; entre ellas SAP GRC Access Control y SAP GRC Process Control 

 Demo Online de AMR

 Análisis y Remediación de Funciones Incompatibles

 Esquema operativo de EAM  Risk Analysis and Remediation Risk Analysis and Remediation Firefighter Administrator

Gerente / Jefe de Compras

Gerente / Jefe Contabilidad

Firefighter de Compras

Firefighter de Contabilidad

Usuario Final 1

Usuario Final 2

Usuario Final 3

Gerente / Jefe de Sistemas

ERP SAP R/3

Gerente / Jefe Comercial

Firefighter Firefighter Risk Analysisde and Remediation Comercial Sistemas

Usuario Final 4

Usuario Final 5

Usuario Final N

Control de Accesos de Superusuarios

Es el usuario administrador de Firefighter Owners o propietarios de cuentas Firefighter

Cuentas Firefighter

Usuarios finales que utilizan las cuentas Firefighter

 Demo Online de EAM 

Control de Accesos de Superusuarios

 Esquema operativo de PMU  Provisiong and Manage Users

Permite administrar usuarios realizando las siguientes tareas:  Nueva Cuenta  Modificar Cuenta  Bloquear / Desbloquear Cuenta  Eliminar Cuenta  Acceso de Superusuario

Nuevo usuario de compras

Gerente de Compras

 Administración de  Accesos de Usuarios

Realiza solicitud de acceso

 Aprueba o rechaza la solicitud

Permite además:

Gestionar la aprobación de roles administrados en BRM  Aprobar controles mitigantes creados para AMR   Gestionar la aprobación de riesgos de AMR   Aprobar análisis de SoD o de usuarios en AMR  

Propietario de roles básicos

Propietario de roles de MM

Seguridad Informática

 Aprueban o rechazan los roles de su propiedad

Realiza la  Aprobación final de la nueva cuenta

 Demo Online de PMU 

 Administración de  Accesos de Usuarios

 Esquema operativo de BRM  Compliance Provisioning Compliance UserUser Provisioning Definición Autorización

Derivación

Análisis de riesgo

 Administración de Roles y Perfiles

Aprobación

Generación

Se genera el rol

Se solicita aprobación al dueño del proceso mediante PMU

Permite además:

Se realiza un análisis de riesgos con AMR

Este etapa es opcional, si se está creando un rol derivado se indica cual es el rol padre, caso contrario se omite.

Se ingresan las transacciones y objetos de autorización del rol. Es posible asociar el rol con las funciones definidas en AMR

Se ingresan los datos básicos del rol: Nombre, Tipo, Proceso y Sub, Descripción, Aprobadores, etc