Sei sulla pagina 1di 17

SAP GRC Compliance Calibrator

Permission Analysis

Rotundo Domenico
Funzionalità SAP GRC Compliance Calibrator FIAT ITEM

Analisi sulle impostazioni Standard degli oggetti


in Compliance Calibrator

• Nota Bene
Mancando dei supporti didattici e documentali sull’argomento le conclusioni e le assunzioni fatte
nel presente documento sono state ottenute esclusivamente con il metodo empirico e validati
dagli esiti positivi sui test effettuati.
Funzionalità SAP GRC Compliance Calibrator FIAT ITEM

• L’attribuzione delle Transazioni ( chiamate Actions nel SAP GRC )


alle Attività ( chiamate Function in SAP GRC ) della Matrice definita da
Capogruppo è stata puntuale e condivisa con i principali Settori.

• Nessuna indicazione invece è stata data per quanto riguarda gli oggetti
autorizzativi ( chiamate Permission in SAP GRC ). Fanno parte degli
oggetti autorizzativi anche i Livelli Organizzativi che individuano il cono di
visibilità a cui una transazione dà accesso.

• Esclusa la possibilità di esaminare puntualmente tutti gli oggetti riferiti


alle singole transazioni calate nella realtà del sistema R/3 da analizzare,
il caricamento delle permission sul SAP GRC ha necessariamente seguito
le impostazioni Standard del Profile Generator di SAP R/3 contemplando
differenze di Release e le transazioni con valori variabili dovuti alla
customizzazione del sistema come : Rilascio Rda, Rilascio Oda, Rilascio
WBS
Funzionalità SAP GRC Compliance Calibrator FIAT ITEM

Struttura delle Autorizzazioni nei Sistemi SAP R/3

Il punto di partenza per eseguire una attività su SAP come ad esempio la registrazione di una fattura è
essere abilitato alla Transazione, tuttavia per portare a compimento l’operazione bisogna superare
altri controlli che vengono identificati dal sistema con i valori dei campi contenuti negli oggetti
autorizzativi legati alla transazione considerata.
Ad una transazione sono legati da 1 a N Oggetti autorizzativi che contengono a loro volta da 1 a N
campi di autorizzazione.
In base alla natura del campo dell’oggetto possiamo identificare 3 macro categorie :
1. Livelli Organizzativi : sono campi che puntano ad elementi facenti parte della Struttura
Organizzativa dell’impresa come la Società, il Plant, la Controlling Area, l’Organizzazione Acquisti.
I livelli sono definiti nell’ IMG del Sistema e identificabili nelle autorizzazioni con il prefisso ‘$’ nel
valore
2. Action : sono campi che identificano la funzionalià che si può attivare nella transazioni a cui fanno
riferimento. La grossa differenza è tra valori che permettono di modificare il sistema e quelli che
non lo permettono. Fanno parte del primo gruppo le azioni di (01)Creazione, (02)Modifica,
(10)Registrare, (75)Acquisire, fanno parte del secondo gruppo (03)Visualizzare, (04)Stampare,
08(visualizzare modifiche) ecc..
3. Altri : sono campi che fanno riferimento sempre a valori definiti nel sistema ma che esulano dalla
rappresentazione della struttura d’impresa, fanno parte di questo gruppo l’accesso a poter operare
su Tipi documenti sia FI che MM, il piano dei conti, il tipo materiale, i codici di Rilascio, ecc..
Funzionalità SAP GRC Compliance Calibrator FIAT ITEM

Non necessariamente tutti gli oggetti vengono conivolti per l’esecuzione di una
operazione, a secondo delle funzionalità eseguite, soprattutto in transazioni più
complesse, sono controllati dal sistema alcuni oggetti delle transazioni o alcuni
valori dei campi, da questa variabilità deriva la complessità del sistema.
Nell’esempio sotto riportato, la struttura per il Rilascio della OdA seguendo lo schema
descritto in precedenza : Transazione  Oggetti  Campi  Valori
01
01 crea
crea
ACTVT
02
02 modifica
modifica
M_BEST_BSA (attività)
(attività) 03
03 visualizza
visualizza
( Tipo Documento in OdA) BSART CO
CO
NB
NB
(attività)
(attività) BLV
BLV

01
01 crea
crea
ACTVT
02
02 modifica
modifica
Transazione (attività)
(attività)
Start

Goal
M_BEST_EKO 03
03 visualizza
visualizza

(ME29N ) (Organizzaz
(Organizzaz Acquisti
Acquisti in
in OdA)
OdA) BSART 4000
4000
8000
8000
(attività)
(attività) 20D0
20D0

FRGGR 02
02 Gruppo
Gruppo
Rilascio
Rilascio OdA
OdA
M_EINK_FRG (Gruppo Rilascio)
(Strategia
(Strategia di
di Rilascio)
Rilascio) FRGCO 03
03 Rilascio
Rilascio del
del
(Codice
(Codice Rilascio)
Rilascio) Controller
Controller
Funzionalità SAP GRC Compliance Calibrator FIAT ITEM
Struttura delle Permission nel Sistemi GRC SAP

Il GRC riprende nell’architettura delle permission le logiche e gli elementi del R/3, con le differenze
dovute alla diversa natura dello strumento (di controllo e non autorizzativo).

Gli oggetti autorizzativi associati ad una transazione vengono legati logicamente dall’operatore ‘AND’
seppur questo non si manifesti in modo esplicito, ciò implica che :
- Gli oggetti legati a una transazione nel sistema GRC, quando si esegue l’analisi denominata
‘Permission Level’, devono comparire tutti nell’elemento controllato affinché la Action sia
considerata come operativa e quindi potenzialmente conflittuale.
- Se si vuole escludere un Oggetto (in quanto non considerato pertinente o non necessario ad
eseguire l’operazione interna alla transazione) bisogna non legarlo alla transazione o Disabilitarlo.

I campi associati ad una transazione vengono legati logicamente dall’operatore ‘AND’, anche qui non
esplicitato, per quanto riguarda invece la condizione sui valori del campo è possibile optare per
uno dei seguenti operatori logici : ‘OR’ , ‘AND’, ciò implica che :
- Se si ritiene necessario rendere inattivo un campo come elemento di controllo bisogna settare lo
status, altro campo opzionale a questo livello, con il valore ‘DISABLE’.
- Per gli operatori che legano i valori dei campi è necessario un operatore omogeneo che nel caso
dell’ ‘OR’ rende necessaria la presenza nell’elemento di controllo di un solo valore della catena
considerata, nel caso dell ‘AND’ comporta la necessaria presenza di tutti i valori.
- In caso di non omogeneità tra gli operatori di un campo il sistema considera gli operatori tutti come
inserimenti ‘OR’. Le activity sono state tutte parametrizzate con l’operatore ‘OR’.
Funzionalità SAP GRC Compliance Calibrator FIAT ITEM

Riportiamo come esempio la transazione MB01 per la quale


sono stati considerati pertinenti solo gli oggetti con la
lampadina attiva e implicitamente legati con ‘AND’, stesso
discorso vale per il legame tra i Fields

Per l’oggetto M_BEST_BSA è stato richiesto il


controllo della contestualità della presenza delle
attività 75 e 76 (acquisizione e accettazione APS) per
il documento NB.

Per l’oggetto M_MSEG_BWE è stato richiesto il controllo


della presenza almeno di uno tra il tipo movimento 101 e
102 (Entrara merce da OdA e storno ) e nell’attività 01
che individua la creazione del documento stesso.

Per l’oggetto M_MSEG_WWE non è stata rispettata


l’omogeneità dell’operatore e quindi il sistema interpreterà il
controllo richiedendo la presenza almeno di una attività tra 02,
03, 04 su una divisione definita grazie al simbolo $WERKS
come una variabile da definire nel lancio del Report.
Funzionalità SAP GRC Compliance Calibrator FIAT ITEM
Impostazione Standard attribuzione Oggetto Transazione

La linea guida seguita per l’attribuzione Action Permission nella configurazione Standard del GRC
VIRSA ha seguito il seguente schema logico :

A) IMPOSTAZIONE DEGLI OGGETTI.

• Transazioni presenti nella Matrice Capogruppo 473 di cui 25 ripetute in più duty.
• Transazioni definite come critical ( Nessuna ) eliminate con la revisione della Matrice.
• Per l’associazione degli oggetti alle 473 transazioni si è proceduti nel seguente modo :

1. Per le 244 transazioni che coinvolgono negli Oggetti autorizzativi almeno un campo che punta su
un Livello Organizzativo, sono stati considerati solo questi oggetti
2. Per le 41 transazioni incluse nella Matrice e realizzate appositamente dal Kernel (Y*) viene
considerato l’oggetto inserito nella function Authority check realizzata e inserita nei vari
programmi che controlla il livello organizzativo BUKRS tramite l’oggetto F_TXW_TF.
3. Per le 101 transazioni che hanno nella standard un controllo autorizzativo che non punta a livelli
Organizzativi sono stati caricati tutti gli Oggetti ad esse associate nell’impostazione Standard del
Profile Generator.
4. Per le rimanenti 87 transazioni non legate esplicitamente a nessun tipo di oggetto è stata fatta
un’analisi in termini di trace e sono stati inseriti gli oggetti rilevati con tale metodologia empirica.
Funzionalità SAP GRC Compliance Calibrator FIAT ITEM

B) IMPOSTAZIONE DEL VALORE DEI CAMPI


• Per quanto riguarda il valore dei campi contenuti negli oggetti dove nell’impostazione standard
del Profile Generator vengono indicati in modo puntuale, si procede con il caricamento degli
stessi,
dove non vi è nessuna proposta in merito la logica è stata la seguente :
1. Per il campo che identifica l’operatività ‘ ACTVT’ si è caricato di default i valori
01 (Crea) , 02 (Modifica).
1b. Gli oggetti le cui activity sono valorizzate in sola visualizzazione ( 03 o 08 ) non vengono
considerate in quanto non SOD relevant e in aggiunta si presume che abilitando l’utente alla
transazione il valore minimo sia la visualizzazione delle attività
2. Per gli altri campi come ad esempio : Tipo documenti , tipo movimenti è stato caricato di Default il
valore ‘*’.
3. Sono considerate a parte e valorizzate come eccezione in collaborazione con i Settori le
transazioni che caratterizzano alcuni processi specifici identificate principalmente nei processi
Autorizzativi e di Rilascio.
Funzionalità SAP GRC Compliance Calibrator FIAT ITEM

C) IMPOSTAZIONE DEGLI OPERATORI DEI CAMPI


• Per quanto riguarda il valore degli operatori con cui sono collegati i valori dei campi contenuti
negli oggetti si procede con il caricamento degli stessi seguendo la logica seguente :

L’operatore logico ‘non espresso’ che lega gli oggetti alle transazioni è ‘AND’

Tutti gli operatori logici che legano i valori dei campi degli oggetti è ‘OR’ .

P.S. In presenza dello stesso codice di rilascio per RdA e OdA anche se appartenente a un gruppo
diverso il sistema non è in grado di associare il codice al gruppo corretto leggendo le
autorizzazioni di R/3 e per tale motivo potrebbero comparire dei falsi Conflitti .
Funzionalità SAP GRC Compliance Calibrator FIAT ITEM

Impostazione Valori specifici per Legal entity


a cura del settore

• Organization Level
• Customer Transaction
• Valori oggetti per Rilasci
• Valori oggetti per altri processi
• Mitigation
• Other setting
• In allegato Matrice / Transazioni
Organization Level FIAT ITEM

• Inserire i Livelli Organizzativi con relativi valori che permettono di individuare


in modo univoco la Legal entity sulla quale si deve effettuare la risk analisi,
con i quali verranno caricati gli Organization level.

Cod. SAP Descrizione Plant Purchase Sales Profit Controllin Other


Società Società Organization Organization Center g Area
(BUKRS) ( WERKS) ( EKORG) ( VKORG) ( PRCTR) (KOKRS)

GXX1 ESEMPIO 1 AXXX 8XXX SAXX NA NA -


COMPILAZIONE AXXY
BZZZ

GXX2 ESEMPIO 2 WXXX 1XXX SAYY NA NA -


COMPILAZIONE WXXY
WZZZ
TRANSAZIONI CUSTOM FIAT ITEM

• Inserire le transazioni custom sviluppate nel proprio sistema sap che sono riconducibili alle attività
descritte dalla Matrice Capogruppo con l’indicazione degli oggetti autorizzativi pertinenti.

• L’individuazione dell’oggetto autorizzativo permette di non incorrere in falsi positivi sia in termini di
attività svolte sia in termini di perimetro ( società per cui la transazione abilita )

Cod. Descrizio Sod Duty Oggetti Autorizzativi Campi Valore NOTE


Transazione ne trans Rilevante

ZXX1 Esempio 1 001 M_LFA1_EKO ACTVT 01 - 02 Transazione custom


EKORG Org level che permette di aprire
un fornitore sulla
Purch. Organization

ZXX2 Esempio 2 032 F_BKPF_BUK ACTVT 01 – 02 Transazione che


BUKRS Org level permette di eseguire
Registrazioni CO.GE.

OTHER
OGGETTI SPECIALI ( RILASCI ) FIAT ITEM
• Per effettuare il rilascio su un documento SAP non è sufficiente essere in possesso delle abilitazioni alla
transazione e ai livelli Organizzativi ma occorre possedere anche un determinato codice di rilascio che a
seconda delle strategie può essere da un puro rilascio tecnico di compilazione a quello che sblocca il
documento in termini economici.
• Obiettivo dell’analisi SOD è intercettare i codici Autorizzanti il documento.
Un esempio su tutti il rilascio dell’Ordine ce vincola all’acquisto o il rilascio di un Progetto

SOD Cod. Dettaglio attività Oggetti Campi Valore NOTE


Duty Transazione Autorizzativi Rilevan
te

002 ME54N … Esempio : M_EINK_FRG FGRGR 01 Gruppo rilascio 01


Considerare solo tipo FGRCO 02 codice 02
documento XX e YY Esempio non
considerare presa in
carico Buyer 03
003 ME29N … Escludere Ordini Figlio M_EINK_FRG FGRGR 02 -04 Gruppo rilascio 01
FGRCO 02- 03 codice 02

027B Cj30.. Cj20n Rilascio Progetti e B_USERSTAT BERSL Ict_xxx Rilascio ict
WBS Me_yyy Rilascio manuf.

OTHER
OGGETTI SPECIALI ( DIVERSI DAI RILASCI ) FIAT ITEM
• Obiettivo dell’analisi SOD è intercettare l’attività rilevante all’interno della Duty descritta da Capogruppo, molte volte non è sufficiente descrivere tale attività
solo con le impostazioni standard (transazione e oggetto) ma bisogna parametrare alcuni valori in base ai flussi implementati in Azienda. Riporto in esempio
alcune richieste ricevute dai settori.
• Esempio 1: Duty 006(Material Master data) se il processo implementato porta a considerare come rilevante solo la creazione della vista di base bisogna
richiedere che GRC intercetti il conflitto solo se si ha tale possibilità(oggetto M_MATE_STA = B ) e non se si inserisce l’ubicazione
• Esempio 2 Duty 017 ( Sales pricing ) escludere come SOD relevant la possibilità di modificare esclusivamente la condizione ZIVA, considerata un
tecnicismo contabile.

• E’ ovvio che tali impostazioni del GRC per essere efficaci devono trovare adeguata segregazione nella UPA del sistema.

SOD Cod. Dettaglio attività Oggetti Campi Valore NOTE


Duty Transazione Autorizzativi Rilevant
e

006 MM01 Esempio : M_MATE_STA ACTVT 01 - 02 Considera conflitto


Considerare solo STATM B solo se creo o
creazione e modifica modifico i dati di
dati di base materiale base.
017 VB01 VB02 Escludere Ordini Figlio V_KOND_VEA ACTVT 01 - 02 Crea o modifica
KSCHL NOT EQ condizioni vendite
ZIVA dierse da ZIVA

OTHER
ALTRE NOTE GRC SETTING FIAT ITEM

• Indicare particolari settaggi da effettuare sul GRC Virsa come da esempi sotto elencati
• VELO
• Disabilitazione transazioni a seguito di blocco in SAP
• Disabilitazione di Rischi in quanto non rilevabili da GRC ( esempio check a tabelle custom )
• Ruoli e profili da consederare Critici e da escludere dalla SOD analisi.

• Indicazione della composizione o individuazione puntuale dei gruppi di utenti su cui fare girare la Risk Analisi
• Indicazioni delle Mitigation da caricare sul GRC

Codice Mitigation Matrice SAP Codice Duty X Duty Y


Rischio
mitigato
AXXXXXXXXXXX FA00 FA01 003 001
MATRICE E CORRISPONDENZA TRANSAZIONI CAPOGRUPPO FIAT ITEM

La matrice riportata in allegato nella nuova release rilasciata da Capogruppo a Marzo del 2009 consta di :

35 Duty che descrivono le attività di Business ( è stata aggiunta la duty 5bis inerente ai Pagamenti)

3 Duty che fanno riferimento al mondo delle attività Ict e AMS

507 Transazioni

81 Rischi Business

3 Rischi ICT

Sod Matrix 2009


Impostazione Dati da compilare
Standard GRC a cura del Settore