Melhorias FIORI para o processo GRC Access Control

Melhorias FIORI para o processo GRC Access Control
Cenário 2016/2017
No início de 2017, a equipe do Escritório de Risco & Compliance da Magnesita S/A (hoje
RHI Magnesita) estabeleceu metas de melhorias na gestão do processo de concessão de
acesso SAP.
Com foco na automação proporcionada por um workflow inteligente e otimizado, o
objetivo era conseguir transformar o processo “SAP Access Grant” em um modelo de
referência moderno, seguro, que diminuísse tempo e custo operacional, aumentasse a
assertividade e a velocidade no atendimento das solicitações e fosse bem avaliado pelos
usuários de toda a empresa.
Pensando nisso, o SAP GRC Access Control 10.1 foi o sistema escolhido para o
atingimento de todas essas metas.
Com o foco no tratamento dos riscos de acesso, a ferramenta foi totalmente
reconfigurada, com uma interface completamente nova desenvolvida com uso de
tecnologias do sistema SAP Fiori e UI5.
Além disso, com a parceria e expertise da TrustSis, foi possível mapear todas as
transações Z/Y, revisar e adequar a Matriz de Riscos SoD à realidade da Magnesita e
garantir o Compliance com as políticas de desenvolvimento ABAP.

Processo de concessão de acesso, SAP ACCESS GRANT, na Magnesita S/A, em 2016/2017:

Processo de concessão de acesso, SAP ACCESS GRANT, na Magnesita S/A, em 2016/2017
Principais GAPs:
1. Processo executado com muitas etapas manuais
2. Provisionamento manual ao final do processo (Help Desk altera acessos de usuários nos
backends SAP Produtivos, via SU01)
3. GRC Access Control com Matriz de Riscos com 306 riscos standard – riscos cadastrados
sem participação das áreas de negócio.
4. Muitas trocas de e-mails entre Help Desk da TI, responsáveis do negócio e Key Users
5. Aprovadores não tinham total clareza naquilo que estavam aprovando/rejeitando.
6. Média de 10.000 tickets por ano para concessão de acesso SAP.
7. Tempo médio de atendimento do chamado de concessão de acesso de cerca de 11 dias.
8. Opção pelo não uso dos workflows automatizados do GRC: Interface não é amigável.
Key-User
request
access on
ITSM
Requestor
Immediate
Manager
Approval
Access
Released
NO
YES YES
Transacti
ons is
critical?
IT checks
approval
and start
attendance
IT creates a
task to R&CO
team to
generate risks
IT sent Risks
for manager
analysis and
approval
Risk
Manager
approval
IT sent emails
asking for Role
owner analysis
and approval
Role
Owner
Approval
NO
77:48 h
164:49 h 262:44 h
Transaction
is critical?
Transaction
generate
SoD risk?

A tela de aprovação do GRC pode ser complexa e conter muitas informações vistas como
“irrelevantes” para os aprovadores. Além disso, exige uma série de cliques para se
encontrar as informações consideradas relevantes para a tomada de decisão.

Conseguir a informação sobre “o que se está aprovando/rejeitanto” pode ser um desafio
que exija um conhecimento mais profundo sobre as funcionalidades da ferramenta.

Além disso, para o tratamento de riscos de acesso, mesmo para usuários avançados, no
SAP Access Control 10.x, ainda que bem customizado, as informações não são trazidas
em uma interface amigável, podendo até impossibilitar o tratamento eficaz de riscos.

A interface Web Dynpro, ainda que mais amigável que o SAP core, não se adequa a todos
os tipos de tela, não possui funcionalidades para touchscreen e isso inviabiliza seu uso em
aparelhos como tablets e smartphones.

Desenvolvida com foco em melhorar a User eXperience, o SAP Fiori trouxe a flexibilização
que a empresa buscava com uma nova interface, funcionalidades organizadas e
aplicativos mais simples e completos.
Highlights:
• As informações em tela são sempre relevantes para a tomada de decisão
• A construção das aplicações SAP Fiori objetivou criar uma UX semelhante ao de um
App de compras, mais familiar aos olhos dos usuários
• Com interface mais intuitiva, os usuários tiveram menos dificuldade no uso, diminuindo
custos de treinamento e o número de chamados de suporte
• As aplicações funcionam em qualquer tamanho de tela, se adequando
automaticamente conforme a necessidade
• Matriz de risco SoD revisada passou a contar com 75 riscos e todas as transações Z/Y
consideradas críticas.
• Funcionalidades extras foram incorporadas trazendo simplicidade ao processo de
tratamento da segregação de riscos de acesso (SoD)
• A ferramenta fez do GRC um serviço self-service, dispensando a abertura de chamados
para o Help Desk e evitando gargalos no atendimento pela TI.

Resultados colhidos após seis meses:
368
Tickets
abertos por
mês em média
68% das solicitações
precisam de transações
críticas aprovadas pela
área de negócio.
23% geram riscos SoD que são
avaliados pela área de negócio.
55%*
das solicitações são
abertas de forma
self-service, SEM
participação da TI
em nenhum step
* No mês de novembro/2017 a RHI e a Magnesita se fundiram em uma única empresa, o que gerou um aumento no número de solicitações para atender a fusão.

O grupo das aplicações se dividiu entre o processo de concessão de acesso (ARM) e o de
revisão de acesso de usuários (UAR). Para a concessão de acesso, foram criadas três
aplicações e uma aplicação foi criada para a revisão de acesso de usuários.

Para os Key Users, solicitantes das áreas de negócio, o app “Request Access” foi criado
como um app de compras. Neste app, o usuário pode pesquisar e aplicar filtros pelas
características mais usadas pelas áreas para identificar os acessos que necessitam.

Campos de busca obrigatórios servem de orientação para o usuário sobre aquilo que é
fundamental para realizar uma busca precisa. Ainda existe a possibilidade de combinar
critérios de busca como códigos de transações, nomes de funções e objetos de nível
organizacional.

O usuário solicitante informa para quem será solicitado o acesso, quem é o gestor
responsável pelo usuário*, para qual empresa, o landscape, a transação ou nome da
função (aqui os solicitantes podem combinar valores de transação com objetos
organizacionais: plantas, empresas, tipo de documento, etc) e fazer a busca.
O valor retornado pode ser filtrado. Após selecionada a função desejada, basta adicionar
ao shopping cart e seguir para a tela final.
Clique no “+” para adicionar
um novo parâmetro de busca
1 2
5
6
3
7
8
9
4

Na tela final de solicitação, o Key User deve informar o motivo da solicitação, pode alterar
a data de validade para o acesso e, caso esteja tudo certo, fazer o envio.
Essa solicitação, uma vez criada, seguirá pelo fluxo MSMP do SAP Access Control 10.x
para os aprovadores. Nesse ponto a análise de risco será gerada automaticamente e será
gerado um número de solicitação no GRC. O usuário também será notificado por e-mail.
10
11
12

A aplicação “Verify Access Request Status” mostra, em tempo real, em que etapa de
aprovação está a solicitação aberta pelo usuário. Dessa forma o solicitante sabe
exatamente com qual aprovador está sua solicitação de acesso, além das informações de
contato desse aprovador.
Dessa forma o solicitante e o aprovador podem estabelecer contato direto, sem
necessidade de envolvimento da TI.

Após criada a solicitação, o usuário aprovador recebe um e-mail avisando a ele da
necessidade de aprovar os acessos. No corpo do e-mail vão os links com manuais passo-
a-passo para proceder com as aprovações, bem como o link para acesso ao SAP Fiori.

A transação customizada ZGRAC_FIORI_APPR foi a solução criada para se comunicar
com a aplicação SAP Fiori do GRC, permitindo a customização do comportamento da tela
de aprovação para cada etapa (stage) do fluxo MSMP, por caminho (path) seguido.
Dessa forma, o fluxo mostra ou oculta elementos, requer ações dos aprovadores (como
rodar ou não a análise de risco) e controla funcionalidade de encaminhamento das
solicitações para outros aprovadores.

Criamos também uma solução para solicitação de acesso baseada em usuário de
referência (model user). Nessa aplicação SAP Fiori, basta informar o usuário modelo, o
usuário a ser beneficiado pelos acessos, o gestor do usuário* e todos os acessos são
solicitados para o usuário, conforme acessos do usuário modelo.
* O gestor do usuário passará a ser automaticamente atribuído, após conexão entre GRC e SAP HCM

ABAP Test Cockpit
É um framework integrado ao ABAP Workbench. O ATC simplifica consideravelmente a
gestão Compliance de programas SAP, possibilitando:
• Checagens extendidas em códigos de programas
• Executar testes de performance e usabilidade de programas
• Checagem de pacotes criados e executa Security Checks
Melhorias Sugeridas para o processo de Governança ABAP
Painel FIORI do usuário Administrador

Interface FIORI do usuário Administrador (ETAPA 1)

Interface FIORI do usuário Conformidade (ETAPA 2)
Etapa 2 – Confomidade

Interface FIORI Mobile do usuário Conformidade (ETAPA 2)
Aprovação via Mobile
Neste etapa os Analistas de Conformidade
e Segurança realizam as seguintes
atividades preventivamente:
Requisitos SOx e Segurança
 Proposta de nomenclatura para nova transação (se93)
 Proposta para novos objetos de autorização
 Atualização da matriz de Riscos SoD
 Atualização da tabela de governança ABAP USOBT (su24)
 Simulação antecipada de Riscos SoD
 Avaliação do impacto de Riscos SoD na população de
usuários
Requisitos de Qualidade
 Regras de Qualidade de Código
 Regras de desempenho
 Etc.

Exemplos de fluxo de governança ABAP

Obrigado a todos!
Dúvidas?
Entre em contato
Glaucio Coutinho
Governance, Risk and Compliance Specialist
Phone: +55 21 98452 8246
+55 31 99993 8246
E-mail: glaucio.coutinho@contractor.rhimagnesita.com
Skype: glauciocoutinho
www.rhimagnesita.com

Melhorias FIORI para o processo GRC Access Control

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Melhorias FIORI para o processo GRC Access Control

Semelhante a Melhorias FIORI para o processo GRC Access Control (20)

Melhorias FIORI para o processo GRC Access Control