SAP Inside Track - Belo Horizonte

PUBLIC
April 7, 2018
Concessão de acessos SAP como um
serviço self-service para usuários das áreas de negócio.

2PUBLIC© 2018 SAP SE or an SAP affiliate company. All rights reserved. ǀ
Nessa apresentação abordarei como a ferramenta GRC SAP Access Control 10.1 pode
acelerar o provisionamento de acesso nos ambientes SAP. Como transformar o processo
de concessão de roles SAP em um serviço self-service, disponível para usuários das
áreas de negócio, de forma automática, garantindo a segurança dos acessos e sem a
necessidade de gerar chamados de serviços para a área de TI da companhia. De que
forma o GRC-AC pode ter seus workflows MSMP desenhados para oferecer flexibilidade
de se adequar às regras de negócio através de regras criadas com BRF+. Mostrarei
como a Matriz de Riscos SoD e Controle pode ser usada para proteger o negócio de
riscos de acesso. Abordarei também recursos de frontend NWBC e SAP Fiori para
melhorias em UX (User eXperience) e mobilidade.
Abstract

1. O que é SAP Access Control e como funciona?
2. Premissas necessárias para o SAP Access Control
3. Matriz de Risco de Segregação de Função (SoD – Segregation of Duties)
4. Revisão de perfis de acesso e Business Roles
5. Business Rule Framework Plus (BRF+) e Workflows MSMP
6. O papel do SAP Fiori na melhoria da UX com UI5 (HTML5)
7. Case de negócio: Concessão de acesso de forma self-service no GRC-AC
8. Contatos
Table of Contents

O SAP Access Control é a solução SAP para gerenciar acessos trazendo conformidade e prevenção de
riscos para os processos de concessão e administração de autorizações em ambientes SAP e não-SAP

Governança
de Acesso
Análise de Risco
Procura e remedia
violações críticas e de
Segregação de Funções
Acesso de usuário
Automatiza a administração
de acesso para aplicações
da empresa
Gerencia Funções
Define e gerencia funções
nos termos do negócio
Monitora privilégios
Monitora o acesso
emergencial e o uso das
transações.
Certifica autorizações
Garante que as
atribuições de acesso são
realmente necessárias

Uma vez conectado aos ambientes o SAP Access Control se torna uma central de administração de
acessos e permissões de usuários. A solução garante conformidade com a SOX para tratamento e
monitoramento de Riscos de Segregação de Função (SoD), gerencia processos periódicos de
Compliance (como revisões de risco e revisões de acessos de usuários), gerencia o conteúdo das
funções SAP (“roles”) e automatiza o acesso emergencial (Firefighter). Tudo isso mantendo todos os
registros e logs para atender os processos de auditoria e controles internos.
03
ARA
EAM
BRM
Análise de Risco, Matriz de Riscos SoD, Revisão
de Riscos, Aplicação de Controles Mitigatórios
Acesso Emergencial
(Firefighter)
Gerenciamento de funções
de autorização (Roles)
ARM
Solicitações de Acesso, Revisão de acesso,
Reports e Dashboards, Workflows MSMP
Access
Lifecycle

2. Premissas necessárias para o SAP Access Control
Para que consigamos sucesso na implementação do SAP Access Control, são necessários os cuidados:
1. Identificar os processos que serão atendidos: executar um mapeamento AS-IS / TO-BE
2. Identificar as pessoas de interesse das áreas de negócio que deverão ser envolvidas, e garantir que
essas pessoas estejam alinhadas e façam parte da equipe que fará treinamento, testes e validações
3. Mapear adequadamente os papeis e responsabilidades: uso de RACI Matrix

A Matriz de Risco deve ser elaborada
através de um mapeamento de
atividades junto às áreas de negócio.
Essas atividades devem estar
dispostas de forma visual, para facilitar
o entendimento e envolvimento dos
usuários de negócio. Os usuários
chaves escolhidos deverão indicar os
riscos que podem afetar (ou afetam) o
seu processo de negócio.
Uma vez criada, caberá identificar os
riscos, os respectivos processos de
negócio impactados por eles, a
descrição de seus impactos, os
responsáveis pelos riscos e os
objetivos que um controle deve atingir
para que esse risco esteja mitigado em
acordo com as políticas da empresa.

Identificar ou
aprovar
conflitos
Classificar
Riscos: Alto,
Médio, Baixo,
etc
Identificar
novos riscos e
condições para
monitoramento
futuro
Referência de
regras de melhores
práticas no
ambiente
Regras validadas
Regra e testes
customizados
Verificação em
relação a usuários
de teste e funções
(roles)
Rodar análise
analítica
Mensurar esforço
de limpeza
Analisar funções
(roles)
Analisar usuários
Modificar regras
conforme análise
Ajustar alertas para
distinguir risco
executado para
risco existente
Determinar
alternativas para
eliminação de
acessos
Apresentar análise
de risco e escolher
ações corretivas
Documentar
aprovação para
ações corretivas
Modificar/criar
atribuições para
funções ou
usuários
Desenhar controles
alternativos para
mitigar os riscos
Educar gestores
sobre
gerenciamento em
conflitos de
aprovação e
monitoramento
Documentar o
processo para
monitorar controle
mitigatório
Implementar
controles
Comunicar
mudanças em
atribuições de
funções (roles) e
usuários
Simular mudanças
em funções (roles)
e usuários
Implementar
Alertas para
monitorar por
novos riscos
selecionados e
testes de controle
mitigatório.
O processo de criação dos Riscos no SAP Access Control segue as etapas abaixo:
Reconhecimento
do Risco
Análise
Construção
da Regra Remediação Mitigação
Compliance
Contínuo

Após criar o risco, ele vai se ligar: à Matriz SoD, a um processo de negócio, e às transações e objetos
de autorização através das funções (functions) do SAP Access Control:

No processo de catalogação dos riscos devemos ter atenção às duas descrições: a descrição
detalhada e a descrição resumida. Dessa forma, ao utilizar o GRC de forma self-service, os usuários de
negócio irão conseguir compreender do que se trata o problema (risco) e aplicar os controles ou
proceder com as remediações, com menos necessidade de suporte ou treinamentos adicionais.

Com a interface Fiori, é possível
disponibilizar aos usuários essa informação
clara sobre os riscos em uma solicitação de
acesso do GRC. De forma que o usuário
possa agir proativamente na remediação e
mitigação dos riscos de segregação de
função.
Para o SAP GRC 10.1 e 12 o Fiori
acompanha a solução. Bem como algumas
aplicações standard.

4. Revisão de Perfis de Acesso e Business Roles?
Business Role é a função de negócio, criada e gerenciada pelo GRC, para tornar mais simples a forma
como o usuário final identifica os acessos que ele necessita para executar suas atividades na empresa.
Em vez de precisar solicitar funções individuais (Single roles) em cada um dos sistemas, o que tornaria
o processo complexo, do ponto de vista do negócio, o usuário precisa solicitar apenas um único acesso
na solicitação.

As funções técnicas que compõe a Business Role precisam estar otimizadas para essa estratégia de
implementação e assim tenhamos o máximo aproveitamento dessa estrutura.
Uma forma de facilitar a implementação de Business Roles é possuir roles simples ou compostas que
representem uma única atividade (com os objetos de autorização parametrizados de forma adequada a
essa atividade) ou um papel de negócio que reflita a função do usuário.
Dessa forma, garantimos eficiência operacional que resulta em diminuição de custos, e os ambientes
ficam prontos para atendimentos das iniciativas de Compliance.
Eficiência operacional Gerenciamento de Risco
Satisfação do usuário final
Melhora da experiência do usuário
 Terminologia amigável
 Solicitação de acesso com uma única
função
 Apenas uma aprovação é necessária
Economia de tempo e dinheiro
 Múltiplos Sistemas (ECC, BW,etc)
 Múltiplos Landscapes
 Redução de tempo e recursos
necessários para solicitar e
provisionar acessos
 Prepara para automação de
atribuição de acesso
Iniciativas de Compliance
 Gerenciamento de Risco SoD e
mitigação com controles em nível de
função
 Eliminação da solicitações de “Cópia
de Usuário” ou “Cópia de Acessos”
 Padronização dos acessos por
posição ou função.

Através do SAP Access Control,
por meio dos jobs de sincronismo e
relatórios de utilização, podemos
criar Business Roles baseadas em
posição ou função, levando em
consideração os acessos que os
usuários já possuem e realmente
utilizam nos ambientes.
Dessa forma, conseguimos
implementar Business Roles que
atendem cada posição ou função
na empresa.
Em seguida, essas Business Roles
são comparadas à Matriz de Risco,
e adequadamente tratadas.
Após o tratamento de riscos, essas
Business Roles ficam disponíveis
para serem solicitadas.
Usuários
Atribuição
de Acesso
Utilização
pelos
Usuários
Dados de RH
ou da base
de usuários
Roles
atribuídas
nos Sistemas
Informações
de utilização
das roles por
usuário
Análise das
roles por
Regras de
Risco SoD

Experiência e
conhecimento das
áreas de negócio
sobre suas
atividades
Conhecimento dos
gestores de
negócios e
documentação das
atividades
Requisitos e
regras de
gerenciamento e
conformidade de
riscos (ex.: SoD)
Ajustes Top-Down ao
desenho da Business
Role conforme
entendido pela área
de negócio
Bottom-Up da
proposta do desenho
da Business Role
Uso do BRM para
gestão das Business
Roles. Verificação das
reais necessidades
dos usuários
Coleta e análise
das informações
de utilização dos
usuários nos
sistemas
Captura das
informações
organizacionais e de
posição ou função
dos usuários
Desenho da Business Role

No SAP Access Control, as
regras BRFplus são utilizadas
para criar regras que
obedecem tabelas de
decisão, verificar condições
em Solicitações de Acesso,
indicar aprovadores, etc.
Essas regras facilitam a
manutenção dos fluxos pois
retira do hard code as
condições de negócio que
podem mudar com o tempo,
deixando-as a parte. Dessa
forma, conforme mudam
algumas políticas,
rapidamente é possível
responder a essas mudanças
ajustando as regras pelo
Framework.

Para atender o fluxo MSMP, e
podem ser criadas regras BRF+
que fazem com que o fluxo seja
mais inteligente, exijam
aprovação de cada aprovador
apenas uma única vez, mesmo
que esse aprovador exerça
mais de um papel no fluxo.
Além disso, a regra também
pode ser otimizada para obter o
provisionamento no final de
cada caminho do fluxo. Por isso
houve a necessidade da criação
de uma tabela de decisão que
redireciona cada role para o
caminho de seu subprocesso.
Logo, os usuários recebem os
acessos à medida que as
aprovações são feitas.

Desenvolvida com foco em melhorar a User eXperience, o SAP Fiori trouxe a flexibilização que faltava
ao GRC com uma nova interface, funcionalidades organizadas e aplicativos mais simples e completos
tornam ainda mais simples a interação do usuário de negócio com a ferramenta. Com uma arquitetura
intuitiva, o Fiori melhora a percepção dos usuários sobre os processos que envolvem acessos e riscos
e dispensam, em muitos casos, treinamentos demorados e caros.
Highlights de pontos a serem observados na criação das telas Fiori:
• As informações em tela devem ser sempre relevantes para a tomada de decisão dos aprovadores
• Para solicitação de acesso, uma estratégia que se mostrou eficiente foi a de criar uma UX
semelhante ao de um App de compras, mais familiar aos olhos dos usuários de negócio
• Com interface mais intuitiva, os usuários tiveram menos dificuldade no uso, diminuindo custos de
treinamento e o número de chamados de suporte
• As aplicações funcionam em qualquer tamanho de tela, se adequando automaticamente conforme a
necessidade
• Com uma Matriz de Risco SoD revisada, os riscos fazem sentido para o usuário
• O Fiori possibilita trazer ao GRC funcionalidades extras que simplificam o processo de tratamento da
segregação de riscos de acesso (SoD)

Case: Magnesita S/A
O grupo das
aplicações se
dividiu entre o
processo de
concessão de
acesso (ARM) e o
de revisão de
acesso de usuários
(UAR). Para a
concessão de
acesso, foram
criadas três
aplicações e uma
aplicação foi criada
para a revisão de
acesso de
usuários.
Para os Key Users,
solicitantes das
áreas de negócio,
o app “Request
Access” foi criado
como um app de
compras. Neste
app, o usuário
pode pesquisar e
aplicar filtros pelas
características
mais usadas pelas
áreas para
identificar os
acessos que
necessitam.

Case: Magnesita S/A
Campos de busca
obrigatórios servem de
orientação para o usuário
sobre aquilo que é
fundamental para realizar
uma busca precisa. Ainda
existe a possibilidade de
combinar critérios de
busca como códigos de
transações, nomes de
funções e objetos de
nível organizacional.

Case: Magnesita S/A
O usuário solicitante informa
para quem será solicitado o
acesso, quem é o gestor
responsável pelo usuário*,
para qual empresa, o
landscape, a transação ou
nome da função (aqui os
solicitantes podem combinar
valores de transação com
objetos organizacionais:
plantas, empresas, tipo de
documento, etc) e fazer a
busca.
O valor retornado pode ser
filtrado. Após selecionada a
função desejada, basta
adicionar ao shopping cart e
seguir para a tela final.

Case: Magnesita S/A
Na tela final de solicitação, o
Key User deve informar o
motivo da solicitação, pode
alterar a data de validade para o
acesso e, caso esteja tudo
certo, fazer o envio.
Essa solicitação, uma vez
criada, seguirá pelo fluxo MSMP
do SAP Access Control 10.x
para os aprovadores. Nesse
ponto a análise de risco será
gerada automaticamente e será
gerado um número de
solicitação no GRC. O usuário
também será notificado por e-
mail.

Case: Magnesita S/A
A aplicação “Verify Access
Request Status” mostra, em
tempo real, em que etapa de
aprovação está a solicitação
aberta pelo usuário. Dessa
forma o solicitante sabe
exatamente com qual
aprovador está sua
solicitação de acesso, além
das informações de contato
desse aprovador.
Dessa forma o solicitante e
o aprovador podem
estabelecer contato direto,
sem necessidade de
envolvimento da TI.

Case: Magnesita S/A

Case: Magnesita S/A
Após criada a solicitação, o
usuário aprovador recebe um
e-mail avisando a ele da
necessidade de aprovar os
acessos. No corpo do e-mail
vão os links com manuais
passo-a-passo para proceder
com as aprovações, bem
como o link para acesso ao
SAP Fiori.

Case: Magnesita S/A

Case: Magnesita S/A
Após re-execução da análise
de risco, uma vez tratados ou
aplicado o controle, o report
retorna vazio. O que significa
que nenhum risco falta ser
tratado.

7. Processo de concessão de acesso de forma self-service no GRC-AC
Case:

Processo de concessão de acesso, SAP ACCESS GRANT, na Magnesita S/A, em 2016/2017:

Processo de concessão de acesso, SAP ACCESS GRANT, na Magnesita S/A, em 2016/2017:
Processo executado com muitas etapas manuais
1. Provisionamento manual ao final do processo (Help Desk altera acessos de usuários nos backends
SAP Produtivos, via SU01)
2. GRC Access Control com Matriz de Riscos com 306 riscos standard – riscos cadastrados sem
participação das áreas de negócio.
3. Muitas trocas de e-mails entre Help Desk da TI, responsáveis do negócio e Key Users
4. Aprovadores não tinham total clareza naquilo que estavam aprovando/rejeitando.
5. Média de 10.000 tickets por ano para concessão de acesso SAP.
6. Tempo médio de atendimento do chamado de concessão de acesso de cerca de 11 dias.
7. Opção pelo não uso dos workflows automatizados do GRC: Interface não é amigável.
Key-User
request
access on
ITSM
Requestor
Immediate
Manager
Approval
Access
Released
NO
YES YES
Transacti
ons is
critical?
IT checks
approval
and start
attendance
IT creates a
task to R&CO
team to
generate risks
IT sent Risks
for manager
analysis and
approval
Risk
Manager
approval
IT sent emails
asking for Role
owner analysis
and approval
Role
Owner
Approval
NO
77:48 h
164:49 h 262:44 h
Transaction
is critical?
Transaction
generate
SoD risk?

368
Tickets abertos
por mês em
média
68% das solicitações
precisam de transações
críticas aprovadas pela área
de negócio.
23% geram riscos SoD que são
avaliados pela área de negócio.
55%*
das solicitações são
abertas de forma
self-service, SEM
participação da TI
em nenhum step
Com Business Roles bem estruturadas, um processo otimizado e bem definido, com riscos de
segregação aderentes e revisados, bem como a construção de uma interface intuitiva e amigável, o
SAP Access Control ficou disponível para usuários das áreas de negócio solicitarem acesso e
aprovarem solicitações. E também executar processos periódicos de conformidade e controle evitando
os gargalos que podem surgir quando os processos passam por TI.
Resultados
Após 6 meses*
* No mês de novembro/2017 a RHI e a Magnesita se fundiram em uma única empresa, o que gerou um aumento no número de solicitações para atender a fusão.

8. Contatos
SAP HCM – e-Social – BI&BigData – GRC
contato@atsnetsolucoes.com.br
+55 (21) 3173-6446
atsnetsolucoes.com
e-Social – Ergonomia – GRC (EHS&M)
Paula Vasconcelos
contato@fisioergon.com.br
+55 (31) 3565-7045
+55 (31) 98358-4870
fisioergon.com.br
Glaucio Coutinho
Especialista em Governança, Risco e Compliance
glauciocoutinho@outlook.com
+55 (31) 99993-8246
+55 (21) 98452-8246
skype: glauciocoutinho
Linkedin: linkedin.com/in/glauciocoutinho
?

SAP Inside Track - Belo Horizonte

Mais conteúdo relacionado

Mais procurados

Semelhante a SAP Inside Track - Belo Horizonte

SAP Inside Track - Belo Horizonte