Upload
trandang
View
234
Download
2
Embed Size (px)
Citation preview
SAP Process Control, Risk Management und ORM:
Top 10 funktionale Herausforderungen und
Lösungsvorschläge aus der Praxis
Maxim Chuprunov, Riscomp GmbH
11. Juli 2014
St. Leon-Rot, SAP GRC Forum
Agenda
Einleitung
# 1: Postinstallation: initiale Bereinigung der Stammdaten
# 2: Upload der lokalen IKS Daten (SAP PC)
# 3: Feldbasierte Konfiguration
# 4: Operational Risk Management
# 5: Mehrdimensionale Berichte in SAP GRC
# 6: Sonstige Anpassungen der GRC Berichte
# 7: BW/BO Reporting, Einblick in die Aufwandstreiber
# 8: Email-Benachrichtigungen
# 9: Anpassungen der Benutzeroberfläche
# 10: CCM – Herausforderungen
11.07.2014 2
© Riscomp GmbH,
Einleitung: Referenzprojekte von Riscomp, PC mit PM, RM mit ORM.
11.07.2014 3
…bei diesen und weiteren Kunden haben wir Projektverantwortung im Rahmen der Einführung
von SAP Process Control, Policy Management und Risk Management einschliesslich Operational
Risk Management übernehmen dürfen.
© Riscomp GmbH,
Einleitung: Standard vs. Flexibilität
11.07.2014 4
Das Problem ist bekannt: es gibt Standardsoftware – aber keine Standardkunden!…
Es gibt diverse Wege, gewünschte Änderungen in SAP GRC einzubringen:
SAP Ideaplace, Customer Connection Program
Initiativen von GRC Implementierungspartnern, Wünsche zu „dringenden“ Anpassungen im Produkt zu konsolidieren und an
Solution Management zu adressieren.
Kundeneigene, projektspezifische Entwicklungen der Anwendung; diese haben wir inzwischen als Standarddienstleistungen
bündeln können:
GRC Enhancementprodukte Inhalte:
Simplified ORM (SAP RM) Vereinfachung des Verlustmanagementprozesses, - zusammenhängende Anpassungen im UI, Reporting, Workflows und Berechtigungen.
GRC UI Adjustments Benutzerfreundliche Gestaltung der Oberfläche erfordert das Re-Design der Launchpads, (konsistente und nachhaltige!...)
Umbenennungen von Feldern und Workflows, Verstecken von nicht relevanten Tabreitern, Anpassung von Adobe / OWP Forms etc.
Content Migration All das, was Standarduploadtools nicht leisten können! – lokale Kontrollen, Benutzerzuweisungen etc., - initial als auch im Rahmen
regelmässiger Updates.
Attribute-dependent Controls Attributabhängige Gestaltung von Kontrollen mit konsistenter Betrachtung der Trennung im Planner, Berichtswesen, Workflows, OWP
Forms etc.
Multi-dimensional Reporting Zusätzliche konfigurierbare Attribute für Organisationen mit passenden Searchhelp-Optionen und Berichten, Selektion der Werte in
Berichten nach neuen Attributen.
Das Ziel der nachfolgenden Präsentation ist, Details zu den gängigen Herausforderungen sowie Lösungsansätze
aufzuzeigen.
© Riscomp GmbH,
# 1: Initiale Bereinigung der Stammdaten
11.07.2014 5
Herausforderung:
Im Rahmen der Standard Postinstallationsaktivität „..Tabelleneinträge löschen“ werden nicht alle Einträge aus
Stammdatentabellen wie HRP1000, HRP1001 etc. entfernt.
Lösung:
Kommunikation mit SAP via OSS mit der Bitte, die übriggebliebenen
Daten zu bereinigen
Oder: Daten eigenständig bereinigen. Disclaimer: gute Kenntnisse des
Datenmodells, Einbeziehung eines ABAP experten sowie
selbstverständliche Einhaltung der Change Management & ABAP
Entwicklungsstandards sind erforderlich.
REPORT Z_DELETE.
DATA: LT_TABLE TYPE STANDARD TABLE OF HRP1002.
START-OF-SELECTION.
SELECT * FROM HRP1002 INTO TABLE LT_TABLE.
BREAK-POINT.
IF SY-SUBRC = 0.
DELETE HRP1002 FROM TABLE LT_TABLE.
IF SY-SUBRC = 0.
BREAK-POINT.
COMMIT WORK.
WRITE 'Die Einträge sind gelöscht'.
ELSE.
ROLLBACK WORK.
ENDIF.
ENDIF.
END-OF-SELECTION.
© Riscomp GmbH,
# 2: Upload der lokalen IKS Daten (SAP PC) – Herausforderungen
11.07.2014 6
Herausforderungen:
Standarduploadtools wie MDUG (Master Data Upload Generator) unterstützen das Hochladen lokaler IKS Daten
(einschliesslich der Zuweisung von Benutzern auf Objektebene) nicht.
Projektbeispiel: DHL mit über 40.000 Kontrollen – initiales Hochladen sowie laufende Massenaktualisierungen mittels
Templates wären nicht möglich.
Control
Subprocess
Process
Organization
Control
Subprocess
Process
Zentrale IKS – Daten / Framework
Upload mit Standardtools wie MDUG möglich.
Lokale IKS-Daten / Framework
Kein upload mit Standardtools möglich!
central
local
Localy created
control
…
link
no link
© Riscomp GmbH,
# 2: Upload der lokalen IKS Daten (SAP PC) – die Lösung
11.07.2014 7
Die Lösung:
Riscomp Upload Tool:
Upload in GRC erfolgt mittels eines angepassten / weiterentwickelten Programms GRPCB_UPLOAD pro Datenbanktabelle (siehe rechts; Angaben ohne Gewähr auf Vollständigkeit).
Der Schwerpunkt der Lösung liegt allerdings nicht im Z* code der Uploadroutine sondern im Tool, welcher die Aufbereitung der Uploadfiles auf Basis der vom Kunden zur Verfügung zu stellenden excel Templates ermöglicht.
Riscomp Konsolidierungstool:
Aufgrund der Komplexität des Datenmodells und der erforderlichen Gründlichkeit bei Datenqualitäts- und Konsistenzchecks muss eine initiale Aufbereitung der Daten pro Organisationseinheit erfolgen. Damit das Hochladen effizienter gestaltet werden kann werden einzelne Dateien anschliessend organisationsübergreifend konsolidiert.
Tabelle
HRP1000 Objects
HRP1001 Relations
HRP1002 Long Text Fields
HRP1852 Authorization
HRP5304 Control Attributes
HRP5305 Control Objective
HRP5310 Risk Relations
HRP5313 Organization Attributes
HRP5329 Subprocess Attributes
HRP5333 Regulation
HRP5337 Organization Sign Off Relevance
© Riscomp GmbH,
# 2: Upload der lokalen IKS Daten (SAP PC) – die Lösung
11.07.2014 8
Das Upload-Tool – Look & Feel.
© Riscomp GmbH,
# 2: Upload der lokalen IKS Daten (SAP PC) – die Lösung
11.07.2014 9
Das Upload-Tool – Look & Feel.
© Riscomp GmbH,
# 3: Feldbasierte Konfiguration
11.07.2014 10
Herausforderung:
Nicht alle relevanten Felder sind im IMG Pflegeview verfügbar (12 vorhanden; ca. 12 weitere fehlen) so dass z.B. nicht alle
Kontrollattribute als versteckt, obligatorisch oder lokal nicht pflegbar definiert werden können.
Die Lösung:
Die fehlenden Felder können mittels Anpassung des Clusters GRFNVC_FLD in das relevante IMG Pflegeview
hinzugefügt werden.
© Riscomp GmbH,
# 4: ORM - Herausforderungen
11.07.2014 11
Herausforderung:
Das ORM (Operational Risk Management) Add-On ermöglicht u.A. einen workflow-gestützten Verlustmanagementprozess
einschliesslich Reporting. Die Verlusterfassungsmaske sieht eine Vielzahl von Felder vor, um einen Verlust zu dokumentieren:
mind. 16 Datumsfelder, mehrere Betragsfelder, Verlustaufteilungsoptionen etc. Eine Vereinfachung kann u.U. erforderlich
sein (Beispiel aus der Praxis: der Kunde erfasst nur eingetretene Verluste, die Höhe ist bekannt. Nur 1 Betragsfeld ist im
Einsatz), nicht benötigte Felder & Tabreiter sind zu verstecken.
Reporting: Reduktion der verwendeten Betragsfelder erfordert u.U die Anpassung deren Logik.
Berechtigungen: im Standard kann ein Verlust von einem Benutzer erfasst werden, wenn dieser eine Rollenzuordnung auf der
Ebene Organisation / Corporate; Prozess-, Risiko-, oder Kontrollverantwortliche können keine Verluste erfassen.
Die Lösung:
Die o.g. Herausforderungen wurden durch WebDynpro und ABAP Ehancements gelöst.
Nach Gesprächen mit SolutionManagement besteht die Aussicht auf die Anpassung des SAP Standards (Berechtigungen).
© Riscomp GmbH,
# 4: ORM - Herausforderungen
11.07.2014 12
Beispiel: Standardoberfläche für die Verlustefassung (SAP GRC RM v.10, ORM)
© Riscomp GmbH,
# 5: Mehrdimensionale Berichte in GRC
11.07.2014 13
Herausforderung:
In der Praxis ist oft mehr als nur eine Sicht 1 auf Organisationsstrukturen erforderlich (Busines Line, Legal
View, Geographie, Teams etc.). Pflege mehrerer Org Hierarchien innerhalb einer GRC Komponente (in SAP
GRC standardmässig vorhanden) kann u.U. weniger effizient und mit einigen Nachteilen verbunden sein;
Berechtigungslogik gilt nur für eine – Defaulthierarchie. Pflege der Dimensionen als Organisationsattributen
wird von Kunden oft als Lösung explizit gefordert.
Die Lösung:
Was: Kundeneigene Felder mit konfigurierbare Attributen (z.B. Dropdown) werden in die Oberfläche der
Organisationseinheit eingefügt.
Wie: (für BW/BO siehe P #7) ABAP coding für Konfigurierbare Attribute; Standard – IMG Einstellungen können
benutzt werden, um Attributfelder als Selektionsmerkmal in Berichten verfügbar zu machen, aber: es gibt
Limitationen (Dashboards, Heatmap, - auch „neue“, ABAP – basierte), die zusätzliche Enhancements
erforderlich machen.
Sonderfälle: manchmal gibt es Bedarf an automatisch kalkulierten Attributwerten (z.B. „Scope A „oder
„Scope B“ Gesellschaft, - basierend auf der Art der zugewiesenen Kontrollen); hier wird mehr Entwicklung
benötigt.
© Riscomp GmbH,
# 5: Mehrdimensionale Berichte in GRC – Beispiel 1
11.07.2014 14
Beispiel: „Company“, „Site“ und „Team“ als konfigurierbare kundenspezifische Attribute in Organisationen:
© Riscomp GmbH,
# 5: Mehrdimensionale Berichte in GRC – Beispiel 2
11.07.2014 15
Beispiel: Kundeneigene Attribute „Site“ und „Company“ als Selektionskriterien in der neuen Heatmap:
© Riscomp GmbH,
# 6: Sonstige Anpassungen der GRC – Berichte
11.07.2014 16
Geringe bis mittlere Komplexität der Anpassungen:
IMG: Definition der Best Practice – Defaultfeldstruktur in Berichten; Umbenennung der Felder; das
Hinzufügen / Verstecken der Selektionskriterien (mit einigen Limitationen, z.B. Felder wie „Shared Service
Provider“ oder CDF je nach Konfiguration).
Launchpad + IMG: Umbenennung / Kopieren der Berichte.
Hohe Komplexität der Anpassungen + Enhancements:
Zu dieser Kategorie gehört Alles, was Anpassung von Walking Strategy in IMG betrifft – aufgrund der
Komplexität, erforderlichen Testaufwände und Risiken in der Anwendung generell. „Überraschungsgefahr“,
z.B. bei der Änderung der impliziten Hierarchie im Rep. „Risikokatalog“; Bericht wurde als hierarchisch
definiert, Risk Response hinzugefügt – Standard - Berechtugungslogik beeinträchtigt.
Enhancements (ABAP – Coding unter Einhaltung SAP - spezifischer CM & Dev. - Regeln):
- Selektionskriterien in UI – Umbenenndung in WebDynpro oder (nachhaltigere Lösung) Verlinkung zu
relevanten IMG Einstellungen (z.B. bei Workflow-Umbenennungen).
- Anpassungen in Search-Help Logik (z.B. „welche Prozesse werden angeboten“? Etc.)
- Anpassung der Logik in statistischen Berichten (Teststatus pro Organisation / Prozess).
- Bemerkung: SAP Hinweise für Berichte funktionieren nach SP Upgrades erfahrungsgemäss in den meisten
Fällen ohne Nacharbeiten, da in der Logik Standard-ABAP Klassen (GRC Reporting Engine) verwendet
werden.
© Riscomp GmbH,
# 7: BW / BO Reporting, Aufwandstreiber
11.07.2014 17
Gut zu wissen:
Generell: BW/BO Reporting ist eine wichtige Zusatzoption für Berichterstattung in GRC, welche
Dashboards, Trend-Analyse / Entwicklung im Zeitverlauf etc. ermöglicht. Es gibt Standard Content für
GRC in BW.
Begriffsklärung: „Standard Content“ bedeutet, dass Felder, welche in SAP GRC Standardberichten zu
finden sind theoretisch in SAP BW Extraktoren verfügbar wären. Um kundeneigene Berichte mittels BW
unter Verwending von BO Tools wie z.B. SAP BO Design Studio abbilden zu können würde man in BW
kundeneigene Queries bauen müssen (= Aufwand).
Limitationen: nicht alle SAP GRC Standarddaten sind in Extraktoren vorhanden, z.B. Zentrale Kataloge aus
SAP PC, Änderungsbelege etc.
Um neue Felder (SAP GRC Standard als auch CDF) hinzuzufügen muss man den Standard –
Enhancementproceduren in BW folgen. (= Aufwand).
Vorab prüfen (=Aufwand): Entwicklerrichtlinien fordern oft, den Standard-BusinessContent von GRC in
BW nur Kundennamensraum zu verwenden, wodurch Kopieren notwendig wird. Nicht nur Infoobjekte
sondern auch abhängige Elemente wie InfoPackages, Datentransferprozesse, Infoproviders,
Transformationen müssen in diesem Fall kopiert werden.
© Riscomp GmbH,
# 8a: Emailbenachrichtigungen, Erinnerungen, Eskalationen
11.07.2014 18
Herausforderungen:
Anpassungen von Email-Benachrichtigungen erfordern oft weit mehr als nur den Umgang mit IMG.
Lösungen:
Die Anpassung von Emailbenachrichtigungen (Betreffzeile als auch Emailinhalte) erfordert aus Beratersicht
einen IMG und ABAP - Workbench (Textelemente: Message Class, Dialogtexte, Textelemente von Standard
ABAP - Klassen) Aktivitäten. Manche Textelemente sind hartkodiert (siehe Beispiel).
Email Betreffzeile und Priorität: IMG.
Eliminierung von redundanten Hyperlinks im Emailtext (Abschnitt oben – Auflistung aller Aufgaben;
Abschnitt unten – Details zu jeder Aufgabe) erfordert Anpassungen im Coding.
Zusatzentwicklungen können aufgrund von Limitationen auch in folgenden Bereichen notwendig sein:
Reminder: nicht Alle Parameter (recipient, due date) von WorkItems sind in Policy oder Risk Management verfügbar.
Eskalation: Standard-Emailinhalte haben aus der Perspektive von Endanwender nicht genügend Details (Name der
Organisationseinheit, Bewertungszeitraum etc.)
© Riscomp GmbH,
# 8a: Emailbenachrichtigungen, Erinnerungen, Eskalationen – Beispiel.
11.07.2014 19
Beispiel: Standard – Emailbenachrichtigung in SAP Process Control
© Riscomp GmbH,
# 8a: Emailbenachrichtigungen, Erinnerungen, Eskalationen – Beispiel
11.07.2014 20
Beispiel: Zusammenhänge bei dem Email-Element „Übersicht“
© Riscomp GmbH,
# 8b: Fehlende Emailbenachrichtigungen
11.07.2014 21
Herausforderungen:
Bei manchen Workflow-gestützten Aufgaben sind im SAP Standard keine Emailbenachrichtigunngen vorgesehen,
z.B. keine Nachricht, wenn eine Richtlinie kommentiert wurde oder ein Ad-Hoc Risikovorschlag angenommen wurde.
Die Lösung:
Zusatzentwicklung in SAP GRC. Projektbeispiel: eine Tägliche Emailbenachrichtigung über alle Kommentare an einen
Richtlinieneigner (konfiguruerbar).
© Riscomp GmbH,
# 9: Anpassungen der Benutzeroberfläche
11.07.2014 22
Herausforderung:
Die Aufteilung der Funktionalität auf der Benutzeroberfläche, das Verstecken von nicht relevanten Tabreitern
/ Felder, Umbenennungen etc. - es gibt Vieles, was gemacht werden kann, um die Benutzerfreundlichekeit
der Standardoberfläche zu erhöhen.
Es gibt Inkonsistenzen bei der Umbenennung von Workflows (siehe Screenshots) etc.
Die Lösung:
Neue UI-Funktionen in GRC10.1 – Entry Page.
Launchpad – Gestaltung (LPD_CUST); Best Practice – Ansatz besteht in der Konsolidierung der relevanten
Funktionalität in Tabreitern wie My Home, Reporting, Administration. Wichtig: Launchpadinhalte werden
von Inhalten funktionaler Rollen (GRFN_API) beeinflusst.
Zu berücksichtigen ist, dass z.B. bei der Anpassung der Oberfläche von Kontrollen mittels WebDynpro
Enhancements es mehrere technische Sichten auf scheinbar das gleiche Objekt gibt (Stammdatesicht :
zentral sowie lokal; Workflows: offen sowie geschlossen etc.). Die Anpassung von OWP / Adobe Forms
erfolgt mittels Transaktion SFP (Experten involvieren!).
Die Grösse von Langtextfeldern in Kontrollen – SAP Hinweis 1869607 (Das feld „Beschreibung“).
© Riscomp GmbH,
# 9: Anpassungen der Benutzeroberfläche - Beispiel
11.07.2014 23
Beispiel: Workflows (z.B. Control Self Assessment, Control Design Assessment) können in IMG umbenannt
werden. Weitere zusammenhängende UI Elemente wie Checkboxen in Standardberichten oder Workflow –
Header sind allerdings hartkodiert, eine Workflow-Umbenennung ist somit im SAP Standard nicht konsistent.
Eine nachhaltige Lösung aus der Praxis: diese Elemente mittels Enhancements mit IMG verlinken.
© Riscomp GmbH,
# 10: CCM Herausforderungen
11.07.2014 24
Herausforderung:
Funktionale Herausforderungen (diese wären von Herausforderungen aus inhaltlicher Komplexität des
Datenmodells einzelner CCM – Szenarien abzugrenzen) wären z.B.
mangelnde Workflowkonsolidierung von Schwachstellen / Exceptions.
Einschränkungen bei der Verwendung komplexer statistischer Funktionen (Fuzzy Logic)
Anbindbarkeit von nicht-SAP Systemen;
PerformanceImpact auf Zielsystem bei grossen Datenmengen etc.
Die Lösung:
Weiterentwicklungen / Enhancements direkt in SAP GRC sind möglich, aber…
SAP HANA kann Antworten auf die meisten Herausforderungen liefern:
- Extensive Libraries (Fuzzy Logic vorhanden) von statistischen Funktionen
- Ergebnisse aus mehreren Systemen oder / und von mehreren Regeln können vorkonsolidiert werden,
um Redundante Exception-Workflows zu vermeiden.
- Kein signifikanter Performanceimpact aufgrund der Datenreplikation.
- Flexible Anbindungsmöglichkeiten für nicht – SAP Systeme etc.
© Riscomp GmbH,
# 10: CCM Herausforderungen – SAP HANA als Lösungsansatz
11.07.2014 25
Views aus HANA Studio können im
CCM Framework von SAP GRC
v.10.1 verwendet werden.
SAP ERP
SLT Replication server
Views
Data source
Rule Control
SAP HANA
SAP GRC PC
Non - SAP
Bei beiden Ansätzen – GRC mit HANA (= sidecar)
oder GRC auf HANA (= integrated stack) – kann
SAP GRC von zahlreichen SAP HANA – Vorteilen
profitieren.