security & compliance in sap: un approccio alla ... · l'acronimo sap significa...
TRANSCRIPT
Security & Compliance in SAP: un approccio
alla segregazione dei compiti
MANFREDI PASSALACQUA
KPMG ADVISORY - MANAGER
This presentation is made by KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a Swiss entity, and is in all respects subject to the negotiation, agreement, and signing of a specific engagement letter or contract.
1. Introduzione
2. Metodologia e Strumenti
3. Approccio Best Practice:
3.1 AS-IS dei Processi Business
3.2 Definizione Matrice SoD
3.3 Disegno, Rilascio e Supporto del Modello Autorizzativo SAP
4. Deliverable
Indice:
2 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Introduzione
L’attenzione sul tema della Segregazione dei Compiti è fortemente cresciuto spinto dalla necessità di adeguamento a
leggi quali:
■ D. Lgs. 231/01 - Corporate Governance Italiana: “Responsabilità amministrativa delle persone giuridiche, società
e delle associazioni anche prive di personalità giuridica” Disposizione per prevenire i reati commessi all’interno della
propria organizzazione nei rapporti con la pubblica amministrazione e con i privati; una particolare rilevanza è data
alla prevenzione dei reati informatici;
■ L. 262/05 - Tutela del Risparmio: Disposizioni a cui devono ottemperare le società quotate per la tutela del
risparmio e la disciplina dei mercati finanziari;
■ D. Lgs. 196 del 30/06/2003 - Privacy: Normative in materia di protezione dei dati personali e sensibili;
■ requisiti richiesti da Enti/Funzioni di controllo o da altre leggi nazionali o internazionali (Banca d’Italia, ISVAP, US
SEC, SOX…) e prassi di governance che richiedono il rafforzamento del Sistema di Controllo Interno con
l’obiettivo di salvaguardare la correttezza e la trasparenza nella gestione delle aziende.
3 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Introduzione
Impatti sul Sistema Informativo SAP
L’adempimento di queste normative determina la necessità di attivare controlli che riducano la probabilità di presenza
di dati non affidabili e/o incompleti o la perdita di informazioni rilevanti, anche solo accidentale, attraverso:
■ L’individuazione delle potenziali aree a rischio e rilevazione dei processi IT e Business che potrebbero
compromettere l’esattezza e veridicità del dato.
■ Lo sviluppo di controlli sui privilegi di accesso che, essendo integrati nella configurazione di SAP,
diventano automatici e non più quindi affidati unicamente al controllo umano.
La crescita e la complessità delle applicazioni informatiche a supporto delle operatività business richiede di
considerare la necessità di soluzioni automatizzate tali da rendere la review, il monitoring ed il mantenimento dei
controlli applicativi più efficienti ed efficaci.
In particolare, le specificità sul tema della Segregazione dei Compiti richiedono l’adozione di solide strategie di
controllo e monitoraggio attraverso l’utilizzo di strumenti in grado di svolgere analisi di dettaglio e attività di controllo
automatico oltre che l’adozione di adeguati processi relativi al “User Life Cycle”, “Authorization Management” e di
gestione e mantenimento dei Rischi di Accesso (SoD).
ERP (SAP)
Overview
5 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
ERP
Financial Management
Supplay Chain
Management
Manufacturing Resource Planning
Human Resource
Management
Customer Relationship Management
Enterprise Resource Planning (letteralmente "pianificazione delle risorse d'impresa", spesso
abbreviato in ERP) è un sistema di gestione, chiamato in informatica sistema informativo,
che integra tutti i processi di business rilevanti di un'azienda (vendite, acquisti, gestione
magazzino, contabilità etc.) , connessi tra loro.
Enterprise Resource Planning
6 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
ERP
Enterprise Resource Planning (letteralmente "pianificazione delle risorse d'impresa", spesso
abbreviato in ERP) è un sistema di gestione, chiamato in informatica sistema informativo,
che integra tutti i processi di business rilevanti di un'azienda (vendite, acquisti, gestione
magazzino, contabilità etc.) , connessi tra loro.
Enterprise Resource Planning: le soluzioni di mercato
Il mercato propone numerose soluzioni ERP, molte sono rivolte a
piccole realtà produttive o di servizio con esigenze spesso minime
per le quali i ‘piccoli’ produttori locali propongono soluzioni
soddisfacenti i requisiti richiesti.
Viceversa, per le realtà più strutturate le soluzioni ERP presenti sul
mercato in grado di soddisfare i maggiori requisiti sono
principalmente 5:
5% MS; 1,1B$
6% MS; 1,5B$
6% MS; 1,5B$
13% MS; 3,1B$
25% MS; 6,1B$
http://www.forbes.com/sites/louiscolumbus/2013/05/12/2013-erp-market-share-update-sap-solidifies-market-leadership/
7 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
SAP AG è una multinazionale europea per la produzione di
software. È una delle principali aziende al mondo nel settore degli
ERP e in generale nelle soluzioni Enterprise.
Enterprise Resource Planning: SAP
L'acronimo SAP significa "Systeme, Anwendungen, Produkte in der Datenverarbeitung".
Curiosamente la leggibilità dell'acronimo è possibile in altre due lingue: quella inglese in quanto corrisponde a
"Systems, Applications and Products in data processing" e italiana "Sistemi, Applicazioni e Prodotti
nell'elaborazione dati".
Nata nel 1972, la società si è velocemente sviluppata costituendo in tutto il mondo filiali amministrative,
operative e laboratori per la ricerca e lo sviluppo. La sede storica è a Walldorf, in Germania. Nel 1980 la SAP
ha creato il linguaggio di programmazione proprietario ABAP, con cui sono stati scritti quasi tutti i suoi prodotti.
SAP in cifre
Nel 2012 SAP conta nel mondo un organico di oltre 59.000 persone, di queste circa 560 persone in Italia. Oltre
195.000 aziende, in più di 120 paesi possiedono installazioni di software SAP, di queste 3.500 in Italia. Il 65%
delle installazioni riguardano la sfera delle piccole e medie aziende.
8 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Enterprise Resource Planning: SAP R3
l'ERP per piattaforma client-server R/3
Con oltre 120.000 transazioni e 80.000 tabelle, il prodotto R/3,
oggi commercializzato con la sigla ECC, integra i differenti
Processi di Business in una struttura modulare.
9 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Enterprise Resource Planning: SAP R3 – BC (Basis Component)
Il modulo BC permette la configurazione e la gestione delle attività
di implementazione e manutenzione del sistema oltre a numerose
interazioni tra gli utenti e i dati.
Nel modulo BC e, più precisamente, nel sottomodulo SEC sono classificate le
funzioni del sistema per la gestione della sicurezza dei dati e della
configurazione.
E' qui che avviene la Segregazione dei Compiti e l'applicazioni delle soluzioni
di Governance del Modello Autorizzativo SAP.
10 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Dal know-how acquisito in ambienti SAP complessi e dall’esperienza maturata in molteplici attività progettuali, KPMG ha sviluppato,
verificato e mantenuto una matrice di riferimento per l’analisi, la valutazione e la predisposizione di un Modello Autorizzativo SAP nel
rispetto delle più rilevanti regole di Segregation of Duties (SoD) e considerando gli standard autorizzativi specifici di SAP.
La matrice Business di KPMG per SAP utilizzata nella conduzione delle analisi prevede:
■ 10 Processi Business:
– Finance;
– Materials Management;
– Order to Cash;
– Procure to Pay;
– Hire to Retire;
– Logistics and Execution;
– Plant Management;
– Production Planning;
– Quality Management;
– Warehouse Management.
■ 140 Funzioni Business.
■ 950 Transazioni SAP Standard, analizzate
tramite 4.500 oggetti autorizzativi.
■ 50.000 Rischi potenziali.
■ Differenti Livelli di Rischio SOD (Alti, Medi, Bassi).
La matrice IT di KPMG per SAP prevede:
■ 2 Processi IT:
– Access to Program & Data;
– Program Changes.
■ 120 Transazioni IT Standard.
Business Process 3 Business Process 2 Business Process 1
BUSINESS
FUNCTION 1-1
BUSINESS
FUNCTION 1-2
BUSINESS
FUNCTION 1-3
BUSINESS
FUNCTION 2-1
BUSINESS
FUNCTION 2-2
BUSINESS
FUNCTION 3-1
BUSINESS
FUNCTION 3-2
BUSINESS
FUNCTION 3-3 Medium Risk
Lo
w R
isk
High Risk
Hig
h R
isk
Critical Risk
Critical Risk
High Risk
High Risk
Critical Risk
Medium Risk
Critical Risk
Metodologia e Strumenti
SAP SoD and Critical Access Analysis
11 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Esistono tool a supporto dell'attività di analisi SOD e Critical Access. Per effettuare le attività proposte KPMG utilizza un apposito tool sviluppato
internamente denominato “K-SoD“
K-SOD” è uno strumento di analisi utilizzato per verificare, monitorare e governare la “Segregazione delle Autorizzazioni” (Segregation of Duties) negli
ambienti SAP.
Lo strumento sviluppato da KPMG è basato su Microsoft Access e viene utilizzato dai Team di Sicurezza IT o Compliance per automatizzare:
■ la rilevazione dei reali conflitti SoD per utenti;
■ la rilevazione dei reali conflitti SoD per ruoli;
■ la rilevazione ed il monitoraggio di transazioni business ed IT considerate critiche per utenti.
Nell’ambito del sistema di controllo interno relativo alla conformità a normative o policies interne quali la 262 e 231, K-SOD può essere utilizzato come
strumento di analisi durante le valutazioni dei rischi al fine di rilevare lo status della conformità e/o l’avanzamento delle attività di adeguamento alla
conformità.
SAP Desktop Laptop
Export delle informazioni:
■ Automatico
■ Manuale
■ K-SOD utilizza esclusivamente le informazioni necessarie per l’esecuzione dell’analisi degli accessi (SoD e Critical Access).
■ È un tool autonomo, cioè non impatta sull’operatività di business del cliente e non incide sulle prestazioni di sistema.
■ Possiede un elevato numero di reportistica standard ed è semplice creare della documentazione personalizzata per soddisfare le esigenze del cliente.
■ Non richiede l’installazione di programmi o funzionalità specifiche in SAP.
Metodologia e Strumenti
SAP Authorizations Analyzer Tool
Risultati
in excel Trend
SoD Matrix (Risk Rules)
12 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
1 Esecuzione delle Analisi degli
accessi (SoD e CA).
2 Test e Finalizzazione della Matrice
di Segregation of Duties.
3 Identificazione dei Controlli
Compensativi SoD.
4 Definizione delle procedure di
gestione della Matrice SoD e di
controllo dei relativi rischi.
■ Risultati delle Analisi degli accessi
(SoD e CA) ed integrazione delle
informazioni relative al “transato
reale”
■ Definizione delle Matrice SoD
■ Road Map relativo all’adozione del
Nuovo Modello Autorizzativo SAP”.
■ Disegno dei Controlli Compensativi.
■ Processi e procedure di gestione e
controllo dei Rischi SoD e della
relativa Matrice di Controllo degli
Accessi SAP.
Macro attività 2
Matrice di Segregation of Duties
1 Identificazione e mappatura dei
processi, sotto processi e delle
funzionalità SAP rispetto alla
struttura organizzativa.
2 Identificazione e mappatura delle
Figure Professionali SAP.
3 Integrazione tra i sotto processi SAP
e le Figure Professionali SAP in
base al “transato” reale.
■ Matrice degli Accessi SAP.
■ Mappatura AS-IS dei Processi e
relativa distribuzione
nell’organizzazione.
■ Mappatura AS-IS delle Figure
Professionali SAP.
■ Risultati della comparazione tra i
sotto processi business e le attività
svolte.
■ Presentazione delle Best Practice.
Macro attività 1
AS-IS dei Processi Business & Best
Practice SoD
Di seguito è descritto l’approccio per il disegno e l'implementazione del modello autorizzativo che prevede tre macro
attività:
Metodologia di Lavoro
Approccio al disegno e implementazione del modello autorizzativo
Fa
si
De
live
rab
les
Macro attività 3
Disegno, Rilascio e Supporto del
nuovo Modello Autorizzativo
1 Disegno del Modello Autorizzativo
SAP
2 Test e Rilascio
3 Supporto Go Live e Post Go Live
■ Disegno funzionale del Nuovo
Modello Autorizzativo SAP;
■ Piano di Testing ;
■ Piano di Rilascio in ambiente di
produzione.
■ Documento di Issue log (per Unit
Test e User Acceptance Test);
■ Revisione del documento del Nuovo
Modello Autorizzativo;
■ Piano di “hand over”.
13 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
In tale fase si procede alla comprensione iniziale delle caratteristiche del business, dell’organizzazione e dall’analisi delle funzionalità di accesso SAP.
In particolare sono acquisite le informazioni e svolte analisi in merito a:
■ Analisi della struttura organizzativa business.
■ Rilevazione ed analisi della struttura organizzativa tecnicamente implementata in SAP.
■ Mappatura dei processi, sotto processi e funzionalità (transazioni) di business ed IT presenti in SAP:
– analizzare le transazioni “custom”, individuando quelle relative alle funzionalità Business e IT, distinguendo tra quelle di gestione (creazione,
modifica, cancellazione, approvazione,…) e di visualizzazione o reporting;
– integrazione delle transazioni custom nella mappatura dei processi AS-IS e verifica circa la corretta attribuzione. Ogni transazione custom, ritenuta
rilevante ai fini della mappatura sarà quindi tecnicamente analizzata al fine di verificare la presenza di controlli autorizzativi automatici.
Metodologia di Lavoro
AS-IS dei Processi Business
Fase 1.1
Identificazione e
mappatura
Fase 1.2
Figure
Professionali SAP
Fase 1.3
Integrazione AS-IS dei Processi Business
& Best Practice SoD
• Insieme di attività per lo svolgimento di operazioni riconducibili ad uno o più
processi aziendali
• Insieme di attività integrate, svolte all'interno dell'azienda, che creano valore
trasformando delle risorse in un prodotto o in un servizio, destinato ad un
soggetto interno o esterno all'azienda
• In SAP rappresentano il dettaglio delle modalità operative e tecniche riferite ad
un sotto processo per lo svolgimento o l’esecuzione di specifiche funzionalità di
business o IT
• In SAP rappresentano i differenti livelli organizzativi e/o documentali su cui è
possibile definire, implementare e valutare un appropriato livello di segregazione
degli accessi
Analisi dei Processi: Matrice degli Accessi SAP per Processo ed Organizzazione
Processi
Sotto Processi
(funzioni SAP)
Transazioni
Elementi
Organizzativi Elementi
Documentali
Fase 1.1 – Identificazione e
Mappatura dei processi Business
14 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
In tale fase si procede all’identificazione delle Figure Professionali SAP. In particolare, si procede ad acquisire informazioni e svolgere
analisi in merito a:
■ Identificazione ed attribuzione ad ogni utenza SAP, sulla base dell’analisi dell’organigramma aziendale, di una mansione
organizzativa considerando anche i livelli funzionali (es: Responsabile, Coordinatore, Staff). Per “utente SAP” si intende ogni anagrafica
utente attiva nel sistema di produzione SAP assegnata sia a collaboratori interni (dipendenti) sia a collaboratori esterni (terze parti).
■ Suddivisione delle utenze SAP distinguendo quelle che svolgono funzioni e attività di Business da quelle che svolgono attività di
supporto funzionale (IT, SAP Application Maintenance,...).
Amministrazione, Finanza e Controllo
Ente Bilancio
Responsabile 2 Utenti SAP
Staff 8 Utenti SAP
Ufficio Pagamenti
Responsabile 1 Utente SAP
Staff 7 Utenti SAP
Contabilità
Generale
Responsabile 2 Utenti SAP
Coordinatore 4 Utenti SAP
Staff 12 Utenti SAP
Dipartimento
Organizzativo
Unità
Organizzativa
Figure Professionali
SAP
Utenti
SAP
Metodologia di Lavoro
AS-IS dei Processi Business
Fase 1.1
Identificazione e
mappatura
Fase 1.2
Figure
Professionali SAP
Fase 1.3
Integrazione AS-IS dei Processi Business
& Best Practice SoD
Fase 1.2 – Figure
Professionali SAP
15 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Questa fase prevede l’attività di integrazione tra i risultati della mappatura dei processi e
sotto processi (fase 1) e le figure professionali SAP (fase 2), anche attraverso l’analisi e
l’integrazione delle informazioni sul “transato” reale SAP.
Tale obiettivo sarà raggiunto tramite lo svolgimento delle seguenti attività:
■ integrazione delle informazioni delle statistiche di utilizzo per ogni utente;
■ attribuzione di ogni singola transazione nella matrice Processi, Sotto Processi,
Transazioni;
■ attribuzione delle Figure Professionali ad ogni utente SAP.
Metodologia di Lavoro
AS-IS dei Processi Business
Fase 1.1
Identificazione e
mappatura
Fase 1.2
Figure
Professionali SAP
Fase 1.3
Integrazione AS-IS dei Processi Business
& Best Practice SoD
Si otterrà, quindi, la matrice delle funzionalità (business ed IT) realmente svolte da un gruppo omogeneo di utenti
(Figure Professionali) considerando la specifica organizzazione e la matrice degli Accessi SAP (Processo, Sotto
Processo, Transazioni, Oggetti Autorizzativi, Livelli Organizzativi).
In particolare, con riferimento al processo di Governance, saranno valutati i principi generali di attribuzione delle
responsabilità all’interno dell’azienda, la composizione, le responsabilità e il funzionamento delle strutture, il sistema
di deleghe interne, gli iter autorizzativi in essere, la segregazione organizzativa dei compiti ecc.
I risultati ottenuti potranno essere messi a confronto con i principi contenuti nelle best practice e con i requisiti di
controllo degli accessi (es: 262). I principi contenuti nelle best practice costituiscono un riferimento ai quali ispirarsi
in considerazione delle specifiche esigenze di business e di conformità che saranno rilevate nel corso del progetto.
Fase 1.3 – Integrazione tra i
sotto processi SAP e le Figure
Professionali SAP
16 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Fase 1.3 – Integrazione tra i
sotto processi SAP e le Figure
Professionali SAP
Metodologia di Lavoro
AS-IS dei Processi Business
Fase 1.1
Identificazione e
mappatura
Fase 1.2
Figure
Professionali SAP
Fase 1.3
Integrazione AS-IS dei Processi Business
& Best Practice SoD
Tale metodologia di analisi prevede l’identificazione, congiuntamente al management
aziendale, delle responsabilità operative che possono essere ritenute valide dal
Management a livello di Processi e Sotto Processi Business gestiti in SAP.
Inoltre, al termine della fase di Integrazione con le Figure Professionali SAP , sarà fornita
una visione sintetica dello stato AS-IS in ambito di Processi attraverso una matrice dei
risultati suddivisa per sotto processo e organizzazione; tale deliverable faciliterà e supporterà
lo svolgimento delle successive fasi di lavoro.
17 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Esempio
Ruoli SAP per Figure
Professionali (Unità
Organizzativa e Livello di
Responsabilità) ottenuto
tramite:
■ integrazione delle
informazioni delle
statistiche di utilizzo per
ogni utente (18 utenti);
■ attribuzione di ogni
singola transazione nella
matrice Processi, Sotto
Processi, Transazioni
(27 transazioni);
■ attribuzione delle Figure
Professionali ad ogni
utente SAP (3 figure
professionali).
Dipartimento Organizzativo
Amministrazione, Finanza e Controllo
Unità Organizzativa
Contabilità Generale
2 Utenti SAP 4 Utenti SAP 12 Utenti SAP
RESPONSABILE COORDINATORE STAFF
Gestione
Anagrafica Co.Ge.
5 SAP Transactions
Inserimento Prima
Nota Co.Ge.
3 SAP Transactions
Gestione
Anagrafica Banche
4 SAP Transactions
Gestione
Anagrafica Co.Ge.
5 SAP Transactions
Gestione CdC
2 SAP Transactions
Gestione
Anagrafica Co.Ge.
5 SAP Transactions
Strutture di
Bilancio
7 SAP Transactions
Registrazione
Ammortamenti
5 SAP
Transactions
SPECIAL ROLE
Gestione Periodi
Contabili FI
1 SAP Transaction
Metodologia di Lavoro
AS-IS dei Processi Business
Fase 1.1
Identificazione e
mappatura
Fase 1.2
Figure
Professionali SAP
Fase 1.3
Integrazione AS-IS dei Processi Business
& Best Practice SoD
Fase 1.3 – Integrazione tra i
sotto processi SAP e le Figure
Professionali SAP
18 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
È importante sviluppare e verificare un set di matrici di riferimento per l’analisi e la valutazione degli Accessi Critici
(CA) alle funzionalità del sistema SAP e della Segregation of Duties (SoD) nel rispetto degli standard autorizzativi
specifici di SAP ECC 6.0.
Per effettuare l’analisi è possibile avvalersi di tool per la valutazione tecnica dei modelli autorizzativi SAP.
Le analisi del sistema SAP devono essere condotte dal team di progetto con l’ausilio di tre distinte matrici di
confronto:
■ SAP Basis Component Critical Access Matrix (eventualmente integrata con le funzionalità custom IT);
■ SAP Business Critical Access Matrix (eventualmente integrata con le funzionalità custom Business);
■ SAP Business SoD Matrix (eventualmente integrata con le funzionalità custom Business).
Fase 2.1 – Analisi degli
Accessi SAP
Metodologia di Lavoro
Definizione Matrice SoD
Fase 2.1
Analisi degli
Accessi
Fase 2.2
Test &
Finalizzazione
Fase 2.3
Mitigation Controls
Fase 2.4
Procedure SoD Matrice SoD
19 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Metodologia di Lavoro
Definizione Matrice SoD
Fase 2.1
Analisi degli
Accessi
Fase 2.2
Test &
Finalizzazione
Fase 2.3
Mitigation Controls
Fase 2.4
Procedure SoD Matrice SoD
I risultati delle analisi effettuate su tutte le utenze attive nell’ambiente di produzione SAP forniranno i seguenti risultati
ed indicazioni:
■ IT Critical Access: l’analisi degli accessi critici a funzionalità IT (IT Critical Access Analysis) ha lo scopo di
rilevare le utenze che potenzialmente dispongono in SAP di singole autorizzazioni IT (transazioni, oggetti
autorizzativi e attività), senza considerare nessuna regola dei conflitti. Il risultato di questa analisi permette, a
livello di singolo utente, una più agevole individuazione di abilitazioni SAP non coerenti con la mansione
organizzativa.
■ Business Critical Access: l’analisi degli accessi critici a funzioni Business (Business
Critical Access) ha lo scopo di rilevare le utenze che potenzialmente dispongono in
SAP di singole autorizzazioni Business (transazioni, oggetti autorizzativi, livelli
organizzativi ed attività), incluse nella precedente definizione della matrice dei conflitti
SAP, senza considerare nessuna regola dei conflitti. Il risultato di questa analisi
permette, a livello di singolo utente, una più agevole individuazione di
abilitazioni SAP ECC 6 non coerenti con la mansione aziendale e organizzativa.
■ SoD Analysis: L’analisi dei conflitti di segregazione del business ha lo scopo di
rilevare le utenze che potenzialmente dispongono in SAP di un set di autorizzazioni
business (transazioni, oggetti autorizzativi, livelli organizzativi ed attività) ritenute in
conflitto così come indicati nella definizione delle regole della matrice dei conflitti SAP
utilizzata.
Fase 2.1 – Analisi degli
Accessi SAP
20 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Obiettivo principale di questa parte progettuale è il disegno della Matrice SoD in coerenza con i requisiti
organizzativi e in considerazione dei rischi di accesso eventualmente già identificati dalla Società.
L’approccio proposto per l’analisi e la valutazione dei rischi di accesso e la successiva predisposizione della Matrice
SoD avrà come punti di partenza:
■ le rilevazioni organizzative delle utenze SAP in considerazione dei risultati derivanti dalla
precedente Macro Attività 1;
■ le specifiche attività svolte (transato reale) da un gruppo omogeneo di utenti appartenenti alla
medesima unità organizzativa;
■ i risultati derivanti dall’analisi SoD e Critical Access svolta a livello di utente utilizzando Rischi
SoD di KPMG, considerata Best Practice.
Fase 2.2 – Test e finalizzazione
della Matrice SoD
Metodologia di Lavoro
Definizione Matrice SoD
Fase 2.1
Analisi degli
Accessi
Fase 2.2
Test &
Finalizzazione
Fase 2.3
Mitigation Controls
Fase 2.4
Procedure SoD Matrice SoD
I risultati dell’analisi SoD e Critical Access (Business ed IT) dovranno essere approfonditi ed affinati in
considerazione dei processi business, dei sotto processi e delle relative transazioni, integrando i principi generali di
attribuzione delle responsabilità all’interno dell’azienda, la composizione, le responsabilità e il funzionamento delle
strutture, il sistema di deleghe interne, gli iter autorizzativi in essere, la segregazione organizzativa dei compiti ecc.
21 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
■ Ad ogni rischio SoD individuato sarà attribuito un livello (alto, medio, basso) e una tipologia (rischio finanziario,
rischio operativo SAP ecc.).
■ Saranno quindi calcolati nuovamente i potenziali rischi SoD e Critical Access (Business ed IT) ottenuti
applicando la Matrice SoD aggiornata.
■ I nuovi risultati saranno analizzati e valutati nuovamente al fine di stimare QUALITATIVAMENTE (eliminazione
dei falsi positivi ed individuazione dei falsi negativi) e QUANTITATIVAMENTE (numero di conflitti per processo
e organizzazione) i rischi di accesso così ottenuti e ritenuti appropriati dal Management.
Metodologia di Lavoro
Definizione Matrice SoD
Fase 2.1
Analisi degli
Accessi
Fase 2.2
Test &
Finalizzazione
Fase 2.3
Mitigation Controls
Fase 2.4
Procedure SoD Matrice SoD
Matrice di valutazione del rischio SoD Matrice probabilità del Rischio SoD
Definizione dei rischi SoD nell’organizzazione
ESEMPIO
Fase 2.2 – Test e finalizzazione
della Matrice SoD
22 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
La presente fase progettuale ha l’obiettivo di identificare, analizzare e definire i controlli compensativi o di mitigazione per il monitoraggio
e controllo degli eventuali rischi SoD.
Fase 2.3 – Disegno dei
Controlli Mitigativi
■ Definizione di controlli basati su Best Practice.
■ Supporto alla valutazione delle analisi di Segregation of Duties.
■ Evidenza di aree a rischio e possibili casi di errore o alterazione dei dati business (frodi).
■ Maggiore copertura dei controlli interni per il monitoraggio dell’utilizzo del sistema.
■ Maggior efficienza nelle attività di testing e di controllo.
METODOLOGIA
Analisi
■ Valutazione dei Controlli interni sui processi
Business posti in essere dalla società.
■ Valutazione dei processi di Gestione del ciclo
di vita delle utenze e delle autorizzazioni.
■ Valutazione dei rischi di accesso.
Evoluzione
■ Gestione degli accessi in continua evoluzione
al pari con l’organizzazione aziendale e in
conformità alla Segregation of Duties.
■ Controlli Applicativi Preventive.
■ Gestione degli eventi eccezionali.
Standardizzazione
■ Controlli IT Basis Components e Business
applicabili a SAP.
■ Procedure Best Practice per l’identificazione
degli obiettivi di controllo.
■ Policy per la gestione della sicurezza SAP e IT.
BENEFICI
Metodologia di Lavoro
Definizione Matrice SoD
Fase 2.1
Analisi degli
Accessi
Fase 2.2
Test &
Finalizzazione
Fase 2.3
Mitigation Controls
Fase 2.4
Procedure SoD Matrice SoD
La principale attività prevista in questa fase è il supporto funzionale nell’identificazione e nel disegno logico dei controlli
compensativi, in considerazione dei seguenti fattori ed informazioni:
■ Analisi dei rischi SoD;
■ Individuazione dei Controlli di Mitigazione sui processi di Business tra quelli previsti dalle best practices;
■ Formalizzazione del Disegno dei Mitigation Controls (descrizione delle attività di controllo, responsabilità, frequenza, ecc.).
23 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
La presente fase progettuale ha come obiettivo la definizione di nuovi processi di controllo e di gestione della
Segregation of Duties.
Le procedure di controllo interno riferite alla Segregation of Duties dovrebbero includere anche i controlli da
porre a presidio dei rischi assunti nell’operatività.
Fase 2.4 – Definizione dei
Processi di gestione della
SoD
Metodologia di Lavoro
Definizione Matrice SoD
Fase 2.1
Analisi degli
Accessi
Fase 2.2
Test &
Finalizzazione
Fase 2.3
Mitigation Controls
Fase 2.4
Procedure SoD Matrice SoD
La predisposizione di adeguate procedure richiede:
■ L’individuazione e l’adozione di strumenti automatici;
■ La predisposizione di un adeguato sistema di controllo interno;
■ L’aggiornamento dei principali rischi e dei connessi controlli;
■ La formalizzazione delle modalità di svolgimento delle attività, anche
con riferimento alle attività di controllo;
■ La valutazione della documentazione prodotta in termini di
completezza, coerenza, conformità alle normative e di adeguatezza dei
controlli previsti;
■ Un continuo processo di monitoraggio, controllo e miglioramento.
24 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
■ I processi di controllo della Segregation of Duties dovrebbero essere di due tipologie:
– Controlli Preventivi: hanno la finalità di prevenire la generazione di nuovi rischi SoD a livello di utente e di Ruolo SAP. L’adozione
di queste tipologie di controllo è ad integrazione dei processi e delle procedure di gestione delle utenze e delle autorizzazioni SAP;
– Controlli Successivi: sono controlli che dovrebbero essere svolti in maniera continuativa (a livello di processo e di
organizzazione) al fine di individuare puntualmente ogni possibile errore o eccezione circa l’assegnazione di autorizzazioni SAP
non coerenti con la Figura Professionale o con le necessità di Business.
■ I processi di gestione della Segregation of Duties dovrebbero prevedere ogni potenziale aggiornamento o evoluzione organizzativa,
di processo e di sistema quali, ad esempio:
– Aggiornamenti alla struttura Organizzativa (creazione di nuovi Dipartimenti, fusioni o scissioni di Unità Organizzative ecc.);
– Aggiornamenti ai processi business (a seguito di nuovi requisiti normativi o introduzione di nuovi flussi approvativi);
– Evoluzioni di Sistema (upgrade di release, implementazione di nuove funzionalità, creazione o adozione di nuove transazioni
standard e custom).
Fase 2.4 – Definizione dei
Processi di gestione della
SoD
Metodologia di Lavoro
Definizione Matrice SoD
Fase 2.1
Analisi degli
Accessi
Fase 2.2
Test &
Finalizzazione
Fase 2.3
Mitigation Controls
Fase 2.4
Procedure SoD Matrice SoD
Il mantenimento nel tempo di un adeguato livello di conformità alle regole SoD richiede un appropriato
Commitment da parte della Società, dei Business Owners e del management deputato al controllo e alla
gestione del Modello Autorizzativo SAP e delle regole di segregazione degli accessi definite.
25 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Obiettivo principale di questa macro fase progettuale è il disegno, il rilascio e il supporto durante le fasi di Go Live e Post Go Live del
nuovo o rinnovato Modello Autorizzativo del sistema SAP, in coerenza con i requisiti organizzativi e in considerazione dei rischi di
accesso definiti della Società.
L’approccio proposto per il disegno del nuovo modello autorizzativo e le relative attività, saranno basate sulla rilevazione organizzativa
delle utenze SAP e dalle specifiche attività svolte (transato reale) da un gruppo omogeneo di utenti appartenenti alla medesima unità
organizzativa come risultate dai risultati delle precedenti macro fasi. In base al numero di livelli organizzativi presenti nell’organigramma
e al numero di utenti appartenenti a una singola unità organizzativa, saranno previsti dei nuovi ruoli al fine di assegnare un appropriato
set autorizzativo per lo svolgimento delle attività ritenute appropriate dal Management della Società in coerenza con i requisiti espressi
dal Management.
Fase 3.1
Disegno del Modello
Autorizzativo
Fase 3.2
Test e Rilascio
Fase 3.3
Supporto Go Live e
Post Go Live
Nuovo Modello Autorizzativo
SAP
Macro Fase 3 – Disegno, Rilascio
e Supporto del Modello
Autorizzativo SAP
Metodologia di Lavoro
Disegno, Rilascio e Supporto del Modello Autorizzativo SAP
Tale approccio si rispecchia in quello normalmente definito "Modello Autorizzativo per Organizzazione" di cui
nel seguito riportiamo alcune caratteristiche:
■ il modello autorizzativo per organizzazione prevede una certa rigidità delle autorizzazioni e dei livelli
autorizzativi assegnati a un’unità organizzativa. All’eventuale cambiamento funzionale di un dipendente,
saranno de-assegnate le autorizzazioni appartenenti alla vecchia mansione organizzativa e, contestualmente,
saranno assegnate le autorizzazioni previste dalla nuova funzione organizzativa;
■ il modello autorizzativo per organizzazione richiede un minor effort sia all’IT, per la gestione delle autorizzazioni,
sia alle competenti funzioni aziendali per l’esecuzione delle attività di controllo in quanto si limiterebbe a
verificare l’applicazione delle regole di segregazione a livello di ruolo per unità organizzativa,
indipendentemente dal numero di utenti SAP che ne fanno parte.
26 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Si propone di seguire una metodologia già consolidata per il disegno di Modelli Autorizzativi in ambienti SAP
complessi secondo le fasi della Road Map che indica il percorso logico e propedeutico da seguire.
Ciò varrà per la produzione della documentazione di progetto, per la definizione e messa a punto dei requirement,
per facilitare l’implementazione tecnica, per il collaudo e accettazione, per il rilascio in produzione del nuovo Modello
autorizzativo, per il supporto posto Go Live e per la creazione di knowledge interno alla società.
In particolare, gli step che la metodologia proposta prevede per la realizzazione dei Modelli Autorizzativi SAP
comprendono:
■ Disegno del Modello Autorizzativo SAP;
■ Test e Rilascio;
■ Supporto al Go Live e Post Go Live.
Fase 3.1
Disegno del Modello
Autorizzativo
Fase 3.2
Test e Rilascio
Fase 3.3
Supporto Go Live e
Post Go Live
Nuovo Modello Autorizzativo
SAP
Macro Fase 3 – Disegno, Rilascio
e Supporto del Modello
Autorizzativo SAP
Metodologia di Lavoro
Disegno, Rilascio e Supporto del Modello Autorizzativo SAP
27 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Durante questa fase, si procede alla realizzazione della documentazione funzionale, organizzativa e tecnica del nuovo Modello
Autorizzativo.
La documentazione del nuovo Modello Autorizzativo ha come principale obiettivo di illustrare nel dettaglio i privilegi di accesso che
saranno implementati sul sistema SAP, anche dal punto di vista funzionale e organizzativo ed in considerazione dei Rischi SoD definiti
dalla Società.
Fase 3.1
Disegno del Modello
Autorizzativo
Fase 3.2
Test e Rilascio
Fase 3.3
Supporto Go Live e
Post Go Live
Nuovo Modello Autorizzativo
SAP
Fase 3.1 – Disegno del
Modello Autorizzativo SAP
Metodologia di Lavoro
Disegno, Rilascio e Supporto del Modello Autorizzativo SAP
Nella predisposizione del disegno del Modello Autorizzativo saranno considerate le
informazioni organizzative, le informazioni relative al “transato reale” e i rischi di
accesso (SoD Risk) definiti dalla Società.
Le informazioni saranno integrate, presentate e condivise con i Business Owners al
fine di rivedere, aggiornare e confermare i requisiti operativi di accesso alle funzionalità
SAP, per figura professionale.
Eventuali esigenze che emergeranno successivamente all’approvazione dei suddetti
documenti, o comunque in contrasto con il modello individuato, potranno essere
gestite come “change requests”.
Verrà inoltre predisposto il piano di dettaglio della successiva fase di Implementazione,
il piano di Test e il piano di Rilascio.
In base alle specificità e ai requisiti tecnici e organizzativi che potrebbero emergere
durante questa fase, potrebbe essere aggiornato il piano di massima di progetto.
28 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Le attività incluse in questa fase sono sostanzialmente volte al test e al rilascio del nuovo Modello Autorizzativo SAP.
Durante questa fase saranno eseguiti i necessari test del sistema; in particolare:
• Unit Test: durante il quale vengono testate separatamente dal gruppo di progetto le autorizzazioni presenti nel nuovo Modello
Autorizzativo;
• User Acceptance Test: che prevede il test integrato da parte degli utenti business (Key Users).
La fase di Unit Test, svolta dall’IT della Società, o dal team di specialisti funzionali di ciascun Modulo SAP implementato, è da considerarsi come
determinante per individuare e prevenire errori tecnici autorizzativi, una volta che il modello autorizzativo sarà rilasciato in produzione.
Sarà inoltre predisposto un documento con la strategia di rilascio dei nuovi ruoli attraverso l’adozione di un approccio incrementale.
Le attività di rilascio potranno essere raggruppate in tre sotto wave temporalmente consecutive, inerenti ai dipartimenti organizzativi di:
• Wave 1: Amministrazione, Finanza e Controllo;
• Wave 2: Acquisti, Vendite, Logistica e Produzione;
• Wave 3: Human Resource, IT e altri dipartimenti.
Fase 3.1
Disegno del Modello
Autorizzativo
Fase 3.2
Test e Rilascio
Fase 3.3
Supporto Go Live e
Post Go Live
Nuovo Modello Autorizzativo
SAP
Fase 3.2 – Test e
Rilascio
Metodologia di Lavoro
Disegno, Rilascio e Supporto del Modello Autorizzativo SAP
29 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Le attività incluse in questa fase sono volte al raggiungimento delle condizioni necessarie alla completa messa in produzione del nuovo
Modello Autorizzativo SAP.
Il periodo di supporto potrà essere articolato applicando il seguente approccio:
• Predisposizione del servizio di supporto funzionale a partire dalla data di rilascio in produzione dei ruoli previsti per ogni Wave (3);
• Il team di supporto opererà in modo integrato con la struttura di AMS / IT seguendone le regole organizzative e utilizzando gli
strumenti di “ticketing” in uso alla data del go live.
Si opera in affiancamento all’IT (o all’Outsourcer) al fine di garantire il massimo livello di assistenza, analizzando le richiese per fornire le
risposte a tutti i quesiti posti dagli utenti, che potranno emergere nell’utilizzo quotidiano del nuovo Modello Autorizzativo.
Durante il periodo di supporto post go live del nuovo Modello Autorizzativo è previsto che venga effettuato il passaggio di consegne al
team di AMS o agli altri Team coinvolti nei processi di gestione e governance del modello Autorizzativo (Internal Audit, HR, ect).
Fase 3.1
Disegno del Modello
Autorizzativo
Fase 3.2
Test e Rilascio
Fase 3.3
Supporto Go Live e
Post Go Live
Nuovo Modello Autorizzativo
SAP
Fase 3.3 – Supporto
durante il Go Live e Post
Go Live
Metodologia di Lavoro
Disegno, Rilascio e Supporto del Modello Autorizzativo SAP
Il passaggio di consegne verrà effettuato con delle sessioni apposite in cui si effettuerà il
knowledge transfer verso le figure identificate per ciascuna area e tramite il training on the job
svolto sulle modifiche che potrebbero essere segnalate dalle utenze del business a correzione del
Modello Autorizzativo.
Il passaggio di consegne verrà effettuato con l’utilizzo dei documenti prodotti nelle fasi progettuali
precedenti.
A seguito di correzioni o evoluzioni del Modello Autorizzativo richieste durante la fase di post go
live potrà essere effettuato un ulteriore aggiornamento della documentazione tecnica e
funzionale.
30 © 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Attività progettuale Principali deliverable di progetto
Macro Fase 1 ■ Matrice degli Accessi SAP.
■ Mappatura AS-IS dei Processi e relativa distribuzione nell’organizzazione.
■ Mappatura AS-IS delle Figure Professionali SAP.
■ Risultati della comparazione tra i sotto processi business e le attività svolte.
Macro Fase 2 ■ Risultati delle Analisi degli accessi (SoD e CA) ed integrazione delle informazioni relative al
“transato reale”.
■ Definizione delle Matrice SoD.
■ Disegno dei Controlli Compensativi.
■ Processi e procedure di gestione e controllo dei Rischi SoD e della Matrice.
■ Road Map relativo all’adozione del Nuovo Modello Autorizzativo SAP”.
Macro Fase 3 ■ Disegno funzionale del Nuovo Modello Autorizzativo SAP;
■ Piano di Testing ;
■ Piano di Rilascio in ambiente di produzione.
■ Documento di Issue log (per Unit Test e User Acceptance Test);
■ Revisione del documento del Nuovo Modello Autorizzativo;
■ Piano di “hand over”.
Di seguito sono indicati i principali deliverable per ogni Macro Fase:
AS-IS dei Processi
Business & Best Practice
SoD
Matrice SoD
Nuovo Modello
Autorizzativo SAP
Metodologia di Lavoro
Deliverable
© 2014 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative
("KPMG International"), entità di diritto svizzero. Tutti i diritti riservati. Denominazione e logo KPMG e "cutting through complexity" sono marchi e segni distintivi di KPMG
International.
MANFREDI PASSALACQUA
IRM - MANAGER
KPMG ADVISORY
INFORMATON
RISK
MANAGEMENT