SAP Process Control, Risk Management und ORM:

Top 10 funktionale Herausforderungen und

Lösungsvorschläge aus der Praxis

Maxim Chuprunov, Riscomp GmbH

11. Juli 2014

St. Leon-Rot, SAP GRC Forum

Agenda

Einleitung

# 1: Postinstallation: initiale Bereinigung der Stammdaten

# 2: Upload der lokalen IKS Daten (SAP PC)

# 3: Feldbasierte Konfiguration

# 4: Operational Risk Management

# 5: Mehrdimensionale Berichte in SAP GRC

# 6: Sonstige Anpassungen der GRC Berichte

# 7: BW/BO Reporting, Einblick in die Aufwandstreiber

# 8: Email-Benachrichtigungen

# 9: Anpassungen der Benutzeroberfläche

# 10: CCM – Herausforderungen

11.07.2014 2

© Riscomp GmbH,

Einleitung: Referenzprojekte von Riscomp, PC mit PM, RM mit ORM.

11.07.2014 3

…bei diesen und weiteren Kunden haben wir Projektverantwortung im Rahmen der Einführung

von SAP Process Control, Policy Management und Risk Management einschliesslich Operational

Risk Management übernehmen dürfen.

© Riscomp GmbH,

Einleitung: Standard vs. Flexibilität

11.07.2014 4

Das Problem ist bekannt: es gibt Standardsoftware – aber keine Standardkunden!…

Es gibt diverse Wege, gewünschte Änderungen in SAP GRC einzubringen:

SAP Ideaplace, Customer Connection Program

Initiativen von GRC Implementierungspartnern, Wünsche zu „dringenden“ Anpassungen im Produkt zu konsolidieren und an

Solution Management zu adressieren.

Kundeneigene, projektspezifische Entwicklungen der Anwendung; diese haben wir inzwischen als Standarddienstleistungen

bündeln können:

GRC Enhancementprodukte Inhalte:

Simplified ORM (SAP RM) Vereinfachung des Verlustmanagementprozesses, - zusammenhängende Anpassungen im UI, Reporting, Workflows und Berechtigungen.

GRC UI Adjustments Benutzerfreundliche Gestaltung der Oberfläche erfordert das Re-Design der Launchpads, (konsistente und nachhaltige!...)

Umbenennungen von Feldern und Workflows, Verstecken von nicht relevanten Tabreitern, Anpassung von Adobe / OWP Forms etc.

Content Migration All das, was Standarduploadtools nicht leisten können! – lokale Kontrollen, Benutzerzuweisungen etc., - initial als auch im Rahmen

regelmässiger Updates.

Attribute-dependent Controls Attributabhängige Gestaltung von Kontrollen mit konsistenter Betrachtung der Trennung im Planner, Berichtswesen, Workflows, OWP

Forms etc.

Multi-dimensional Reporting Zusätzliche konfigurierbare Attribute für Organisationen mit passenden Searchhelp-Optionen und Berichten, Selektion der Werte in

Berichten nach neuen Attributen.

Das Ziel der nachfolgenden Präsentation ist, Details zu den gängigen Herausforderungen sowie Lösungsansätze

aufzuzeigen.

© Riscomp GmbH,

# 1: Initiale Bereinigung der Stammdaten

11.07.2014 5

Herausforderung:

Im Rahmen der Standard Postinstallationsaktivität „..Tabelleneinträge löschen“ werden nicht alle Einträge aus

Stammdatentabellen wie HRP1000, HRP1001 etc. entfernt.

Lösung:

Kommunikation mit SAP via OSS mit der Bitte, die übriggebliebenen

Daten zu bereinigen

Oder: Daten eigenständig bereinigen. Disclaimer: gute Kenntnisse des

Datenmodells, Einbeziehung eines ABAP experten sowie

selbstverständliche Einhaltung der Change Management & ABAP

Entwicklungsstandards sind erforderlich.

REPORT Z_DELETE.

DATA: LT_TABLE TYPE STANDARD TABLE OF HRP1002.

START-OF-SELECTION.

SELECT * FROM HRP1002 INTO TABLE LT_TABLE.

BREAK-POINT.

IF SY-SUBRC = 0.

DELETE HRP1002 FROM TABLE LT_TABLE.

IF SY-SUBRC = 0.

BREAK-POINT.

COMMIT WORK.

WRITE 'Die Einträge sind gelöscht'.

ELSE.

ROLLBACK WORK.

ENDIF.

ENDIF.

END-OF-SELECTION.

© Riscomp GmbH,

# 2: Upload der lokalen IKS Daten (SAP PC) – Herausforderungen

11.07.2014 6

Herausforderungen:

Standarduploadtools wie MDUG (Master Data Upload Generator) unterstützen das Hochladen lokaler IKS Daten

(einschliesslich der Zuweisung von Benutzern auf Objektebene) nicht.

Projektbeispiel: DHL mit über 40.000 Kontrollen – initiales Hochladen sowie laufende Massenaktualisierungen mittels

Templates wären nicht möglich.

Control

Subprocess

Process

Organization

Control

Subprocess

Process

Zentrale IKS – Daten / Framework

Upload mit Standardtools wie MDUG möglich.

Lokale IKS-Daten / Framework

Kein upload mit Standardtools möglich!

central

local

Localy created

control

…

link

no link

© Riscomp GmbH,

# 2: Upload der lokalen IKS Daten (SAP PC) – die Lösung

11.07.2014 7

Die Lösung:

Riscomp Upload Tool:

Upload in GRC erfolgt mittels eines angepassten / weiterentwickelten Programms GRPCB_UPLOAD pro Datenbanktabelle (siehe rechts; Angaben ohne Gewähr auf Vollständigkeit).

Der Schwerpunkt der Lösung liegt allerdings nicht im Z* code der Uploadroutine sondern im Tool, welcher die Aufbereitung der Uploadfiles auf Basis der vom Kunden zur Verfügung zu stellenden excel Templates ermöglicht.

Riscomp Konsolidierungstool:

Aufgrund der Komplexität des Datenmodells und der erforderlichen Gründlichkeit bei Datenqualitäts- und Konsistenzchecks muss eine initiale Aufbereitung der Daten pro Organisationseinheit erfolgen. Damit das Hochladen effizienter gestaltet werden kann werden einzelne Dateien anschliessend organisationsübergreifend konsolidiert.

Tabelle

HRP1000 Objects

HRP1001 Relations

HRP1002 Long Text Fields

HRP1852 Authorization

HRP5304 Control Attributes

HRP5305 Control Objective

HRP5310 Risk Relations

HRP5313 Organization Attributes

HRP5329 Subprocess Attributes

HRP5333 Regulation

HRP5337 Organization Sign Off Relevance

© Riscomp GmbH,

# 2: Upload der lokalen IKS Daten (SAP PC) – die Lösung

11.07.2014 8

Das Upload-Tool – Look & Feel.

© Riscomp GmbH,

# 2: Upload der lokalen IKS Daten (SAP PC) – die Lösung

11.07.2014 9

Das Upload-Tool – Look & Feel.

© Riscomp GmbH,

# 3: Feldbasierte Konfiguration

11.07.2014 10

Herausforderung:

Nicht alle relevanten Felder sind im IMG Pflegeview verfügbar (12 vorhanden; ca. 12 weitere fehlen) so dass z.B. nicht alle

Kontrollattribute als versteckt, obligatorisch oder lokal nicht pflegbar definiert werden können.

Die Lösung:

Die fehlenden Felder können mittels Anpassung des Clusters GRFNVC_FLD in das relevante IMG Pflegeview

hinzugefügt werden.

© Riscomp GmbH,

# 4: ORM - Herausforderungen

11.07.2014 11

Herausforderung:

Das ORM (Operational Risk Management) Add-On ermöglicht u.A. einen workflow-gestützten Verlustmanagementprozess

einschliesslich Reporting. Die Verlusterfassungsmaske sieht eine Vielzahl von Felder vor, um einen Verlust zu dokumentieren:

mind. 16 Datumsfelder, mehrere Betragsfelder, Verlustaufteilungsoptionen etc. Eine Vereinfachung kann u.U. erforderlich

sein (Beispiel aus der Praxis: der Kunde erfasst nur eingetretene Verluste, die Höhe ist bekannt. Nur 1 Betragsfeld ist im

Einsatz), nicht benötigte Felder & Tabreiter sind zu verstecken.

Reporting: Reduktion der verwendeten Betragsfelder erfordert u.U die Anpassung deren Logik.

Berechtigungen: im Standard kann ein Verlust von einem Benutzer erfasst werden, wenn dieser eine Rollenzuordnung auf der

Ebene Organisation / Corporate; Prozess-, Risiko-, oder Kontrollverantwortliche können keine Verluste erfassen.

Die Lösung:

Die o.g. Herausforderungen wurden durch WebDynpro und ABAP Ehancements gelöst.

Nach Gesprächen mit SolutionManagement besteht die Aussicht auf die Anpassung des SAP Standards (Berechtigungen).

© Riscomp GmbH,

# 4: ORM - Herausforderungen

11.07.2014 12

Beispiel: Standardoberfläche für die Verlustefassung (SAP GRC RM v.10, ORM)

© Riscomp GmbH,

# 5: Mehrdimensionale Berichte in GRC

11.07.2014 13

Herausforderung:

In der Praxis ist oft mehr als nur eine Sicht 1 auf Organisationsstrukturen erforderlich (Busines Line, Legal

View, Geographie, Teams etc.). Pflege mehrerer Org Hierarchien innerhalb einer GRC Komponente (in SAP

GRC standardmässig vorhanden) kann u.U. weniger effizient und mit einigen Nachteilen verbunden sein;

Berechtigungslogik gilt nur für eine – Defaulthierarchie. Pflege der Dimensionen als Organisationsattributen

wird von Kunden oft als Lösung explizit gefordert.

Die Lösung:

Was: Kundeneigene Felder mit konfigurierbare Attributen (z.B. Dropdown) werden in die Oberfläche der

Organisationseinheit eingefügt.

Wie: (für BW/BO siehe P #7) ABAP coding für Konfigurierbare Attribute; Standard – IMG Einstellungen können

benutzt werden, um Attributfelder als Selektionsmerkmal in Berichten verfügbar zu machen, aber: es gibt

Limitationen (Dashboards, Heatmap, - auch „neue“, ABAP – basierte), die zusätzliche Enhancements

erforderlich machen.

Sonderfälle: manchmal gibt es Bedarf an automatisch kalkulierten Attributwerten (z.B. „Scope A „oder

„Scope B“ Gesellschaft, - basierend auf der Art der zugewiesenen Kontrollen); hier wird mehr Entwicklung

benötigt.

© Riscomp GmbH,

# 5: Mehrdimensionale Berichte in GRC – Beispiel 1

11.07.2014 14

Beispiel: „Company“, „Site“ und „Team“ als konfigurierbare kundenspezifische Attribute in Organisationen:

© Riscomp GmbH,

# 5: Mehrdimensionale Berichte in GRC – Beispiel 2

11.07.2014 15

Beispiel: Kundeneigene Attribute „Site“ und „Company“ als Selektionskriterien in der neuen Heatmap:

© Riscomp GmbH,

# 6: Sonstige Anpassungen der GRC – Berichte

11.07.2014 16

Geringe bis mittlere Komplexität der Anpassungen:

IMG: Definition der Best Practice – Defaultfeldstruktur in Berichten; Umbenennung der Felder; das

Hinzufügen / Verstecken der Selektionskriterien (mit einigen Limitationen, z.B. Felder wie „Shared Service

Provider“ oder CDF je nach Konfiguration).

Launchpad + IMG: Umbenennung / Kopieren der Berichte.

Hohe Komplexität der Anpassungen + Enhancements:

Zu dieser Kategorie gehört Alles, was Anpassung von Walking Strategy in IMG betrifft – aufgrund der

Komplexität, erforderlichen Testaufwände und Risiken in der Anwendung generell. „Überraschungsgefahr“,

z.B. bei der Änderung der impliziten Hierarchie im Rep. „Risikokatalog“; Bericht wurde als hierarchisch

definiert, Risk Response hinzugefügt – Standard - Berechtugungslogik beeinträchtigt.

Enhancements (ABAP – Coding unter Einhaltung SAP - spezifischer CM & Dev. - Regeln):

- Selektionskriterien in UI – Umbenenndung in WebDynpro oder (nachhaltigere Lösung) Verlinkung zu

relevanten IMG Einstellungen (z.B. bei Workflow-Umbenennungen).

- Anpassungen in Search-Help Logik (z.B. „welche Prozesse werden angeboten“? Etc.)

- Anpassung der Logik in statistischen Berichten (Teststatus pro Organisation / Prozess).

- Bemerkung: SAP Hinweise für Berichte funktionieren nach SP Upgrades erfahrungsgemäss in den meisten

Fällen ohne Nacharbeiten, da in der Logik Standard-ABAP Klassen (GRC Reporting Engine) verwendet

werden.

© Riscomp GmbH,

# 7: BW / BO Reporting, Aufwandstreiber

11.07.2014 17

Gut zu wissen:

Generell: BW/BO Reporting ist eine wichtige Zusatzoption für Berichterstattung in GRC, welche

Dashboards, Trend-Analyse / Entwicklung im Zeitverlauf etc. ermöglicht. Es gibt Standard Content für

GRC in BW.

Begriffsklärung: „Standard Content“ bedeutet, dass Felder, welche in SAP GRC Standardberichten zu

finden sind theoretisch in SAP BW Extraktoren verfügbar wären. Um kundeneigene Berichte mittels BW

unter Verwending von BO Tools wie z.B. SAP BO Design Studio abbilden zu können würde man in BW

kundeneigene Queries bauen müssen (= Aufwand).

Limitationen: nicht alle SAP GRC Standarddaten sind in Extraktoren vorhanden, z.B. Zentrale Kataloge aus

SAP PC, Änderungsbelege etc.

Um neue Felder (SAP GRC Standard als auch CDF) hinzuzufügen muss man den Standard –

Enhancementproceduren in BW folgen. (= Aufwand).

Vorab prüfen (=Aufwand): Entwicklerrichtlinien fordern oft, den Standard-BusinessContent von GRC in

BW nur Kundennamensraum zu verwenden, wodurch Kopieren notwendig wird. Nicht nur Infoobjekte

sondern auch abhängige Elemente wie InfoPackages, Datentransferprozesse, Infoproviders,

Transformationen müssen in diesem Fall kopiert werden.

© Riscomp GmbH,

# 8a: Emailbenachrichtigungen, Erinnerungen, Eskalationen

11.07.2014 18

Herausforderungen:

Anpassungen von Email-Benachrichtigungen erfordern oft weit mehr als nur den Umgang mit IMG.

Lösungen:

Die Anpassung von Emailbenachrichtigungen (Betreffzeile als auch Emailinhalte) erfordert aus Beratersicht

einen IMG und ABAP - Workbench (Textelemente: Message Class, Dialogtexte, Textelemente von Standard

ABAP - Klassen) Aktivitäten. Manche Textelemente sind hartkodiert (siehe Beispiel).

Email Betreffzeile und Priorität: IMG.

Eliminierung von redundanten Hyperlinks im Emailtext (Abschnitt oben – Auflistung aller Aufgaben;

Abschnitt unten – Details zu jeder Aufgabe) erfordert Anpassungen im Coding.

Zusatzentwicklungen können aufgrund von Limitationen auch in folgenden Bereichen notwendig sein:

Reminder: nicht Alle Parameter (recipient, due date) von WorkItems sind in Policy oder Risk Management verfügbar.

Eskalation: Standard-Emailinhalte haben aus der Perspektive von Endanwender nicht genügend Details (Name der

Organisationseinheit, Bewertungszeitraum etc.)

© Riscomp GmbH,

# 8a: Emailbenachrichtigungen, Erinnerungen, Eskalationen – Beispiel.

11.07.2014 19

Beispiel: Standard – Emailbenachrichtigung in SAP Process Control

© Riscomp GmbH,

# 8a: Emailbenachrichtigungen, Erinnerungen, Eskalationen – Beispiel

11.07.2014 20

Beispiel: Zusammenhänge bei dem Email-Element „Übersicht“

© Riscomp GmbH,

# 8b: Fehlende Emailbenachrichtigungen

11.07.2014 21

Herausforderungen:

Bei manchen Workflow-gestützten Aufgaben sind im SAP Standard keine Emailbenachrichtigunngen vorgesehen,

z.B. keine Nachricht, wenn eine Richtlinie kommentiert wurde oder ein Ad-Hoc Risikovorschlag angenommen wurde.

Die Lösung:

Zusatzentwicklung in SAP GRC. Projektbeispiel: eine Tägliche Emailbenachrichtigung über alle Kommentare an einen

Richtlinieneigner (konfiguruerbar).

© Riscomp GmbH,

# 9: Anpassungen der Benutzeroberfläche

11.07.2014 22

Herausforderung:

Die Aufteilung der Funktionalität auf der Benutzeroberfläche, das Verstecken von nicht relevanten Tabreitern

/ Felder, Umbenennungen etc. - es gibt Vieles, was gemacht werden kann, um die Benutzerfreundlichekeit

der Standardoberfläche zu erhöhen.

Es gibt Inkonsistenzen bei der Umbenennung von Workflows (siehe Screenshots) etc.

Die Lösung:

Neue UI-Funktionen in GRC10.1 – Entry Page.

Launchpad – Gestaltung (LPD_CUST); Best Practice – Ansatz besteht in der Konsolidierung der relevanten

Funktionalität in Tabreitern wie My Home, Reporting, Administration. Wichtig: Launchpadinhalte werden

von Inhalten funktionaler Rollen (GRFN_API) beeinflusst.

Zu berücksichtigen ist, dass z.B. bei der Anpassung der Oberfläche von Kontrollen mittels WebDynpro

Enhancements es mehrere technische Sichten auf scheinbar das gleiche Objekt gibt (Stammdatesicht :

zentral sowie lokal; Workflows: offen sowie geschlossen etc.). Die Anpassung von OWP / Adobe Forms

erfolgt mittels Transaktion SFP (Experten involvieren!).

Die Grösse von Langtextfeldern in Kontrollen – SAP Hinweis 1869607 (Das feld „Beschreibung“).

© Riscomp GmbH,

# 9: Anpassungen der Benutzeroberfläche - Beispiel

11.07.2014 23

Beispiel: Workflows (z.B. Control Self Assessment, Control Design Assessment) können in IMG umbenannt

werden. Weitere zusammenhängende UI Elemente wie Checkboxen in Standardberichten oder Workflow –

Header sind allerdings hartkodiert, eine Workflow-Umbenennung ist somit im SAP Standard nicht konsistent.

Eine nachhaltige Lösung aus der Praxis: diese Elemente mittels Enhancements mit IMG verlinken.

© Riscomp GmbH,

# 10: CCM Herausforderungen

11.07.2014 24

Herausforderung:

Funktionale Herausforderungen (diese wären von Herausforderungen aus inhaltlicher Komplexität des

Datenmodells einzelner CCM – Szenarien abzugrenzen) wären z.B.

mangelnde Workflowkonsolidierung von Schwachstellen / Exceptions.

Einschränkungen bei der Verwendung komplexer statistischer Funktionen (Fuzzy Logic)

Anbindbarkeit von nicht-SAP Systemen;

PerformanceImpact auf Zielsystem bei grossen Datenmengen etc.

Die Lösung:

Weiterentwicklungen / Enhancements direkt in SAP GRC sind möglich, aber…

SAP HANA kann Antworten auf die meisten Herausforderungen liefern:

- Extensive Libraries (Fuzzy Logic vorhanden) von statistischen Funktionen

- Ergebnisse aus mehreren Systemen oder / und von mehreren Regeln können vorkonsolidiert werden,

um Redundante Exception-Workflows zu vermeiden.

- Kein signifikanter Performanceimpact aufgrund der Datenreplikation.

- Flexible Anbindungsmöglichkeiten für nicht – SAP Systeme etc.

© Riscomp GmbH,

# 10: CCM Herausforderungen – SAP HANA als Lösungsansatz

11.07.2014 25

Views aus HANA Studio können im

CCM Framework von SAP GRC

v.10.1 verwendet werden.

SAP ERP

SLT Replication server

Views

Data source

Rule Control

SAP HANA

SAP GRC PC

Non - SAP

Bei beiden Ansätzen – GRC mit HANA (= sidecar)

oder GRC auf HANA (= integrated stack) – kann

SAP GRC von zahlreichen SAP HANA – Vorteilen

profitieren.

© Riscomp GmbH,

Kontaktdetails

11.07.2014 26