Evaluación de efectividad del control

 

Generar evaluacion

 

Buscar resultados

Estrategia de implementación

- Crear RFC destination a sistema destino.

- Crear data sorce y business rule.

- Hacer una prueba creando un reporte ABAP o un SAP QUERY en el backend para ver si el resultado es tomado por el business rule.

Asegurar que los datos se van a quedar en el ECC o backend

- Crear conexiones con dataservices para los sistemas NO SAP

Obtener información de un sistema No SAP

 

Evaluar cual va a ser el origen, ETL y destino de la solución

Origen: Motor de Base  de Datos

ETL: SAP BO Data Services, SQL SERVER Integration Services (SISS)  o conexión directa de base de datosa

Destino: SAP ECC, SAP GRC, SAP BW

SISS

Para origen de datos en SQL Server vxxx

Si se desean llevar los datos a SAP ECC o SAP GRC: el SISS debe crear un archivo luego de haber realizado la lectura de archivos para que luego un programa ABAP pueda leerlo e insertar los datos en las tablas Z.

Si se desean llevar los datos a SAP BW: Ya existe un conector que realiza esta integración.

SAP BO Data Services

Para distintos origenes de datos

Para dejar los datos en cualquier ambiente SAP. DS llama a una funcion (RFC – programa ABAP) que se en encuentra en el servidor destino y le va insertando datos a las tablas Z

conexión directa de base de datos (DBLINK)

No recomendado

 

Creacion de RFC a propio Server GRC

Para generar programas Z y tablas Z con informaicón que provenga de un sistema No SAP, la solución es crear un conector al mismo servidor GRC, creando un reporte ABAP o SAP Query que obtenega informacion de los datos de las tablas Z con los datos ya extraidos de los sistemas origen NO SAP

Procedimiento general de captura requerimientos de indicadores de control

 

Participantes

• Administrador de SAP PC
• ICMAN (diga si el control es necesario)
• Usuario que solicita
• Personal de TI sistema (funcional/tecnico)
• Personal de BW

Actividades

El usuario da su colisictud

El PC diseña como mostrarlo

El funcional dicen la viabildad de obtener la informacion

El tecnico genera la consulta que se desea

Personal de BW: valida que la información no se encuentre actualmente y la posibilidad de tenerlo.

Administrador SAP PC configura

Consideraciones

Indicadores de control

Preguntas

• ¿Cabe la posibilidad que alguien haga modificaciones al sistema y cambie las cosas para que otra persona pueda hacer transacciones no debidas?
• ¿Cabe la posibilidad que el sistema falle? 

Mi recomendación

• Buscar indicadores finacieros. Por ejemplo: Estamos sacando esta cantidad de crédito por mes y estan orientados a la estrategia de la institución
• buscar reglas similares para sacar de ellos solo un indicador para mostrar
• No llenarse de alertas que no sean relevantes.
• Los periodos de tiempo de ebvaluacion automatica de los controles debe ser como los que tiene la herramientas
• Cada control ir visualizando cómo se va a meter en el sistema
• preguntar al cliente si quiere recomendaciones si no ir directamente al control y no enfocarse con otras cosas
• Un indicador de control es bueno si se compara con algún otro dato pero si hace lo mismo que el proceso actual es hacer una doble validaciín y solo realizarlo si es importante.
• Diferenciar que son cosas diferentes ser una persona experta en recomendar indicadores de control y otra el implementador (que el ultimo pueda saber cosas del primero puede ser, pero son cosas diferentes)
• En las entrevistas para ser mas efecientes en el uso del tiempo del proyecto tener a la persona que tiene la visión estratégica del inidcador y una persona operativa/técnica que pueda discutir la viabilidad que éste se pueda hacer.
• en casos de tener varios sistemas fuente diferentes de SAP considerar una fuente de datos utilizado como consolidador de información para los reportes, puede ser BW pero si se deesa ver un nivel detalle/transaccional no se podrá.
• Validar qué herramientas se tiene disponible en la empresa
• Conocer cual es la estrategia o tendencia del uso de herramientas para conisderar la mejor solución.

Entrevistas

1. Persona que solicita requerimiento, funcional sistema, técnico sistema,control interno (4)

- Escuchar la solicitud del requerimiento y el funcional y tecnico del sistema fuente debe definir si existe la informacion

2. Mostrar detalle de informacion o como van a mostrarse los resultados en un borrador (Persona que solicita requerimiento, funcional sistema, técnico sistema,control interno) (4)

3. Armar el procedimiento

4. Mostrar documento final para revisión.

Newtweaver GRC Ventana transparente

Activar el compatibility view en internet explorer

Problemas/Dudas

Monitor automático: Tiempo de evaluacion mayor a 1 hora . ¿se puede cambiar?

Jerarquia de organizaciones

• Esta jerarquia es relevantee en los reportes y en los aprobadores
• un subproceso puede estar en diferentes organizaciones
• no es necesario que se tenga un amplia detalle de los niveles organizativos
• se puede tener organizaciones por zon geográfica, grupos, organigrama etc
• tener un nivel raiz y luego niveles hijo, no pasar de tres niveles
• es importante para definir los roles y responsables

Semaforos - Process Control effectiveness

 

Configurar los parametros en el business rule

 

Asignar controles al business rule

 

 

 

Lo resultados de la evaluación se ven en Assesments, Reports

 

 

 

Info

http://help.sap.com/saphelp_grcrm10/helpdata/en/53/ccbc3054fa44de99032b184ba30a72/content.htm

efectiveness 436
report 36

Riesgos

La estructura de riesgos (/Categoria y plantillas) se realiza en Risk Catalog:

 

La definición dle riesgo en Risk and Opportunities

FAQ

1. Cuando se hace la parametrización de los atributos de GRC se tiene que hacer en ambos idiomas:
RPTA. haces la parametrización en los idiomas en los que vayas a utilizar GRC, si es solo español solo español.

2. La configuración que se hace en DEV para pasarla a QAS tb se hace por medio de transportes?
RPTA: Si

3. Ya estamos terminando la migración de AC pero aun no hemos hecho las pruebas de la conexión con el backend ,,, Cuando sería recomendable instalar el sp12?
RPTA. Una vez terminada la migración de los datos para que las pruebas las hagan directamente en el último SP

Valores de configuracion

Technorati Tags: SAP AC

 

Plugins backend

Guia de instalación pag 20,21

La instalación de los plug-ins en el backend se tiene descrita en la guia de instalación que adjunto en las página 20 y 21; se descargan del marketplace los plug-ins correspondientes a la versión del ERP siguiendo las instrucciones de los SAP notes listados en la guía

La versión del R3 es:
SAP ERP 6.0 EHP4

 

R/3 640 and GRCPIERP V1000_640:

ese es el que tienes que poner si es que tienen el mód
SAP_BASIS 640 and GRCPINW V1000_640

ese es el que si o si se tiene que instalar
estos dos son solo en el R3
para mayor info revisa la nota 0001500691 y 0001500692

Objetivos de negocio - Categoría

Technorati Tags: Datos Maestros,Atributos

Indirect Entity-Level control

Controles

Relación de un control con otros datos maestros

Technorati Tags: Datos Maestros

Grupo y subgrupo de control

Ruta para la configuración en la SPRO.

 

La configuración del grupo de control se hace en:

 

La configuración de los sub grupos de control:

En este panel se ingresan todos los posibles sub controles.

Una vez ingresados los grupos y subgrupos estos tienen que ser ligados

se debe seleccionar cada uno de los grupos:

Aregar los subgrupos correspondientes:

Preguntas para identificar controles

Saber que tipos de indicadores se van a trabajar: Estratégicos u operativos.

 

1. Área

2. Responsabilidades (breve)

3. ¿Que revisan?

4. Que reglas o controles existen

a. Cantidad

b. Tipo de control: Informativo, Operativo, Administrativo o Normativo

c. Cuales son críticas.

5. Que alertas existen

6. Sistemas involucrados.

a. ¿Cómo se hace la conexión? (Replicas, conexión directa)

7. Normatividades

8. ¿Qué información genera?

9. ¿A qué área o a quién se le reporta esta información?

10. Enviar archivo con reglas