Ниже речь пойдет о практическом опыте работы с продуктом SAS Enterprise GRC.
Сразу скажу опыт не мой. Данную информацию предоставил Дмитрий - читатель нашего блога, который довольно плотно работал с данным продуктом.
SAS Enterprise GRC является веб-приложением, автоматизирующим управление
рисками и соответствием данных. SAS Enterprise GRC состоит из Web application сервера
(в новой версии он стал встроенным), SAS Enterprise GRC Administrative Tools,
SAS Enterprise GRC Server, и Web Help. В нашем проекте он использовался для
оценки операционных рисков вкупе с модулем SAS OpRisk VaR, который предназначен
для моделирования операционного VaR (количественной оценки риска с помощью подходов,
основанных на распределении потерь), а также расчета регулятивного капитала
продвинутым методом (AMA).
Сам модуль SAS EGRC предназначен для ввода и обработки
информации по ведению реестров рисков и контролей и их экспертной оценке,
управлению инцидентами, в т.ч. сбору данных о реализовавшихся потерях, ключевым
индикаторам рисков, сценарной оценке рисков, управлению политиками,
тестированию регулярных процедур контроля за рисками, проведению риск-аудита,
корректирующим мероприятиям и планам действий.
Выбранная система представляет собой конструктор, который
нужно настроить под требования Банка. Помимо модуля сбора данных о фактически
понесенных потерях, в системе есть также модуль по оценке потенциальных рисков,
или модуль самооценки.
Интерфейс системы не самый дружелюбный. В нём много
избыточной информации, которую можно убрать. Главный плюс системы в том, что
она хорошо масштабируема. Она работает через тонкий клиент, и к ней достаточно
легко подключать пользователей, а также система предоставляет единый шаблон
оценки и унифицированный перечень рисков. Минус — в том, что она не всегда
достаточно гибкая с точки зрения глобальных настроек. Например, когда нужно
быстро скорректировать информацию по большому количеству инцидентов или
обновить профили пользователей (возможно в версии 5.1 будут внесены
обновления).
Метаданные
контролировались через Management Console, модуль отчетности был реализован на
основе Information
Delivery Portal (IDP) вкупе
с Web
Report Studio (WRS), а
также надстройки Add-in
для пользователей Microsoft Office. Минус
интеграции SAS
EGRC с модулем WRS состоял в том, что в отчетах в
наименовании объектов используется короткий дефис, а EGRC длинный. Из-за этого при
простом копировании в поле поиска ничего не будет найдено, нужно исправлять
этот дефис.
Для
начала работы с EGRC пользователю достаточно открыть стартовую страницу через браузер.
На первой вкладке «Начало» представлено описание задач
пользователя системы, которое позволяет быстро перейти к необходимым объектам. В
свою очередь остальные вкладки представляют описанные выше основные блоки SAS
EGRC: «Управление инцидентами», «Реестр и самооценка рисков», «Обобщения и
действия», «Сценарии» и «КИР» (скрытые для данного пользователя).
Под управлением инцидентами понимается как процесс
регистрации событий, связанных с рисками, так и учета объектов, связанных с
этими событиями, такими как финансовые и нефинансовые последствия, прямые и
страховые погашения, аллокации, причины и несработавшие контрольные процедуры.
Для каждого объекта определен свой набор классификаторов, по
которым можно идентифицировать экземпляры этого объекта; часть этого набора –
обязательные для указания классификаторы (отмечены в интерфейсе знаком «*»). Для
изменения набора классификаторов объекта необходимо внести соответствующие
изменения в файл dimensionality.xml,
расположенный в репозитарии WebDAV в следующем каталоге: sasdav/Products/SASEnterpriseGRC/EnterpriseGRCMidTier4.3/Config. Также
предусмотрена возможность связывать между собой элементы классификаторов. Для
этого необходимо настроить мэппинги между требующими связи классификаторами.
Администратор имеет возможность вносить
изменения в конфигурационные файлы с помощью утилиты SAS DAVTree. После
внесения изменений в файл необходимо произвести рестарт application серверов.
В интерфейсе предусмотрена возможность фильтрации
экземпляров объекта по любым из указанного набора классификаторам.
Сами классификаторы представлены в виде справочника, который
можно редактировать.
Единственную трудность составляет разделение и объединение
элементов классификатора. Эта операция состоит из 2-х этапов: 1) создание
подготовительного xml-файла для объединения/разделения элементов классификатора;
2) запуск подготовленных файлов с помощью команды batchRun (SAS Enterprise GRC
administrative tools). Это очень неудобно, т.к. для каждого элемента нужно
создавать такой xml-файл.
1)
Заполнив краткую форму инцидента в интерфейсе, 2) Путем пакетной загрузки данных
(файл Excel) по инциденту с помощью соответствующего загрузчика. Дальнейшие
действия с этим объектом могут быть описаны при помощи workflow (изменение
статуса от «создан» до «утвержден»), создаваемых в SAS Workflow Studio.
SAS Workflow Studio представляет собой приложение для создания или
редактирования XML-шаблонов,
моделирующих бизнес-процессы. К сожалению, не все бизнес-процессы системы можно
поменять с помощью этих XML-файлов (например, связанные с КИР). Корректировка
бизнес-процесса состоит из следующих шагов: создать шаблон для бизнес-процесса;
загрузить шаблон в систему; в случае, если у нового шаблона новое название, то
нужно в Management Console поменять название используемого шаблона для нужного
бизнес процесса. Например,
при помощи workflow можно задать порог суммы в инциденте, после которого
создастся почтовое уведомление, ведь в системе можно настроить синхронизацию и
интеграцию с почтовым сервером.
Параметры настройки прописываются в SAS Management Console\Configuration Manager SAS Application
Infrastructure\Properties\Advanced. Установить тип уведомлений для почтовой рассылки следует в SAS Management
Console\Configuration Manager\SAS Application Infrastructure
Properties\Settings\Alert Notification Type - E-Mail and alerts portlet.
Затем на сервере Mid Tier установить в
application сервере используемый SMTP
сервер. Подключение к серверу Exchange происходит по протоколу SMTP
без авторизации. Для этого на стороне почтового сервера Exchange должны быть прописаны адреса серверов SAS Compute, SAS Meta Data и SAS Mid-Tier.
SAS EGRC
предоставляет возможность выгружать записи, относящиеся к некоторому объекту
системы, в формате Excel-файла
(опять же минус, данная версия 4.3 не понимает новых форматов, только .xls
97-2003).
Приложение
поддерживает возможность создания пользовательских (кастомных) полей.
Пользовательские поля поддерживают типы Boolean,
Number, String, Single Value Option. Нужно загрузить их сначала в базу
данных, затем присвоить
наименования кастомным полям и значениям кастомных выпадающих списков в
конфигурационных файлах (customMessages_ru.properties – для
поля и named_list_options_ru.properties – для
выпадающих списков).
Для кастомного поля создаются метки, которые прописываются в
соответствующих xml-файлах
CPB-форм. Custom Page Builder (CPB) позволяет изменять общую структуру
отдельных экранов SAS Enterprise GRC путем редактирования XML-файлов экранных
определений. Загрузка этих файлов проводится через пункт меню «Администрирование
-> Настройка свойств страниц»
Часть свойств интерфейса определяется
значениями параметров, прописанных в одном из конфигурационных файлов – configdata.properties,
расположенном в репозитарии WebDAV в следующем каталоге: sasdav/Products/SASEnterpriseGRC/EnterpriseGRCMidTier4.3/Config.
Отображаемый набор столбцов таблиц интерфейса настраивается
файлами вида *Customizations.xml, которые находятся в каталоге sasdav/Products/SASEnterpriseGRC/EnterpriseGRCMidTier4.3/Config/Customizations.
Каждой таблице соответствует отдельный файл. Процесс настройки видимости
столбцов состоит из выгрузки файлов из WebDAV и последующей загрузке с очисткой
кэша.
Для увеличения производительности системы
посредством уменьшения запросов к базе данных SAS Enterprise GRC кэширует
некоторые данные. Администратор может использовать параметр Performance в SAS Management
Console\Configuration Manager для подбора размера кэш и времени кэширования
объектов.