Всем привет.
Ниже речь пойдет о практическом опыте работы с продуктом SAS Enterprise GRC.
Сразу скажу опыт не мой. Данную информацию предоставил Дмитрий — читатель нашего блога, который довольно плотно работал с данным продуктом.
SAS Enterprise GRC является веб-приложением, автоматизирующим управлениерисками и соответствием данных. SAS Enterprise GRC состоит из Web application сервера (в новой версии он стал встроенным), SAS Enterprise GRC Administrative Tools, SAS Enterprise GRC Server, и Web Help. В нашем проекте он использовался для оценки операционных рисков вкупе с модулем SAS OpRisk VaR, который предназначен для моделирования операционного VaR (количественной оценки риска с помощью подходов, основанных на распределении потерь), а также расчета регулятивного капитала продвинутым методом (AMA).
Сам модуль SAS EGRC предназначен для ввода и обработки информации по ведению реестров рисков и контролей и их экспертной оценке, управлению инцидентами, в т.ч. сбору данных о реализовавшихся потерях, ключевым индикаторам рисков, сценарной оценке рисков, управлению политиками, тестированию регулярных процедур контроля за рисками, проведению риск-аудита, корректирующим мероприятиям и планам действий.
Выбранная система представляет собой конструктор, который нужно настроить под требования Банка. Помимо модуля сбора данных о фактически понесенных потерях, в системе есть также модуль по оценке потенциальных рисков, или модуль самооценки.
Интерфейс системы не самый дружелюбный. В нём много избыточной информации, которую можно убрать. Главный плюс системы в том, что она хорошо масштабируема. Она работает через тонкий клиент, и к ней достаточно легко подключать пользователей, а также система предоставляет единый шаблон оценки и унифицированный перечень рисков. Минус — в том, что она не всегда достаточно гибкая с точки зрения глобальных настроек. Например, когда нужно быстро скорректировать информацию по большому количеству инцидентов или обновить профили пользователей (возможно в версии 5.1 будут внесены обновления).
Метаданные контролировались через Management Console, модуль отчетности был реализован на основе Information Delivery Portal (IDP) вкупе с Web Report Studio (WRS), а также надстройки Add-inдля пользователей Microsoft Office. Минус интеграции SAS EGRC с модулем WRS состоял в том, что в отчетах в наименовании объектов используется короткий дефис, а EGRC длинный. Из-за этого при простом копировании в поле поиска ничего не будет найдено, нужно исправлять этот дефис.
Для начала работы с EGRC пользователю достаточно открыть стартовую страницу через браузер.
На первой вкладке «Начало» представлено описание задач пользователя системы, которое позволяет быстро перейти к необходимым объектам. В свою очередь остальные вкладки представляют описанные выше основные блоки SAS EGRC: «Управление инцидентами», «Реестр и самооценка рисков», «Обобщения и действия», «Сценарии» и «КИР» (скрытые для данного пользователя).
Под управлением инцидентами понимается как процесс регистрации событий, связанных с рисками, так и учета объектов, связанных с этими событиями, такими как финансовые и нефинансовые последствия, прямые и страховые погашения, аллокации, причины и несработавшие контрольные процедуры.
Для каждого объекта определен свой набор классификаторов, по которым можно идентифицировать экземпляры этого объекта; часть этого набора – обязательные для указания классификаторы (отмечены в интерфейсе знаком «*»). Для изменения набора классификаторов объекта необходимо внести соответствующие изменения в файл dimensionality.xml, расположенный в репозитарии WebDAV в следующем каталоге: sasdav/Products/SASEnterpriseGRC/EnterpriseGRCMidTier4.3/Config. Также предусмотрена возможность связывать между собой элементы классификаторов. Для этого необходимо настроить мэппинги между требующими связи классификаторами.
Администратор имеет возможность вносить изменения в конфигурационные файлы с помощью утилиты SAS DAVTree. После внесения изменений в файл необходимо произвести рестарт application серверов.
В интерфейсе предусмотрена возможность фильтрации экземпляров объекта по любым из указанного набора классификаторам.
Сами классификаторы представлены в виде справочника, который можно редактировать.
Единственную трудность составляет разделение и объединение элементов классификатора. Эта операция состоит из 2-х этапов: 1) создание подготовительного xml-файла для объединения/разделения элементов классификатора; 2) запуск подготовленных файлов с помощью команды batchRun (SAS Enterprise GRC administrative tools). Это очень неудобно, т.к. для каждого элемента нужно создавать такой xml-файл.
1) Заполнив краткую форму инцидента в интерфейсе, 2) Путем пакетной загрузки данных (файл Excel) по инциденту с помощью соответствующего загрузчика. Дальнейшие действия с этим объектом могут быть описаны при помощи workflow (изменение статуса от «создан» до «утвержден»), создаваемых в SAS Workflow Studio.
SAS Workflow Studio представляет собой приложение для создания или редактирования XML-шаблонов, моделирующих бизнес-процессы. К сожалению, не все бизнес-процессы системы можно поменять с помощью этих XML-файлов (например, связанные с КИР). Корректировка бизнес-процесса состоит из следующих шагов: создать шаблон для бизнес-процесса; загрузить шаблон в систему; в случае, если у нового шаблона новое название, то нужно в Management Console поменять название используемого шаблона для нужного бизнес процесса. Например, при помощи workflow можно задать порог суммы в инциденте, после которого создастся почтовое уведомление, ведь в системе можно настроить синхронизацию и интеграцию с почтовым сервером.
Параметры настройки прописываются в SAS Management ConsoleConfiguration Manager SAS Application InfrastructurePropertiesAdvanced. Установить тип уведомлений для почтовой рассылки следует в SAS Management ConsoleConfiguration ManagerSAS Application Infrastructure PropertiesSettingsAlert Notification Type — E-Mail and alerts portlet.
Затем на сервере Mid Tier установить в application сервере используемый SMTPсервер. Подключение к серверу Exchange происходит по протоколу SMTP без авторизации. Для этого на стороне почтового сервера Exchange должны быть прописаны адреса серверов SAS Compute, SAS Meta Data и SAS Mid-Tier.
SAS EGRCпредоставляет возможность выгружать записи, относящиеся к некоторому объекту системы, в формате Excel-файла (опять же минус, данная версия 4.3 не понимает новых форматов, только .xls 97-2003).
Приложение поддерживает возможность создания пользовательских (кастомных) полей. Пользовательские поля поддерживают типы Boolean, Number, String, Single Value Option. Нужно загрузить их сначала в базу данных, затем присвоить наименования кастомным полям и значениям кастомных выпадающих списков в конфигурационных файлах (customMessages_ru.properties – для поля и named_list_options_ru.properties – для выпадающих списков).
Для кастомного поля создаются метки, которые прописываются в соответствующих xml-файлах CPB-форм. Custom Page Builder (CPB) позволяет изменять общую структуру отдельных экранов SAS Enterprise GRC путем редактирования XML-файлов экранных определений. Загрузка этих файлов проводится через пункт меню «Администрирование -> Настройка свойств страниц»
Часть свойств интерфейса определяется значениями параметров, прописанных в одном из конфигурационных файлов – configdata.properties,расположенном в репозитарии WebDAV в следующем каталоге: sasdav/Products/SASEnterpriseGRC/EnterpriseGRCMidTier4.3/Config.
Отображаемый набор столбцов таблиц интерфейса настраивается файлами вида *Customizations.xml, которые находятся в каталоге sasdav/Products/SASEnterpriseGRC/EnterpriseGRCMidTier4.3/Config/Customizations.Каждой таблице соответствует отдельный файл. Процесс настройки видимости столбцов состоит из выгрузки файлов из WebDAV и последующей загрузке с очисткой кэша.
Для увеличения производительности системы посредством уменьшения запросов к базе данных SAS Enterprise GRC кэширует некоторые данные. Администратор может использовать параметр Performance в SAS Management ConsoleConfiguration Manager для подбора размера кэш и времени кэширования объектов.