Особенности работы в SAS EGRC.

Всем привет.

Ниже речь пойдет о практическом опыте работы с продуктом SAS Enterprise GRC.

Сразу скажу опыт не мой. Данную информацию предоставил Дмитрий — читатель нашего блога, который довольно плотно работал с данным продуктом.

SAS Enterprise GRC является веб-приложением, автоматизирующим управлениерисками и соответствием данных. SAS Enterprise GRC состоит из Web application сервера (в новой версии он стал встроенным), SAS Enterprise GRC Administrative Tools, SAS Enterprise GRC Server, и Web Help. В нашем проекте он использовался для оценки операционных рисков вкупе с модулем SAS OpRisk VaR, который предназначен для моделирования операционного VaR (количественной оценки риска с помощью подходов, основанных на распределении потерь), а также расчета регулятивного капитала продвинутым методом (AMA).
Сам модуль SAS EGRC предназначен для ввода и обработки информации по ведению реестров рисков и контролей и их экспертной оценке, управлению инцидентами, в т.ч. сбору данных о реализовавшихся потерях, ключевым индикаторам рисков, сценарной оценке рисков, управлению политиками, тестированию регулярных процедур контроля за рисками, проведению риск-аудита, корректирующим мероприятиям и планам действий.
Выбранная система представляет собой конструктор, который нужно настроить под требования Банка. Помимо модуля сбора данных о фактически понесенных потерях, в системе есть также модуль по оценке потенциальных рисков, или модуль самооценки.
Интерфейс системы не самый дружелюбный. В нём много избыточной информации, которую можно убрать. Главный плюс системы в том, что она хорошо масштабируема. Она работает через тонкий клиент, и к ней достаточно легко подключать пользователей, а также система предоставляет единый шаблон оценки и унифицированный перечень рисков. Минус — в том, что она не всегда достаточно гибкая с точки зрения глобальных настроек. Например, когда нужно быстро скорректировать информацию по большому количеству инцидентов или обновить профили пользователей (возможно в версии 5.1 будут внесены обновления).
Метаданные контролировались через Management Console, модуль отчетности был реализован на основе Information Delivery Portal (IDP) вкупе с Web Report Studio (WRS), а также надстройки Add-inдля пользователей Microsoft Office. Минус интеграции SAS EGRC с модулем WRS состоял в том, что в отчетах в наименовании объектов используется короткий дефис, а EGRC длинный. Из-за этого при простом копировании в поле поиска ничего не будет найдено, нужно исправлять этот дефис.

Для начала работы с EGRC пользователю достаточно открыть стартовую страницу через браузер.




На первой вкладке «Начало» представлено описание задач пользователя системы, которое позволяет быстро перейти к необходимым объектам. В свою очередь остальные вкладки представляют описанные выше основные блоки SAS EGRC: «Управление инцидентами», «Реестр и самооценка рисков», «Обобщения и действия», «Сценарии» и «КИР» (скрытые для данного пользователя).
Под управлением инцидентами понимается как процесс регистрации событий, связанных с рисками, так и учета объектов, связанных с этими событиями, такими как финансовые и нефинансовые последствия, прямые и страховые погашения, аллокации, причины и несработавшие контрольные процедуры.
Для каждого объекта определен свой набор классификаторов, по которым можно идентифицировать экземпляры этого объекта; часть этого набора – обязательные для указания классификаторы (отмечены в интерфейсе знаком «*»). Для изменения набора классификаторов объекта необходимо внести соответствующие изменения в файл dimensionality.xml, расположенный в репозитарии WebDAV в следующем каталоге: sasdav/Products/SASEnterpriseGRC/EnterpriseGRCMidTier4.3/Config. Также предусмотрена возможность связывать между собой элементы классификаторов. Для этого необходимо настроить мэппинги между требующими связи классификаторами.
Администратор имеет возможность вносить изменения в конфигурационные файлы с помощью утилиты SAS DAVTree. После внесения изменений в файл необходимо произвести рестарт application серверов.

В интерфейсе предусмотрена возможность фильтрации экземпляров объекта по любым из указанного набора классификаторам.



Сами классификаторы представлены в виде справочника, который можно редактировать.
Единственную трудность составляет разделение и объединение элементов классификатора. Эта операция состоит из 2-х этапов: 1) создание подготовительного xml-файла для объединения/разделения элементов классификатора; 2) запуск подготовленных файлов с помощью команды batchRun (SAS Enterprise GRC administrative tools). Это очень неудобно, т.к. для каждого элемента нужно создавать такой xml-файл.
1) Заполнив краткую форму инцидента в интерфейсе, 2) Путем пакетной загрузки данных (файл Excel) по инциденту с помощью соответствующего загрузчика. Дальнейшие действия с этим объектом могут быть описаны при помощи workflow (изменение статуса от «создан» до «утвержден»), создаваемых в SAS Workflow Studio.

SAS Workflow Studio представляет собой приложение для создания или редактирования  XML-шаблонов, моделирующих бизнес-процессы. К сожалению, не все бизнес-процессы системы можно поменять с помощью этих XML-файлов (например, связанные с КИР). Корректировка бизнес-процесса состоит из следующих шагов: создать шаблон для бизнес-процесса; загрузить шаблон в систему; в случае, если у нового шаблона новое название, то нужно в Management Console поменять название используемого шаблона для нужного бизнес процесса. Например, при помощи workflow можно задать порог суммы в инциденте, после которого создастся почтовое уведомление, ведь в системе можно настроить синхронизацию и интеграцию с почтовым сервером.

Параметры настройки прописываются в SAS Management ConsoleConfiguration Manager SAS Application InfrastructurePropertiesAdvanced. Установить тип уведомлений для почтовой рассылки следует в SAS Management ConsoleConfiguration ManagerSAS Application Infrastructure PropertiesSettingsAlert Notification Type E-Mail and alerts portlet.

Затем на сервере Mid Tier установить в application сервере используемый SMTPсервер. Подключение к серверу Exchange происходит по протоколу SMTP без авторизации. Для этого на стороне почтового сервера Exchange должны быть прописаны адреса серверов SAS Compute, SAS Meta Data и SAS Mid-Tier.

SAS EGRCпредоставляет возможность выгружать записи, относящиеся к некоторому объекту системы, в формате Excel-файла (опять же минус, данная версия 4.3 не понимает новых форматов, только .xls 97-2003).

Приложение поддерживает возможность создания пользовательских (кастомных) полей. Пользовательские поля поддерживают типы Boolean, Number, String, Single Value Option. Нужно загрузить их сначала в базу данных, затем присвоить наименования кастомным полям и значениям кастомных выпадающих списков в конфигурационных файлах (customMessages_ru.propertiesдля поля и named_list_options_ru.propertiesдля выпадающих списков).
Для кастомного поля создаются метки, которые прописываются в соответствующих xml-файлах CPB-форм. Custom Page Builder (CPB) позволяет изменять общую структуру отдельных экранов SAS Enterprise GRC путем редактирования XML-файлов экранных определений. Загрузка этих файлов проводится через пункт меню «Администрирование -> Настройка свойств страниц»

Часть свойств интерфейса определяется значениями параметров, прописанных в одном из конфигурационных файлов – configdata.properties,расположенном в репозитарии WebDAV в следующем каталоге: sasdav/Products/SASEnterpriseGRC/EnterpriseGRCMidTier4.3/Config.

Отображаемый набор столбцов таблиц интерфейса настраивается файлами вида *Customizations.xml, которые находятся в каталоге sasdav/Products/SASEnterpriseGRC/EnterpriseGRCMidTier4.3/Config/Customizations.Каждой таблице соответствует отдельный файл. Процесс настройки видимости столбцов состоит из выгрузки файлов из WebDAV и последующей загрузке с очисткой кэша.


Для увеличения производительности системы посредством уменьшения запросов к базе данных SAS Enterprise GRC кэширует некоторые данные. Администратор может использовать параметр Performance в SAS Management ConsoleConfiguration Manager для подбора размера кэш и времени кэширования объектов.



Как изменилась позиция SAS на мировом рынке продуктво EGRC.

Всем привет!

Просто хотечтся показать изменения позиций SAS на рынке продуктов EGRC (Enterprise Governance, Risk and Compliance) на примере квадрата Гартнера.

2011 год:

2012 год:

Как можно видеть SAS перешел из квадранта Visionaries в квадрант Лидеров.

2013 год:

В 2013 году ситуация изменилась и SAS покинув группу лидеров вернулся обратно в visionaries.

Основные причины, по которым SAS опустился называется, то что не нашлось не одного клиента, который бы сказал, что данное решение превзошло ожидания клиента.
Также среди негативных факторов оказалась сложность продукта.
Внедрения данного продукта занимает очень большое время до момента, когда продукт начинает приность хоть какой-то результат.
Ну и конечно сложность в освоении данного продукта.

Все выше сказанное относиться к мировому опыту в целом.
В России же продукт SAS EGRC достаточно популярен.

Хотел бы услышать мнения тех кто работает с данным продуктом.

С уважением,
Николай.