La soluzione SAP Governance, Risk and Compliance consente all'organizzazione di gestire normative e conformità e rimuovere qualsiasi rischio nella gestione delle operazioni chiave dell'organizzazione. A causa della mutevole situazione del mercato, le organizzazioni stanno crescendo e cambiano rapidamente e documenti inappropriati, i fogli di calcolo non sono accettabili per revisori e regolatori esterni.
SAP GRC aiuta l'organizzazione a gestire le proprie normative e conformità e consente di svolgere le seguenti attività:
Facile integrazione delle attività GRC nel processo esistente e automazione delle attività chiave GRC.
Bassa complessità e gestione efficiente del rischio.
Migliora le attività di gestione del rischio.
Gestione efficace delle frodi nell'attività lavorativa e gestione degli audit.
Le organizzazioni ottengono risultati migliori e le aziende possono proteggere i propri valori.
La soluzione SAP GRC è costituita da tre aree principali: analisi, gestione e monitoraggio.
- Controllo degli accessi SAP GRC
- Controllo di processo SAP GRC
- Gestione del rischio SAP GRC
- SAP GRC Audit Management
- Gestione delle frodi SAP GRC
- GRC Global Trade Services
Per mitigare il rischio in un'organizzazione, è necessario eseguire il controllo del rischio come parte della prassi di conformità e regolamentazione. Le responsabilità dovrebbero essere chiaramente definite, la gestione del provisioning dei ruoli e la gestione dell'accesso per i super user sono fondamentali per la gestione del rischio in un'organizzazione.
SAP GRC Process Control viene utilizzato per monitorare attività e report in tempo reale ed è possibile generare lo stato di conformità dei controlli in atto secondo i processi aziendali e allineare i processi aziendali per eseguire la prevenzione e la mitigazione dei rischi.
SAP GRC Risk management consente di gestire le attività di gestione del rischio. È possibile pianificare in anticipo per identificare il rischio nel business e implementare misure per gestire il rischio e consentire di prendere decisioni migliori che migliorano le prestazioni del business.
I rischi si presentano in molte forme:
- Rischio operativo
- Rischio strategico
- Rischio di conformità
- Rischio finanziario
Viene utilizzato per migliorare il processo di gestione dell'audit in un'organizzazione documentando artefatti, organizzando documenti di lavoro e creando rapporti di audit. È possibile integrarsi facilmente con altre soluzioni di governance, rischio e conformità e consentire alle organizzazioni di allineare le politiche di gestione dell'audit con gli obiettivi aziendali.
Lo strumento di gestione delle frodi SAP GRC aiuta le organizzazioni a rilevare e prevenire le frodi nella fase iniziale, riducendo così al minimo le perdite di business. Le scansioni possono essere eseguite su enormi quantità di dati in tempo reale con maggiore precisione e le attività fraudolente possono essere facilmente identificate.
Il software di gestione delle frodi SAP può aiutare le organizzazioni con le seguenti funzionalità:
Facile indagine e documentazione dei casi di frode.
Aumenta gli avvisi e la capacità di risposta del sistema per evitare che in futuro si verifichino attività fraudolente con maggiore frequenza.
Scansione semplice di elevati volumi di transazioni e dati aziendali.
Il software SAP GRC GTS aiuta le organizzazioni a migliorare la fornitura transfrontaliera entro i limiti della gestione del commercio internazionale. Aiuta a ridurre la sanzione dei rischi da parte delle autorità di regolamentazione del commercio internazionale.
Fornisce centralizzazione del processo di gestione del commercio globale con un unico repository per tutti i dati e contenuti principali di conformità, indipendentemente dalle dimensioni di un'organizzazione.
Sì, utilizzando il codice T: EWZ5
Gli oggetti di autorizzazione sono gruppi di campi di autorizzazione utilizzati per regolare le attività nel sistema SAP. Tutti gli oggetti rientrano nella classe di autorizzazione e raggruppati per diverse aree funzionali come finanza, contabilità, ecc.
Il controllo degli accessi SAP GRC utilizza i ruoli UME per controllare l'autorizzazione dell'utente nel sistema. Un amministratore può utilizzare azioni che rappresentano la più piccola entità del ruolo UME che un utente può utilizzare per creare diritti di accesso.
Un ruolo UME può contenere azioni da una o più applicazioni. Devi assegnare i ruoli UME agli utenti nel motore di gestione degli utenti (UME).
Motore di gestione degli utenti (UME). Quando un utente non ha accesso a una determinata scheda, la scheda non verrà visualizzata all'accesso dell'utente quando l'utente tenta di accedere a quella scheda. Quando un'azione UME per una scheda viene assegnata a quel particolare utente, solo allora sarà in grado di accedere a quella funzione.
Tutte le azioni UME standard disponibili per le schede CC sono disponibili nella scheda "Azioni assegnate" dell'utente amministratore.
CC.ReportingView
Descrizione: Visualizzazione e reportistica del Calibratore di conformità
CC.RuleMaintenance
Descrizione: Manutenzione della regola del calibratore di conformità
CC.MitMaintenance
Descrizione: Manutenzione di mitigazione del calibratore di conformità
CC.Administration
Descrizione: Amministrazione di Calibratore di conformità e configurazione di base
Risk Analysis and Remediation (RAR) −
Nel controllo degli accessi GRC, è possibile utilizzare la funzionalità RAR (Risk Analysis and Remediation) per eseguire audit di sicurezza e analisi di separazione dei compiti (SoD). È uno strumento che può essere utilizzato per identificare, analizzare e risolvere i problemi di rischio e audit legati alla conformità normativa.
Il controllo degli accessi e il controllo dei processi condivide la struttura di conformità nelle aree seguenti:
Nella soluzione di controllo del processo, i controlli vengono utilizzati come controllo di mitigazione nel controllo degli accessi nella soluzione SAP GRC 10.0.
Il controllo degli accessi e il controllo dei processi condividono la stessa organizzazione.
Nel controllo dei processi, i processi vengono utilizzati come processi aziendali nel controllo degli accessi.
Il controllo dei processi e il controllo degli accessi sono integrati con l'analisi del rischio di accesso per monitorare la separazione dei compiti SoD.
- Assegnazione del ruolo GRC
- Pianificatore di controllo di processo
- Pianificatore di gestione del rischio
- Delegazione centrale
La gestione dell'audit interno consente di elaborare le informazioni dalla gestione del rischio e dal controllo del processo da utilizzare nella pianificazione dell'audit. La proposta di audit può essere trasferita alla gestione dell'audit per l'elaborazione quando richiesto e gli elementi di audit possono essere utilizzati per generare problemi per il reporting. IAM offre un luogo in cui è possibile eseguire una pianificazione completa dell'audit, creare elementi di audit, definire l'universo di audit e creare e visualizzare report di audit e problemi di audit.
Nel centro di lavoro Gestione Internal Audit è possibile svolgere diverse attività:
- Audit Universe contiene entità controllabili
- Valutazione del rischio di audit
- Pianificazione dell'audit per definire la procedura per la conformità dell'audit
- Problemi di controllo dalle azioni di controllo
- Rapporti di audit per vedere quali rischi ci sono per le entità controllabili
Audit Universe contiene entità di revisione che possono essere classificate come unità aziendali, Lob o dipartimenti. Gli enti di audit definiscono la strategia di pianificazione dell'audit e questi possono essere collegati al controllo del processo e alla gestione del rischio per trovare rischi, controlli, ecc.
La valutazione del rischio di audit viene utilizzata per definire i criteri per un'organizzazione per trovare la classificazione del rischio e stabilire la classificazione per la classificazione del rischio. Ogni entità udibile è valutata in base al feedback della direzione in ARR. È possibile utilizzare ARR per eseguire quanto segue:
È possibile trovare un insieme di entità controllabili e fattori di rischio
Definire e valutare i punteggi di rischio per il fattore di rischio in ciascuna entità verificabile.
In base al punteggio di rischio, è possibile valutare l'entità verificabile.
È anche possibile generare un piano di audit da ARR confrontando i punteggi di rischio per diverse entità verificabili. Selezione delle entità controllabili con punteggio di rischio elevato e generazione di proposte di audit e proposte di piani di audit.
Il centro di lavoro Reports and Analytics è condiviso da Process Control, Risk management e access control. Il centro di lavoro Analisi e rapporti di controllo del processo è costituito dalla sezione Conformità nell'applicazione GRC.
Nella sezione Conformità, è possibile creare vari rapporti in Controllo processo.
Evaluation Status Dashboard -
Mostra un'immagine di alto livello dello stato generale della conformità aziendale in diverse entità aziendali e fornisce funzionalità di analisi e drilldown per visualizzare i dati su diversi livelli e dimensioni.
Survey Results -
Visualizza i risultati dei sondaggi.
Datasheet -
Fornisce informazioni complete su dati master, valutazione e attività di riparazione per sottoprocessi e controlli.
In ogni azienda, è necessario eseguire la gestione del rischio di Segregation of Duties a partire dal riconoscimento del rischio fino alla convalida della creazione di regole e varie altre attività di gestione del rischio per seguire la conformità continua.
In base ai diversi ruoli, è necessario eseguire la segregazione dei compiti nel sistema GRC.
Business Process Owners -
- Identificare i rischi e approvare i rischi per il monitoraggio.
- Approvare la riparazione che coinvolge l'accesso degli utenti.
- Progettare controlli per mitigare i conflitti.
- Comunicare le assegnazioni di accesso o le modifiche ai ruoli.
- Eseguire una conformità continua proattiva.
Senior Officers -
- Approvare o rifiutare i rischi tra le aree di business
- Approvare i controlli di mitigazione per rischi selezionati
Security Administrators -
- Assumere la proprietà degli strumenti GRC e del processo di sicurezza
- Progettare e mantenere regole per identificare le condizioni di rischio
- Personalizza i ruoli GRC per applicare ruoli e responsabilità
- Analizza e risolvi i conflitti SoD a livello di ruolo
Auditors -
- Eseguire regolarmente la valutazione del rischio
- Fornire requisiti specifici per scopi di audit
- Eseguire test periodici delle regole e controlli di mitigazione
- Agire da collegamento tra i revisori esterni
SoD Rule Keeper -
- Eseguire la configurazione e l'amministrazione dello strumento GRC
- Mantenere i controlli sulle regole per garantire l'integrità
- Fungere da collegamento tra le basi e il centro di supporto GRC
Ci sono varie fasi nel processo di gestione del rischio:
- Riconoscimento del rischio
- Costruzione e convalida delle regole
- Analysis
- Remediation
- Mitigation
- Conformità continua
- Riconoscimento del rischio
- Costruzione e convalida delle regole
- Analysis
- Remediation
- Mitigation
- Conformità continua
- Fare riferimento alle regole di best practice per l'ambiente
- Convalida delle regole
- Personalizza regole e verifica
- Verifica contro utenti di prova e casi di ruolo
Il rischio dovrebbe essere classificato secondo la politica aziendale. Esistono varie classificazioni di rischio che è possibile definire in base alla priorità del rischio e alla politica aziendale:
Critical -
La classificazione critica viene eseguita per i rischi che contengono risorse critiche dell'azienda che molto probabilmente saranno compromesse da frodi o interruzioni del sistema.
High -
Ciò include la perdita fisica o monetaria o l'interruzione a livello di sistema include frode, perdita di qualsiasi risorsa o guasto di un sistema.
Medium -
Ciò include più interruzioni del sistema come la sovrascrittura dei dati master nel sistema.
Low -
Ciò include il rischio in cui le perdite di produttività o guasti del sistema compromessi da frodi o interruzioni e perdite di sistema sono minime.
La tabella decisionale BRFplus non contiene la condizione appropriata.
Il controllo preventivo della mitigazione viene utilizzato per ridurre l'impatto del rischio prima che si verifichi effettivamente. Esistono varie attività che è possibile eseguire sotto controllo preventivo di mitigazione:
- Configuration
- Uscite utente
- Security
- Definizione del flusso di lavoro
- Oggetti personalizzati
Detective Mitigation Controls -
Il controllo di mitigazione del rilevamento viene utilizzato quando viene ricevuto un avviso e si verifica un rischio. In questo caso la persona che ha la responsabilità di avviare misure correttive per mitigare il rischio.
Esistono varie attività che è possibile eseguire sotto il controllo di mitigazione investigativa:
- Rapporti di attività
- Confronto del piano rispetto alla revisione effettiva
- Revisione del budget
- Alerts
In SAP GRC 10.0 la gestione dei privilegi di superutente deve essere implementata nella tua organizzazione per eliminare le autorizzazioni ei rischi eccessivi che la tua azienda sperimenta con l'attuale approccio dell'utente di emergenza.
È possibile consentire a Superuser di eseguire attività di emergenza in un ambiente controllato e verificabile
Utilizzando Superuser, è possibile segnalare tutte le attività degli utenti che accedono a privilegi di autorizzazione superiori.
È possibile generare un audit trail, che può essere utilizzato per documentare i motivi per l'utilizzo di privilegi di accesso più elevati.
Questo Audit trail può essere utilizzato per la conformità SOX
Il superutente può agire come vigile del fuoco e avere le seguenti funzionalità aggiuntive:
Può essere utilizzato per eseguire attività al di fuori del loro normale ruolo o profilo in una situazione di emergenza.
Solo alcuni individui (proprietari) possono assegnare ID pompiere
Consente agli utenti di fornire funzionalità estese durante la creazione di un livello di controllo per monitorare e registrare l'utilizzo.
È possibile utilizzare i seguenti ruoli standard per la gestione dei privilegi di super utente.
/VIRSA/Z_VFAT_ADMINISTRATOR -
- Possibilità di configurare Firefighter
- Assegna i titolari del ruolo Vigile del fuoco e i controllori agli ID pompiere
- Esegui rapporti
/VIRSA/Z_VFAT_ID_OWNER -
- Assegna ID pompiere agli utenti pompieri
- Carica, scarica e visualizza il registro della cronologia dei vigili del fuoco
Usa T-Code: Transazione: / n / VIRSA / ZVFAT_V01
Di seguito sono riportati i principali vantaggi dell'utilizzo di Global Trade Services:
Aiuta a ridurre i costi e gli sforzi per la gestione della conformità per il commercio globale.
Può semplificare le attività manuali dispendiose in termini di tempo e aiuta a migliorare la produttività.
Riduce le sanzioni per le violazioni della conformità commerciale
Ti aiuta a creare e migliorare il marchio e l'immagine ed evitare scambi con parti sanzionate o negate.
Migliore soddisfazione del cliente e miglioramento della qualità del servizio.
Accelera i processi in entrata e in uscita eseguendo lo sdoganamento e aiuta anche a rimuovere i ritardi non necessari.
Per Ruolo singolo, puoi aggiungere / eliminare codici di transazione mentre nei ruoli derivati non puoi aggiungere codici T.
Il buffer utente memorizza tutte le autorizzazioni di un utente.
È possibile assegnare 14000 transazioni a un ruolo.
Utilizzo dei codici di transazione SM18.
L'implementazione dell'ID vigile del fuoco consiste nei seguenti passaggi:
- Creazione di ID vigile del fuoco per ciascuna area del processo aziendale
- Il passaggio successivo consiste nell'assegnare i ruoli e i profili necessari per svolgere attività antincendio.
- Non dovresti assegnare il profilo SAP_ALL
La raccolta di più regole è nota come set di regole. In GRC, abbiamo un set di regole predefinito noto come set di regole globali.
Utilizzo del lavoro di base PFCG_TIME_DEPENDANCY.
Il panorama GRC ha 2 sistemi:
- SAP GRC Dev
- SAP GRC PRD e non esiste un sistema di qualità.
SOD è implementato nel sistema SAP per rilevare e monitorare le frodi nelle transazioni commerciali.
La tabella USR40 viene utilizzata per memorizzare tutti i dettagli delle password illegali.
È necessario assegnare i seguenti ruoli all'utente per accedere al sistema GRS:
- Autorizzazione del portale
- Ruoli PFCG applicabili
- Ruoli PFCG per il controllo degli accessi, il controllo dei processi e la gestione dei rischi