SAP GRC - Guida rapida

La soluzione SAP Governance, Risk and Compliance consente alle organizzazioni di gestire normative e conformità e rimuovere qualsiasi rischio nella gestione delle operazioni chiave delle organizzazioni. In base alla mutevole situazione del mercato, le organizzazioni stanno crescendo e cambiano rapidamente e documenti inappropriati, i fogli di calcolo non sono accettabili per revisori esterni e regolatori.

SAP GRC aiuta l'organizzazione a gestire le proprie normative e conformità e a svolgere le seguenti attività:

  • Facile integrazione delle attività GRC nel processo esistente e automazione delle attività chiave GRC.

  • Bassa complessità e gestione efficiente del rischio.

  • Migliora le attività di gestione del rischio.

  • Gestione efficace delle frodi nell'attività lavorativa e gestione degli audit.

  • Le organizzazioni ottengono risultati migliori e le aziende possono proteggere i propri valori.

  • La soluzione SAP GRC è costituita da tre aree principali: analisi, gestione e monitoraggio.

Moduli in SAP GRC

Vediamo ora di comprendere i diversi moduli in SAP GRC -

Controllo degli accessi SAP GRC

Per mitigare il rischio in un'organizzazione, è necessario eseguire il controllo del rischio come parte della prassi di conformità e regolamentazione. Le responsabilità dovrebbero essere chiaramente definite, la gestione del provisioning dei ruoli e la gestione dell'accesso per i super user sono fondamentali per la gestione del rischio in un'organizzazione.

SAP GRC Process Control and Fraud Management

La soluzione software SAP GRC Process Control viene utilizzata per la gestione della conformità e delle policy. Le funzionalità di gestione della conformità consentono alle organizzazioni di gestire e monitorare i propri ambienti di controllo interno. Le organizzazioni possono risolvere proattivamente qualsiasi problema identificato e certificare e riferire sullo stato generale delle attività di conformità corrispondenti.

SAP Process Control supporta l'intero ciclo di vita della gestione delle policy, inclusa la distribuzione e l'aderenza delle policy da parte dei gruppi target. Queste politiche aiutano le organizzazioni a ridurre il costo della conformità e migliorare la trasparenza della gestione e consentono all'organizzazione di sviluppare processi e politiche di gestione della conformità nell'ambiente aziendale.

Gestione del rischio SAP GRC

SAP GRC Risk Management consente di gestire le attività di gestione del rischio. È possibile pianificare in anticipo per identificare il rischio nel business e implementare misure per gestire il rischio e consentire di prendere decisioni migliori che migliorano le prestazioni del business.

I rischi si presentano in molte forme:

  • Rischio operativo
  • Rischio strategico
  • Rischio di conformità
  • Rischio finanziario

SAP GRC Audit Management

Viene utilizzato per migliorare il processo di gestione dell'audit in un'organizzazione documentando artefatti, organizzando documenti di lavoro e creando rapporti di audit. È possibile integrarsi facilmente con altre soluzioni di governance, rischio e conformità e consentire alle organizzazioni di allineare le politiche di gestione dell'audit con gli obiettivi aziendali.

La gestione dell'audit SAP GRC aiuta l'auditor a semplificare le cose fornendo le seguenti funzionalità:

  • È possibile acquisire istantaneamente gli artefatti per la gestione dell'audit e altre prove utilizzando la funzionalità di trascinamento della selezione delle funzionalità mobili.

  • Puoi creare, tracciare e gestire facilmente i problemi di audit con monitoraggio e follow-up globali.

  • È possibile eseguire la ricerca utilizzando le funzionalità di ricerca che consentono di ottenere maggiori informazioni da documenti legacy e di lavoro.

  • Puoi coinvolgere i revisori con un'interfaccia intuitiva e strumenti di collaborazione.

  • Facile integrazione della gestione dell'audit con SAP Fraud Management, SAP Risk Management e SAP Process Control per allineare il processo di audit con gli obiettivi aziendali.

  • Risoluzione rapida dei problemi utilizzando lo strumento di tracciamento automatico.

  • Migliora l'utilizzo del personale e riduce i costi di viaggio derivanti dalla pianificazione dell'audit interno, dalla gestione delle risorse e dalla pianificazione.

  • Facile integrazione con il report SAP Business Objects e lo strumento di visualizzazione dei dati per visualizzare i report di audit utilizzando Lumira e altri report BI.

  • Utilizzo di modelli prestabiliti per standardizzare gli artefatti di audit e il processo di reporting.

Gestione delle frodi SAP GRC

Lo strumento di gestione delle frodi SAP GRC aiuta le organizzazioni a rilevare e prevenire le frodi nella fase iniziale, riducendo così al minimo la perdita di business. Le scansioni possono essere eseguite su enormi quantità di dati in tempo reale con maggiore precisione e le attività fraudolente possono essere facilmente identificate.

Il software di gestione delle frodi SAP può aiutare le organizzazioni con le seguenti funzionalità:

  • Facile indagine e documentazione dei casi di frode.

  • Aumenta l'allerta e la reattività del sistema per evitare che in futuro si verifichino attività fraudolente con maggiore frequenza.

  • Scansione semplice di elevati volumi di transazioni e dati aziendali.

SAP GRC Global Trade Services

Il software SAP GRC GTS aiuta le organizzazioni a migliorare la fornitura transfrontaliera entro i limiti della gestione del commercio internazionale. Aiuta a ridurre la sanzione dei rischi da parte delle autorità di regolamentazione del commercio internazionale.

Fornisce centralizzazione del processo di gestione del commercio globale con un unico repository per tutti i dati e contenuti principali di conformità, indipendentemente dalle dimensioni di un'organizzazione.

Modello di capacità SAP GRC

La soluzione SAP BusinessObjects GRC comprende tre funzionalità principali: Analyze, Manage and Monitor.

Nel diagramma seguente è possibile vedere il modello di capacità SAP GRC che copre tutte le funzionalità chiave del software SAP GRC. Utilizzando GRC, le organizzazioni possono verificare tutti i potenziali rischi e i risultati di conformità e possono prendere la decisione corretta per mitigarli.

Nelle versioni precedenti di SAP GRC, per utilizzare il controllo degli accessi, il controllo dei processi e la gestione dei rischi, c'era una navigazione separata per ogni componente. Ciò significa che gli utenti, per eseguire le funzioni trasversali dei componenti, dovevano accedere a ciascun modulo separatamente e accedere più volte. Ciò ha comportato un processo difficile per la gestione di più finestre e anche i documenti da cercare.

SAP GRC 10.0 fornisce la navigazione diretta ai componenti di controllo degli accessi, controllo dei processi e gestione dei rischi per un singolo utente come da autorizzazione e rimuove la gestione di più finestre.

Step 1 - Per eseguire attività di personalizzazione e mantenere le impostazioni di configurazione per la soluzione GRC, vai a T-code - SPRO → Riferimento SAP IMG

Step 2 - Espandere il nodo Governance, Risk and Compliance -

Step 3 - Accesso a NetWeaver Business Client -

Eseguire la transazione per NWBC in SAP Easy access.

Si aprirà la schermata NetWeaver Business Client e riceverai il seguente URL: http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/

Centri di lavoro SAP GRC

È possibile utilizzare i centri di lavoro per fornire un punto di accesso centrale per GRC 10.0. Possono essere organizzati in base a ciò che il cliente è autorizzato a operare.

Step 1- Per accedere ai centri di lavoro, aprire NetWeaver Business Client come menzionato sopra. Vai a/nwbc opzione in alto per aprire i Centri di lavoro.

Step 2 - Dopo aver fatto clic, verrai indirizzato alla schermata principale del client SAP NetWeaver Business.

A seconda dei prodotti concessi in licenza, vengono visualizzati diversi componenti della soluzione GRC: Access Control, Process Control, or Risk Management.

Il controllo degli accessi SAP GRC aiuta le organizzazioni a rilevare, gestire e prevenire automaticamente le violazioni dei rischi di accesso e ridurre l'accesso non autorizzato ai dati e alle informazioni aziendali. Gli utenti possono utilizzare il self-service automatico per accedere all'invio di richieste, richieste di accesso guidate dal flusso di lavoro e approvazioni di accesso. Le revisioni automatiche dell'accesso degli utenti, dell'autorizzazione dei ruoli e delle violazioni dei rischi possono essere utilizzate utilizzando SAP GRC Access Control.

SAP GRC Access Control gestisce le sfide chiave consentendo alle aziende di gestire il rischio di accesso. Aiuta le organizzazioni a prevenire l'accesso non autorizzato definendo la separazione dei compiti SoD e accesso critico e riducendo al minimo il tempo e il costo della gestione del rischio di accesso.

Caratteristiche principali

Di seguito sono riportate le caratteristiche principali di SAP GRC Access Control:

  • Per eseguire audit e conformità ai requisiti legali con diversi standard di audit come SOX, BSI e standard ISO.

  • Per rilevare automaticamente le violazioni del rischio di accesso su sistemi SAP e non SAP in un'organizzazione.

  • Come accennato, consente agli utenti di inviare l'accesso self-service, richieste di accesso guidate dal flusso di lavoro e approvazioni della richiesta.

  • Per automatizzare le revisioni dell'accesso degli utenti, delle autorizzazioni dei ruoli, delle violazioni dei rischi e delle assegnazioni di controllo in un'organizzazione di piccole e grandi dimensioni.

  • Per gestire in modo efficiente l'accesso del superutente ed evitare violazioni dei rischi e accessi non autorizzati a dati e applicazioni in sistemi SAP e non SAP.

Come esplorare il centro di lavoro per l'impostazione del controllo degli accessi?

Eseguire la transazione per NWBC in SAP Easy access.

Si aprirà la schermata NetWeaver Business Client e riceverai il seguente URL: http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/

Step 1- Per accedere ai centri di lavoro, aprire NetWeaver Business Client come menzionato sopra. Vai a/nwbc opzione in alto per aprire i Centri di lavoro.

Step 2 - Dopo aver fatto clic, verrai indirizzato alla schermata principale del client SAP NetWeaver Business.

Step 3- Vai al centro di lavoro di configurazione ed esplora il set di lavoro. Fare clic su alcuni dei collegamenti sotto ciascuno di essi ed esplorare le varie schermate.

Step 4 - Il centro di lavoro Configurazione è disponibile in Controllo accessi e fornisce collegamenti alle seguenti sezioni:

  • Manutenzione delle regole di accesso
  • Regole di accesso alle eccezioni
  • Regole di accesso critiche
  • Regole generate
  • Organizations
  • Controlli attenuanti
  • Assegnazione superutente
  • Manutenzione da superutente
  • Proprietari di accesso

Step 5 - È possibile utilizzare le funzioni sopra elencate nei seguenti modi:

  • Utilizzando la sezione Manutenzione regole di accesso, è possibile gestire set di regole di accesso, funzioni e rischi di accesso utilizzati per identificare le violazioni di accesso.

  • Utilizzando le regole di accesso alle eccezioni, è possibile gestire le regole che integrano le regole di accesso.

  • Utilizzando la sezione delle regole di accesso critico, è possibile definire regole aggiuntive che identificano l'accesso a ruoli e profili critici.

  • Utilizzando la sezione delle regole generate, è possibile trovare e visualizzare le regole di accesso generate.

  • In Organizzazioni è possibile mantenere la struttura organizzativa della società per la conformità e la gestione dei rischi con le assegnazioni correlate.

  • La sezione Controlli attenuanti consente di gestire i controlli per mitigare la separazione dei compiti, le azioni critiche e le violazioni di accesso alle autorizzazioni critiche.

  • Assegnazione superutente è il luogo in cui assegni i proprietari agli ID vigili del fuoco e gli ID pompiere agli utenti.

  • Superuser Maintenance è dove si mantengono le assegnazioni di vigili del fuoco, controller e codice motivo.

  • In Access Owners, gestisci i privilegi di proprietario per le funzionalità di gestione degli accessi.

In base alla licenza del software GRC, è possibile navigare nel Centro di lavoro per la gestione degli accessi. Ha più sezioni per gestire le attività di controllo degli accessi.

Quando si fa clic su Access Management Work Center, è possibile visualizzare le seguenti sezioni:

  • Assegnazioni di ruoli GRC
  • Accesso all'analisi dei rischi
  • Accesso mitigato
  • Amministrazione richieste di accesso
  • Gestione dei ruoli
  • Estrazione di ruoli
  • Ruolo Manutenzione di massa
  • Assegnazione superutente
  • Manutenzione da superutente
  • Creazione richiesta di accesso
  • Revisioni della certificazione di conformità
  • Alerts
  • Scheduling

Le sezioni precedenti ti aiutano nei seguenti modi:

  • Quando vai ad accedere risk analysissezione, puoi valutare i tuoi sistemi per i rischi di accesso tra utenti, ruoli, oggetti delle risorse umane e livelli di organizzazione. Un rischio di accesso è costituito da due o più azioni o autorizzazioni che, quando disponibili per un singolo utente o un singolo ruolo, profilo, livello organizzativo o Oggetto HR, creano la possibilità di errore o irregolarità.

  • Utilizzando mitigated access sezione, è possibile identificare i rischi di accesso, valutare il livello di tali rischi e assegnare controlli di mitigazione a utenti, ruoli e profili per mitigare le violazioni delle regole di accesso.

  • In access request administration sezione, puoi gestire assegnazioni di accesso, account e processi di revisione.

  • Utilizzando role management, gestisci i ruoli da più sistemi in un unico repository unificato.

  • In role mining funzione di gruppo, puoi scegliere come target i ruoli di interesse, analizzarli e agire.

  • Utilizzando role mass maintenance, puoi importare e modificare autorizzazioni e attributi per più ruoli.

  • In Superuser Assignment sezione, è possibile assegnare ID vigili del fuoco ai proprietari e assegnare vigili del fuoco e controllori agli ID pompiere.

  • In Superuser Maintenance sezione, è possibile eseguire attività come la ricerca e la manutenzione di vigili del fuoco e controllori e l'assegnazione di codici motivo in base al sistema.

  • Utilizzando access request creation, puoi creare assegnazioni di accesso e account.

  • Compliance certification reviews supporta le revisioni dell'accesso degli utenti, delle violazioni dei rischi e delle assegnazioni di ruoli.

  • Utilizzando alerts, è possibile generare dall'applicazione per l'esecuzione di azioni critiche o in conflitto.

  • Utilizzando Scheduling sezione del centro di lavoro Impostazione regole, è possibile mantenere le pianificazioni per il monitoraggio del controllo continuo e il test automatizzato e per tenere traccia dell'avanzamento del lavoro correlato.

Nella soluzione SAP GRC, è possibile gestire gli oggetti di autorizzazione per limitare gli elementi ei dati a cui un utente può accedere. L'autorizzazione controlla ciò a cui un utente può accedere per quanto riguarda i centri di lavoro e i report nel sistema SAP.

Per accedere alla soluzione GRC, dovresti avere il seguente accesso:

  • Autorizzazione del portale
  • Ruoli PFCG applicabili
  • Ruoli PFCG per il controllo degli accessi, il controllo dei processi e la gestione dei rischi

I tipi di autorizzazione elencati di seguito sono richiesti in base ai componenti GRC: AC, PC e RM.

Nome ruolo Tip Descrizione Componente
SAP_GRC_FN_BASE PFCG Ruolo di base PCRM
SAP_GRAC_BASE PFCG Ruolo di base (include SAP_GRC_FN_BASE) corrente alternata
SAP_GRC_NWBC PFCG Ruolo per eseguire GRC 10.0 in NWBC AC, PC, RM
SAP_GRAC_NWBC PFCG Ruolo per gestire centri di lavoro NWBC semplificati per AC corrente alternata
GRC_Suite Portale Ruolo del portale per eseguire GRC nella versione 10.0 nel portale AC, PC, RM
SAP_GRC_FN_BUSINESS_USER PFCG Ruolo utente comune AC * , PC, RM
SAP_GRC_FN_ALL PFCG Ruolo utente avanzato; ignora l'autorizzazione a livello di entità per PC e RM PCRM
SAP_GRAC_ALL PFCG Ruolo utente avanzato corrente alternata
SAP_GRC_FN_DISPLAY PFCG Visualizza tutti i ruoli utente PCRM
SAP_GRAC_DISPLAY_ALL PFCG Visualizza tutti i ruoli utente corrente alternata
SAP_GRAC_SETUP PFCG Personalizzare il ruolo (usato per mantenere la configurazione in IMG) corrente alternata
SAP_GRC_SPC_CUSTOMIZING PFCG Personalizzare il ruolo (usato per mantenere la configurazione in IMG) PC
SAP_GRC_RM_CUSTOMIZING PFCG Personalizzare il ruolo (usato per mantenere la configurazione in IMG) RM
SAP_GRAC_RISK_ANALYSIS PFCG Il ruolo concede l'autorità per eseguire lavori SoD AC, PC, RM

Autorizzazione in Portal Component e NWBC

Nella soluzione SAP GRC 10.0, i centri di lavoro sono definiti nei ruoli PCD per il componente Portale e nei ruoli PFCG per NWBC (NetWeaver Business Client). I centri di lavoro sono fissati in ogni ruolo di base. Tuttavia, SAP fornisce questi ruoli; questi ruoli possono essere modificati dal cliente secondo il requisito.

Le posizioni delle cartelle dell'applicazione e delle applicazioni subordinate all'interno della mappa dei servizi sono controllate dall'applicazione SAP NetWeaver Launchpad. La mappa dei servizi è controllata dall'autorizzazione dell'utente, quindi se l'utente non dispone dell'autorizzazione per visualizzare alcuna applicazione, verrà nascosta nel client NetWeaver Business.

Come rivedere le assegnazioni di ruolo in Access Management Work Center?

Segui questi passaggi per esaminare le assegnazioni dei ruoli:

Step 1 - Vai a Access Management Work Center in NetWeaver Business Client.

Step 2- Selezionare il processo aziendale in Assegnazione ruolo GRC e passare al livello di ruolo del processo secondario. Fare clic su Avanti per continuare ad assegnare le sezioni del ruolo.

Come rivedere le assegnazioni di ruolo nel centro di lavoro dati anagrafici?

Step 1 - Vai a Master Data Work Center → Organizzazioni

Step 2 - Nella finestra successiva, seleziona un'organizzazione dall'elenco, quindi fai clic su Apri.

Step 3 - Note che il triangolo accanto all'organizzazione significa che ci sono organizzazioni secondarie e il punto accanto all'organizzazione significa che è il livello più basso.

Step 4- Fare clic sulla scheda sottoprocesso → Assegna sottoprocesso. Ora seleziona uno o due sottoprocessi e fai clic su Avanti.

Step 5 - Senza apportare modifiche, fare clic su Fine nel passaggio Seleziona controlli.

Step 6- Scegli il primo sottoprocesso dall'elenco, quindi fai clic su Apri. Dovresti vedere i dettagli del sottoprocesso.

Step 7- Fare clic sulla scheda Ruoli. Scegli un ruolo dall'elenco, quindi fai clic su Assegna.

SAP GRC Access Control utilizza i ruoli UME per controllare l'autorizzazione dell'utente nel sistema. Un amministratore può utilizzare azioni che rappresentano la più piccola entità del ruolo UME che un utente può utilizzare per creare diritti di accesso.

Un ruolo UME può contenere azioni da una o più applicazioni. Devi assegnare ruoli UME agli utenti inUser Management Engine (UME).

Autorizzazione in UME

Quando un utente non ha accesso a una determinata scheda, la scheda non verrà visualizzata all'accesso dell'utente quando l'utente tenta di accedere a quella scheda. Quando un'azione UME per una scheda viene assegnata a quel particolare utente, solo allora sarà in grado di accedere a quella funzione.

Tutte le azioni UME standard disponibili per le schede CC sono disponibili nella scheda “Assigned Actions” del Admin User.

Ruoli UME

È necessario creare un ruolo di amministratore e questo ruolo deve essere assegnato a Superuser per eseguire le attività relative al calibratore di conformità SAP. Esistono vari ruoli CC che possono essere creati sotto il controllo degli accessi SAP GRC al momento dell'implementazione:

  • CC.ReportingView

    Description - Visualizzazione e reportistica del calibratore di conformità

  • CC.RuleMaintenance

    Description - Manutenzione della regola del calibratore di conformità

  • CC.MitMaintenance

    Description - Manutenzione di mitigazione del calibratore di conformità

  • CC.Administration

    Description - Amministrazione di Calibratore di conformità e configurazione di base

Come aprire il motore di manutenzione utente?

Utilizzando UME, puoi eseguire varie attività chiave sotto Controllo accessi -

  • È possibile eseguire la manutenzione di utenti e ruoli
  • Può essere utilizzato per la configurazione dell'origine dati dell'utente
  • È possibile applicare impostazioni di sicurezza e regole per la password

Per aprire UME, è necessario utilizzare il seguente URL:

http://<hostname>:<port>/useradmin

In SAP GRC 10.0, è possibile utilizzare Access Control Launch Pad per mantenere le funzionalità chiave sotto GRC Access Control. È una singola pagina web che può essere utilizzata perRisk Analysis and Remediation (RAR).

In GRC Access Control, è possibile utilizzare la funzionalità RAR (Risk Analysis and Remediation) per eseguire audit di sicurezza e analisi di separazione dei compiti (SoD). È uno strumento che può essere utilizzato per identificare, analizzare e risolvere i problemi di rischio e audit legati alla seguente conformità normativa. Qui puoi anche definire in modo colloquiale quanto segue:

  • Gestione dei ruoli aziendali (ERM)
  • Provisioning utente conforme (CUP)
  • Gestione privilegi di superutente

Creazione di un nuovo launchpad in NWBC

Segui questi passaggi per creare un nuovo Launchpad in NWBC:

Step 1 - Vai a ruoli PFCG e apri il ruolo SAP_GRAC_NWBC

Step 2 - Quando fai clic con il pulsante destro del mouse sull'elemento Casa mia, puoi vedere l'applicazione chiamata grfn_service_map?WDCONFIGURATIONID=GRAC_FPM_AC_LPD_HOME e l'id di configurazione è GRAC_FPM_AC_LPD_HOME.

Step 3 - Seleziona application config e puoi vedere la schermata di configurazione dell'applicazione → pulsante di visualizzazione.

Step 4 - Quando fai clic su Display, puoi vedere questa schermata -

Step 5 - Ora apri il file Component Configuration pulsante.

Step 6 - Fare clic su Configure UIBBin questa schermata. Verrai indirizzato alla seguente schermata:

Step 7- È possibile selezionare il Launchpad a cui si desidera mappare. Se desideri creare un nuovo Launchpad, puoi anche mapparlo a un nuovo ruolo.

Step 8 - Per creare un nuovo Launchpad, definire quanto segue:

  • Crea un nuovo launchpad con le voci di menu che desideri.

  • Crea una nuova configurazione dell'applicazione GRFN_SERVICE_MAP oppure puoi copiare l'ID di configurazione GRAC_FPM_AC_LPD_HOME e personalizzalo ulteriormente.

  • Nella nuova configurazione seleziona il launchpad che vuoi associare.

  • Crea un nuovo ruolo e aggiungi l'applicazione webdynpro GRFN_SERVICE_MAP ad esso con l'ID di configurazione personalizzato creato nel passaggio precedente.

Nella soluzione SAP GRC 10.0, i dati anagrafici e la struttura organizzativa sono condivisi attraverso il controllo degli accessi, il controllo dei processi e la gestione dei rischi. Process Control condivide anche alcune capacità con il processo di gestione del rischio.

Di seguito sono riportate le funzionalità chiave condivise con Controllo accessi:

  • Il controllo degli accessi e il controllo dei processi condivide la struttura di conformità nelle aree seguenti:

    • Nella soluzione di controllo del processo, i controlli vengono utilizzati come controllo di mitigazione nel controllo degli accessi nella soluzione SAP GRC 10.0.

    • Il controllo degli accessi e il controllo dei processi condividono la stessa organizzazione.

    • Nel controllo dei processi, i processi vengono utilizzati come processi aziendali nel controllo degli accessi.

    • Il controllo dei processi e il controllo degli accessi sono integrati con l'analisi del rischio di accesso per monitorare la separazione dei compiti SoD.

The menu areas common to both Process Control and Risk Management are −

  • Assegnazione del ruolo GRC
  • Pianificatore di controllo dei processi
  • Pianificatore di gestione del rischio
  • Delegazione centrale

Di seguito sono riportati i punti chiave di integrazione tra Controllo dei processi e Gestione dei rischi:

  • Nuovi punti di controllo possono essere proposti per il controllo dei processi nella gestione dei rischi.

  • Quando viene proposto un nuovo controllo, Process Control deve valutare la richiesta del Risk Management.

  • La gestione del rischio utilizza i risultati del controllo dei processi per valutare i nuovi controlli.

  • La gestione del rischio può anche utilizzare i controlli esistenti del controllo dei processi come risposte nella gestione dei rischi.

Internal Audit Managementconsente di elaborare le informazioni dalla gestione del rischio e dal controllo dei processi da utilizzare nella pianificazione dell'audit. La proposta di audit può essere trasferita alla gestione dell'audit per l'elaborazione quando richiesto e gli elementi di audit possono essere utilizzati per generare problemi per il reporting. IAM offre un luogo in cui è possibile eseguire una pianificazione completa dell'audit, creare elementi di audit, definire l'universo di audit e creare e visualizzare report di audit e problemi di audit.

Internal Audit Management Work Center fornisce una posizione centrale per le seguenti attività:

  • Definisci l'universo di audit per la tua organizzazione
  • Valutazione del rischio di revisione
  • Pianificazione dell'audit per definire la procedura per la conformità dell'audit
  • Problemi di controllo dalle azioni di controllo
  • Rapporti di audit per vedere quali rischi ci sono per le entità controllabili

Audit Universe contiene entità di revisione che possono essere classificate come unità aziendali, linee di attività o dipartimenti. Gli enti di audit definiscono la strategia di pianificazione dell'audit e questi possono essere collegati al controllo dei processi e alla gestione dei rischi per trovare rischi, controlli, ecc.

Crea un'entità verificabile

Vediamo ora come creare un'entità verificabile.

Step 1 - Vai a /nwbc opzione in alto per aprire i Centri di lavoro

Step 2 - In SAP NetWeaver Business Client, vai a IAM Work Center.

Step 3 - Accedere a Gestione audit interno → Universo di audit

Step 4 - Fare clic su Create e vai a General tab.

Step 5 - Immettere i seguenti dettagli per l'ente verificabile -

  • Name
  • Description
  • Type
  • Status
  • Note per aggiungere ulteriori informazioni

Step 6 - Vai a Audit Plan scheda per visualizzare le proposte di audit e le proposte di piani di audit con la data di trasferimento.

Step 7 - Seleziona il file attachments and links scheda per aggiungere qualsiasi tipo di file o link.

Step 8 - Quando si immettono i dettagli richiesti, è possibile selezionare tra le seguenti opzioni:

  • Selezionare Save per salvare l'entità.
  • Selezionare Close per uscire senza salvare.

SAP Process Control - Audit Risk Rating

La valutazione del rischio di audit viene utilizzata per definire i criteri per un'organizzazione per trovare la classificazione del rischio e stabilire la classificazione per la classificazione del rischio. Ogni entità verificabile è valutata in base al feedback della direzione in ARR. È possibile utilizzare ARR per eseguire le seguenti funzioni:

  • È possibile trovare l'insieme delle entità controllabili e dei fattori di rischio.

  • Definire e valutare i punteggi di rischio per il fattore di rischio in ciascuna entità verificabile.

  • In base al punteggio di rischio, è possibile valutare l'entità verificabile.

  • È anche possibile generare un piano di audit da ARR confrontando i punteggi di rischio per diverse entità verificabili. Inoltre, è possibile selezionare le entità controllabili con punteggio di rischio elevato e generare una proposta di audit e una proposta di piano di audit.

Creare una valutazione del rischio di audit

Vediamo ora di comprendere i passaggi per creare una valutazione del rischio di audit

Step 1 - In SAP NetWeaver Business Client, vai a IAM Work Center.

Step 2 - Accedere a Gestione audit interno → Valutazione del rischio di audit → Crea

Step 3 - Nella scheda Generale, inserisci i seguenti dettagli:

  • Name
  • Description
  • Valido dal
  • Valido per
  • Persona responsabile
  • Status

Step 4 - Vai a Entità controllabili e fai clic su Add pulsante per scegliere tra entità controllabili.

Step 5 - Vai a Risk Factor scheda e selezionare ARRfattore di rischio. SelezionareAdd per aggiungere un fattore di rischio → OK.

Step 6 - Vai a Risk Scoresscheda, selezionare l'entità e inserire i punteggi di rischio nella tabella dei fattori di rischio. ClicCalculatepulsante per visualizzare il punteggio medio. Vai alla colonna Livello di rischio e priorità del rischio per inserire i dettagli.

Vai a Audit Plan Proposalscheda, per assicurarti di creare una proposta di piano di audit. Seleziona esporta per creare un foglio di calcolo Excel per visualizzare le informazioni in forma di tabella per il tuo ARR.

Selezionare Save pulsante per salvare la valutazione del rischio di audit per l'entità verificabile.

I centri di lavoro forniscono un punto di accesso centrale per l'intera funzionalità GRC. Sono organizzati per fornire un facile accesso alle attività dell'applicazione e contengono gruppi di menu e collegamenti ad ulteriori attività.

I seguenti centri di lavoro sono condivisi da Controllo degli accessi, Controllo dei processi e Gestione dei rischi:

  • Casa mia
  • Dati principali
  • Impostazione delle regole
  • Assessments
  • gestione degli accessi
  • Rapporti e analisi

Parliamo dei principali centri di lavoro.

Casa mia

Il mio centro di lavoro domestico è condiviso da Controllo dei processi, Gestione dei rischi e Controllo degli accessi. Ciò fornisce una posizione centralizzata in cui è possibile gestire le attività assegnate e gli oggetti accessibili nell'applicazione GRC. My Home viene fornito con una serie di sezioni. Vediamo ora di comprendere la sezione Posta in arrivo di lavoro -

Posta in arrivo di lavoro

Utilizzando Work Inbox, è possibile visualizzare le attività da elaborare nel software GRC.

Se desideri elaborare un'attività, fai clic sull'attività nella tabella.

Si aprirà la finestra del flusso di lavoro in cui è possibile elaborare l'attività.

Dati principali

Il Master Data Work Center è condiviso da Process Control, Risk management e controllo accessi. Il centro di lavoro Dati anagrafici controllo processo contiene le seguenti sezioni:

  • Organizations
  • Regolamenti e politiche
  • Objectives
  • Attività e processi
  • Rischi e risposte
  • Accounts
  • Reports

Parliamo ora dei principali centri di lavoro sotto Master Data Work Center -

Organizations - Mantenere la struttura organizzativa aziendale per la compliance e la gestione dei rischi con i relativi incarichi

Mitigation Controls - Mantieni i controlli per mitigare la separazione dei compiti, le azioni critiche e le violazioni di accesso alle autorizzazioni critiche

Per creare un controllo di mitigazione, fare clic sul pulsante Crea.

Verrai indirizzato a una nuova finestra, inserisci i dettagli per il controllo di mitigazione e fai clic sul pulsante Salva.

Rapporti e analisi

Il centro di lavoro Reports and Analytics è condiviso da Process Control, Risk management e Access Control. Il Centro di lavoro Analisi e rapporti sul controllo di processo è costituito dalla sezione Conformità nell'applicazione GRC.

Nella sezione Conformità, è possibile creare i seguenti report in Controllo processo:

Dashboard dello stato di valutazione

Mostra un'immagine di alto livello dello stato generale della conformità aziendale in diverse entità aziendali e fornisce funzionalità di analisi e drilldown per visualizzare i dati su diversi livelli e dimensioni.

Risultati del sondaggio

Visualizza i risultati dei sondaggi.

Scheda dati

Fornisce informazioni complete su dati master, valutazione e attività di riparazione per sottoprocessi e controlli.

I seguenti ruoli che utilizzano la funzionalità del foglio dati:

  • Internal Auditors - Possono utilizzare le schede tecniche per ottenere un'immagine dei controlli e dei sottoprocessi in un'organizzazione sotto GRC.

  • Process Owners- Nell'applicazione GRC, i proprietari dei processi e i proprietari dei controlli possono richiedere i fogli dati per ottenere una panoramica dei loro sottoprocessi. Le informazioni sulla scheda tecnica forniscono la definizione del sottoprocesso, le valutazioni completate sul sottoprocesso, i controlli inclusi nel sottoprocesso e le valutazioni e le prove effettuate su questi controlli.

  • Control Owners- I proprietari dei controlli possono utilizzare le schede tecniche per verificare il design dei loro controlli. Il proprietario del controllo può valutare i controlli per verificare i controlli e la loro efficacia.

  • External Auditors- Le schede tecniche possono essere utilizzate da revisori esterni; questo può essere utilizzato per richiedere le informazioni per ricercare controlli o sottoprocessi.

Note - Altri centri di lavoro come la gestione degli accessi, le valutazioni e l'impostazione delle regole sono condivisi anche dal controllo dei processi, dal controllo degli accessi e dalla gestione dei rischi.

Il centro di lavoro per la gestione degli accessi per il controllo dei processi ha la sezione Assegnazioni ruoli GRC.

In ogni azienda, è necessario eseguire la gestione del rischio della Segregation of Duties (SoD), a partire dal riconoscimento del rischio fino alla convalida della creazione di regole e varie altre attività di gestione del rischio per seguire la conformità continua.

In base ai diversi ruoli, è necessario eseguire la Segregation of Duties nel sistema GRC. SAP GRC definisce vari ruoli e responsabilità nell'ambito del SoD Risk Management -

Proprietari dei processi aziendali

I proprietari dei processi aziendali svolgono le seguenti attività:

  • Identificare i rischi e approvare i rischi per il monitoraggio
  • Approvare la riparazione che coinvolge l'accesso degli utenti
  • Progettare controlli per mitigare i conflitti
  • Comunica le assegnazioni di accesso o le modifiche ai ruoli
  • Eseguire una conformità continua proattiva

Ufficiali anziani

Gli ufficiali superiori svolgono i seguenti compiti:

  • Approvare o rifiutare i rischi tra aree di business
  • Approvare i controlli di mitigazione per rischi selezionati

Amministratori della sicurezza

Gli amministratori della sicurezza eseguono le seguenti attività:

  • Assumere la proprietà degli strumenti GRC e del processo di sicurezza
  • Progettare e mantenere regole per identificare le condizioni di rischio
  • Personalizza i ruoli GRC per applicare ruoli e responsabilità
  • Analizza e risolvi i conflitti SoD a livello di ruolo

Revisori dei conti

I revisori svolgono i seguenti compiti:

  • Valutazione del rischio su base regolare
  • Fornire requisiti specifici per scopi di audit
  • Verifica periodica delle regole e controlli di mitigazione
  • Agire da collegamento tra i revisori esterni

SoD Rule Keeper

SoD Rule Keeper esegue le seguenti attività:

  • Configurazione e amministrazione dello strumento GRC
  • Mantiene i controlli sulle regole per garantire l'integrità
  • Funge da collegamento tra le basi e il centro di supporto GRC

SAP Risk Management in GRC viene utilizzato per gestire la gestione adeguata al rischio delle prestazioni aziendali che consente a un'organizzazione di ottimizzare l'efficienza, aumentare l'efficacia e massimizzare la visibilità tra le iniziative di rischio.

I seguenti sono i file key functions in gestione del rischio -

  • La gestione del rischio enfatizza l'allineamento organizzativo verso i rischi principali, le soglie associate e la mitigazione del rischio.

  • L'analisi del rischio include l'esecuzione di analisi qualitative e quantitative.

  • La gestione del rischio implica l'identificazione dei rischi chiave in un'organizzazione.

  • La gestione del rischio include anche strategie di risoluzione / riparazione dei rischi.

  • La gestione del rischio esegue l'allineamento degli indicatori chiave di rischio e di prestazione in tutte le funzioni aziendali consentendo un'identificazione precoce del rischio e una mitigazione dinamica del rischio.

La gestione del rischio implica anche il monitoraggio proattivo dei processi e delle strategie aziendali esistenti.

Fasi nella gestione del rischio

Parliamo ora delle varie fasi della gestione del rischio. Di seguito sono riportate le varie fasi della gestione del rischio:

  • Riconoscimento del rischio
  • Costruzione e convalida delle regole
  • Analysis
  • Remediation
  • Mitigation
  • Conformità continua

Riconoscimento del rischio

In un processo di riconoscimento del rischio nell'ambito della gestione del rischio, è possibile eseguire i seguenti passaggi:

  • Identifica i rischi di autorizzazione e approva le eccezioni
  • Chiarire e classificare il rischio come alto, medio o basso
  • Identificare nuovi rischi e condizioni per il monitoraggio in futuro

Costruzione e convalida delle regole

Eseguire le seguenti attività in Creazione e convalida delle regole:

  • Fare riferimento alle regole di best practice per l'ambiente
  • Convalida le regole
  • Personalizza le regole e prova
  • Verifica contro utenti di prova e casi di ruolo

Analisi

Eseguire le seguenti attività in Analisi:

  • Esegui i rapporti analitici
  • Stima gli sforzi di pulizia
  • Analizza ruoli e utenti
  • Modifica le regole in base all'analisi
  • Imposta avvisi per distinguere i rischi eseguiti

Dall'aspetto gestionale, è possibile visualizzare una visualizzazione compatta delle violazioni dei rischi raggruppate per gravità e tempo.

Step 1 - Vai a Virsa Compliance Calibrator → scheda Informer

Step 2 - Per le violazioni SoD, è possibile visualizzare un grafico a torta e un grafico a barre per rappresentare le violazioni attuali e passate nel panorama del sistema.

I seguenti sono i due diversi punti di vista di queste violazioni:

  • Violazioni per livello di rischio
  • Violazioni per processo

Bonifica

Eseguire le seguenti attività in fase di riparazione:

  • Individua alternative per eliminare i rischi
  • Presentare l'analisi e selezionare le azioni correttive
  • Documentare l'approvazione delle azioni correttive
  • Modifica o crea ruoli o assegnazioni utente

Mitigazione

Eseguire le seguenti attività sotto mitigazione:

  • Determinare controlli alternativi per mitigare il rischio
  • Educare la direzione all'approvazione e al monitoraggio dei conflitti
  • Documentare un processo per monitorare i controlli di mitigazione
  • Implementare i controlli

Conformità continua

Eseguire le seguenti attività in Conformità continua:

  • Comunica i cambiamenti nei ruoli e nelle assegnazioni degli utenti
  • Simula le modifiche ai ruoli e agli utenti
  • Implementa avvisi per monitorare i rischi selezionati e mitigare i test di controllo

Classificazione del rischio

I rischi dovrebbero essere classificati secondo la politica aziendale. Di seguito sono riportate le varie classificazioni di rischio che è possibile definire in base alla priorità del rischio e alla politica aziendale:

Critico

La classificazione critica viene eseguita per i rischi che contengono risorse critiche dell'azienda che molto probabilmente saranno compromesse da frodi o interruzioni del sistema.

Alto

Ciò include perdite fisiche o monetarie o interruzioni a livello di sistema che includono frode, perdita di qualsiasi risorsa o guasto di un sistema.

medio

Ciò include più interruzioni del sistema come la sovrascrittura dei dati master nel sistema.

Basso

Ciò include il rischio in cui le perdite di produttività o guasti del sistema compromessi da frodi o interruzioni e perdite di sistema sono minime.

In SAP GRC 10.0 Risk Management, la fase di correzione del rischio determina il metodo per eliminare i rischi nei ruoli. Lo scopo della fase di riparazione è determinare le alternative per eliminare i problemi nell'ambito della gestione del rischio.

Si consigliano i seguenti approcci per risolvere i problemi nei ruoli:

Ruoli singoli

  • Puoi iniziare con ruoli singoli poiché è il modo più semplice e veloce per iniziare.

  • È possibile verificare la reintroduzione di eventuali violazioni della separazione dei compiti alla separazione dei compiti.

Ruoli compositi

  • È possibile eseguire varie analisi per controllare l'assegnazione dell'utente sull'assegnazione o la rimozione delle azioni dell'utente.

  • È possibile utilizzare la vista Gestione o i report di analisi dei rischi per l'analisi, come indicato nell'argomento precedente.

Nella correzione del rischio, gli amministratori della sicurezza dovrebbero documentare il piano e i proprietari dei processi aziendali dovrebbero essere coinvolti e approvare il piano.

SAP GRC - Tipo di report

È possibile generare diversi report di analisi dei rischi in base all'analisi richiesta -

  • Action Level - Puoi usarlo per eseguire analisi SoD a livello di azione.

  • Permission Level - Può essere utilizzato per eseguire analisi SoD a livello di azione e autorizzazione.

  • Critical Actions - Questo può essere utilizzato per analizzare gli utenti che hanno accesso a una delle funzioni critiche.

  • Critical Permissions - Può essere utilizzato per analizzare gli utenti che hanno accesso a una funzione critica.

  • Critical Roles/Profiles - Può essere utilizzato per analizzare gli utenti che hanno accesso a ruoli o profili critici.

In SAP GRC 10.0, è possibile utilizzare i controlli di mitigazione quando non è possibile separare la separazione dei compiti SoD dal processo aziendale.

Esempio

In un'organizzazione, si consideri uno scenario in cui una persona si prende cura dei ruoli all'interno dei processi aziendali che causano un conflitto SoD mancante.

Esistono diversi esempi possibili per i controlli di mitigazione:

  • Strategie di rilascio e limiti di autorizzazione
  • Revisione dei log degli utenti
  • Revisione dei rapporti sulle eccezioni
  • Analisi dettagliata della varianza
  • Stabilire un'assicurazione per coprire l'impatto di un incidente di sicurezza

Tipi di controllo della mitigazione

Esistono due tipi di controllo di mitigazione nella gestione del rischio di SAP GRC:

  • Preventive
  • Detective

Controlli preventivi di mitigazione

Il controllo preventivo della mitigazione viene utilizzato per ridurre l'impatto del rischio prima che si verifichi effettivamente. Esistono varie attività che è possibile eseguire sotto controllo preventivo di mitigazione:

  • Configuration
  • Uscite utente
  • Security
  • Definizione del flusso di lavoro
  • Oggetti personalizzati

Controlli di mitigazione investigativa

Il controllo di mitigazione del rilevamento viene utilizzato quando viene ricevuto un avviso e si verifica un rischio. In questo caso, la persona che ha la responsabilità di avviare la misura correttiva mitiga il rischio.

Esistono varie attività che è possibile eseguire sotto il controllo di mitigazione investigativa:

  • Rapporti di attività
  • Confronto del piano rispetto alla revisione effettiva
  • Revisione del budget
  • Alerts

Configurazione dei controlli di migrazione

Segui questi passaggi per impostare i controlli di migrazione:

Step 1 - Accedi al controllo degli accessi SAP GRC.

Step 2- Eseguire un'analisi dei rischi a livello di utente. Immettere i dettagli di seguito -

  • Tipo di rapporto
  • Formato report

Step 3 - Fare clic su Esegui

Step 4 - Puoi alternare tra diversi tipi di rapporti come nella seguente schermata -

Step 5 - Accesso a SAP GRC Access Control e pianificazione di un processo in background di analisi dei rischi a livello di ruolo.

Immettere i seguenti dettagli:

  • Tipo di rapporto: livello di autorizzazione
  • Formato report - Riepilogo

Step 6 - Fare clic su Run in Background come mostrato nello screenshot seguente -

Step 7 - Nella finestra successiva, puoi selezionare Start Immediately. Quindi fare clic suOK.

In SAP GRC 10.0, la gestione dei privilegi di superutente deve essere implementata nella tua organizzazione per eliminare le autorizzazioni ei rischi eccessivi che la tua azienda sperimenta con l'attuale approccio dell'utente di emergenza.

Le seguenti sono le caratteristiche principali di Superuser Privilege:

  • È possibile consentire a Superuser di eseguire attività di emergenza in un ambiente controllato e verificabile

  • Utilizzando Superuser, è possibile segnalare tutte le attività dell'utente che accedono a privilegi di autorizzazione superiori.

  • È possibile generare un audit trail, che può essere utilizzato per documentare i motivi per l'utilizzo di privilegi di accesso più elevati.

  • Questo audit trail può essere utilizzato per la conformità SOX.

  • Il superutente può agire come vigile del fuoco e avere le seguenti funzionalità aggiuntive:

    • Può essere utilizzato per eseguire attività al di fuori del loro normale ruolo o profilo in una situazione di emergenza.

    • Solo alcuni individui (proprietari) possono assegnare ID pompiere.

    • Fornisce una capacità estesa agli utenti durante la creazione di un livello di controllo per monitorare e registrare l'utilizzo.

Ruoli standard in Gestione privilegi superutente

È possibile utilizzare i seguenti ruoli standard per la gestione dei privilegi di superutente:

/ VIRSA / Z_VFAT_ADMINISTRATOR

  • Questo ha la capacità di configurare Firefighter
  • Assegna i titolari del ruolo Vigile del fuoco e i controllori agli ID pompiere
  • Esegui rapporti

/ VIRSA / Z_VFAT_ID_OWNER

  • Assegna ID pompiere agli utenti pompiere
  • Carica, scarica e visualizza il registro della cronologia dei vigili del fuoco

VIRSA / Z_VFAT_FIREFIGHTER

  • Accedi al programma vigili del fuoco

Vediamo ora come implementare Superuser.

Puoi implementare gli ID dei vigili del fuoco procedendo nei seguenti passaggi:

Step 1 - Crea ID vigili del fuoco per ogni area del processo aziendale

Step 2 - Assegna ruoli e profili necessari per svolgere attività antincendio.

Non dovresti assegnare il profilo SAP_ALL

Step 3 - Usa T-Code - SU01

Step 4 - Fare clic su Create pulsante per creare un nuovo utente.

Step 5 - Assegna i ruoli di vigile del fuoco come menzionato sopra all'ID utente -

  • Assegna i ruoli di vigile del fuoco agli ID utente applicabili.

  • Assegna il ruolo di amministratore / VIRSA / Z_VFAT_ADMINISTRATOR all'amministratore di gestione dei privilegi di superutente.

  • All'utente amministratore non dovrebbe essere assegnato alcun servizio antincendio

  • Assegna il ruolo standard / VIRSA / Z_VFAT_FIREFIGHTER a -

    • Firefighter ID - Utente del servizio utilizzato per l'accesso
    • Firefighter user - Utente standard che agisce come vigile del fuoco nel caso

  • Assegna il ruolo di proprietario dell'ID / VIRSA / Z_VFAT_ID_OWNER a -

    • Proprietario - Responsabile di determinare a chi verrà assegnato

    • Controller: riceve una notifica quando l'ID pompiere è responsabile degli ID vigili del fuoco di emergenza per la sua area di lavoro utilizzata.

Step 6 - Vai a Roles scheda e selezionare i ruoli menzionati secondo il requisito.

Step 7 - Crea destinazione RFC per il passaggio interno all'ID vigile del fuoco -

  • Nome: immettere il nome della connessione RFC

  • Tipo di connessione - 3

  • Immettere una descrizione

    (Non sono richiesti nome utente, password o altri dati di accesso)

  • Immettere le password per ogni ID vigile del fuoco nella tabella Sicurezza: le password vengono memorizzate come valori hash e sono illeggibili dopo che l'amministratore ha salvato il valore.

Step 8 - Per creare il registro dei vigili del fuoco, è possibile pianificare un lavoro in background.

Assegna un nome al lavoro /VIRSA/ZVFATBAK come nello screenshot seguente -

Registro superutente

Cerchiamo di capire questi passaggi per Superuser Log.

Step 1 - Usa codice T - Transazione - / n / VIRSA / ZVFAT_V01

Step 2 - Ora puoi trovare i log nell'area della casella degli strumenti.

Step 3 - Puoi usare transaction code — SM37 per esaminare i registri per singolo utente.

È inoltre possibile utilizzare la GUI Web per accedere a tutte le informazioni sui vigili del fuoco. Vai a SAP GRC Access control → Superuser privilege management.

Quindi è possibile accedere ai dati di diverse installazioni di Firefighter su diversi sistemi di backend SAP. Eit is not necessary to log on to each system anymore.

È possibile implementare un'analisi dei rischi avanzata utilizzando le regole dell'organizzazione. Nelle unità aziendali di servizi condivisi, è possibile utilizzare le regole dell'organizzazione per ottenere procedure per l'analisi dei rischi e la gestione dei gruppi di utenti.

Si consideri un caso in cui un utente ha creato un fornitore fittizio e le fatture sono state generate per ottenere vantaggi finanziari.

È possibile creare una regola dell'organizzazione con il codice aziendale abilitato per eliminare questo scenario.

I seguenti passaggi dovrebbero essere eseguiti per prevenire questa situazione:

  • Abilita i campi a livello di organizzazione nelle funzioni
  • Crea regole dell'organizzazione
  • Aggiorna la tabella di mappatura degli utenti dell'organizzazione
  • Configurare il servizio Web di analisi dei rischi

Abilita i campi a livello di organizzazione nelle funzioni

Segui questi passaggi per abilitare i campi a livello di organizzazione nelle funzioni:

  • Scopri le funzioni da separare per livello di organizzazione in un ambiente di servizio condiviso.

  • Mantieni le autorizzazioni per le transazioni interessate.

Crea regole organizzative

Segui questi passaggi per creare le regole dell'organizzazione:

Step 1 - Creare regole di organizzazione per ogni possibile valore del campo dell'organizzazione.

Step 2 - Vai all'architetto delle regole → Livello organizzazione → Crea

Step 3 - Immettere il campo dell'ID della regola dell'organizzazione.

Step 4 - Immettere l'attività correlata.

Step 5 - Definisci i campi a livello di organizzazione e combinali con gli operatori booleani.

Step 6 - Fare clic su Save pulsante per salvare la regola dell'organizzazione.

Vantaggi dell'utilizzo delle regole dell'organizzazione

Vediamo ora di comprendere i vantaggi dell'utilizzo delle regole dell'organizzazione.

È possibile utilizzare le regole organizzative per le aziende per implementare le seguenti funzionalità:

  • È possibile utilizzare le regole dell'organizzazione per implementare i servizi condivisi. Separano i compiti con l'aiuto di restrizioni organizzative.

  • Vai a Analisi dei rischi → Livello organizzazione

  • Eseguire un'analisi dei rischi del tipo di analisi Regola organizzazione rispetto a un utente

  • Riceverai il seguente output:

    • L'analisi dei rischi mostrerà un rischio solo se l'utente ha accesso allo stesso codice aziendale specifico in ciascuna delle funzioni in conflitto.

In un'organizzazione, hai i proprietari del controllo a diversi livelli della gerarchia dell'organizzazione. Il rischio dovrebbe essere gestito e mitigato in base al livello di accesso.

I seguenti sono i proprietari del controllo in un'organizzazione:

  • Un proprietario del controllo per il livello globale
  • Proprietari di controllo diversi per i livelli regionali
  • Proprietari di controllo multipli per livello locale

Devi assegnare i controlli di mitigazione a diversi livelli di responsabilità. Se si verifica una violazione del rischio a livello regionale e locale, è necessario eseguire la mitigazione del rischio al livello più alto.

Per utilizzare il controllo di mitigazione nella gerarchia dell'organizzazione, si supponga di aver eseguito l'analisi dei rischi a livello di organizzazione e l'utente viola tutte le regole dell'organizzazione figlio e soddisfa la condizione della regola padre e viene visualizzata solo la regola padre; puoi eseguire la mitigazione del rischio nei seguenti modi:

  • Mitigazione a livello di utente
  • Mitigazione a livello di organizzazione

In SAO GRC 10.0, un flusso di lavoro viene attivato nelle seguenti situazioni:

  • Per creare o aggiornare rischi.
  • Per creare o aggiornare i controlli di mitigazione.
  • Assegnare controlli di mitigazione.

Attiva il rischio basato sul flusso di lavoro e controlla la manutenzione

Man mano che si segue l'approccio di gestione delle modifiche basato sul flusso di lavoro nell'analisi dei rischi e nella riparazione, è necessario eseguire i seguenti passaggi:

  • Vai alla scheda Configurazione → opzioni del flusso di lavoro
  • Imposta i parametri seguenti:
  • Impostare il parametro Risk Maintenance su YES
  • Impostare il parametro Mitigation Control Maintenance su YES
  • Impostare il parametro Mitigazione su YES
  • Configurare l'URL del servizio Web del flusso di lavoro -
http://<server>:<port>/AEWFRequestSubmissionService_5_2/Config1?wsdl&style=document
  • Personalizza i flussi di lavoro da eseguire all'interno del motore del flusso di lavoro.

Controllo del rischio e del controllo basato sul flusso di lavoro

Quando si mantiene un rischio o un controllo è in SAP GRC, si eseguono i seguenti passaggi:

Step 1 - In Controllo accessi, viene attivato un flusso di lavoro per eseguire un rischio o un flusso di lavoro di controllo.

Step 2 - Quando si ottengono le approvazioni richieste, i passaggi di approvazione dipendono dai requisiti del cliente.

Step 3 - Ottieni un audit trail che documenta l'intero processo di approvazione.

SAP GRC - Global Trade Services

Utilizzando SAP GRC Global Trade Services, puoi migliorare la catena di approvvigionamento transfrontaliera di merci in un'organizzazione. Questa applicazione consente di automatizzare i processi commerciali e aiuta a controllare i costi e ridurre il rischio di sanzioni e anche a gestire i processi in entrata e in uscita.

Usando GTS, puoi creare centralize single repository che viene utilizzato per contenere tutti i dati e i contenuti principali di conformità.

I seguenti sono i principali vantaggi dell'utilizzo di Global Trade Services:

  • Aiuta a ridurre i costi e gli sforzi per la gestione della conformità per il commercio globale.

  • Può semplificare le attività manuali che richiedono tempo e aiuta a migliorare la produttività.

  • Riduce le sanzioni per le violazioni della conformità commerciale.

  • Ti aiuta a creare e migliorare il marchio e l'immagine ed evitare scambi con parti sanzionate o negate.

  • Apre la strada alla soddisfazione del cliente e migliora la qualità del servizio.

  • Accelera i processi in entrata e in uscita eseguendo lo sdoganamento e aiuta anche a rimuovere i ritardi non necessari.

Integrazione tra SAP ERP e SAP Global Trade Services

La figura seguente mostra il flusso del processo di integrazione tra SAP ERP e SAP Global Trade Services -

Quando installi SAP GRC, ci sono varie configurazioni e impostazioni che devi eseguire in GRC. Le attività chiave includono:

  • Creazione di connettori in GRC

  • Configurazione di AMF per utilizzare i connettori

  • Creazione di connettori di richiamata

  • La creazione di connessioni in GRC è il processo standard di creazione di una connessione RFC utilizzando T-Code - SM59

SAP GRC è disponibile in SAP Easy Access → nella cartella Governance Risk Compliance.

Step 1 - Apri il menu di accesso facile SAP e usa T-Code - SPRO

Step 2 - Vai a Governance, Risk and Compliance in SAP Reference IMG → Common Component Settings → Integration Framework → Create Connectors

Step 3 - Crea connettore è una scorciatoia per la creazione della connessione SM59.

Step 4 - Per vedere le connessioni esistenti, vai a Mantieni connettori e tipi di connessione -

Puoi vedere i tipi di connettori come mostrato di seguito. Questi tipi di connettori possono essere utilizzati per la configurazione per scopi diversi:

  • I connettori di sistema locale vengono utilizzati per l'integrazione con l'applicazione SAP BusinessObjects Access Control per il monitoraggio della segregazione delle violazioni dei doveri

  • I connettori del servizio Web vengono utilizzati per le origini dati dei partner esterni (vedere la sezione)

  • I connettori di sistema SAP vengono utilizzati in tutti gli altri casi.

Step 5 - Vai a Connection Type Definition scheda -

Step 6- Definire quali connettori definiti in precedenza in SM59 possono essere utilizzati nel monitoraggio. Vai a definire i connettori

Step 7- Nella schermata è possibile vedere il nome di un connettore - SMEA5_100. Questo è un connettore che mostra un connettore a un sistema ECC.

La terza colonna che elenca il nome di un connettore che è definito nel sistema monitorato e che è configurato per rimandare al sistema GRC che si sta configurando qui.

SMEA5_100 è un altro connettore nel sistema GRC e punta a un sistema ERP che deve essere monitorato. SM2 è un connettore sul sistema ECC e punta al sistema GRC.

Step 8 - Definisci la schermata del gruppo di connettori sul lato sinistro.

Step 9 - Qui devi assicurarti che tutte le configurazioni del connettore per il monitoraggio automatico debbano appartenere al gruppo di configurazione chiamato Automated Monitoring come mostrato sopra sotto define automated monitoring connector group.

Step 10 - Vai a assign connectors to connector group sul lato sinistro.

Step 11 - Assegna il connettore al gruppo di connettori AM come indicato nello screenshot sopra.

Step 12 - Vai a Maintain Connection Settings nel menu principale come nella schermata seguente.

Step 13 - Devi entrare nello scenario di integrazione che desideri, inserisci AM come nella seguente schermata -

Step 14- Fare clic sul segno di spunta verde come mostrato nell'immagine sopra; verrai indirizzato alla schermata seguente con nove scenari secondari.

La casella evidenziata mostra nove voci chiamate sotto-scenari e rappresentano i diversi tipi di origini dati e regole di business supportate in Process Control 10.

Step 15 - Affinché il sistema possa essere monitorato, è necessario collegare il connettore corrispondente a quello scenario secondario.

Step 16 - Seleziona lo scenario secondario che desideri configurare e quindi scegli Collegamento connettore scenario sul lato sinistro come mostrato di seguito -

Step 17 - Verrai indirizzato alla seguente schermata -

Step 18 - Ora il connettore che desideri utilizzare per quello scenario non è già nell'elenco per quello scenario secondario,

  • Puoi fare clic sul pulsante Nuove voci in alto per aggiungerlo.
  • Puoi seguire questi consigli per aggiungere iscrizioni -
    • Applicazioni ABAP: report ABAP, query SAP, programma configurabile
    • SAP BW - Query BW
    • Sistema non SAP - Partner esterno
    • Integratore di processo - PI
    • Sistema GRC - Integrazione SoD

In SAP GRC Process Control è possibile creare origini dati. Qui, le interfacce utente della fase di progettazione si trovano nell'opzione Impostazione regole nel client aziendale.

Vai alla sezione di monitoraggio continuo dove puoi trovare Data Sources e Business Rules opzione.

Per creare una nuova origine dati, fare clic su Origini dati → Crea.

Nel campo successivo, puoi vedere tre diverse schede per definire l'origine dati.

  • Scheda Generale
  • Campo oggetto
  • Collegamento e allegato

Nella scheda Generale, inserisci i seguenti dettagli:

  • Nome dell'origine dati
  • Data di inizio del periodo di validità
  • Data di fine del periodo di validità
  • Status

Vai a Object Field scheda, selezionare i seguenti campi:

In SAP GRC 10.0, è possibile utilizzare le regole di business per filtrare il flusso di dati che proviene dalle origini dati e applicare le condizioni / calcoli configurati dall'utente a tali dati per determinare se c'è un problema che richiede attenzione.

Il tipo di regola aziendale dipende esclusivamente dal tipo di origine dati.

Vai a Regole aziendali in Impostazione regole.

Per creare nuove regole di business, è disponibile un elenco di passaggi da seguire con alcuni tipi di origine dati.

È necessario definire i dettagli in ciascuna scheda. Ad esempio, inGeneral scheda, è necessario inserire le informazioni di base sulla regola aziendale. Business rule gives you data to filter the deficiencies.

Nella scheda Dati per analisi, vedrai un elenco di campi disponibili.

Vai al criterio di filtro per passare la condizione di filtro sugli oggetti disponibili. Puoi scegliere tra diversi operatori.

Quando definisci tutti i passaggi, hai un'opzione per salvare la regola. Se si desidera applicare la regola al controllo del processo, è possibile farlo facendo clic suApply pulsante.

Per assegnare una regola aziendale a un controllo di processo, andare ad Assegnazione regola aziendale in Monitoraggio continuo in Impostazione regola.

Seleziona il controllo e cerca la regola aziendale da applicare.

Abbiamo ora capito come creare origini dati e regole aziendali per applicare il filtro alle origini dati e come assegnare regole aziendali ai controlli di processo.