SAP GRC - Gestione del rischio

SAP Risk Management in GRC viene utilizzato per gestire la gestione adeguata al rischio delle prestazioni aziendali che consente a un'organizzazione di ottimizzare l'efficienza, aumentare l'efficacia e massimizzare la visibilità tra le iniziative di rischio.

I seguenti sono i file key functions in gestione del rischio -

  • La gestione del rischio enfatizza l'allineamento organizzativo verso i rischi principali, le soglie associate e la mitigazione del rischio.

  • L'analisi del rischio include l'esecuzione di analisi qualitative e quantitative.

  • La gestione del rischio implica l'identificazione dei rischi chiave in un'organizzazione.

  • La gestione del rischio include anche strategie di risoluzione / riparazione dei rischi.

  • La gestione del rischio esegue l'allineamento degli indicatori chiave di rischio e di prestazione in tutte le funzioni aziendali consentendo un'identificazione precoce del rischio e una mitigazione dinamica del rischio.

La gestione del rischio implica anche il monitoraggio proattivo dei processi e delle strategie aziendali esistenti.

Fasi nella gestione del rischio

Parliamo ora delle varie fasi della gestione del rischio. Di seguito sono riportate le varie fasi della gestione del rischio:

  • Riconoscimento del rischio
  • Costruzione e convalida delle regole
  • Analysis
  • Remediation
  • Mitigation
  • Conformità continua

Riconoscimento del rischio

In un processo di riconoscimento del rischio nell'ambito della gestione del rischio, è possibile eseguire i seguenti passaggi:

  • Identifica i rischi di autorizzazione e approva le eccezioni
  • Chiarire e classificare il rischio come alto, medio o basso
  • Identificare nuovi rischi e condizioni per il monitoraggio in futuro

Costruzione e convalida delle regole

Eseguire le seguenti attività in Creazione e convalida delle regole:

  • Fare riferimento alle regole di best practice per l'ambiente
  • Convalida le regole
  • Personalizza regole e verifica
  • Verifica contro utenti di prova e casi di ruolo

Analisi

Eseguire le seguenti attività in Analisi:

  • Esegui i rapporti analitici
  • Stima gli sforzi di pulizia
  • Analizza ruoli e utenti
  • Modifica le regole in base all'analisi
  • Imposta avvisi per distinguere i rischi eseguiti

Dall'aspetto gestionale, è possibile visualizzare una visualizzazione compatta delle violazioni dei rischi raggruppate per gravità e tempo.

Step 1 - Vai a Virsa Compliance Calibrator → scheda Informer

Step 2 - Per le violazioni SoD, è possibile visualizzare un grafico a torta e un grafico a barre per rappresentare le violazioni attuali e passate nel panorama del sistema.

I seguenti sono i due diversi punti di vista di queste violazioni:

  • Violazioni per livello di rischio
  • Violazioni per processo

Bonifica

Eseguire le seguenti attività in fase di riparazione:

  • Determina alternative per eliminare i rischi
  • Presentare l'analisi e selezionare le azioni correttive
  • Documentare l'approvazione delle azioni correttive
  • Modifica o crea ruoli o assegnazioni utente

Mitigazione

Eseguire le seguenti attività sotto mitigazione:

  • Determinare controlli alternativi per mitigare il rischio
  • Educare la direzione all'approvazione e al monitoraggio dei conflitti
  • Documentare un processo per monitorare i controlli di mitigazione
  • Implementare i controlli

Conformità continua

Eseguire le seguenti attività in Conformità continua:

  • Comunica i cambiamenti nei ruoli e nelle assegnazioni degli utenti
  • Simula le modifiche ai ruoli e agli utenti
  • Implementa avvisi per monitorare i rischi selezionati e mitigare i test di controllo

Classificazione del rischio

I rischi dovrebbero essere classificati secondo la politica aziendale. Di seguito sono riportate le varie classificazioni di rischio che è possibile definire in base alla priorità del rischio e alla politica aziendale:

Critico

La classificazione critica viene eseguita per i rischi che contengono risorse critiche dell'azienda che molto probabilmente saranno compromesse da frodi o interruzioni del sistema.

Alto

Ciò include perdite fisiche o monetarie o interruzioni a livello di sistema che includono frode, perdita di qualsiasi risorsa o guasto di un sistema.

medio

Ciò include più interruzioni del sistema come la sovrascrittura dei dati master nel sistema.

Basso

Ciò include il rischio in cui le perdite di produttività o guasti del sistema compromessi da frodi o interruzioni e perdite di sistema sono minime.