SAP GRC - Gestione del rischio
SAP Risk Management in GRC viene utilizzato per gestire la gestione adeguata al rischio delle prestazioni aziendali che consente a un'organizzazione di ottimizzare l'efficienza, aumentare l'efficacia e massimizzare la visibilità tra le iniziative di rischio.
I seguenti sono i file key functions in gestione del rischio -
La gestione del rischio enfatizza l'allineamento organizzativo verso i rischi principali, le soglie associate e la mitigazione del rischio.
L'analisi del rischio include l'esecuzione di analisi qualitative e quantitative.
La gestione del rischio implica l'identificazione dei rischi chiave in un'organizzazione.
La gestione del rischio include anche strategie di risoluzione / riparazione dei rischi.
La gestione del rischio esegue l'allineamento degli indicatori chiave di rischio e di prestazione in tutte le funzioni aziendali consentendo un'identificazione precoce del rischio e una mitigazione dinamica del rischio.
La gestione del rischio implica anche il monitoraggio proattivo dei processi e delle strategie aziendali esistenti.
Fasi nella gestione del rischio
Parliamo ora delle varie fasi della gestione del rischio. Di seguito sono riportate le varie fasi della gestione del rischio:
- Riconoscimento del rischio
- Costruzione e convalida delle regole
- Analysis
- Remediation
- Mitigation
- Conformità continua
Riconoscimento del rischio
In un processo di riconoscimento del rischio nell'ambito della gestione del rischio, è possibile eseguire i seguenti passaggi:
- Identifica i rischi di autorizzazione e approva le eccezioni
- Chiarire e classificare il rischio come alto, medio o basso
- Identificare nuovi rischi e condizioni per il monitoraggio in futuro
Costruzione e convalida delle regole
Eseguire le seguenti attività in Creazione e convalida delle regole:
- Fare riferimento alle regole di best practice per l'ambiente
- Convalida le regole
- Personalizza regole e verifica
- Verifica contro utenti di prova e casi di ruolo
Analisi
Eseguire le seguenti attività in Analisi:
- Esegui i rapporti analitici
- Stima gli sforzi di pulizia
- Analizza ruoli e utenti
- Modifica le regole in base all'analisi
- Imposta avvisi per distinguere i rischi eseguiti
Dall'aspetto gestionale, è possibile visualizzare una visualizzazione compatta delle violazioni dei rischi raggruppate per gravità e tempo.
Step 1 - Vai a Virsa Compliance Calibrator → scheda Informer
Step 2 - Per le violazioni SoD, è possibile visualizzare un grafico a torta e un grafico a barre per rappresentare le violazioni attuali e passate nel panorama del sistema.
I seguenti sono i due diversi punti di vista di queste violazioni:
- Violazioni per livello di rischio
- Violazioni per processo
Bonifica
Eseguire le seguenti attività in fase di riparazione:
- Determina alternative per eliminare i rischi
- Presentare l'analisi e selezionare le azioni correttive
- Documentare l'approvazione delle azioni correttive
- Modifica o crea ruoli o assegnazioni utente
Mitigazione
Eseguire le seguenti attività sotto mitigazione:
- Determinare controlli alternativi per mitigare il rischio
- Educare la direzione all'approvazione e al monitoraggio dei conflitti
- Documentare un processo per monitorare i controlli di mitigazione
- Implementare i controlli
Conformità continua
Eseguire le seguenti attività in Conformità continua:
- Comunica i cambiamenti nei ruoli e nelle assegnazioni degli utenti
- Simula le modifiche ai ruoli e agli utenti
- Implementa avvisi per monitorare i rischi selezionati e mitigare i test di controllo
Classificazione del rischio
I rischi dovrebbero essere classificati secondo la politica aziendale. Di seguito sono riportate le varie classificazioni di rischio che è possibile definire in base alla priorità del rischio e alla politica aziendale:
Critico
La classificazione critica viene eseguita per i rischi che contengono risorse critiche dell'azienda che molto probabilmente saranno compromesse da frodi o interruzioni del sistema.
Alto
Ciò include perdite fisiche o monetarie o interruzioni a livello di sistema che includono frode, perdita di qualsiasi risorsa o guasto di un sistema.
medio
Ciò include più interruzioni del sistema come la sovrascrittura dei dati master nel sistema.
Basso
Ciò include il rischio in cui le perdite di produttività o guasti del sistema compromessi da frodi o interruzioni e perdite di sistema sono minime.