SAP GRC – 企业风险合规治理深入浅出

SAP Governance, Risk and Compliance 解决方案使组织能够管理法规和合规性，并消除管理组织关键运营的任何风险。根据不断变化的市场情况，组织不断发展，并且迅速更改和不适当的文件，外部审计师和监管机构不接受电子表格。

SAP GRC 帮助组织管理其法规和合规性并执行以下活动 –

将 GRC 活动轻松集成到现有流程中，并使关键的 GRC 活动自动化。
低复杂性和有效管理风险。
改进风险管理活动。
有效管理业务处理和审计管理中的欺诈。
组织表现更好，公司可以保护他们的价值观。
SAP GRC 解决方案包括三个主要领域：分析、管理和监控。

SAP GRC 中的模块

现在让我们了解 SAP GRC 中的不同模块 –

SAP GRC 访问控制

为了降低组织中的风险，需要将风险控制作为合规和监管实践的一部分。应明确定义职责，管理角色配置和管理超级用户的访问权限对于管理组织中的风险至关重要。

SAP GRC 流程控制和欺诈管理

SAP GRC 流程控制软件解决方案用于管理合规性和策略管理。合规管理功能允许组织管理和监控其内部控制环境。组织可以主动修复任何已识别的问题，并对相应合规活动的整体状态进行认证和报告。

SAP 流程控制支持政策管理的完整生命周期，包括目标群体对政策的分发和遵守。这些政策帮助组织降低合规成本和提高管理透明度，并使组织能够在商业环境中制定合规管理流程和政策。

SAP GRC 风险管理

SAP GRC 风险管理允许您管理风险管理活动。您可以提前计划以识别业务风险并实施措施来管理风险，并让您做出更好的决策以提高业务绩效。

风险有多种形式 –

操作风险
战略风险
合规风险
财务风险

SAP GRC 审计管理

这用于通过记录工件、组织工作文件和创建审计报告来改进组织中的审计管理过程。您可以轻松地与其他治理、风险和合规性解决方案集成，并使组织能够将审计管理策略与业务目标保持一致。

SAP GRC 审计管理通过提供以下功能帮助审计员简化事情 –

您可以使用移动功能拖放功能立即捕获用于审计管理和其他证据的工件。
您可以通过全局监控和跟进轻松创建、跟踪和管理审计问题。
您可以使用允许从遗留文件和工作文件中获取更多信息的搜索功能执行搜索。
您可以使用用户友好的界面和协作工具让审计员参与进来。
将审计管理与 SAP Fraud Management、SAP Risk Management 和 SAP Process Control 轻松集成，使审计流程与业务目标保持一致。
使用自动跟踪工具快速解决问题。
提高员工利用率，减少因内部审计规划、资源管理和调度而产生的差旅成本。
与 SAP Business Objects 报告和数据可视化工具轻松集成，使用 Lumira 和其他 BI 报告可视化审计报告。
使用预先建立的模板来标准化审计工件和报告流程。

SAP GRC 欺诈管理

SAP GRC 欺诈管理工具可帮助组织在早期检测和预防欺诈，从而最大程度地减少业务损失。可以更准确地实时扫描大量数据，并且可以轻松识别欺诈活动。

SAP欺诈管理软件可以帮助具有以下功能的组织 –

轻松调查和记录欺诈案件。
提高系统警报和响应能力，以防止欺诈活动在未来更频繁地发生。
轻松扫描大量交易和业务数据。

SAP GRC 全球贸易服务

SAP GRC GTS 软件可帮助组织在国际贸易管理范围内加强跨境供应。它有助于减少国际贸易监管当局对风险的惩罚。

它为所有合规主数据和内容提供了集中的全球贸易管理流程，而不管组织的规模如何。

SAP GRC 能力模型

SAP BusinessObjects GRC 解决方案包含三个主要功能 –分析、管理和监控。

在下图中，您可以看到涵盖 SAP GRC 软件所有关键功能的 SAP GRC 能力模型。使用 GRC，组织可以检查所有潜在风险和合规性发现，并可以采取正确的决策来减轻它们。

SAP GRC – SoD 风险管理

在每项业务中，都需要执行职责分离 (SoD) 风险管理 – 从风险识别到规则构建验证和各种其他风险管理活动，以遵循持续合规性。

根据不同的角色，需要在 GRC 系统中执行职责分离。SAP GRC 在 SoD 风险管理下定义了各种角色和职责 –

业务流程所有者

业务流程所有者执行以下任务 –

识别风险并批准风险以进行监控
批准涉及用户访问的补救措施
设计控制措施以减轻冲突
传达访问分配或角色更改
执行主动的持续合规性

高级人员

高级官员执行以下任务 –

批准或拒绝业务领域之间的风险
批准针对选定风险的缓解控制措施

安全管理员

安全管理员执行以下任务 –

承担 GRC 工具和安全流程的所有权
设计和维护规则以识别风险状况
自定义 GRC 角色以强制执行角色和职责
在角色级别分析和修复 SoD 冲突

审计员

审核员执行以下任务 –

定期风险评估
为审计目的提供具体要求
规则和缓解控制的定期测试
充当外部审计师之间的联络人

SoD 规则守护者

SoD Rule Keeper 执行以下任务 –

GRC 工具配置和管理
保持对规则的控制以确保完整性
作为基础和 GRC 支持中心之间的联络人

GRC 中的 SAP Risk Management 用于管理企业绩效的风险调整管理，使组织能够优化效率、提高有效性并最大限度地提高风险计划的可见性。

以下是风险管理下的主要功能–

风险管理强调组织对最高风险、相关阈值和风险缓解的调整。
风险分析包括进行定性和定量分析。
风险管理涉及识别组织中的关键风险。
风险管理还包括风险的解决/补救策略。
风险管理在所有业务功能中执行关键风险和绩效指标的调整，从而允许早期风险识别和动态风险缓解。

风险管理还涉及对现有业务流程和战略的主动监控。

GRC 风险管理的阶段

现在让我们讨论风险管理的各个阶段。以下是风险管理的各个阶段 –

风险识别
规则构建和验证
分析
修复
减轻
持续合规

风险识别

在风险管理下的风险识别过程中，可以执行以下步骤 –

识别授权风险并批准例外
明确风险并将其分类为高、中或低
识别未来监测的新风险和条件

规则构建和验证

在规则构建和验证下执行以下任务 –

参考环境的最佳实践规则
验证规则
自定义规则和测试
针对测试用户和角色案例进行验证

分析

在分析下执行以下任务 –

运行分析报告
估计清理工作
分析角色和用户
根据分析修改规则
设置警报以区分执行的风险

从管理方面，您可以查看按严重性和时间分组的风险违规的紧凑视图。

步骤 1 – 转到 Virsa 合规性校准器 → Informer 选项卡

步骤 2 – 对于 SoD 违规，您可以显示饼图和条形图来表示系统环境中当前和过去的违规。

以下是对这些违规行为的两种不同看法 –

按风险级别划分的违规
流程违规

修复

在修复下执行以下任务 –

确定消除风险的替代方案
进行分析并选择纠正措施
纠正措施的文件批准
修改或创建角色或用户分配

减轻

在缓解下执行以下任务 –

确定替代控制措施以降低风险
对管理层进行冲突批准和监控方面的教育
记录监控缓解控制的过程
实施控制

持续合规

在持续合规下执行以下任务 –

传达角色和用户分配的变化
模拟角色和用户的变化
实施警报以监控选定的风险并减轻控制测试

风险分类

应根据公司政策对风险进行分类。以下是您可以根据风险优先级和公司政策定义的各种风险分类 –

危急

关键分类是针对包含公司关键资产的风险进行的，这些资产很可能会因欺诈或系统中断而受到损害。

高的

这包括物理或金钱损失或系统范围的中断，包括欺诈、任何资产丢失或系统故障。

中等的

这包括多个系统中断，例如覆盖系统中的主数据。

低的

这包括由欺诈或系统中断和损失造成的生产力损失或系统故障最小的风险。

SAP GRC – 缓解控制

在 SAP GRC 10.0 中，当无法将职责分离 SoD 与业务流程分开时，您可以使用缓解控制。

例子

在组织中，考虑一个人在业务流程中负责导致缺失 SoD 冲突的角色的场景。

有可能用于缓解控制的不同示例 –

发布策略和授权限制
审查用户日志
审查异常报告
详细的方差分析
建立保险以涵盖安全事件的影响

缓解控制类型

SAP GRC 风险管理下有两种类型的缓解控制 –

预防
侦探

预防性缓解控制

预防性缓解控制用于在风险实际发生之前降低风险的影响。您可以在预防性缓解控制下执行各种活动 –

配置
用户退出
安全
定义工作流
自定义对象

侦探缓解控制

当收到警报并发生风险时，将使用检测缓解控制。在这种情况下，负责启动纠正措施的人会降低风险。

您可以在侦探缓解控制下执行各种活动 –

活动报告
计划与实际审查的比较
预算审查
警报

设置迁移控制

按照以下步骤设置迁移控制 –

步骤 1 – 登录 SAP GRC 访问控制。

步骤 2 – 在用户级别执行风险分析。输入以下详细信息 –

报告类型
报告格式

步骤 3 – 单击执行

步骤 4 – 您可以在不同的报告类型之间切换，如下面的屏幕截图所示 –

第 5 步– 登录 SAP GRC 访问控制并在角色级别安排风险分析后台作业。

输入以下详细信息 –

报告类型 – 权限级别
报告格式 – 总结

步骤 6 – 单击在后台运行，如下面的屏幕截图所示 –

步骤 7 – 在下一个窗口中，您可以选择立即开始。然后，单击“确定”。

SAP GRC – 超级用户权限

在 SAP GRC 10.0 中，需要在您的组织中实施超级用户权限管理，以消除您的公司在当前紧急用户方法中遇到的过度授权和风险。

以下是超级用户权限的主要功能 –

您可以允许超级用户在受控和可审计的环境中执行紧急活动
使用超级用户，您可以报告访问更高授权权限的所有用户活动。
您可以生成审计跟踪，用于记录使用更高访问权限的原因。
此审计跟踪可用于 SOX 合规性。
超级用户可以充当消防员并具有以下附加功能 –
- 它可用于在紧急情况下执行正常角色或配置文件之外的任务。
- 只有某些个人（所有者）可以分配消防员 ID。
- 它在创建审计层以监视和记录使用情况的同时为用户提供扩展功能。

超级用户权限管理下的标准角色

您可以使用以下标准角色进行超级用户权限管理 –

/VIRSA/Z_VFAT_ADMINISTRATOR

这具有配置消防员的能力
将消防员角色所有者和控制器分配给消防员 ID
运行报告

/VIRSA/Z_VFAT_ID_OWNER

为消防员用户分配消防员 ID
上传、下载和查看消防员历史记录

VIRSA/Z_VFAT_FIREFIGHTER

访问消防员计划

SAP GRC – 创建业务规则

在 SAP GRC 10.0 中，您可以使用业务规则来过滤来自数据源的数据流，并且您可以针对该数据应用用户配置的条件/计算以确定是否存在需要注意的问题。

业务规则类型完全取决于数据源类型。

转至规则设置下的业务规则。

要创建新的业务规则，您需要对少数数据源类型执行一系列步骤。

您需要在每个选项卡中定义详细信息。例如，在常规选项卡中，您需要输入业务规则的基本信息。业务规则为您提供过滤数据的不足之处。

在用于分析的数据选项卡中，您将看到可用字段列表。

转到过滤条件以通过可用对象的过滤条件。您可以从不同的运营商中进行选择。

定义所有步骤后，您可以选择保存规则。如果要将规则应用于流程控制，可以通过单击应用按钮来完成。

要将业务规则分配给流程控制，请转至规则设置中持续监控下的业务规则分配。

选择控件并搜索要应用的业务规则。

我们现在已经了解如何创建数据源和业务规则以对数据源应用过滤器以及如何将业务规则分配给流程控制。