SAP GRC – 快速指南
SAP GRC – 快速指南
SAP GRC – 概述
SAP Governance, Risk and Compliance 解决方案使组织能够管理法规和合规性,并消除管理组织关键运营的任何风险。根据不断变化的市场情况,组织不断发展,并且迅速更改和不适当的文件,外部审计师和监管机构不接受电子表格。
SAP GRC 帮助组织管理其法规和合规性并执行以下活动 –
-
将 GRC 活动轻松集成到现有流程中,并使关键的 GRC 活动自动化。
-
低复杂性和有效管理风险。
-
改进风险管理活动。
-
有效管理业务处理和审计管理中的欺诈。
-
组织表现更好,公司可以保护他们的价值观。
-
SAP GRC 解决方案包括三个主要领域:分析、管理和监控。
SAP GRC 中的模块
现在让我们了解 SAP GRC 中的不同模块 –
SAP GRC 访问控制
为了降低组织中的风险,需要将风险控制作为合规和监管实践的一部分。应明确定义职责,管理角色配置和管理超级用户的访问权限对于管理组织中的风险至关重要。
SAP GRC 流程控制和欺诈管理
SAP GRC 流程控制软件解决方案用于管理合规性和策略管理。合规管理功能允许组织管理和监控其内部控制环境。组织可以主动修复任何已识别的问题,并对相应合规活动的整体状态进行认证和报告。
SAP 流程控制支持政策管理的完整生命周期,包括目标群体对政策的分发和遵守。这些政策帮助组织降低合规成本和提高管理透明度,并使组织能够在商业环境中制定合规管理流程和政策。
SAP GRC 风险管理
SAP GRC 风险管理允许您管理风险管理活动。您可以提前计划以识别业务风险并实施措施来管理风险,并让您做出更好的决策以提高业务绩效。
风险有多种形式 –
- 操作风险
- 战略风险
- 合规风险
- 财务风险
SAP GRC 审计管理
这用于通过记录工件、组织工作文件和创建审计报告来改进组织中的审计管理过程。您可以轻松地与其他治理、风险和合规性解决方案集成,并使组织能够将审计管理策略与业务目标保持一致。
SAP GRC 审计管理通过提供以下功能帮助审计员简化事情 –
-
您可以使用移动功能拖放功能立即捕获用于审计管理和其他证据的工件。
-
您可以通过全局监控和跟进轻松创建、跟踪和管理审计问题。
-
您可以使用允许从遗留文件和工作文件中获取更多信息的搜索功能执行搜索。
-
您可以使用用户友好的界面和协作工具让审计员参与进来。
-
将审计管理与 SAP Fraud Management、SAP Risk Management 和 SAP Process Control 轻松集成,使审计流程与业务目标保持一致。
-
使用自动跟踪工具快速解决问题。
-
提高员工利用率,减少因内部审计规划、资源管理和调度而产生的差旅成本。
-
与 SAP Business Objects 报告和数据可视化工具轻松集成,使用 Lumira 和其他 BI 报告可视化审计报告。
-
使用预先建立的模板来标准化审计工件和报告流程。
SAP GRC 欺诈管理
SAP GRC 欺诈管理工具可帮助组织在早期检测和预防欺诈,从而最大程度地减少业务损失。可以更准确地实时扫描大量数据,并且可以轻松识别欺诈活动。
SAP欺诈管理软件可以帮助具有以下功能的组织 –
-
轻松调查和记录欺诈案件。
-
提高系统警报和响应能力,以防止欺诈活动在未来更频繁地发生。
-
轻松扫描大量交易和业务数据。
SAP GRC 全球贸易服务
SAP GRC GTS 软件可帮助组织在国际贸易管理范围内加强跨境供应。它有助于减少国际贸易监管当局对风险的惩罚。
它为所有合规主数据和内容提供了集中的全球贸易管理流程,而不管组织的规模如何。
SAP GRC 能力模型
SAP BusinessObjects GRC 解决方案包含三个主要功能 –分析、管理和监控。
在下图中,您可以看到涵盖 SAP GRC 软件所有关键功能的 SAP GRC 能力模型。使用 GRC,组织可以检查所有潜在风险和合规性发现,并可以采取正确的决策来减轻它们。
SAP GRC – 导航
在旧版本的 SAP GRC 中,为了使用访问控制、流程控制和风险管理,每个组件都有一个单独的导航。这意味着用户要执行跨组件职责,必须分别登录每个模块并多次登录。这导致管理多个窗口的过程很艰难,要搜索的文档也很艰难。
SAP GRC 10.0 根据授权为单个用户提供访问控制、流程控制和风险管理组件的直接导航,并取消了对多个窗口的管理。
步骤 1 – 要执行自定义活动并维护 GRC 解决方案的配置设置,请转到 T-code – SPRO → SAP 参考 IMG
第 2 步– 扩展治理、风险和合规性节点 –
第 3 步– 登录 NetWeaver 业务客户端 –
在 SAP Easy access 中运行 NWBC 的事务。
它将打开 NetWeaver Business Client 屏幕,您将收到以下 URL –
http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/
SAP GRC 工作中心
您可以使用工作中心为 GRC 10.0 提供中央访问点。它们可以根据客户已获得运营许可的内容进行组织。
步骤 1 – 要访问工作中心,请打开如上所述的 NetWeaver 业务客户端。转到顶部的/nwbc选项以打开工作中心。
第 2 步– 单击后,您将被定向到 SAP NetWeaver Business 客户端的主屏幕。
根据您获得许可的产品,将显示 GRC 解决方案的不同组件 –访问控制、过程控制或风险管理。
SAP GRC – 访问控制
SAP GRC 访问控制可帮助组织自动检测、管理和预防访问风险违规,并减少对公司数据和信息的未授权访问。用户可以使用自动自助服务来访问请求提交、工作流驱动的访问请求和访问批准。可以使用 SAP GRC 访问控制对用户访问、角色授权和风险违规进行自动审查。
SAP GRC 访问控制通过允许企业管理访问风险来应对关键挑战。它通过定义职责分离 SoD 和关键访问并最大限度地减少访问风险管理的时间和成本,帮助组织防止未经授权的访问。
主要特征
以下是 SAP GRC 访问控制的主要功能 –
-
根据不同的审计标准(如 SOX、BSI 和 ISO 标准)根据法律要求执行审计和合规性。
-
自动检测组织中跨 SAP 和非 SAP 系统的访问风险违规。
-
如前所述,它为用户提供自助访问提交、工作流驱动的访问请求和请求批准。
-
在小型和大型组织中自动审查用户访问、角色授权、风险违规和控制分配。
-
高效管理超级用户访问,避免SAP和非SAP系统中数据和应用的风险违规和未授权访问。
如何探索访问控制设置工作中心?
在 SAP Easy access 中运行 NWBC 的事务。
它将打开 NetWeaver Business Client 屏幕,您将收到以下 URL –
http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/
步骤 1 – 要访问工作中心,请打开如上所述的 NetWeaver 业务客户端。转到顶部的/nwbc选项以打开工作中心。
第 2 步– 单击后,您将被定向到 SAP NetWeaver Business 客户端的主屏幕。
步骤 3 – 转到设置工作中心并探索工作集。单击每个链接下的一些链接并浏览各个屏幕。
步骤 4 – 设置工作中心在访问控制中可用,并提供指向以下部分的链接 –
- 访问规则维护
- 异常访问规则
- 关键访问规则
- 生成的规则
- 组织
- 减轻控制
- 超级用户分配
- 超级用户维护
- 访问所有者
步骤 5 – 您可以通过以下方式使用上面列出的功能 –
-
使用访问规则维护部分,您可以管理用于识别访问违规的访问规则集、功能和访问风险。
-
使用例外访问规则,您可以管理补充访问规则的规则。
-
使用关键访问规则部分,您可以定义其他规则来标识对关键角色和配置文件的访问。
-
使用生成的规则部分,您可以查找和查看生成的访问规则。
-
在组织下,您可以通过相关分配维护公司的组织结构以进行合规性和风险管理。
-
缓解控制部分允许您管理控制以缓解职责分离、关键操作和关键权限访问违规。
-
超级用户分配是您将所有者分配给消防员 ID 并将消防员 ID 分配给用户的地方。
-
超级用户维护是您维护消防员、控制器和原因代码分配的地方。
-
在访问所有者下,您可以管理访问管理功能的所有者权限。
SAP GRC – 访问管理工作中心
根据 GRC 软件许可证,您可以导航访问管理工作中心。它有多个部分来管理访问控制活动。
当您单击访问管理工作中心时,您可以看到以下部分 –
- GRC 角色分配
- 访问风险分析
- 缓解访问
- 访问请求管理
- 角色管理
- 角色挖掘
- 角色批量维护
- 超级用户分配
- 超级用户维护
- 访问请求创建
- 合规性认证审查
- 警报
- 调度
以上部分通过以下方式帮助您 –
-
当您进入访问风险分析部分时,您可以跨用户、角色、HR 对象和组织级别评估系统的访问风险。访问风险是两个或多个操作或权限,当可用于单个用户或单个角色、配置文件、组织级别或 HR 对象时,可能会产生错误或不规则。
-
使用缓解访问部分,您可以识别访问风险,评估这些风险的级别,并将缓解控制分配给用户、角色和配置文件以缓解访问规则违规。
-
在访问请求管理部分,您可以管理访问分配、帐户和审核流程。
-
使用角色管理,您可以在单个统一存储库中管理来自多个系统的角色。
-
在角色挖掘组功能中,您可以定位感兴趣的角色,对其进行分析并采取行动。
-
使用角色批量维护,您可以导入和更改多个角色的授权和属性。
-
在超级用户分配部分,您可以将消防员 ID 分配给所有者,并将消防员和控制器分配给消防员 ID。
-
在超级用户维护部分,您可以执行诸如研究和维护消防员和控制器以及按系统分配原因代码等活动。
-
使用访问请求创建,您可以创建访问分配和帐户。
-
合规性认证审核支持对用户访问、风险违规和角色分配的审核。
-
使用警报,您可以由应用程序生成以执行关键或冲突的操作。
-
使用规则设置工作中心的计划部分,您可以维护持续控制监控和自动化测试的计划,并跟踪相关的工作进度。
访问和授权管理
在 SAP GRC 解决方案中,您可以管理授权对象来限制用户可以访问的项目和数据。授权控制用户可以访问 SAP 系统中的工作中心和报表的内容。
要访问 GRC 解决方案,您应该具有以下访问权限 –
- 门户授权
- 适用的PFCG角色
- PFCG 用于访问控制、过程控制和风险管理的角色
根据 GRC 组件 – AC、PC 和 RM,需要下面列出的授权类型。
| Role Name | 类型 | 描述 | 成分 |
|---|---|---|---|
| SAP_GRC_FN_BASE | PFCG | 基本角色 | 电脑,RM |
| SAP_GRAC_BASE | PFCG | 基本角色(包括 SAP_GRC_FN_BASE) | 交流电 |
| SAP_GRC_NWBC | PFCG | 在 NWBC 中运行 GRC 10.0 的角色 | 交流电、PC、RM |
| SAP_GRAC_NWBC | PFCG | 为 AC 运行简化的 NWBC 工作中心的角色 | 交流电 |
| GRC_Suite | 门户网站 | 在门户中运行 10.0 中的 GRC 的门户角色 | 交流电、PC、RM |
| SAP_GRC_FN_BUSINESS_USER | PFCG | 普通用户角色 | 交流电*, PC, RM |
| SAP_GRC_FN_ALL | PFCG | 超级用户角色;绕过 PC 和 RM 的实体级授权 | 电脑,RM |
| SAP_GRAC_ALL | PFCG | 超级用户角色 | 交流电 |
| SAP_GRC_FN_DISPLAY | PFCG | 显示所有用户角色 | 电脑,RM |
| SAP_GRAC_DISPLAY_ALL | PFCG | 显示所有用户角色 | 交流电 |
| SAP_GRAC_SETUP | PFCG | 自定义角色(用于维护 IMG 中的配置) | 交流电 |
| SAP_GRC_SPC_CUSTOMIZING | PFCG | 自定义角色(用于维护 IMG 中的配置) | 个人电脑 |
| SAP_GRC_RM_CUSTOMIZING | PFCG | 自定义角色(用于维护 IMG 中的配置) | R M |
| SAP_GRAC_RISK_ANALYSIS | PFCG | 该角色授予运行 SoD 作业的权限 | 交流电、PC、RM |
Portal 组件和 NWBC 中的授权
在 SAP GRC 10.0 解决方案中,工作中心在门户组件的 PCD 角色和 NWBC(NetWeaver 业务客户端)的PFCG 角色中定义。工作中心固定在每个基本角色中。然而,SAP 提供了这些角色;客户可以根据需要修改这些角色。
服务映射中应用程序文件夹和从属应用程序的位置由 SAP NetWeaver Launchpad 应用程序控制。服务地图由用户授权控制,因此如果用户无权查看任何应用程序,它们将隐藏在 NetWeaver Business 客户端中。
如何在访问管理工作中心查看角色分配?
按照以下步骤查看角色分配 –
步骤 1 – 转到 NetWeaver 业务客户端中的访问管理工作中心。
步骤 2 – 在 GRC 角色分配下选择业务流程并转到子流程角色级别。单击下一步继续分配角色部分。
如何在主数据工作中心查看角色分配?
步骤 1 – 转到主数据工作中心 → 组织
步骤 2 – 在下一个窗口中,从列表中选择任何组织,然后单击打开。
步骤 3 –请注意,组织旁边的三角形表示有子组织,组织旁边的点表示它是最低级别。
步骤 4 – 单击子流程选项卡 → 分配子流程。现在选择一两个子流程并单击下一步。
步骤 5 – 不做任何更改,单击“选择控件”步骤中的“完成”。
步骤 6 – 从列表中选择第一个子进程,然后单击打开。您应该会看到子流程详细信息。
步骤 7 – 单击角色选项卡。从列表中选择一个角色,然后单击分配。
SAP GRC – 授权
SAP GRC 访问控制使用 UME 角色来控制系统中的用户授权。管理员可以使用代表用户可以用来构建访问权限的 UME 角色的最小实体的操作。
一个 UME 角色可以包含来自一个或多个应用程序的操作。您必须在用户管理引擎 (UME) 中为用户分配 UME 角色。
UME中的授权
当用户无权访问某个选项卡时,当用户尝试访问该选项卡时,该选项卡将不会在用户登录时显示。当某个选项卡的 UME 操作分配给该特定用户时,只有这样他才能访问该功能。
对于CC标签所有可用的标准UME动作可以在该选项卡中找到“分配操作”中的Admin用户。
UME 角色
您应该创建一个管理员角色,并将该角色分配给超级用户以执行 SAP 合规性校准器相关活动。在实施时可以在 SAP GRC 访问控制下创建各种 CC 角色 –
- CC.ReportingView
说明– 合规性校准器显示和报告
- CC.RuleMaintenance
说明– 合规校准器规则维护
- CC.Mit维护
说明– 合规校准器缓解维护
- 抄送管理
说明– 合规性校准器管理和基础配置
如何打开用户维护引擎?
使用 UME,您可以在访问控制下执行各种关键活动 –
- 您可以执行用户和角色维护
- 可用于用户数据源配置
- 您可以应用安全设置和密码规则
要打开 UME,您应该使用以下 URL –
http://<主机名>:<端口>/useradmin
SAP GRC – 访问控制启动板
在 SAP GRC 10.0 中,您可以使用访问控制启动板来维护 GRC 访问控制下的关键功能。它是可用于风险分析和补救 (RAR)的单个网页。
在 GRC 访问控制中,您可以使用风险分析和补救 (RAR) 功能来执行安全审计和职责分离 (SoD) 分析。它是一种工具,可用于识别、分析和解决与以下法规遵从性相关的风险和审计问题。在这里,您还可以协同定义以下内容 –
- 企业角色管理 (ERM)
- 合规用户配置 (CUP)
- 超级用户权限管理
在 NWBC 中创建新的启动板
按照以下步骤在 NWBC 中创建一个新的 Launchpad –
步骤 1 – 转到 PFCG 角色,并打开角色 SAP_GRAC_NWBC
第 2 步– 当您右键单击我的主页项目时,您可以看到被调用的应用程序是grfn_service_map?WDCONFIGURATIONID=GRAC_FPM_AC_LPD_HOME并且配置 ID 是GRAC_FPM_AC_LPD_HOME。
步骤 3 – 选择应用程序配置按钮,您可以看到应用程序配置屏幕 → 显示按钮。
第 4 步– 单击显示时,您可以看到此屏幕 –
步骤 5 – 现在打开组件配置按钮。
步骤 6 – 单击此屏幕中的配置 UIBB按钮。您将被定向到以下屏幕 –
步骤 7 – 您可以选择要映射到的 Launchpad。如果要创建新 Launchpad,还可以将其映射到新角色。
第 8 步– 要创建一个新的 Launchpad,请定义以下内容 –
-
使用您想要的菜单项创建一个新的启动板。
-
创建应用程序GRFN_SERVICE_MAP的新配置,或者您可以复制配置 ID GRAC_FPM_AC_LPD_HOME并进一步自定义。
-
在新配置中,选择要关联的启动板。
-
创建一个新角色并将 webdynpro 应用程序GRFN_SERVICE_MAP添加到它,并使用在上一步中创建的自定义配置 ID。
SAP GRC – 与访问控制集成
在 SAP GRC 10.0 解决方案中,主数据和组织结构在访问控制、流程控制和风险管理之间共享。流程控制还与风险管理流程共享某些功能。
以下是与访问控制共享的主要功能 –
-
访问控制和过程控制在以下领域共享合规结构 –
-
在流程控制解决方案中,控制被用作 SAP GRC 10.0 解决方案下访问控制中的缓解控制。
-
访问控制和过程控制共享同一个组织。
-
在流程控制中,流程被用作访问控制中的业务流程。
-
流程控制和访问控制与访问风险分析相结合,以监控职责分离 SoD。
-
流程控制和风险管理共同的菜单区域是 –
- GRC 角色分配
- 过程控制计划员
- 风险管理规划师
- 中央代表团
以下是过程控制和风险管理之间的关键集成点 –
-
新的控制点可用于风险管理中的过程控制。
-
当提出新的控制时,过程控制需要评估风险管理的请求。
-
风险管理使用流程控制的结果来评估新的控制。
-
风险管理还可以使用流程控制中的现有控制作为风险管理中的响应。
SAP GRC – 与 IAM 的集成
内部审计管理允许您处理来自风险管理和流程控制的信息以用于审计计划。审计建议可以在需要时传输给审计管理进行处理,审计项目可以用来生成报告问题。IAM 为您提供了一个地方,您可以在其中执行完整的审计计划、创建审计项目、定义审计范围以及创建和查看审计报告和审计问题。
内部审计管理工作中心为以下活动提供了一个中心位置 –
- 为您的组织定义审计范围
- 审计风险评级
- 审计计划以定义审计合规程序
- 审计行动中的审计问题
- 审计报告以了解可审计实体存在哪些风险
SAP GRC – 审计领域
Audit Universe 包含可以分类为业务单位、业务线或部门的审计实体。审计实体定义审计计划策略,这些策略可以链接到过程控制和风险管理以查找风险、控制等。
创建可审计实体
现在让我们了解如何创建可审计的实体。
步骤 1 – 转到顶部的/nwbc选项以打开工作中心
第 2 步– 在 SAP NetWeaver 业务客户端中,转到 IAM 工作中心。
第 3 步– 导航至内部审计管理 → 审计宇宙
步骤 4 – 单击“创建”按钮并转到“常规”选项卡。
步骤 5 – 为可审计实体输入以下详细信息 –
- 名称
- 描述
- 类型
- 地位
- 添加任何附加信息的注释
步骤 6 – 转到审计计划选项卡以查看审计建议和带有转移日期的审计计划建议。
步骤 7 – 选择附件和链接选项卡以添加任何类型的文件或链接。
步骤 8 – 当您输入所需的详细信息时,您可以从以下选项中进行选择 –
- 选择保存以保存实体。
- 选择关闭退出而不保存。
SAP 流程控制 — 审计风险评级
审计风险评级用于定义组织查找风险评级和建立风险评级排名的标准。每个可审计实体都根据 ARR 中的管理反馈进行评级。您可以使用 ARR 执行以下功能 –
-
您可以找到一组可审计的实体和风险因素。
-
定义和评估每个可审计实体中风险因素的风险评分。
-
根据风险评分,您可以对可审计实体进行评级。
-
您还可以通过比较不同可审计实体的风险评分,从 ARR 生成审计计划。除此之外,您可以选择高风险评分的可审计实体并生成审计建议和审计计划建议。
创建审计风险评级
现在让我们了解创建审计风险评级的步骤
步骤 1 – 在 SAP NetWeaver 业务客户端中,转到 IAM 工作中心。
第 2 步– 导航至内部审计管理 → 审计风险评级 → 创建
步骤 3 – 在常规选项卡中,输入以下详细信息 –
- 名称
- 描述
- 有效期自
- 有效
- 负责人
- 地位
步骤 4 – 转到可审计实体并单击添加按钮以从可审计实体中进行选择。
步骤 5 – 转到风险因素选项卡,然后选择ARR风险因素。选择添加以添加风险因素 → 确定。
步骤 6 – 转到风险评分选项卡,选择实体并在风险因素表上输入风险评分。单击计算按钮查看平均分数。进入风险级别和风险优先级栏输入详细信息。
转到审计计划建议选项卡,以确保您正在创建审计计划建议。选择导出以创建 Excel 电子表格,以表格形式查看 ARR 的信息。
选择保存按钮保存可审计实体的审计风险评级。
过程控制工作中心
工作中心为整个 GRC 功能提供了一个中央访问点。它们被组织起来以提供对应用程序活动的轻松访问,并包含菜单组和指向进一步活动的链接。
以下工作中心由访问控制、流程控制和风险管理共享 –
- 我的家
- 主要的数据
- 规则设置
- 评估
- 访问管理
- 报告和分析
让我们讨论主要的工作中心。
我的家
我的家庭工作中心由流程控制、风险管理和访问控制共享。这提供了一个集中位置,您可以在其中管理 GRC 应用程序中分配的任务和可访问的对象。我的家有许多部分。现在让我们了解工作收件箱部分 –
工作收件箱
使用工作收件箱,您可以查看您必须在 GRC 软件中处理的任务。
如果要处理任务,请单击表中的任务。
它将打开工作流窗口,您可以在其中处理任务。
主要的数据
主数据工作中心由流程控制、风险管理和访问控制共享。过程控制主数据工作中心包含以下部分 –
- 组织
- 法规和政策
- 目标
- 活动和流程
- 风险与应对
- 帐户
- 报告
现在让我们讨论主数据工作中心下的主要工作中心 –
组织– 维护公司的组织结构以进行相关任务的合规性和风险管理
缓解控制– 维护控制以缓解职责分离、关键操作和关键权限访问违规
要创建缓解控制,请单击“创建”按钮。
您将被定向到一个新窗口,输入缓解控制的详细信息,然后单击“保存”按钮。
报告和分析
报告和分析工作中心由流程控制、风险管理和访问控制共享。过程控制报告和分析工作中心由 GRC 应用程序中的合规部分组成。
在合规性部分,您可以在流程控制下创建以下报告 –
评估状态仪表板
显示跨不同业务实体的企业合规性总体状态的高级图片,并提供分析和向下钻取功能以查看不同级别和维度的数据。
调查结果
显示调查结果。
数据表
提供有关子流程和控制的主数据、评估和补救活动的综合信息。
以下使用数据表功能的角色 –
-
内部审计员– 他们可以使用数据表来了解 GRC 下组织中的控制和子流程。
-
流程所有者– 在 GRC 应用程序中,流程所有者和控制所有者可以请求数据表以了解其子流程的概述。数据表信息提供了子流程的定义、对子流程完成的评估、子流程包含的控制以及对这些控制进行的评估和测试。
-
控件所有者– 控件所有者可以使用数据表来检查其控件的设计。控制所有者可以评估控制以检查控制及其有效性。
-
外部审计师–外部审计师可以使用数据表;这可用于请求信息以研究控制或子流程。
注– 其他工作中心(如访问管理、评估和规则设置)也由流程控制、访问控制和风险管理共享。
流程控制访问管理工作中心有 GRC 角色分配部分。
SAP GRC – SoD 风险管理
在每项业务中,都需要执行职责分离 (SoD) 风险管理 – 从风险识别到规则构建验证和各种其他风险管理活动,以遵循持续合规性。
根据不同的角色,需要在 GRC 系统中执行职责分离。SAP GRC 在 SoD 风险管理下定义了各种角色和职责 –
业务流程所有者
业务流程所有者执行以下任务 –
- 识别风险并批准风险以进行监控
- 批准涉及用户访问的补救措施
- 设计控制措施以减轻冲突
- 传达访问分配或角色更改
- 执行主动的持续合规性
高级人员
高级官员执行以下任务 –
- 批准或拒绝业务领域之间的风险
- 批准针对选定风险的缓解控制措施
安全管理员
安全管理员执行以下任务 –
- 承担 GRC 工具和安全流程的所有权
- 设计和维护规则以识别风险状况
- 自定义 GRC 角色以强制执行角色和职责
- 在角色级别分析和修复 SoD 冲突
审计员
审核员执行以下任务 –
- 定期风险评估
- 为审计目的提供具体要求
- 规则和缓解控制的定期测试
- 充当外部审计师之间的联络人
SoD 规则守护者
SoD Rule Keeper 执行以下任务 –
- GRC 工具配置和管理
- 保持对规则的控制以确保完整性
- 作为基础和 GRC 支持中心之间的联络人
SAP GRC – 风险管理
GRC 中的 SAP Risk Management 用于管理企业绩效的风险调整管理,使组织能够优化效率、提高有效性并最大限度地提高风险计划的可见性。
以下是风险管理下的主要功能–
-
风险管理强调组织对最高风险、相关阈值和风险缓解的调整。
-
风险分析包括进行定性和定量分析。
-
风险管理涉及识别组织中的关键风险。
-
风险管理还包括风险的解决/补救策略。
-
风险管理在所有业务功能中执行关键风险和绩效指标的调整,从而允许早期风险识别和动态风险缓解。
风险管理还涉及对现有业务流程和战略的主动监控。
风险管理的阶段
现在让我们讨论风险管理的各个阶段。以下是风险管理的各个阶段 –
- 风险识别
- 规则构建和验证
- 分析
- 修复
- 减轻
- 持续合规
风险识别
在风险管理下的风险识别过程中,可以执行以下步骤 –
- 识别授权风险并批准例外
- 明确风险并将其分类为高、中或低
- 识别未来监测的新风险和条件
规则构建和验证
在规则构建和验证下执行以下任务 –
- 参考环境的最佳实践规则
- 验证规则
- 自定义规则和测试
- 针对测试用户和角色案例进行验证
分析
在分析下执行以下任务 –
- 运行分析报告
- 估计清理工作
- 分析角色和用户
- 根据分析修改规则
- 设置警报以区分执行的风险
从管理方面,您可以查看按严重性和时间分组的风险违规的紧凑视图。
步骤 1 – 转到 Virsa 合规性校准器 → Informer 选项卡
步骤 2 – 对于 SoD 违规,您可以显示饼图和条形图来表示系统环境中当前和过去的违规。
以下是对这些违规行为的两种不同看法 –
- 按风险级别划分的违规
- 流程违规
修复
在修复下执行以下任务 –
- 确定消除风险的替代方案
- 进行分析并选择纠正措施
- 纠正措施的文件批准
- 修改或创建角色或用户分配
减轻
在缓解下执行以下任务 –
- 确定替代控制措施以降低风险
- 对管理层进行冲突批准和监控方面的教育
- 记录监控缓解控制的过程
- 实施控制
持续合规
在持续合规下执行以下任务 –
- 传达角色和用户分配的变化
- 模拟角色和用户的变化
- 实施警报以监控选定的风险并减轻控制测试
风险分类
应根据公司政策对风险进行分类。以下是您可以根据风险优先级和公司政策定义的各种风险分类 –
危急
关键分类是针对包含公司关键资产的风险进行的,这些资产很可能会因欺诈或系统中断而受到损害。
高的
这包括物理或金钱损失或系统范围的中断,包括欺诈、任何资产丢失或系统故障。
中等的
这包括多个系统中断,例如覆盖系统中的主数据。
低的
这包括由欺诈或系统中断和损失造成的生产力损失或系统故障最小的风险。
SAP GRC – 风险补救
在 SAP GRC 10.0 风险管理中,风险补救阶段确定消除角色风险的方法。补救阶段的目的是确定消除风险管理问题的替代方案。
建议使用以下方法来解决角色问题 –
单一角色
-
您可以从单一角色开始,因为这是简单而简单的开始方式。
-
您可以检查是否有任何违反职责分离的 SoD 违规行为被重新引入。
复合角色
-
您可以执行各种分析以检查用户操作分配或删除的用户分配。
-
您可以使用管理视图或风险分析报告进行分析,如前一主题所述。
在风险补救中,安全管理员应记录计划,业务流程负责人应参与并批准计划。
SAP GRC – 报告类型
您可以根据所需的分析生成不同的风险分析报告 –
-
操作级别– 您可以使用它在操作级别执行 SoD 分析。
-
权限级别– 这可用于在操作和权限级别执行 SoD 分析。
-
关键操作– 这可用于分析有权访问其中一项关键功能的用户。
-
关键权限– 这可用于分析有权访问一项关键功能的用户。
-
关键角色/配置文件– 这可用于分析有权访问关键角色或配置文件的用户。
SAP GRC – 缓解控制
在 SAP GRC 10.0 中,当无法将职责分离 SoD 与业务流程分开时,您可以使用缓解控制。
例子
在组织中,考虑一个人在业务流程中负责导致缺失 SoD 冲突的角色的场景。
有可能用于缓解控制的不同示例 –
- 发布策略和授权限制
- 审查用户日志
- 审查异常报告
- 详细的方差分析
- 建立保险以涵盖安全事件的影响
缓解控制类型
SAP GRC 风险管理下有两种类型的缓解控制 –
- 预防
- 侦探
预防性缓解控制
预防性缓解控制用于在风险实际发生之前降低风险的影响。您可以在预防性缓解控制下执行各种活动 –
- 配置
- 用户退出
- 安全
- 定义工作流
- 自定义对象
侦探缓解控制
当收到警报并发生风险时,将使用检测缓解控制。在这种情况下,负责启动纠正措施的人会降低风险。
您可以在侦探缓解控制下执行各种活动 –
- 活动报告
- 计划与实际审查的比较
- 预算审查
- 警报
设置迁移控制
按照以下步骤设置迁移控制 –
步骤 1 – 登录 SAP GRC 访问控制。
步骤 2 – 在用户级别执行风险分析。输入以下详细信息 –
- 报告类型
- 报告格式
步骤 3 – 单击执行
步骤 4 – 您可以在不同的报告类型之间切换,如下面的屏幕截图所示 –
第 5 步– 登录 SAP GRC 访问控制并在角色级别安排风险分析后台作业。
输入以下详细信息 –
- 报告类型 – 权限级别
- 报告格式 – 总结
步骤 6 – 单击在后台运行,如下面的屏幕截图所示 –
步骤 7 – 在下一个窗口中,您可以选择立即开始。然后,单击“确定”。
SAP GRC – 超级用户权限
在 SAP GRC 10.0 中,需要在您的组织中实施超级用户权限管理,以消除您的公司在当前紧急用户方法中遇到的过度授权和风险。
以下是超级用户权限的主要功能 –
-
您可以允许超级用户在受控和可审计的环境中执行紧急活动
-
使用超级用户,您可以报告访问更高授权权限的所有用户活动。
-
您可以生成审计跟踪,用于记录使用更高访问权限的原因。
-
此审计跟踪可用于 SOX 合规性。
-
超级用户可以充当消防员并具有以下附加功能 –
-
它可用于在紧急情况下执行正常角色或配置文件之外的任务。
-
只有某些个人(所有者)可以分配消防员 ID。
-
它在创建审计层以监视和记录使用情况的同时为用户提供扩展功能。
-
超级用户权限管理下的标准角色
您可以使用以下标准角色进行超级用户权限管理 –
/VIRSA/Z_VFAT_ADMINISTRATOR
- 这具有配置消防员的能力
- 将消防员角色所有者和控制器分配给消防员 ID
- 运行报告
/VIRSA/Z_VFAT_ID_OWNER
- 为消防员用户分配消防员 ID
- 上传、下载和查看消防员历史记录
VIRSA/Z_VFAT_FIREFIGHTER
- 访问消防员计划
SAP GRC – 实施超级用户
现在让我们了解如何实现超级用户。
您可以通过执行以下步骤来实施消防员 ID –
步骤 1 – 为每个业务流程区域创建消防员 ID
步骤 2 – 分配必要的角色和配置文件来执行消防任务。
您不应分配配置文件 SAP_ALL
第 3 步– 使用 T 代码 – SU01
步骤 4 – 单击创建按钮创建一个新用户。
第 5 步– 将上述消防员角色分配给用户 ID –
-
将消防员角色分配给适用的用户 ID。
-
将管理员角色 /VIRSA/Z_VFAT_ADMINISTRATOR 分配给超级用户权限管理管理员。
-
不应为管理员用户分配任何消防
-
将标准角色 /VIRSA/ Z_VFAT_FIREFIGHTER 分配给 –
- 消防员 ID – 用于登录的服务用户
- 消防员用户– 标准用户充当消防员以防万一
-
将 ID 所有者角色 /VIRSA/Z_VFAT_ID_OWNER 分配给 –
-
所有者 – 负责确定将分配给谁
-
控制器 – 当消防员 ID 是其使用的业务领域的紧急消防员 ID 的职责时接收通知。
-
步骤 6 – 转到角色选项卡并根据要求选择提到的角色。
步骤 7 – 为内部切换到消防员 ID 创建 RFC 目标 –
-
名称 – 输入 RFC 连接名称
-
连接类型 – 3
-
输入说明
(不需要用户名、密码或其他登录数据)
-
在安全表中为每个消防员 ID 输入密码:密码存储为哈希值,管理员保存该值后将无法读取。
步骤 8 – 要创建消防员日志,您可以安排后台作业。
将作业命名为/VIRSA/ZVFATBAK,如下面的屏幕截图所示 –
超级用户日志
让我们了解超级用户日志的这些步骤。
步骤 1 – 使用 T 代码 – 交易 – /n/VIRSA/ZVFAT_V01
步骤 2 – 您现在可以在工具箱区域中找到日志。
第 3 步– 您可以使用事务代码 — SM37查看单个用户的日志。
您还可以使用 Web GUI 访问所有消防员信息。转到 SAP GRC 访问控制 → 超级用户权限管理。
因此,可以访问不同 SAP 后端系统上不同 Firefighter 安装的数据。并且不再需要登录到每个系统。
SAP GRC – 增强的风险分析
您可以使用组织规则实施增强的风险分析。在共享服务业务单元中,您可以使用组织规则来实现对用户群体进行风险分析和管理的程序。
考虑这样一种情况,用户创建了一个虚构的供应商,并生成了发票以获取经济利益。
您可以创建启用公司代码的组织规则来消除这种情况。
应执行以下步骤以防止这种情况 –
- 在函数中启用组织级别字段
- 创建组织规则
- 更新组织用户映射表
- 配置风险分析网络服务
在函数中启用组织级别字段
按照以下步骤启用功能中的组织级别字段 –
-
找出要在共享服务环境中按组织级别隔离的功能。
-
维护受影响交易的权限。
创建组织规则
按照以下步骤创建组织规则 –
步骤 1 – 为组织字段的每个可能值创建组织规则。
第 2 步– 转到规则架构师 → 组织级别 → 创建
步骤 3 – 输入组织规则 ID 字段。
步骤 4 – 输入相关任务。
步骤 5 – 定义组织级别字段并将它们与布尔运算符结合起来。
步骤 6 – 单击保存按钮保存组织规则。
使用组织规则的好处
现在让我们了解使用组织规则的好处。
您可以使用公司的组织规则来实现以下功能 –
-
您可以使用组织规则来实现共享服务。他们在组织限制的帮助下分离职责。
-
转到风险分析 → 组织级别
-
针对用户执行分析类型组织规则的风险分析
-
您将收到以下输出 –
-
如果用户在每个冲突功能中都可以访问相同的特定公司代码,则风险分析将仅显示风险。
-
SAP GRC – 分配缓解控制
在一个组织中,您拥有不同组织层次结构级别的控制所有者。应根据访问级别管理和减轻风险。
以下是组织中的控制所有者 –
- 全局级别的一个控制所有者
- 区域级别的不同控制所有者
- 本地级别的多个控制所有者
您必须将缓解控制分配给不同级别的责任。现在,如果在区域和地方级别存在风险违规,您应该在最高级别执行风险缓解。
要在组织层次结构中使用缓解控制,假设您在组织级别进行了风险分析,并且用户违反了所有子组织规则并满足父规则的条件,并且仅显示父规则;您可以通过以下方式降低风险 –
- 用户级别的缓解
- 组织层面的缓解
SAP GRC – 工作流集成
在 SAO GRC 10.0 中,在以下情况下会触发工作流 –
- 创建或更新风险。
- 创建或更新缓解控制。
- 分配缓解控制。
激活基于工作流的风险和控制维护
当您在风险分析和补救中遵循基于工作流的变更管理方法时,您必须执行以下步骤 –
- 转到配置选项卡 → 工作流选项
- 设置以下参数 –
- 将参数风险维护设置为 YES
- 将参数缓解控制维护设置为 YES
- 将参数缓解设置为 YES
- 设置工作流 Web 服务 URL –
http://<server>:<port>/AEWFRequestSubmissionService_5_2/Config1?wsdl&style=document
- 自定义需要在工作流引擎内执行的工作流。
基于工作流的风控维护
当您维护风险或控制在 SAP GRC 中时,您执行以下步骤 –
步骤 1 – 在访问控制中,触发工作流以执行风险或控制工作流。
第 2 步– 当您获得所需的批准时,批准步骤取决于客户要求。
第 3 步– 获取记录完整审批流程的审计跟踪。
SAP GRC — 全球贸易服务
使用 SAP GRC 全球贸易服务,您可以改进组织中的跨境货物供应链。此应用程序允许您自动化交易流程,帮助您控制成本和降低处罚风险,并管理入站和出站流程。
使用 GTS,您可以创建用于包含所有合规性主数据和内容的集中式单一存储库。
以下是使用全球贸易服务的主要优势 –
-
它有助于降低管理全球贸易合规性的成本和工作量。
-
它可以减轻耗时的手动任务并有助于提高生产力。
-
减少对违反贸易合规的处罚。
-
它可以帮助您创建和改善品牌和形象,避免与受制裁方或被拒绝方进行交易。
-
为客户满意度铺平道路,提高服务质量。
-
它通过执行清关加快了入站和出站流程,还有助于消除不必要的延误。
SAP ERP 和 SAP Global Trade Services 之间的集成
下图显示了 SAP ERP 和 SAP Global Trade Services 之间的集成流程 –
SAP GRC – 安装和配置
安装 SAP GRC 时,需要在 GRC 中执行各种配置和设置。主要活动包括 –
-
在 GRC 中创建连接器
-
配置 AMF 以使用连接器
-
创建回调连接器
-
在 GRC 中创建连接是使用 T-Code 创建 RFC 连接的标准过程 – SM59
SAP GRC 位于 SAP Easy Access → Governance Risk Compliance 文件夹下。
步骤 1 – 打开 SAP Easy access 菜单并使用 T-Code – SPRO
步骤 2 – 转到 SAP 参考 IMG → 通用组件设置 → 集成框架 → 创建连接器下的治理、风险和合规性
步骤 3 – 创建连接器是创建 SM59 连接的快捷方式。
步骤 4 – 要查看现有连接,请转到维护连接器和连接类型 –
您可以看到如下所示的连接器类型。这些连接器类型可用于不同目的的配置 –
-
本地系统连接器用于与 SAP BusinessObjects Access Control 应用程序集成,以监控违反职责的隔离
-
Web 服务连接器用于外部合作伙伴数据源(请参阅部分)
-
SAP 系统连接器用于所有其他情况。
步骤 5 – 转到连接类型定义选项卡 –
步骤 6 – 定义先前在 SM59 中定义的哪些连接器可用于监控。去定义连接器
步骤 7 – 在屏幕中,您可以看到连接器名称 – SMEA5_100。这是一个连接器,显示连接到 ECC 系统的连接器。
第三列列出了在受监控系统中定义的连接器的名称,该连接器配置为指向此处配置的 GRC 系统。
SMEA5_100 是 GRC 系统中的另一个连接器,它指向要监控的 ERP 系统。SM2 是 ECC 系统上的一个连接器,它指向回 GRC 系统。
步骤 8 – 在左侧定义连接器组屏幕。
第 9 步– 在这里,您必须确保所有用于自动监控的连接器配置都属于名为“自动监控”的配置组,如上所示,定义自动监控连接器组。
步骤 10 –将连接器分配给左侧的连接器组。
步骤 11 – 如上图所示,将连接器分配给 AM 连接器组。
步骤 12 – 转到主菜单中的维护连接设置,如下面的屏幕截图所示。
步骤 13 – 您需要输入您想要的集成方案,如下面的屏幕截图所示输入 AM –
第 14 步– 单击如上图所示的绿色勾号;您将被引导到以下屏幕,其中包含九个子场景。
突出显示的框显示了九个称为子场景的条目,它们代表流程控制 10 支持的不同类型的数据源和业务规则。
步骤 15 – 对于要监控的系统,您需要将相应的连接器链接到该子场景。
步骤 16 – 选择您想要配置的子场景,然后在左侧选择场景连接器链接,如下所示 –
步骤 17 – 您将被定向到以下屏幕 –
步骤 18 – 现在您要用于该场景的连接器不在该子场景的列表中,
- 您可以单击顶部的“新建条目”按钮进行添加。
- 您可以按照这些建议添加子场景 –
- ABAP 应用程序 – ABAP 报告、SAP 查询、可配置程序
- SAP BW – BW 查询
- 非 SAP 系统 – 外部合作伙伴
- 流程集成商 – PI
- GRC 系统 – SoD 集成
SAP GRC – 数据源和业务规则
在 SAP GRC Process Control 中,您可以创建数据源。此处,设计时用户界面位于业务客户端中的规则设置选项下。
转到持续监控部分,您可以在其中找到数据源和业务规则选项。
要创建新的数据源,请单击数据源 → 创建。
在下一个字段中,您可以看到三个不同的选项卡来定义数据源。
- 常规选项卡
- 对象字段
- 链接和附件
在常规选项卡中,输入以下详细信息 –
- 数据源名称
- 有效期开始日期
- 有效期结束日期
- 地位
转到对象字段选项卡,选择以下字段 –
SAP GRC – 创建业务规则
在 SAP GRC 10.0 中,您可以使用业务规则来过滤来自数据源的数据流,并且您可以针对该数据应用用户配置的条件/计算以确定是否存在需要注意的问题。
业务规则类型完全取决于数据源类型。
转至规则设置下的业务规则。
要创建新的业务规则,您需要对少数数据源类型执行一系列步骤。
您需要在每个选项卡中定义详细信息。例如,在常规选项卡中,您需要输入业务规则的基本信息。业务规则为您提供过滤数据的不足之处。
在用于分析的数据选项卡中,您将看到可用字段列表。
转到过滤条件以通过可用对象的过滤条件。您可以从不同的运营商中进行选择。
定义所有步骤后,您可以选择保存规则。如果要将规则应用于流程控制,可以通过单击应用按钮来完成。
要将业务规则分配给流程控制,请转至规则设置中持续监控下的业务规则分配。
选择控件并搜索要应用的业务规则。
我们现在已经了解如何创建数据源和业务规则以对数据源应用过滤器以及如何将业务规则分配给流程控制。
