- SAP GRC 教程
- SAP GRC - 首頁
- SAP GRC - 概述
- SAP GRC - 導航
- SAP GRC - 訪問控制
- 訪問管理工作中心
- 訪問與授權管理
- SAP GRC - 授權
- 訪問控制啟動板
- 與訪問控制整合
- SAP GRC - 與IAM整合
- SAP GRC - 審計宇宙
- 流程控制工作中心
- SAP GRC - 職責分離風險管理
- SAP GRC - 風險管理
- SAP GRC - 風險補救
- SAP GRC - 緩解控制
- SAP GRC - 超級使用者許可權
- SAP GRC - 超級使用者實施
- SAP GRC - 增強型風險分析
- 分配緩解控制
- SAP GRC - 工作流整合
- 安裝和配置
- 資料來源和業務規則
- SAP GRC - 建立業務規則
- SAP GRC 有用資源
- SAP GRC - 問答
- SAP GRC 快速指南
- SAP GRC - 有用資源
- SAP GRC - 討論
SAP GRC 快速指南
SAP GRC - 概述
SAP 治理、風險和合規解決方案使組織能夠管理法規和合規性,並消除管理組織關鍵運營中的任何風險。根據不斷變化的市場形勢,組織正在發展壯大並迅速變化,不合適的文件和電子表格對於外部審計師和監管機構是不可接受的。
SAP GRC 幫助組織管理其法規和合規性,並執行以下活動:
輕鬆將 GRC 活動整合到現有流程中,並自動化關鍵 GRC 活動。
複雜性低,風險管理效率高。
改進風險管理活動。
有效地管理業務流程中的欺詐行為和審計管理。
組織績效更好,公司可以保護其價值觀。
SAP GRC 解決方案包含三個主要領域:分析、管理和監控。
SAP GRC 中的模組
現在讓我們瞭解 SAP GRC 中的不同模組:
SAP GRC 訪問控制
為了減輕組織中的風險,需要將風險控制作為合規性和法規實踐的一部分來執行。應明確定義職責,管理角色配置和管理超級使用者的訪問對於管理組織中的風險至關重要。
SAP GRC 流程控制和欺詐管理
SAP GRC 流程控制軟體解決方案用於管理合規性和策略管理。合規性管理功能允許組織管理和監控其內部控制環境。組織可以主動修復任何已識別的問題,並對相應合規活動的狀態進行認證和報告。
SAP 流程控制支援策略管理的完整生命週期,包括目標群體對策略的分發和遵守。這些策略有助於組織降低合規成本,提高管理透明度,並使組織能夠在業務環境中制定合規性管理流程和策略。
SAP GRC 風險管理
SAP GRC 風險管理允許您管理風險管理活動。您可以進行高階規劃以識別業務中的風險,並實施措施來管理風險,並允許您做出更好的決策以提高業務績效。
風險有多種形式:
- 運營風險
- 戰略風險
- 合規風險
- 財務風險
SAP GRC 審計管理
這用於透過記錄工件、組織工作底稿和建立審計報告來改進組織中的審計管理流程。您可以輕鬆地與其他治理、風險和合規解決方案整合,並使組織能夠使其審計管理策略與業務目標保持一致。
SAP GRC 審計管理透過提供以下功能來幫助審計師簡化工作:
您可以使用移動功能拖放功能立即捕獲審計管理和其他證據的工件。
您可以輕鬆建立、跟蹤和管理具有全域性監控和後續操作的審計問題。
您可以使用搜索功能執行搜尋,以便從舊工作底稿和工作底稿中獲取更多資訊。
您可以使用使用者友好的介面和協作工具來吸引審計師。
將審計管理輕鬆整合到 SAP 欺詐管理、SAP 風險管理和 SAP 流程控制中,以使審計流程與業務目標保持一致。
使用自動化跟蹤工具快速解決問題。
提高員工利用率,減少內部審計規劃、資源管理和排程造成的差旅成本。
輕鬆整合 SAP BusinessObjects 報表和資料視覺化工具,以使用 Lumira 和其他 BI 報表視覺化審計報告。
使用預先建立的模板來標準化審計工件和報告流程。
SAP GRC 欺詐管理
SAP GRC 欺詐管理工具幫助組織儘早發現和預防欺詐,從而減少業務損失。可以在海量資料上即時進行更準確的掃描,並且可以輕鬆識別欺詐活動。
SAP 欺詐管理軟體可以幫助組織具備以下功能:
輕鬆調查和記錄欺詐案件。
提高系統警報和響應能力,以防止欺詐活動在未來更頻繁地發生。
輕鬆掃描大量交易和業務資料。
SAP GRC 全球貿易服務
SAP GRC GTS 軟體幫助組織在國際貿易管理範圍內增強跨境供應。它有助於減少來自國際貿易法規當局的風險處罰。
它提供集中式的全球貿易管理流程,為所有合規性主資料和內容提供單一儲存庫,無論組織規模如何。
SAP GRC 能力模型
SAP BusinessObjects GRC 解決方案包含三個主要能力:**分析、管理和監控**。
在下圖中,您可以看到涵蓋 SAP GRC 軟體所有關鍵功能的 SAP GRC 能力模型。使用 GRC,組織可以檢查所有潛在風險和合規性發現,並可以做出正確的決策來減輕這些風險。
SAP GRC - 導航
在早期版本的 SAP GRC 中,要使用訪問控制、流程控制和風險管理,每個元件都有單獨的導航。這意味著使用者要執行跨元件職責,必須分別登入每個模組並多次登入。這導致管理多個視窗的過程很困難,搜尋文件也很困難。
SAP GRC 10.0 為單個使用者提供對訪問控制、流程控制和風險管理元件的直接導航(根據授權),並消除了多個視窗的管理。
**步驟 1** - 要執行自定義活動並維護 GRC 解決方案的配置設定,請轉到 T 程式碼 - SPRO → SAP 參考 IMG
**步驟 2** - 展開治理、風險和合規性節點 -
**步驟 3** - 登入到 NetWeaver Business Client -
在 SAP 簡易訪問中執行 NWBC 事務。
它將開啟 NetWeaver Business Client 螢幕,您將收到以下網址: http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/
SAP GRC 工作中心
您可以使用工作中心為 GRC 10.0 提供中央訪問點。可以根據客戶已獲許可的操作內容對其進行組織。
**步驟 1** - 要訪問工作中心,請按照上述方法開啟 NetWeaver Business Client。轉到頂部的 ** /nwbc** 選項以開啟工作中心。
**步驟 2** - 單擊後,您將被定向到 SAP NetWeaver Business Client 的主螢幕。
根據您已獲得許可的產品,將顯示 GRC 解決方案的不同元件:**訪問控制、流程控制或風險管理**。
SAP GRC - 訪問控制
SAP GRC 訪問控制幫助組織自動檢測、管理和防止訪問風險違規,並減少對公司資料和資訊的未授權訪問。使用者可以使用自動自助服務來訪問請求提交、工作流驅動的訪問請求和訪問批准。可以使用 SAP GRC 訪問控制來自動稽核使用者訪問、角色授權和風險違規。
SAP GRC 訪問控制透過允許企業管理訪問風險來處理關鍵挑戰。它幫助組織透過定義職責分離 (SoD) 和關鍵訪問來防止未授權訪問,並最大限度地減少訪問風險管理的時間和成本。
主要功能
以下是 SAP GRC 訪問控制的主要功能:
根據法律要求執行審計和合規性,並符合不同的審計標準,例如 SOX、BSI 和 ISO 標準。
自動檢測組織中 SAP 和非 SAP 系統中的訪問風險違規。
如前所述,它使使用者能夠進行自助服務訪問提交、工作流驅動的訪問請求和請求批准。
自動稽核使用者訪問、角色授權、風險違規和控制分配,適用於小型和大型組織。
有效管理超級使用者訪問,避免風險違規和對 SAP 和非 SAP 系統中的資料和應用程式的未授權訪問。
如何瀏覽訪問控制設定工作中心?
在 SAP 簡易訪問中執行 NWBC 事務。
它將開啟 NetWeaver Business Client 螢幕,您將收到以下網址: http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/
**步驟 1** - 要訪問工作中心,請按照上述方法開啟 NetWeaver Business Client。轉到頂部的 ** /nwbc** 選項以開啟工作中心。
**步驟 2** - 單擊後,您將被定向到 SAP NetWeaver Business Client 的主螢幕。
**步驟 3** - 轉到設定工作中心並瀏覽工作集。單擊每個工作集下的某些連結並瀏覽各個螢幕。
**步驟 4** - 設定工作中心在訪問控制中可用,並提供指向以下部分的連結:
- 訪問規則維護
- 例外訪問規則
- 關鍵訪問規則
- 生成的規則
- 組織
- 緩解控制
- 超級使用者分配
- 超級使用者維護
- 訪問所有者
**步驟 5** - 您可以透過以下方式使用上述列出的功能:
使用訪問規則維護部分,您可以管理訪問規則集、功能以及用於識別訪問違規的訪問風險。
使用例外訪問規則,您可以管理補充訪問規則的規則。
使用關鍵訪問規則部分,您可以定義其他規則來識別對關鍵角色和配置檔案的訪問。
使用生成的規則部分,您可以查詢和檢視生成的訪問規則。
在“組織”下,您可以維護公司的組織結構,以實現與相關分配相關的合規性和風險管理。
緩解控制部分允許您管理控制措施以減輕職責分離、關鍵操作和關鍵許可權訪問違規。
超級使用者分配用於將所有者分配給消防員 ID,並將消防員 ID 分配給使用者。
超級使用者維護用於維護消防員、控制器和原因程式碼分配。
在訪問所有者下,您可以管理訪問管理功能的所有者許可權。
SAP GRC - 訪問管理工作中心
根據 GRC 軟體許可證,您可以導航訪問管理工作中心。它包含多個部分來管理訪問控制活動。
單擊訪問管理工作中心時,您可以看到以下部分:
- GRC 角色分配
- 訪問風險分析
- 已緩解訪問
- 訪問請求管理
- 角色管理
- 角色挖掘
- 角色批次維護
- 超級使用者分配
- 超級使用者維護
- 訪問請求建立
- 合規性認證審查
- 警報
- 排程
以上部分將以以下方式幫助您:
當您訪問**風險分析**部分時,您可以評估系統中跨使用者、角色、人力資源物件和組織級別的訪問風險。訪問風險是指兩個或多個操作或許可權,當它們同時賦予單個使用者或單個角色、配置檔案、組織級別或人力資源物件時,會產生錯誤或異常的可能性。
使用**緩解訪問**部分,您可以識別訪問風險,評估這些風險的級別,併為使用者、角色和配置檔案分配緩解控制措施以減輕訪問規則違規。
在**訪問請求管理**部分,您可以管理訪問分配、帳戶和審查流程。
使用**角色管理**,您可以管理來自多個系統中統一儲存庫中的角色。
在**角色挖掘**組功能中,您可以定位感興趣的角色,分析它們並採取行動。
使用**角色批次維護**,您可以匯入和更改多個角色的授權和屬性。
在**超級使用者分配**部分,您可以為所有者分配消防員 ID,併為消防員 ID 分配消防員和控制器。
在**超級使用者維護**部分,您可以執行諸如研究和維護消防員和控制器以及按系統分配原因程式碼等活動。
使用**訪問請求建立**,您可以建立訪問分配和帳戶。
**合規性認證審查**支援審查使用者的訪問、風險違規和角色分配。
使用**警報**,您可以由應用程式生成,用於執行關鍵操作或衝突操作。
使用規則設定工作中心的**排程**部分,您可以維護持續控制監控和自動化測試的計劃,並跟蹤相關作業進度。
訪問與授權管理
在 SAP GRC 解決方案中,您可以管理授權物件以限制使用者可以訪問的專案和資料。授權控制使用者在 SAP 系統中可以訪問的工作中心和報表。
要訪問 GRC 解決方案,您應該擁有以下訪問許可權:
- 門戶授權
- 適用的 PFCG 角色
- 用於訪問控制、流程控制和風險管理的 PFCG 角色
根據 GRC 元件(AC、PC 和 RM),需要列出的授權型別。
| 角色名稱 | 型別 | 描述 | 元件 |
|---|---|---|---|
| SAP_GRC_FN_BASE | PFCG | 基本角色 | PC,RM |
| SAP_GRAC_BASE | PFCG | 基本角色(包括 SAP_GRC_FN_BASE) | AC |
| SAP_GRC_NWBC | PFCG | 在 NWBC 中執行 GRC 10.0 的角色 | AC,PC,RM |
| SAP_GRAC_NWBC | PFCG | 用於執行 AC 的簡化 NWBC 工作中心的角se | AC |
| GRC_Suite | 門戶 | 在門戶中執行 GRC 10.0 的門戶角色 | AC,PC,RM |
| SAP_GRC_FN_BUSINESS_USER | PFCG | 普通使用者角色 | AC*,PC,RM |
| SAP_GRC_FN_ALL | PFCG | 超級使用者角色;繞過 PC 和 RM 的實體級授權 | PC,RM |
| SAP_GRAC_ALL | PFCG | 超級使用者角色 | AC |
| SAP_GRC_FN_DISPLAY | PFCG | 顯示所有使用者角色 | PC,RM |
| SAP_GRAC_DISPLAY_ALL | PFCG | 顯示所有使用者角色 | AC |
| SAP_GRAC_SETUP | PFCG | 定製角色(用於維護 IMG 中的配置) | AC |
| SAP_GRC_SPC_CUSTOMIZING | PFCG | 定製角色(用於維護 IMG 中的配置) | PC |
| SAP_GRC_RM_CUSTOMIZING | PFCG | 定製角色(用於維護 IMG 中的配置) | RM |
| SAP_GRAC_RISK_ANALYSIS | PFCG | 該角色授予執行 SoD 作業的許可權 | AC,PC,RM |
門戶元件和 NWBC 中的授權
在 SAP GRC 10.0 解決方案中,工作中心在門戶元件的 PCD 角色和 NWBC(**NetWeaver Business Client**)的 PFCG 角色中定義。工作中心在每個基本角色中都是固定的。SAP 提供這些角色;但是,客戶可以根據需要修改這些角色。
服務對映中應用程式資料夾和下屬應用程式的位置由 SAP NetWeaver Launchpad 應用程式控制。服務對映由使用者授權控制,因此如果使用者沒有檢視任何應用程式的授權,它們將隱藏在 NetWeaver Business Client 中。
如何在訪問管理工作中心中檢視角色分配?
請按照以下步驟檢視角色分配:
**步驟 1** - 在 NetWeaver Business Client 中轉到訪問管理工作中心。
**步驟 2** - 選擇 GRC 角色分配下的業務流程,然後轉到子流程角色級別。單擊下一步以繼續分配角色部分。
如何在主資料工作中心中檢視角色分配?
**步驟 1** - 轉到主資料工作中心 → 組織
**步驟 2** - 在下一個視窗中,從列表中選擇任何組織,然後單擊開啟。
**步驟 3** - **注意**,組織旁邊的三角形表示存在子組織,組織旁邊的點表示它是最低級別。
**步驟 4** - 單擊子流程選項卡 → 分配子流程。現在選擇一個或兩個子流程,然後單擊下一步。
**步驟 5** - 在不進行任何更改的情況下,單擊“選擇控制”步驟中的“完成”。
**步驟 6** - 從列表中選擇第一個子流程,然後單擊開啟。您應該看到子流程詳細資訊。
**步驟 7** - 單擊“角色”選項卡。從列表中選擇一個角色,然後單擊“分配”。
SAP GRC - 授權
SAP GRC 訪問控制使用 UME 角色來控制系統中的使用者授權。管理員可以使用表示使用者可以用來構建訪問許可權的 UME 角色最小實體的操作。
一個 UME 角色可以包含來自一個或多個應用程式的操作。您必須在**使用者管理引擎 (UME)** 中將 UME 角色分配給使用者。
UME 中的授權
當用戶無權訪問某個選項卡時,當用戶嘗試訪問該選項卡時,該選項卡將不會在使用者登入時顯示。只有當為該選項卡的 UME 操作分配給該特定使用者時,他才能訪問該功能。
CC 選項卡的所有可用標準 UME 操作都可以在**管理員使用者**的**“已分配操作”**選項卡中找到。
UME 角色
您應該建立一個管理員角色,並將此角色分配給超級使用者以執行 SAP 合規性校準器相關的活動。在實施時,可以在 SAP GRC 訪問控制下建立各種 CC 角色:
- CC.ReportingView
**描述** - 合規性校準器顯示和報告
- CC.RuleMaintenance
**描述** - 合規性校準器規則維護
- CC.MitMaintenance
**描述** - 合規性校準器緩解維護
- CC.Administration
**描述** - 合規性校準器管理和基礎配置
如何開啟使用者維護引擎?
使用 UME,您可以在訪問控制下執行各種關鍵活動:
- 您可以執行使用者和角色維護
- 它可用於使用者資料源配置
- 您可以應用安全設定和密碼規則
要開啟 UME,您應該使用以下 URL:
http://<主機名>:<埠>/useradmin
SAP GRC - 訪問控制啟動板
在 SAP GRC 10.0 中,您可以使用訪問控制啟動板來維護 GRC 訪問控制下的關鍵功能。它是一個單網頁,可用於**風險分析和補救 (RAR)**。
在 GRC 訪問控制中,您可以使用風險分析和補救 (RAR) 功能來執行安全審計和職責分離 (SoD) 分析。它是一個工具,可用於識別、分析和解決與以下法規遵從性相關的風險和審計問題。在這裡,您還可以協同定義以下內容:
- 企業角色管理 (ERM)
- 合規使用者配置 (CUP)
- 超級使用者許可權管理
在 NWBC 中建立新的啟動板
請按照以下步驟在 NWBC 中建立新的啟動板:
**步驟 1** - 轉到 PFCG 角色,並開啟角色 SAP_GRAC_NWBC
**步驟 2** - 右鍵單擊“我的主頁”項時,您可以看到呼叫的應用程式為**grfn_service_map?WDCONFIGURATIONID=GRAC_FPM_AC_LPD_HOME**,配置 ID 為**GRAC_FPM_AC_LPD_HOME**。
**步驟 3** - 選擇**應用程式配置**按鈕,您將看到應用程式配置螢幕 → 顯示按鈕。
**步驟 4** - 單擊“顯示”,您將看到此螢幕:
**步驟 5** - 現在開啟**元件配置**按鈕。
**步驟 6** - 在此螢幕中單擊**配置 UIBB**按鈕。您將被定向到以下螢幕:
**步驟 7** - 您可以選擇要對映到的啟動板。如果要建立新的啟動板,也可以將其對映到新的角色。
**步驟 8** - 要建立新的啟動板,請定義以下內容:
建立具有所需選單項的新啟動板。
建立應用程式**GRFN_SERVICE_MAP**的新配置,或者您可以複製配置 ID **GRAC_FPM_AC_LPD_HOME** 並進一步對其進行自定義。
在新配置中,選擇要關聯的啟動板。
建立一個新角色,並使用上一步中建立的自定義配置 ID 向其中新增 webdynpro 應用程式**GRFN_SERVICE_MAP**。
SAP GRC - 與訪問控制的整合
在 SAP GRC 10.0 解決方案中,主資料和組織結構在訪問控制、流程控制和風險管理之間共享。流程控制還與風險管理流程共享某些功能。
以下是與訪問控制共享的關鍵功能:
訪問控制和流程控制在以下領域共享合規性結構:
在流程控制解決方案中,控制措施用作 SAP GRC 10.0 解決方案中訪問控制下的緩解控制措施。
訪問控制和流程控制共享相同的組織。
在流程控制中,流程用作訪問控制中的業務流程。
流程控制和訪問控制與訪問風險分析整合,以監控職責分離 SoD。
流程控制和風險管理共有的選單區域為:
- GRC 角色分配
- 流程控制規劃器
- 風險管理規劃器
- 集中授權
以下是流程控制和風險管理之間的關鍵整合點:
可以為風險管理中的流程控制提出新的控制點。
提出新控制措施時,流程控制需要評估來自風險管理的請求。
風險管理使用流程控制的結果來評估新的控制措施。
風險管理還可以使用流程控制中的現有控制措施作為風險管理中的響應。
SAP GRC - 與IAM整合
**內部審計管理**允許您處理來自風險管理和流程控制的資訊,以便在審計規劃中使用。根據需要,審計建議可以轉移到審計管理進行處理,並且審計專案可以用於生成問題以進行報告。IAM 為您提供了一個可以執行完整的審計規劃、建立審計專案、定義審計範圍以及建立和檢視審計報告和審計問題的地方。
**內部審計管理工作中心**為以下活動提供了一箇中心位置:
- 為您的組織定義審計範圍
- 審計風險評級
- 審計規劃,以定義審計合規性的程式
- 來自審計操作的審計問題
- 審計報告,以檢視可審計實體上存在的風險
SAP GRC - 審計宇宙
審計範圍包含可分類為業務單元、業務線或部門的可審計實體。審計實體定義審計規劃策略,這些策略可以連結到流程控制和風險管理以查詢風險、控制等。
建立可審計實體
現在讓我們瞭解如何建立可審計實體。
**步驟 1** - 轉到頂部的** /nwbc**選項以開啟工作中心
**步驟 2** - 在 SAP NetWeaver Business Client 中,轉到 IAM 工作中心。
**步驟 3** - 導航到內部審計管理 → 審計範圍
**步驟 4** - 單擊**建立**按鈕,然後轉到**常規**選項卡。
步驟 5 − 輸入可審計實體的以下詳細資訊 −
- 名稱
- 描述
- 型別
- 狀態
- 備註(新增任何其他資訊)
步驟 6 − 轉到審計計劃選項卡以檢視審計建議和帶有轉移日期的審計計劃建議。
步驟 7 − 選擇附件和連結選項卡以新增任何型別的檔案或連結。
步驟 8 − 輸入所需詳細資訊後,您可以從以下選項中選擇 −
- 選擇儲存以儲存實體。
- 選擇關閉以在不儲存的情況下退出。
SAP 流程控制 — 審計風險評級
審計風險評級用於定義組織查詢風險評級和建立風險評級等級的標準。每個可審計實體都根據 ARR 中的管理反饋進行評級。您可以使用 ARR 執行以下功能 −
您可以找到可審計實體和風險因素的集合。
定義和評估每個可審計實體中風險因素的風險評分。
根據風險評分,您可以對可審計實體進行評級。
您還可以透過比較不同可審計實體的風險評分,從 ARR 生成審計計劃。除此之外,您可以選擇高風險評分的可審計實體並生成審計建議和審計計劃建議。
建立審計風險評級
現在讓我們瞭解建立審計風險評級的步驟
步驟 1 − 在 SAP NetWeaver Business Client 中,轉到 IAM 工作中心。
步驟 2 − 導航到內部審計管理 → 審計風險評級 → 建立
步驟 3 − 在“常規”選項卡中,輸入以下詳細資訊 −
- 名稱
- 描述
- 有效期自
- 有效期至
- 責任人
- 狀態
步驟 4 − 轉到“可審計實體”,然後單擊新增按鈕以從可審計實體中選擇。
步驟 5 − 轉到風險因素選項卡,然後選擇ARR風險因素。選擇新增以新增風險因素→確定。
步驟 6 − 轉到風險評分選項卡,選擇實體並在風險因素表中輸入風險評分。單擊計算按鈕以檢視平均得分。轉到風險等級和風險優先順序列以輸入詳細資訊。
轉到審計計劃建議選項卡,以確保您正在建立審計計劃建議。選擇匯出以建立 Excel 電子表格,以便以表格形式檢視 ARR 的資訊。
選擇儲存按鈕以儲存可審計實體的審計風險評級。
流程控制工作中心
工作中心為整個 GRC 功能提供中央訪問點。它們經過組織以方便訪問應用程式活動,幷包含選單組和指向更多活動的連結。
訪問控制、流程控制和風險管理共享以下工作中心 −
- 我的主頁
- 主資料
- 規則設定
- 評估
- 訪問管理
- 報表和分析
讓我們討論主要的 工作中心。
我的主頁
我的主頁工作中心由流程控制、風險管理和訪問控制共享。它提供了一箇中心位置,您可以在其中管理 GRC 應用程式中分配的任務和可訪問的物件。“我的主頁”包含多個部分。現在讓我們瞭解“工作收件箱”部分 −
工作收件箱
使用“工作收件箱”,您可以檢視您必須在 GRC 軟體中處理的任務。
如果您要處理任務,請單擊表中的任務。
它將開啟工作流程視窗,您可以在其中處理任務。
主資料
主資料工作中心由流程控制、風險管理和訪問控制共享。“流程控制主資料”工作中心包含以下部分 −
- 組織
- 法規和政策
- 目標
- 活動和流程
- 風險和應對措施
- 賬戶
- 報表
現在讓我們討論主資料工作中心下的主要工作中心 −
組織 − 維持公司的組織結構,以實現合規性和風險管理以及相關的分配
緩解控制 − 維持控制措施以減輕職責分離、關鍵操作和關鍵許可權訪問違規行為
要建立緩解控制,請單擊“建立”按鈕。
您將被定向到一個新視窗,輸入緩解控制的詳細資訊,然後單擊“儲存”按鈕。
報表和分析
報表和分析工作中心由流程控制、風險管理和訪問控制共享。“流程控制報表和分析”工作中心包含 GRC 應用程式中的合規性部分。
在合規性部分,您可以在流程控制下建立以下報表 −
評估狀態儀表板
顯示整個不同業務實體的企業合規性總體狀態的高階檢視,並提供分析和細分功能,以便在不同級別和維度上檢視資料。
調查結果
顯示調查結果。
資料表
提供有關子流程和控制的主資料、評估和補救活動的全面資訊。
使用資料表功能的以下角色 −
內部審計員 − 他們可以使用資料表來了解 GRC 下組織中的控制和子流程。
流程所有者 − 在 GRC 應用程式中,流程所有者和控制所有者可以請求資料表以概述其子流程。資料表資訊提供子流程的定義、對子流程完成的評估、子流程包含的控制以及對這些控制進行的評估和測試。
控制所有者 − 控制所有者可以使用資料表檢查其控制的設計。控制所有者可以評估控制以檢查控制及其有效性。
外部審計員 − 資料表可供外部審計員使用;這可用於請求資訊以研究控制或子流程。
注意 − 其他工作中心(如訪問管理、評估和規則設定)也由流程控制、訪問控制和風險管理共享。
流程控制訪問管理工作中心具有 GRC 角色分配部分。
SAP GRC - 職責分離風險管理
在每個企業中,都需要執行職責分離 (SoD) 風險管理 - 從風險識別到規則構建驗證以及其他各種風險管理活動,以遵循持續合規性。
根據不同的角色,需要在 GRC 系統中執行職責分離。SAP GRC 在 SoD 風險管理下定義了各種角色和職責 −
業務流程所有者
業務流程所有者執行以下任務 −
- 識別風險並批准要監控的風險
- 批准涉及使用者訪問的補救措施
- 設計控制措施以減輕衝突
- 溝通訪問分配或角色更改
- 執行主動持續合規性
高階主管
高階主管執行以下任務 −
- 批准或拒絕業務領域之間的風險
- 批准所選風險的緩解控制
安全管理員
安全管理員執行以下任務 −
- 承擔 GRC 工具和安全流程的所有權
- 設計和維護規則以識別風險狀況
- 自定義 GRC 角色以強制執行角色和職責
- 分析和補救角色級別的 SoD 衝突
審計員
審計員執行以下任務 −
- 定期進行風險評估
- 提供審計目的的具體要求
- 定期測試規則和緩解控制
- 充當外部審計員之間的聯絡人
SoD 規則管理員
SoD 規則管理員執行以下任務 −
- GRC 工具配置和管理
- 維護對規則的控制以確保完整性
- 充當基礎和 GRC 支援中心之間的聯絡人
SAP GRC - 風險管理
GRC 中的 SAP 風險管理用於管理風險調整的企業績效管理,使組織能夠最佳化效率、提高有效性並最大限度地提高跨風險計劃的可見性。
以下是風險管理下的關鍵功能 −
風險管理強調組織對主要風險、相關閾值和風險緩解的協調一致。
風險分析包括執行定性和定量分析。
風險管理涉及識別組織中的關鍵風險。
風險管理還包括風險的解決/補救策略。
風險管理執行關鍵風險和績效指標在所有業務職能中的協調一致,從而允許更早地識別風險和動態風險緩解。
風險管理還涉及對現有業務流程和戰略的主動監控。
風險管理階段
現在讓我們討論風險管理的各個階段。以下是風險管理的各個階段 −
- 風險識別
- 規則構建和驗證
- 分析
- 補救
- 緩解
- 持續合規性
風險識別
在風險管理下的風險識別過程中,可以執行以下步驟 −
- 識別授權風險並批准例外情況
- 將風險明確分類為高、中或低
- 識別未來要監控的新風險和條件
規則構建和驗證
在規則構建和驗證下執行以下任務 −
- 參考環境的最佳實踐規則
- 驗證規則
- 自定義規則並進行測試
- 針對測試使用者和角色案例進行驗證
分析
在分析下執行以下任務 −
- 執行分析報告
- 估算清理工作
- 分析角色和使用者
- 根據分析修改規則
- 設定警報以區分已執行的風險
從管理方面來看,您可以看到按嚴重性和時間分組的風險違規的緊湊檢視。
步驟 1 − 轉到 Virsa 合規性校準器 → 資訊告知選項卡
步驟 2 − 對於 SoD 違規,您可以顯示餅圖和條形圖以表示系統環境中當前和過去的違規情況。
這些違規的兩種不同檢視如下 −
- 按風險級別劃分的違規
- 按流程劃分的違規
補救
在補救措施下執行以下任務 −
- 確定消除風險的替代方案
- 提出分析並選擇糾正措施
- 記錄糾正措施的批准
- 修改或建立角色或使用者分配
緩解
在緩解措施下執行以下任務 −
- 確定減輕風險的替代控制措施
- 教育管理層瞭解衝突批准和監控
- 記錄監控緩解控制的流程
- 實施控制措施
持續合規性
在持續合規性下執行以下任務 −
- 溝通角色和使用者分配的更改
- 模擬角色和使用者的更改
- 實施警報以監控所選風險並減輕控制測試
風險分類
應根據公司政策對風險進行分類。以下是您可以根據風險優先順序和公司政策定義的各種風險分類 −
嚴重
對包含公司關鍵資產的風險進行嚴重分類,這些資產極有可能因欺詐或系統中斷而受到損害。
高
這包括物質損失或金錢損失或系統範圍的中斷,包括欺詐、任何資產的損失或系統的故障。
中
這包括多個系統中斷,例如覆蓋系統中的主資料。
低
這包括生產力損失或系統故障的風險,這些風險因欺詐或系統中斷而受損,損失最小。
SAP GRC - 風險補救
在 SAP GRC 10.0 風險管理中,風險補救階段確定消除角色中風險的方法。補救階段的目的是確定消除風險管理下問題的替代方案。
建議採取以下方法來解決角色中的問題:
單個角色
您可以從單個角色開始,這是最簡單易行的方法。
您可以檢查是否重新引入了任何職責分離 (SoD) 衝突。
組合角色
您可以執行各種分析,以檢查使用者分配、使用者操作的分配或移除。
您可以使用管理檢視或風險分析報告進行分析,如前一主題所述。
在風險補救中,安全管理員應記錄計劃,業務流程所有者應參與並批准計劃。
SAP GRC — 報告型別
您可以根據所需的分析生成不同的風險分析報告:
操作級別 — 您可以使用它在操作級別執行 SoD 分析。
許可權級別 — 這可以用於在操作和許可權級別執行 SoD 分析。
關鍵操作 — 這可以用於分析具有關鍵功能訪問許可權的使用者。
關鍵許可權 — 這可以用於分析具有關鍵功能訪問許可權的使用者。
關鍵角色/配置檔案 — 這可以用於分析具有關鍵角色或配置檔案訪問許可權的使用者。
SAP GRC - 緩解控制
在 SAP GRC 10.0 中,如果無法從業務流程中分離職責分離 (SoD),您可以使用緩解控制。
示例
在一個組織中,考慮這樣一種情況:一個人負責業務流程中的角色,這些角色會導致缺少 SoD 衝突。
緩解控制可能有不同的示例:
- 釋出策略和授權限制
- 使用者日誌審查
- 異常報告審查
- 詳細差異分析
- 投保以涵蓋安全事件的影響
緩解控制型別
SAP GRC 風險管理下有兩種型別的緩解控制:
- 預防性
- 檢測性
預防性緩解控制
預防性緩解控制用於在風險實際發生之前降低其影響。在預防性緩解控制下,您可以執行各種活動:
- 配置
- 使用者出口
- 安全
- 定義工作流
- 自定義物件
檢測性緩解控制
當收到警報併發生風險時,使用檢測性緩解控制。在這種情況下,負責啟動糾正措施的人員會減輕風險。
在檢測性緩解控制下,您可以執行各種活動:
- 活動報告
- 計劃與實際審查的比較
- 預算審查
- 警報
設定緩解控制
請按照以下步驟設定緩解控制:
步驟 1 — 登入到 SAP GRC 訪問控制。
步驟 2 — 對使用者級別執行風險分析。輸入以下詳細資訊:
- 報告型別
- 報告格式
步驟 3 — 單擊“執行”。
步驟 4 — 您可以像以下螢幕截圖一樣在不同的報告型別之間切換:
步驟 5 — 登入到 SAP GRC 訪問控制,並安排角色級別的風險分析後臺作業。
輸入以下詳細資訊:
- 報告型別 — 許可權級別
- 報告格式 — 摘要
步驟 6 — 單擊後臺執行,如下圖所示:
步驟 7 — 在下一個視窗中,您可以選擇立即啟動。然後,單擊確定。
SAP GRC - 超級使用者許可權
在 SAP GRC 10.0 中,需要在您的組織中實施超級使用者許可權管理,以消除公司當前應急使用者方法所面臨的過度授權和風險。
以下是超級使用者許可權中的關鍵功能:
您可以允許超級使用者在受控且可審計的環境中執行緊急活動。
使用超級使用者,您可以報告所有訪問更高授權許可權的使用者活動。
您可以生成審計跟蹤,用於記錄使用更高訪問許可權的原因。
此審計跟蹤可用於 SOX 合規性。
超級使用者可以充當消防員,並具有以下附加功能:
它可用於在緊急情況下執行超出其正常角色或配置檔案的任務。
只有某些個人(所有者)可以分配消防員 ID。
它為使用者提供了擴充套件的功能,同時建立了一個審計層來監控和記錄使用情況。
超級使用者許可權管理下的標準角色
您可以使用以下標準角色進行超級使用者許可權管理:
/VIRSA/Z_VFAT_ADMINISTRATOR
- 具有配置消防員的功能
- 將消防員角色所有者和控制器分配給消防員 ID
- 執行報告
/VIRSA/Z_VFAT_ID_OWNER
- 將消防員 ID 分配給消防員使用者
- 上傳、下載和檢視消防員歷史日誌
VIRSA/Z_VFAT_FIREFIGHTER
- 訪問消防員程式
SAP GRC - 超級使用者實施
現在讓我們瞭解如何實施超級使用者。
您可以透過以下步驟實施消防員 ID:
步驟 1 — 為每個業務流程區域建立消防員 ID
步驟 2 — 分配必要的角色和配置檔案來執行消防任務。
您不應分配配置檔案 SAP_ALL
步驟 3 — 使用 T 程式碼 – SU01
步驟 4 — 單擊建立按鈕以建立新使用者。
步驟 5 — 將如上所述的消防員角色分配給使用者 ID:
將消防員角色分配給適用的使用者 ID。
將管理員角色 /VIRSA/Z_VFAT_ADMINISTRATOR 分配給超級使用者許可權管理管理員。
不應為管理員使用者分配任何消防員角色。
將標準角色 /VIRSA/ Z_VFAT_FIREFIGHTER 分配給:
- 消防員 ID — 用於登入的服務使用者
- 消防員使用者 — 在緊急情況下充當消防員的標準使用者
將 ID 所有者角色 /VIRSA/Z_VFAT_ID_OWNER 分配給:
所有者 — 負責確定誰將被分配到其業務區域的緊急消防員 ID 的責任。
控制器 — 當使用消防員 ID 時會收到通知。
步驟 6 — 轉到角色選項卡,並根據需要選擇提到的角色。
步驟 7 — 為內部切換到消防員 ID 建立 RFC 目標:
名稱 — 輸入 RFC 連線名稱
連線型別 — 3
輸入說明
(不需要使用者名稱、密碼或其他登入資料)
在安全表中輸入每個消防員 ID 的密碼:密碼以雜湊值儲存,管理員儲存該值後無法讀取。
步驟 8 — 要建立消防員日誌,您可以安排後臺作業。
將作業命名為/VIRSA/ZVFATBAK,如下圖所示:
超級使用者日誌
讓我們瞭解超級使用者日誌的這些步驟。
步驟 1 — 使用 T 程式碼 — 事務 — /n/VIRSA/ZVFAT_V01
步驟 2 — 您現在可以在工具箱區域中找到日誌。
步驟 3 — 您可以使用事務程式碼 — SM37 來檢視單個使用者的日誌。
您還可以使用 Web GUI 訪問所有消防員資訊。轉到 SAP GRC 訪問控制 → 超級使用者許可權管理。
因此,可以訪問不同 SAP 後端系統上不同消防員安裝的資料。並且不再需要登入到每個系統。
SAP GRC - 增強型風險分析
您可以使用組織規則實施增強的風險分析。在共享服務業務單元中,您可以使用組織規則來實現使用者組的風險分析和管理程式。
考慮這樣一個案例:使用者建立了一個虛構的供應商,並生成了發票以獲取經濟利益。
您可以建立一個啟用公司程式碼的組織規則來消除這種情況。
應執行以下步驟以防止這種情況:
- 啟用功能中的組織級別欄位
- 建立組織規則
- 更新組織使用者對映表
- 配置風險分析 Web 服務
啟用功能中的組織級別欄位
請按照以下步驟在功能中啟用組織級別欄位:
找出要在共享服務環境中按組織級別隔離的功能。
維護受影響事務的許可權。
建立組織規則
請按照以下步驟建立組織規則:
步驟 1 — 為組織欄位的每個可能值建立組織規則。
步驟 2 — 轉到規則架構 → 組織級別 → 建立
步驟 3 — 輸入組織規則 ID 欄位。
步驟 4 — 輸入相關任務。
步驟 5 — 定義組織級別欄位並將其與布林運算子組合。
步驟 6 — 單擊儲存按鈕以儲存組織規則。
使用組織規則的好處
現在讓我們瞭解使用組織規則的好處。
公司可以使用組織規則來實現以下功能:
您可以使用組織規則來實施共享服務。它們藉助組織限制來分離職責。
轉到風險分析 → 組織級別
對使用者執行針對組織規則的分析型別風險分析
您將收到以下輸出:
只有當用戶在每個衝突功能中都訪問相同的特定公司程式碼時,風險分析才會顯示風險。
SAP GRC - 分配緩解控制
在一個組織中,您在不同的組織層次結構級別擁有控制所有者。應根據訪問級別管理和減輕風險。
組織中的控制所有者如下:
- 一個全域性級別的控制所有者
- 不同區域級別的控制所有者
- 多個本地級別的控制所有者
您必須將緩解控制分配到不同的責任級別。現在,如果在區域和本地級別存在風險違規,則應在最高級別執行風險緩解。
要在組織層次結構中使用緩解控制,假設您已在組織級別執行了風險分析,並且使用者違反了所有子組織規則並滿足父規則的條件,並且只有父規則顯示出來;您可以透過以下方式執行風險緩解:
- 使用者級別的緩解
- 組織級緩解措施
SAP GRC - 工作流整合
在 SAO GRC 10.0 中,會在以下情況下觸發工作流:
- 建立或更新風險。
- 建立或更新緩解控制措施。
- 分配緩解控制措施。
啟用基於工作流的風險和控制維護
在風險分析和補救中遵循基於工作流的變更管理方法時,您必須執行以下步驟:
- 轉到“配置”選項卡 → 工作流選項
- 設定以下引數:
- 將“風險維護”引數設定為“是”
- 將“緩解控制維護”引數設定為“是”
- 將“緩解”引數設定為“是”
- 設定工作流 Web 服務 URL:
http://<server>:<port>/AEWFRequestSubmissionService_5_2/Config1?wsdl&style=document
- 自定義需要在工作流引擎內執行的工作流。
基於工作流的風險和控制維護
在 SAP GRC 中維護風險或控制措施時,請執行以下步驟:
步驟 1 - 在訪問控制中,會觸發工作流來執行風險或控制工作流。
步驟 2 - 獲取所需的批准後,審批步驟取決於客戶需求。
步驟 3 - 獲取記錄完整審批流程的審計跟蹤。
SAP GRC — 全球貿易服務
使用 SAP GRC 全球貿易服務,您可以改善組織的跨境商品供應鏈。此應用程式允許您自動化貿易流程,幫助您控制成本,降低罰款風險,並管理進出口流程。
使用 GTS,您可以建立一個集中的單一儲存庫,用於包含所有合規性主資料和內容。
以下是使用全球貿易服務的主要優勢:
它有助於降低管理全球貿易合規性的成本和工作量。
它可以簡化耗時的手動任務,並有助於提高生產力。
減少貿易合規違規的處罰。
它可以幫助您建立和提升品牌形象,並避免與受制裁或被拒絕的方進行貿易。
為客戶滿意度鋪平道路,並提高服務質量。
它透過執行海關清關來加快進出口流程,並有助於消除不必要的延誤。
SAP ERP 和 SAP 全球貿易服務之間的整合
下圖顯示了 SAP ERP 和 SAP 全球貿易服務之間整合的流程:
SAP GRC - 安裝和配置
安裝 SAP GRC 時,需要在 GRC 中執行各種配置和設定。主要活動包括:
在 GRC 中建立聯結器
配置 AMF 以使用聯結器
建立回撥聯結器
在 GRC 中建立連線是使用 T-Code — SM59 建立 RFC 連線的標準流程
SAP GRC 位於 SAP 簡易訪問 → 治理風險合規資料夾下。
步驟 1 - 開啟 SAP 簡易訪問選單並使用 T-Code — SPRO
步驟 2 - 在 SAP 參考 IMG 下轉到治理、風險和合規 → 通用元件設定 → 整合框架 → 建立聯結器
步驟 3 - 建立聯結器是建立 SM59 連線的快捷方式。
步驟 4 - 要檢視現有連線,請轉到“維護聯結器和連線型別” -
您可以看到如下所示的聯結器型別。這些聯結器型別可用於不同目的的配置:
本地系統聯結器用於與 SAP BusinessObjects 訪問控制應用程式整合,以監控職責分離違規。
Web 服務聯結器用於外部合作伙伴資料來源(見章節)。
SAP 系統聯結器用於所有其他情況。
步驟 5 - 轉到連線型別定義選項卡 -
步驟 6 - 定義先前在 SM59 中定義的哪些聯結器可用於監控。轉到定義聯結器
步驟 7 - 在螢幕上,您可以看到一個聯結器名稱 - SMEA5_100。這是一個聯結器,顯示與 ECC 系統的連線。
第三列列出了在被監控系統中定義的聯結器的名稱,該聯結器配置為指向此處配置的 GRC 系統。
SMEA5_100 是 GRC 系統中的另一個聯結器,它指向要監控的 ERP 系統。SM2 是 ECC 系統上的聯結器,它指向 GRC 系統。
步驟 8 - 定義左側的聯結器組螢幕。
步驟 9 - 在此處,您必須確保所有用於自動監控的聯結器配置都屬於名為“自動監控”的配置組,如上圖“定義自動監控聯結器組”下所示。
步驟 10 - 轉到左側的將聯結器分配給聯結器組。
步驟 11 - 將聯結器分配給上面螢幕截圖中提到的 AM 聯結器組。
步驟 12 - 如以下螢幕截圖所示,轉到主選單中的維護連線設定。
步驟 13 - 您需要輸入所需整合方案,輸入 AM,如下面的螢幕截圖所示:
步驟 14 - 點選上面的螢幕截圖中顯示的綠色勾號;您將被定向到包含九個子方案的以下螢幕。
突出顯示的框顯示九個稱為子方案的條目,它們代表過程控制 10 下支援的不同型別的資料來源和業務規則。
步驟 15 - 對於要監控的系統,您需要將相應的聯結器連結到該子方案。
步驟 16 - 選擇要配置的子方案,然後選擇左側的方案聯結器連結,如下所示:
步驟 17 - 您將被定向到以下螢幕:
步驟 18 - 現在,如果要用於該方案的聯結器不在該子方案的列表中,
- 您可以點選頂部的“新建條目”按鈕將其新增。
- 您可以按照這些建議新增子方案:
- ABAP 應用程式 - ABAP 報表、SAP 查詢、可配置程式
- SAP BW - BW 查詢
- 非 SAP 系統 - 外部合作伙伴
- 流程整合器 - PI
- GRC 系統 - SoD 整合
SAP GRC - 資料來源和業務規則
在 SAP GRC 流程控制中,您可以建立資料來源。在此,設計時使用者介面位於業務客戶端中的“規則設定”選項下。
轉到持續監控部分,您可以在其中找到資料來源和業務規則選項。
要建立新的資料來源,請點選資料來源 → 建立。
在下一個欄位中,您可以看到三個不同的選項卡來定義資料來源。
- 常規選項卡
- 物件欄位
- 連結和附件
在“常規”選項卡中,輸入以下詳細資訊:
- 資料來源名稱
- 有效期開始日期
- 有效期結束日期
- 狀態
轉到物件欄位選項卡,選擇以下欄位:
SAP GRC - 建立業務規則
在 SAP GRC 10.0 中,您可以使用業務規則來過濾來自資料來源的資料流,並且您可以針對該資料應用使用者配置的條件/計算來確定是否存在需要關注的問題。
業務規則型別完全取決於資料來源型別。
轉到“規則設定”下的“業務規則”。
要建立新的業務規則,需要按照一些資料來源型別執行一些步驟。
您需要在每個選項卡中定義詳細資訊。例如,在常規選項卡中,您需要輸入有關業務規則的基本資訊。業務規則為您提供過濾缺陷的資料。
在“資料分析”選項卡中,您將看到可用欄位列表。
轉到篩選條件以對可用物件傳遞篩選條件。您可以從不同的運算子中選擇。
定義所有步驟後,您可以選擇儲存規則。如果要將規則應用於流程控制,您可以點選應用按鈕。
要將業務規則分配給流程控制,請轉到“規則設定”中“持續監控”下的“業務規則分配”。
選擇控制元件並搜尋要應用的業務規則。
我們現在已經瞭解瞭如何建立資料來源和業務規則來對資料來源進行過濾,以及如何將業務規則分配給流程控制。