SAP GRC - Risikomanagement

Das SAP-Risikomanagement in GRC wird verwendet, um das risikoadjustierte Management der Unternehmensleistung zu verwalten, mit dem ein Unternehmen die Effizienz optimieren, die Effektivität steigern und die Transparenz über Risikoinitiativen hinweg maximieren kann.

Das Folgende sind die key functions unter Risikomanagement -

  • Das Risikomanagement konzentriert sich auf die organisatorische Ausrichtung auf Top-Risiken, damit verbundene Schwellenwerte und Risikominderung.

  • Die Risikoanalyse umfasst die Durchführung einer qualitativen und quantitativen Analyse.

  • Das Risikomanagement umfasst die Identifizierung der wichtigsten Risiken in einer Organisation.

  • Das Risikomanagement umfasst auch Abwicklungs- / Sanierungsstrategien für Risiken.

  • Das Risikomanagement führt die Ausrichtung der wichtigsten Risiko- und Leistungsindikatoren über alle Geschäftsfunktionen hinweg durch und ermöglicht so eine frühere Risikoidentifizierung und dynamische Risikominderung.

Das Risikomanagement umfasst auch die proaktive Überwachung bestehender Geschäftsprozesse und -strategien.

Phasen im Risikomanagement

Lassen Sie uns nun die verschiedenen Phasen des Risikomanagements diskutieren. Im Folgenden sind die verschiedenen Phasen des Risikomanagements aufgeführt:

  • Risikoerkennung
  • Regelerstellung und Validierung
  • Analysis
  • Remediation
  • Mitigation
  • Kontinuierliche Compliance

Risikoerkennung

In einem Risikoerkennungsprozess unter Risikomanagement können die folgenden Schritte ausgeführt werden:

  • Identifizieren Sie Autorisierungsrisiken und genehmigen Sie Ausnahmen
  • Klären und klassifizieren Sie das Risiko als hoch, mittel oder niedrig
  • Identifizieren Sie neue Risiken und Bedingungen für die zukünftige Überwachung

Regelerstellung und Validierung

Führen Sie die folgenden Aufgaben unter Regelerstellung und -validierung aus -

  • Verweisen Sie auf die Best Practices-Regeln für die Umgebung
  • Überprüfen Sie die Regeln
  • Regeln anpassen und testen
  • Überprüfen Sie anhand von Testbenutzer- und Rollenfällen

Analyse

Führen Sie die folgenden Aufgaben unter Analyse aus -

  • Führen Sie die Analyseberichte aus
  • Schätzen Sie den Aufräumaufwand
  • Analysieren Sie Rollen und Benutzer
  • Ändern Sie Regeln basierend auf der Analyse
  • Legen Sie Warnungen fest, um ausgeführte Risiken zu unterscheiden

Unter Managementaspekten sehen Sie eine kompakte Ansicht von Risikoverstößen, die nach Schweregrad und Zeit gruppiert sind.

Step 1 - Gehen Sie zur Registerkarte Virsa Compliance Calibrator → Informer

Step 2 - Bei SoD-Verstößen können Sie ein Kreisdiagramm und ein Balkendiagramm anzeigen, um aktuelle und vergangene Verstöße in der Systemlandschaft darzustellen.

Das Folgende sind die zwei unterschiedlichen Ansichten zu diesen Verstößen -

  • Verstöße nach Risikostufe
  • Verstöße pro Prozess

Sanierung

Führen Sie die folgenden Aufgaben unter Korrektur aus -

  • Bestimmen Sie Alternativen zur Beseitigung von Risiken
  • Präsentieren Sie die Analyse und wählen Sie Korrekturmaßnahmen aus
  • Dokumentieren Sie die Genehmigung von Korrekturmaßnahmen
  • Ändern oder erstellen Sie Rollen oder Benutzerzuweisungen

Minderung

Führen Sie die folgenden Aufgaben unter Schadensbegrenzung aus:

  • Bestimmen Sie alternative Kontrollen, um das Risiko zu minimieren
  • Informieren Sie das Management über die Genehmigung und Überwachung von Konflikten
  • Dokumentieren Sie einen Prozess zur Überwachung von Minderungskontrollen
  • Implementieren Sie Kontrollen

Kontinuierliche Compliance

Führen Sie die folgenden Aufgaben unter Kontinuierliche Konformität aus -

  • Kommunizieren Sie Änderungen in Rollen und Benutzerzuweisungen
  • Simulieren Sie Änderungen an Rollen und Benutzern
  • Implementieren Sie Warnungen, um ausgewählte Risiken zu überwachen und Kontrolltests zu verringern

Risikoklassifizierung

Risiken sollten gemäß den Unternehmensrichtlinien klassifiziert werden. Im Folgenden sind die verschiedenen Risikoklassifizierungen aufgeführt, die Sie gemäß Risikopriorität und Unternehmensrichtlinie definieren können:

Kritisch

Die kritische Klassifizierung erfolgt für Risiken, die kritische Vermögenswerte des Unternehmens enthalten, die sehr wahrscheinlich durch Betrug oder Systemstörungen gefährdet werden.

Hoch

Dies umfasst physische oder finanzielle Verluste oder systemweite Störungen, einschließlich Betrug, Verlust von Vermögenswerten oder Ausfall eines Systems.

Mittel

Dies umfasst mehrere Systemstörungen wie das Überschreiben von Stammdaten im System.

Niedrig

Dies schließt Risiken ein, bei denen Produktivitätsverluste oder Systemausfälle, die durch Betrug oder Systemstörungen und -verluste beeinträchtigt werden, minimal sind.