SAP GRC - Panduan Cepat
Solusi Tata Kelola, Risiko, dan Kepatuhan SAP memungkinkan organisasi untuk mengelola peraturan dan kepatuhan serta menghilangkan risiko apa pun dalam mengelola operasi utama organisasi. Sesuai dengan situasi pasar yang berubah, organisasi tumbuh dan dengan cepat berubah dan dokumen yang tidak sesuai, spreadsheet tidak dapat diterima oleh auditor dan regulator eksternal.
SAP GRC membantu organisasi untuk mengelola peraturan dan kepatuhan mereka dan melakukan aktivitas berikut -
Integrasi yang mudah dari aktivitas GRC ke dalam proses yang ada dan otomatisasi aktivitas GRC utama.
Kompleksitas rendah dan mengelola risiko secara efisien.
Meningkatkan aktivitas manajemen risiko.
Mengelola penipuan dalam proses bisnis dan manajemen audit secara efektif.
Organisasi bekerja lebih baik dan perusahaan dapat melindungi nilai-nilai mereka.
Solusi SAP GRC terdiri dari tiga area utama: Menganalisis, mengelola, dan memantau.
Modul di SAP GRC
Mari kita sekarang memahami berbagai modul di SAP GRC -
Kontrol Akses SAP GRC
Untuk memitigasi risiko dalam suatu organisasi, diperlukan pengendalian risiko sebagai bagian dari praktik kepatuhan dan regulasi. Tanggung jawab harus didefinisikan dengan jelas, mengelola penyediaan peran dan mengelola akses untuk pengguna super sangat penting untuk mengelola risiko dalam suatu organisasi.
Kontrol Proses dan Manajemen Penipuan SAP GRC
Solusi perangkat lunak SAP GRC Process Control digunakan untuk mengelola kepatuhan dan manajemen kebijakan. Kemampuan manajemen kepatuhan memungkinkan organisasi untuk mengelola dan memantau lingkungan pengendalian internalnya. Organisasi dapat secara proaktif memperbaiki masalah apa pun yang teridentifikasi dan menyatakan serta melaporkan status keseluruhan dari aktivitas kepatuhan terkait.
Kontrol Proses SAP mendukung siklus hidup lengkap manajemen kebijakan, termasuk distribusi dan kepatuhan kebijakan oleh kelompok sasaran. Kebijakan ini membantu organisasi untuk mengurangi biaya kepatuhan dan meningkatkan transparansi manajemen dan memungkinkan organisasi untuk mengembangkan proses dan kebijakan manajemen kepatuhan dalam lingkungan bisnis.
Manajemen Risiko SAP GRC
Manajemen Risiko SAP GRC memungkinkan Anda untuk mengelola aktivitas manajemen risiko. Anda dapat melakukan perencanaan sebelumnya untuk mengidentifikasi risiko dalam bisnis dan menerapkan langkah-langkah untuk mengelola risiko dan memungkinkan Anda membuat keputusan yang lebih baik yang meningkatkan kinerja bisnis.
Risiko datang dalam berbagai bentuk -
- Resiko operasional
- Risiko Strategis
- Risiko Kepatuhan
- Resiko keuangan
Manajemen Audit SAP GRC
Ini digunakan untuk meningkatkan proses manajemen audit dalam sebuah organisasi dengan mendokumentasikan artefak, mengatur kertas kerja, dan membuat laporan audit. Anda dapat dengan mudah berintegrasi dengan solusi tata kelola, risiko dan kepatuhan lainnya dan memungkinkan organisasi untuk menyelaraskan kebijakan manajemen audit dengan tujuan bisnis.
Manajemen audit SAP GRC membantu auditor dalam menyederhanakan segala sesuatunya dengan menyediakan kemampuan berikut -
Anda dapat langsung menangkap artefak untuk manajemen audit dan bukti lainnya menggunakan fitur seret-lepas kapabilitas seluler.
Anda dapat dengan mudah membuat, melacak, dan mengelola masalah audit dengan pemantauan dan tindak lanjut global.
Anda dapat melakukan pencarian menggunakan kemampuan pencarian yang memungkinkan untuk mendapatkan lebih banyak informasi dari warisan dan kertas kerja.
Anda dapat melibatkan auditor dengan antarmuka yang ramah pengguna dan alat kolaborasi.
Integrasi yang mudah dari manajemen audit dengan SAP Fraud Management, SAP Risk Management, dan SAP Process Control untuk menyelaraskan proses audit dengan tujuan bisnis.
Penyelesaian masalah dengan cepat menggunakan alat pelacakan otomatis.
Meningkatkan pemanfaatan staf, dan mengurangi biaya perjalanan yang dihasilkan dari perencanaan audit internal, manajemen sumber daya, dan penjadwalan.
Integrasi yang mudah dengan pelaporan SAP Business Objects dan alat visualisasi data untuk memvisualisasikan laporan audit menggunakan Lumira dan pelaporan BI lainnya.
Penggunaan templat yang telah ditetapkan sebelumnya untuk menstandarisasi artefak audit dan proses pelaporan.
Manajemen Penipuan SAP GRC
Alat manajemen penipuan SAP GRC membantu organisasi untuk mendeteksi dan mencegah penipuan pada tahap awal dan karenanya mengurangi meminimalkan kerugian bisnis. Pemindaian dapat dilakukan pada sejumlah besar data secara real time dengan lebih akurat dan aktivitas penipuan dapat dengan mudah diidentifikasi.
Perangkat lunak manajemen penipuan SAP dapat membantu organisasi dengan kemampuan berikut -
Investigasi dan dokumentasi kasus penipuan yang mudah.
Tingkatkan kewaspadaan dan respons sistem untuk mencegah aktivitas penipuan lebih sering terjadi di masa mendatang.
Pemindaian mudah atas volume transaksi dan data bisnis yang tinggi.
Layanan Perdagangan Global SAP GRC
Perangkat lunak SAP GRC GTS membantu organisasi meningkatkan pasokan lintas batas dalam batas-batas manajemen perdagangan internasional. Ini membantu mengurangi hukuman risiko dari otoritas Peraturan Perdagangan Internasional.
Ini menyediakan proses manajemen perdagangan global terpusat dengan satu repositori untuk semua data master kepatuhan dan konten terlepas dari ukuran organisasi.
Model Kapabilitas SAP GRC
Solusi SAP BusinessObjects GRC terdiri dari tiga kemampuan utama - Analyze, Manage and Monitor.
Dalam diagram berikut, Anda dapat melihat Model Kapabilitas SAP GRC yang mencakup semua fitur utama dari perangkat lunak SAP GRC. Dengan menggunakan GRC, organisasi dapat memeriksa semua potensi risiko dan temuan kepatuhan dan dapat mengambil keputusan yang tepat untuk menguranginya.
Dalam versi SAP GRC yang lebih lama, untuk menggunakan kontrol akses, kontrol proses, dan manajemen risiko, ada navigasi terpisah untuk setiap komponen. Ini berarti bahwa pengguna, untuk melakukan tugas lintas komponen, harus masuk ke setiap modul secara terpisah dan masuk beberapa kali. Hal ini mengakibatkan proses yang sulit untuk mengelola banyak jendela dan dokumen untuk pencarian juga sulit.
SAP GRC 10.0 menyediakan navigasi langsung ke kontrol akses, kontrol proses, dan komponen manajemen risiko untuk satu pengguna sesuai otorisasi dan menghapus manajemen beberapa jendela.
Step 1 - Untuk melakukan aktivitas penyesuaian dan memelihara pengaturan konfigurasi untuk solusi GRC, buka T-code - SPRO → SAP Reference IMG
Step 2 - Memperluas node Tata Kelola, Risiko dan Kepatuhan -
Step 3 - Masuk ke NetWeaver Business Client -
Jalankan transaksi untuk NWBC di SAP Easy access.
Ini akan membuka layar Klien Bisnis NetWeaver dan Anda akan menerima url berikut - http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/
Pusat Kerja SAP GRC
Anda dapat menggunakan Pusat Kerja untuk menyediakan titik akses pusat untuk GRC 10.0. Mereka dapat diatur berdasarkan apa yang telah diberikan lisensi kepada pelanggan untuk beroperasi.
Step 1- Untuk mengakses Pusat Kerja, buka NetWeaver Business Client seperti yang disebutkan di atas. Pergi ke/nwbc opsi di bagian atas untuk membuka Pusat Kerja.
Step 2 - Setelah Anda mengklik, Anda akan diarahkan ke layar beranda klien SAP NetWeaver Business.
Bergantung pada produk yang Anda lisensikan, berbagai komponen solusi GRC ditampilkan - Access Control, Process Control, or Risk Management.
Kontrol akses SAP GRC membantu organisasi untuk secara otomatis mendeteksi, mengelola dan mencegah pelanggaran risiko akses dan mengurangi akses tidak sah ke data dan informasi perusahaan. Pengguna dapat menggunakan layanan mandiri otomatis untuk mengakses pengajuan permintaan, permintaan akses yang didorong alur kerja, dan persetujuan akses. Tinjauan otomatis atas akses pengguna, otorisasi peran, dan pelanggaran risiko dapat digunakan menggunakan Kontrol Akses SAP GRC.
Kontrol Akses SAP GRC menangani tantangan utama dengan memungkinkan bisnis mengelola risiko akses. Ini membantu organisasi untuk mencegah akses yang tidak sah dengan mendefinisikan pemisahan tugas SoD dan akses kritis dan meminimalkan waktu dan biaya manajemen risiko akses.
Fitur Utama
Berikut ini adalah fitur-fitur utama dari SAP GRC Access Control -
Untuk melakukan audit dan kepatuhan sesuai persyaratan hukum dengan standar audit yang berbeda seperti standar SOX, BSI dan ISO.
Untuk secara otomatis mendeteksi pelanggaran risiko akses di seluruh sistem SAP dan non-SAP dalam suatu organisasi.
Seperti disebutkan, ini memberdayakan pengguna dengan pengiriman akses swalayan, permintaan akses yang didorong alur kerja, dan persetujuan permintaan.
Untuk mengotomatiskan tinjauan akses pengguna, otorisasi peran, pelanggaran risiko, dan tugas kontrol dalam organisasi skala kecil dan besar.
Untuk secara efisien mengelola akses pengguna super dan menghindari pelanggaran risiko dan akses tidak sah ke data dan aplikasi dalam sistem SAP dan non-SAP.
Bagaimana Menjelajahi Pusat Kerja Pengaturan Kontrol Akses?
Jalankan transaksi untuk NWBC di SAP Easy access.
Ini akan membuka layar Klien Bisnis NetWeaver dan Anda akan menerima url berikut - http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/
Step 1- Untuk mengakses Pusat Kerja, buka NetWeaver Business Client seperti yang disebutkan di atas. Pergi ke/nwbc opsi di bagian atas untuk membuka Pusat Kerja.
Step 2 - Setelah Anda mengklik, Anda akan diarahkan ke layar beranda klien SAP NetWeaver Business.
Step 3- Pergi ke setup work center dan jelajahi set kerja. Klik beberapa tautan di bawah masing-masing dan jelajahi berbagai layar.
Step 4 - Pusat kerja penyetelan tersedia di Access Control dan menyediakan link ke bagian berikut -
- Pemeliharaan Aturan Akses
- Aturan Akses Pengecualian
- Aturan Akses Kritis
- Aturan yang Dihasilkan
- Organizations
- Kontrol Mitigasi
- Penugasan Pengguna Super
- Pemeliharaan Pengguna Super
- Pemilik Akses
Step 5 - Anda dapat menggunakan fungsi yang tercantum di atas dengan cara berikut -
Menggunakan bagian Access Rule Maintenance, Anda dapat mengelola set aturan akses, fungsi, dan risiko akses yang digunakan untuk mengidentifikasi pelanggaran akses.
Menggunakan Aturan Akses Pengecualian, Anda bisa mengelola aturan yang melengkapi aturan akses.
Menggunakan bagian aturan akses penting, Anda dapat menetapkan aturan tambahan yang mengidentifikasi akses ke peran dan profil penting.
Menggunakan bagian aturan yang dibuat, Anda dapat menemukan dan melihat aturan akses yang dibuat.
Di bawah Organisasi, Anda dapat mempertahankan struktur organisasi perusahaan untuk kepatuhan dan manajemen risiko dengan tugas terkait.
Bagian Kontrol Mitigasi memungkinkan Anda mengelola kontrol untuk mengurangi pemisahan tugas, tindakan kritis, dan pelanggaran akses izin kritis.
Penugasan Pengguna Super adalah tempat Anda menetapkan pemilik ke ID petugas pemadam kebakaran dan menetapkan ID petugas pemadam kebakaran kepada pengguna.
Superuser Maintenance adalah tempat Anda memelihara pemadam kebakaran, pengontrol, dan penetapan kode alasan.
Di bawah Pemilik Akses, Anda mengelola hak istimewa pemilik untuk kemampuan pengelolaan akses.
Sesuai dengan lisensi perangkat lunak GRC, Anda dapat menavigasi Pusat Kerja Manajemen Akses. Ini memiliki beberapa bagian untuk mengelola aktivitas kontrol akses.
Saat Anda mengklik Pusat Kerja Manajemen Akses, Anda dapat melihat bagian berikut -
- Penetapan Peran GRC
- Analisis Risiko Akses
- Akses yang Dimitigasi
- Administrasi Permintaan Akses
- Manajemen Peran
- Penambangan Peran
- Peran Pemeliharaan Massal
- Penugasan Pengguna Super
- Pemeliharaan Pengguna Super
- Pembuatan Permintaan Akses
- Tinjauan Sertifikasi Kepatuhan
- Alerts
- Scheduling
Bagian di atas membantu Anda dengan cara berikut -
Ketika Anda pergi untuk mengakses risk analysisbagian, Anda dapat mengevaluasi sistem Anda untuk risiko akses di seluruh pengguna, peran, objek SDM dan tingkat organisasi. Risiko akses adalah dua atau lebih tindakan atau izin yang, jika tersedia untuk satu pengguna atau peran tunggal, profil, tingkat organisasi, atau Objek SDM, menciptakan kemungkinan kesalahan atau ketidakteraturan.
Menggunakan mitigated access bagian, Anda dapat mengidentifikasi risiko akses, menilai tingkat risiko tersebut, dan menetapkan kontrol mitigasi kepada pengguna, peran, dan profil untuk mengurangi pelanggaran aturan akses.
Di access request administration bagian, Anda dapat mengelola tugas akses, akun, dan proses tinjauan.
Menggunakan role management, Anda mengelola peran dari beberapa sistem dalam satu repositori terpadu.
Di role mining fitur grup, Anda dapat menargetkan peran yang diminati, menganalisisnya, dan mengambil tindakan.
Menggunakan role mass maintenance, Anda dapat mengimpor dan mengubah otorisasi dan atribut untuk beberapa peran.
Di Superuser Assignment bagian, Anda dapat menetapkan ID petugas pemadam kebakaran ke pemilik dan menetapkan petugas pemadam kebakaran dan pengontrol ke ID petugas pemadam kebakaran.
Di Superuser Maintenance bagian, Anda dapat melakukan aktivitas seperti meneliti dan memelihara petugas pemadam kebakaran dan pengontrol, dan menetapkan kode alasan berdasarkan sistem.
Menggunakan access request creation, Anda dapat membuat tugas akses dan akun.
Compliance certification reviews mendukung tinjauan akses pengguna, pelanggaran risiko dan penetapan peran.
Menggunakan alerts, Anda dapat membuat aplikasi untuk menjalankan tindakan kritis atau bertentangan.
Menggunakan Scheduling bagian dari Pusat Kerja Pengaturan Aturan, Anda dapat mempertahankan jadwal untuk pemantauan kontrol berkelanjutan dan pengujian otomatis, dan untuk melacak kemajuan pekerjaan terkait.
Dalam solusi SAP GRC, Anda dapat mengelola objek otorisasi untuk membatasi item dan data yang dapat diakses pengguna. Otorisasi mengontrol apa yang dapat diakses pengguna terkait dengan pusat kerja dan laporan dalam sistem SAP.
Untuk mengakses solusi GRC, Anda harus memiliki akses berikut -
- Otorisasi portal
- Peran PFCG yang berlaku
- Peran PFCG untuk kontrol akses, kontrol proses dan manajemen risiko
Jenis otorisasi yang tercantum di bawah ini diperlukan sesuai komponen GRC - AC, PC, dan RM.
Nama peran | Typ | Deskripsi | Komponen |
---|---|---|---|
SAP_GRC_FN_BASE | PFCG | Peran dasar | PCRM |
SAP_GRAC_BASE | PFCG | Peran dasar (termasuk SAP_GRC_FN_BASE) | AC |
SAP_GRC_NWBC | PFCG | Berperan untuk menjalankan GRC 10.0 di NWBC | AC, PC, RM |
SAP_GRAC_NWBC | PFCG | Peran untuk menjalankan pusat kerja NWBC yang disederhanakan untuk AC | AC |
GRC_Suite | Pintu gerbang | Peran portal untuk menjalankan GRC di 10.0 di portal | AC, PC, RM |
SAP_GRC_FN_BUSINESS_USER | PFCG | Peran pengguna umum | AC * , PC, RM |
SAP_GRC_FN_ALL | PFCG | Peran pengguna yang kuat; melewati otorisasi tingkat entitas untuk PC dan RM | PCRM |
SAP_GRAC_ALL | PFCG | Peran pengguna yang kuat | AC |
SAP_GRC_FN_DISPLAY | PFCG | Tampilkan semua peran pengguna | PCRM |
SAP_GRAC_DISPLAY_ALL | PFCG | Tampilkan semua peran pengguna | AC |
SAP_GRAC_SETUP | PFCG | Menyesuaikan peran (digunakan untuk mempertahankan konfigurasi di IMG) | AC |
SAP_GRC_SPC_CUSTOMIZING | PFCG | Menyesuaikan peran (digunakan untuk mempertahankan konfigurasi di IMG) | PC |
SAP_GRC_RM_CUSTOMIZING | PFCG | Menyesuaikan peran (digunakan untuk mempertahankan konfigurasi di IMG) | RM |
SAP_GRAC_RISK_ANALYSIS | PFCG | Peran tersebut memberikan otoritas untuk menjalankan pekerjaan SoD | AC, PC, RM |
Otorisasi di Komponen Portal dan NWBC
Dalam solusi SAP GRC 10.0, pusat kerja ditentukan dalam peran PCD untuk komponen Portal dan dalam peran PFCG untuk NWBC (NetWeaver Business Client). Pusat kerja ditetapkan di setiap peran dasar. SAP memberikan peran ini; peran ini dapat diubah oleh pelanggan sesuai kebutuhan.
Lokasi folder aplikasi dan aplikasi bawahan dalam peta layanan dikendalikan oleh aplikasi SAP NetWeaver Launchpad. Peta layanan dikendalikan oleh otorisasi pengguna jadi jika pengguna tidak memiliki otorisasi untuk melihat aplikasi apa pun, mereka akan disembunyikan di klien NetWeaver Business.
Bagaimana cara meninjau penetapan peran di Pusat Kerja Manajemen Akses?
Ikuti langkah-langkah ini untuk meninjau penetapan peran -
Step 1 - Pergi ke Access Management Work Center di NetWeaver Business Client.
Step 2- Pilih proses bisnis di bawah Penetapan peran GRC dan masuk ke tingkat peran sub-proses. Klik berikutnya untuk melanjutkan untuk menetapkan bagian peran.
Bagaimana cara meninjau penetapan peran di Pusat Kerja Data Master?
Step 1 - Pergi ke Pusat Kerja Data Master → Organisasi
Step 2 - Di jendela berikutnya, pilih organisasi mana saja dari daftar, lalu klik Buka.
Step 3 - Note bahwa segitiga di sebelah organisasi berarti ada suborganisasi dan titik di sebelah organisasi berarti tingkat paling bawah.
Step 4- Klik tab subproses → Tetapkan subproses. Sekarang pilih satu atau dua subproses dan klik Next.
Step 5 - Tanpa membuat perubahan apa pun, klik Selesai pada langkah Pilih Kontrol.
Step 6- Pilih subproses pertama dari daftar, lalu klik Buka. Anda harus melihat detail subproses.
Step 7- Klik Tab Peran. Pilih peran dari daftar, lalu klik Tetapkan.
Kontrol Akses SAP GRC menggunakan peran UME untuk mengontrol otorisasi pengguna di sistem. Administrator dapat menggunakan tindakan yang mewakili entitas terkecil dari peran UME yang dapat digunakan pengguna untuk membangun hak akses.
Satu peran UME dapat berisi tindakan dari satu atau beberapa aplikasi. Anda harus menetapkan peran UME untuk pengguna diUser Management Engine (UME).
Otorisasi di UME
Ketika pengguna tidak memiliki akses ke tab tertentu, tab tidak akan ditampilkan saat pengguna logon ketika pengguna mencoba mengakses tab itu. Ketika tindakan UME untuk tab ditetapkan ke pengguna tertentu itu, hanya dia yang dapat mengakses fungsi itu.
Semua tindakan UME standar yang tersedia untuk tab CC dapat ditemukan di tab “Assigned Actions” dari Admin User.
Peran UME
Anda harus membuat peran administrator dan peran ini harus ditetapkan ke Superuser untuk melakukan aktivitas terkait kalibrator kepatuhan SAP. Ada berbagai peran CC yang dapat dibuat di bawah kontrol Akses SAP GRC pada saat implementasi -
- CC.ReportingView
Description - Tampilan dan Pelaporan Kalibrator Kepatuhan
- CC.RuleMaintenance
Description - Pemeliharaan Aturan Kepatuhan Kalibrator
- CC.MitMaintenance
Description - Pemeliharaan Mitigasi Kepatuhan Kalibrator
- CC.Administration
Description - Administrasi Kepatuhan Kalibrator dan Konfigurasi Dasar
Bagaimana cara membuka Mesin Pemeliharaan Pengguna?
Menggunakan UME, Anda dapat melakukan berbagai aktivitas utama di bawah Access Control -
- Anda dapat melakukan pemeliharaan pengguna dan peran
- Ini dapat digunakan untuk konfigurasi sumber data pengguna
- Anda dapat menerapkan pengaturan keamanan dan aturan kata sandi
Untuk membuka UME, Anda harus menggunakan URL berikut -
http://<hostname>:<port>/useradmin
Di SAP GRC 10.0, Anda dapat menggunakan Papan Peluncuran Kontrol Akses untuk mempertahankan fungsi utama di bawah Kontrol Akses GRC. Ini adalah satu halaman web yang dapat digunakan untukRisk Analysis and Remediation (RAR).
Dalam Kontrol Akses GRC, Anda dapat menggunakan kemampuan Analisis dan Remediasi Risiko (RAR) untuk melakukan audit keamanan dan analisis pemisahan tugas (SoD). Ini adalah alat yang dapat digunakan untuk mengidentifikasi, menganalisis, dan menyelesaikan masalah risiko dan audit yang terkait dengan kepatuhan terhadap peraturan berikut. Di sini, Anda juga dapat secara kolaboratif mendefinisikan hal-hal berikut -
- Manajemen Peran Perusahaan (ERM)
- Penyediaan Pengguna yang Sesuai (CUP)
- Manajemen Hak Pengguna Super
Membuat Launchpad Baru di NWBC
Ikuti langkah-langkah ini untuk membuat Launchpad baru di NWBC -
Step 1 - Pergi ke peran PFCG, dan buka peran SAP_GRAC_NWBC
Step 2 - Saat Anda mengklik kanan item My Home, Anda dapat melihat aplikasi yang dipanggil adalah grfn_service_map?WDCONFIGURATIONID=GRAC_FPM_AC_LPD_HOME dan id konfigurasinya adalah GRAC_FPM_AC_LPD_HOME.
Step 3 - Pilih application config dan Anda dapat melihat layar konfigurasi aplikasi → tombol tampilan.
Step 4 - Saat Anda mengklik Tampilan, Anda dapat melihat layar ini -
Step 5 - Sekarang buka Component Configuration tombol.
Step 6 - Klik Configure UIBBtombol di layar ini. Anda akan diarahkan ke layar berikut -
Step 7- Anda dapat memilih Launchpad yang ingin Anda petakan. Jika Anda ingin membuat Launchpad baru, Anda juga dapat memetakannya ke peran baru.
Step 8 - Untuk membuat Launchpad baru, tentukan yang berikut -
Buat landasan peluncuran baru dengan item menu yang Anda inginkan.
Buat konfigurasi baru aplikasi GRFN_SERVICE_MAP atau Anda dapat menyalin id konfigurasi GRAC_FPM_AC_LPD_HOME dan menyesuaikannya lebih lanjut.
Di konfigurasi baru pilih launchpad yang ingin Anda kaitkan.
Buat peran baru dan tambahkan aplikasi webdynpro GRFN_SERVICE_MAP ke sana dengan id konfigurasi khusus yang dibuat pada langkah sebelumnya.
Dalam solusi SAP GRC 10.0, data master dan struktur organisasi dibagikan ke seluruh kontrol akses, kontrol proses, dan manajemen risiko. Pengendalian Proses juga berbagi kemampuan tertentu dengan proses manajemen risiko.
Berikut adalah fitur utama yang dibagikan dengan Kontrol Akses -
Kontrol akses dan kontrol proses berbagi struktur kepatuhan di area di bawah ini -
Dalam solusi kontrol proses, kontrol digunakan sebagai kontrol mitigasi dalam kontrol akses di bawah solusi SAP GRC 10.0.
Kontrol akses dan kontrol proses berbagi organisasi yang sama.
Dalam kontrol proses, proses digunakan sebagai proses bisnis dalam kontrol akses.
Kontrol proses dan kontrol akses terintegrasi dengan analisis risiko akses untuk memantau segregasi tugas SoD.
The menu areas common to both Process Control and Risk Management are −
- Penetapan Peran GRC
- Perencana Kontrol Proses
- Perencana Manajemen Risiko
- Delegasi Pusat
Berikut ini adalah poin integrasi utama antara Pengendalian Proses dan Manajemen Risiko -
Poin kontrol baru dapat digunakan untuk Pengendalian Proses dalam Manajemen Risiko.
Ketika kontrol baru diusulkan, Kontrol Proses perlu mengevaluasi permintaan dari Manajemen Risiko.
Manajemen Risiko menggunakan hasil dari Kontrol Proses untuk mengevaluasi kontrol baru.
Manajemen Risiko juga dapat menggunakan kontrol yang ada dari Pengendalian Proses sebagai tanggapan dalam Manajemen Risiko.
Internal Audit Managementmemungkinkan Anda memproses informasi dari Manajemen Risiko dan Kontrol Proses untuk digunakan dalam perencanaan audit. Proposal audit dapat ditransfer ke manajemen audit untuk diproses bila diperlukan dan item audit dapat digunakan untuk menghasilkan masalah untuk pelaporan. IAM memberi Anda tempat di mana Anda dapat melakukan perencanaan audit lengkap, membuat item audit, menentukan semesta audit, dan membuat serta melihat laporan audit dan masalah audit.
Internal Audit Management Work Center menyediakan lokasi sentral untuk kegiatan berikut -
- Tentukan semesta audit untuk organisasi Anda
- Peringkat risiko audit
- Perencanaan audit untuk menentukan prosedur kepatuhan audit
- Masalah audit dari tindakan audit
- Laporan audit untuk melihat risiko apa yang ada pada entitas yang dapat diaudit
Semesta Audit berisi entitas audit yang dapat diklasifikasikan sebagai unit bisnis, lini bisnis, atau departemen. Entitas audit menentukan strategi perencanaan audit dan ini dapat dihubungkan dengan Pengendalian Proses dan Manajemen Risiko untuk menemukan risiko, pengendalian, dll.
Buat Entitas yang Dapat Diaudit
Mari kita sekarang memahami cara membuat entitas yang dapat diaudit.
Step 1 - Pergi ke /nwbc opsi di bagian atas untuk membuka Pusat Kerja
Step 2 - Di SAP NetWeaver Business Client, buka IAM Work Center.
Step 3 - Arahkan ke Manajemen Audit Internal → Semesta Audit
Step 4 - Klik Create tombol dan pergi ke General tab.
Step 5 - Masukkan detail berikut untuk entitas yang dapat diaudit -
- Name
- Description
- Type
- Status
- Catatan untuk menambahkan informasi tambahan
Step 6 - Pergi ke Audit Plan tab untuk melihat proposal audit dan proposal rencana audit dengan tanggal transfer.
Step 7 - Pilih attachments and links tab untuk menambahkan semua jenis file atau tautan.
Step 8 - Saat Anda memasukkan detail yang diperlukan, Anda dapat memilih dari opsi berikut -
- Pilih Save untuk menyelamatkan entitas.
- Pilih Close untuk keluar tanpa menyimpan.
Kontrol Proses SAP - Peringkat Risiko Audit
Peringkat Risiko Audit digunakan untuk menetapkan kriteria bagi organisasi untuk menemukan peringkat risiko dan menetapkan peringkat untuk peringkat risiko. Setiap entitas yang dapat diaudit dinilai sesuai umpan balik manajemen dalam ARR. Anda dapat menggunakan ARR untuk melakukan fungsi berikut -
Anda dapat menemukan kumpulan entitas yang dapat diaudit dan faktor risiko.
Tentukan dan evaluasi skor risiko untuk faktor risiko di setiap entitas yang dapat diaudit.
Sesuai skor risiko, Anda dapat menilai entitas yang dapat diaudit.
Anda juga dapat membuat rencana audit dari ARR dengan membandingkan skor risiko untuk berbagai entitas yang dapat diaudit. Selain itu, Anda dapat memilih entitas yang dapat diaudit skor risiko tinggi dan menghasilkan proposal audit dan proposal rencana audit.
Buat Peringkat Risiko Audit
Mari kita sekarang memahami langkah-langkah untuk membuat Peringkat Risiko Audit
Step 1 - Di SAP NetWeaver Business Client, buka IAM Work Center.
Step 2 - Arahkan ke Manajemen Audit Internal → Peringkat Risiko Audit → Buat
Step 3 - Di tab Umum, masukkan detail berikut -
- Name
- Description
- Berlaku dari
- Berlaku untuk
- Penanggung jawab
- Status
Step 4 - Buka Entitas yang Dapat Diaudit dan klik Add tombol untuk memilih dari entitas yang dapat diaudit.
Step 5 - Pergi ke Risk Factor tab, dan pilih ARRfaktor risiko. PilihAdd untuk menambahkan faktor risiko → OK.
Step 6 - Pergi ke Risk Scorestab, pilih entitas dan masukkan skor risiko pada tabel faktor risiko. KlikCalculatetombol untuk melihat skor rata-rata. Masuk ke kolom Tingkat risiko dan prioritas risiko untuk memasukkan rinciannya.
Pergi ke Audit Plan Proposaltab, untuk memastikan bahwa Anda membuat proposal rencana audit. Pilih ekspor untuk membuat spreadsheet excel untuk melihat informasi dalam bentuk tabel untuk ARR Anda.
Pilih Save tombol untuk menyimpan peringkat risiko audit untuk entitas yang dapat diaudit.
Pusat kerja menyediakan titik akses pusat untuk seluruh fungsi GRC. Mereka diatur untuk menyediakan akses mudah ke aktivitas aplikasi, dan berisi grup menu dan tautan ke aktivitas lebih lanjut.
Pusat kerja berikut digunakan bersama oleh Kontrol Akses, Kontrol Proses, dan Manajemen Risiko -
- Rumah saya
- Data master
- Pengaturan Aturan
- Assessments
- manajemen akses
- Laporan dan Analitik
Mari kita bahas pusat kerja utama.
Rumah saya
My Home Work Center dibagikan oleh Kontrol Proses, Manajemen Risiko, dan Kontrol Akses. Ini menyediakan lokasi terpusat di mana Anda dapat mengelola tugas yang diberikan dan objek yang dapat diakses di aplikasi GRC. Rumah Saya hadir dengan sejumlah bagian. Mari kita sekarang memahami bagian Kotak Masuk Kerja -
Kotak Masuk Kerja
Menggunakan Work Inbox, Anda dapat melihat tugas-tugas yang harus Anda proses dalam perangkat lunak GRC.
Jika Anda ingin memproses tugas, klik tugas di tabel.
Ini akan membuka jendela alur kerja di mana, Anda dapat memproses tugas.
Data master
Pusat Kerja Data Master digunakan bersama oleh Kontrol Proses, manajemen Risiko, dan kontrol akses. Pusat Kerja Data Master Kontrol Proses berisi bagian-bagian berikut -
- Organizations
- Regulasi dan Kebijakan
- Objectives
- Aktivitas dan Proses
- Risiko dan Respons
- Accounts
- Reports
Sekarang mari kita bahas pusat kerja utama di bawah Pusat Kerja Data Master -
Organizations - Menjaga struktur organisasi perusahaan untuk kepatuhan dan manajemen risiko dengan penugasan terkait
Mitigation Controls - Menjaga kontrol untuk mengurangi pemisahan tugas, tindakan kritis, dan pelanggaran akses izin kritis
Untuk membuat kontrol mitigasi, klik tombol Buat.
Anda akan diarahkan ke jendela baru, masukkan detail untuk kontrol mitigasi dan klik tombol Simpan.
Laporan dan Analitik
Pusat Kerja Laporan dan Analisis digunakan bersama oleh Kontrol Proses, Manajemen Risiko, dan Kontrol Akses. Laporan Pengendalian Proses dan Pusat Kerja Analitik terdiri dari bagian Kepatuhan dalam aplikasi GRC.
Di bagian kepatuhan, Anda dapat membuat laporan berikut di bawah Kontrol Proses -
Dasbor Status Evaluasi
Menunjukkan gambaran tingkat tinggi dari keseluruhan status kepatuhan perusahaan di seluruh entitas bisnis yang berbeda dan memberikan kemampuan analitik dan penelusuran untuk melihat data pada tingkat dan dimensi yang berbeda.
Hasil survei
Menampilkan hasil survei.
Lembaran data
Memberikan informasi lengkap tentang data master, evaluasi, dan aktivitas remediasi untuk subproses dan kontrol.
Peran berikut ini yang menggunakan fungsionalitas lembar data -
Internal Auditors - Mereka dapat menggunakan lembar data untuk mendapatkan gambaran tentang kontrol dan subproses dalam organisasi di bawah GRC.
Process Owners- Dalam aplikasi GRC, Pemilik Proses dan Pemilik Kontrol dapat meminta lembar data untuk mendapatkan gambaran umum tentang subproses mereka. Informasi lembar data memberikan definisi subproses, penilaian diselesaikan pada subproses, kontrol yang dicakup oleh subproses, dan penilaian dan pengujian dilakukan pada kontrol ini.
Control Owners- Pemilik kontrol dapat menggunakan lembar data untuk memeriksa desain kontrol mereka. Pemilik kontrol dapat menilai kontrol untuk memeriksa kontrol dan efektivitasnya.
External Auditors- Lembar data dapat digunakan oleh auditor eksternal; ini dapat digunakan untuk meminta informasi ke kontrol penelitian atau subproses.
Note - Pusat kerja lain seperti manajemen akses, penilaian, dan pengaturan aturan juga dibagikan melalui kontrol proses, kontrol akses, dan manajemen risiko.
Pusat Kerja Manajemen Akses Kontrol Proses memiliki bagian Penugasan Peran GRC.
Dalam setiap bisnis, Manajemen Risiko Segregasi Tugas (SoD) wajib dilakukan - mulai dari risk recognition hingga rule building validation dan berbagai aktivitas manajemen risiko lainnya untuk mengikuti kepatuhan secara berkelanjutan.
Sesuai peran yang berbeda, ada kebutuhan untuk melakukan Pemisahan Tugas dalam sistem GRC. SAP GRC mendefinisikan berbagai peran dan tanggung jawab di bawah Manajemen Risiko SoD -
Pemilik Proses Bisnis
Pemilik Proses Bisnis melakukan tugas berikut -
- Identifikasi risiko dan setujui risiko untuk pemantauan
- Setujui perbaikan yang melibatkan akses pengguna
- Kontrol desain untuk mengurangi konflik
- Komunikasikan penetapan akses atau perubahan peran
- Lakukan kepatuhan proaktif terus menerus
Petugas Senior
Petugas Senior melakukan tugas berikut -
- Menyetujui atau menolak risiko antar area bisnis
- Setujui kontrol mitigasi untuk risiko yang dipilih
Administrator Keamanan
Administrator Keamanan melakukan tugas-tugas berikut -
- Asumsikan kepemilikan alat GRC dan proses keamanan
- Merancang dan memelihara aturan untuk mengidentifikasi kondisi risiko
- Sesuaikan peran GRC untuk menegakkan peran dan tanggung jawab
- Menganalisis dan memulihkan konflik SoD di tingkat peran
Auditor
Auditor melakukan tugas-tugas berikut -
- Penilaian risiko secara berkala
- Berikan persyaratan khusus untuk tujuan audit
- Pengujian aturan dan pengendalian mitigasi secara berkala
- Bertindak sebagai penghubung antara auditor eksternal
SoD Rule Keeper
SoD Rule Keeper melakukan tugas-tugas berikut -
- Konfigurasi dan administrasi alat GRC
- Mempertahankan kendali atas aturan untuk memastikan integritas
- Bertindak sebagai basis penghubung bet ween dan pusat dukungan GRC
SAP Risk Management di GRC digunakan untuk mengelola manajemen risiko yang disesuaikan dengan kinerja perusahaan yang memberdayakan organisasi untuk mengoptimalkan efisiensi, meningkatkan efektivitas, dan memaksimalkan visibilitas di seluruh inisiatif risiko.
Berikut ini adalah key functions di bawah Manajemen Risiko -
Manajemen risiko menekankan pada penyelarasan organisasi terhadap risiko teratas, ambang terkait, dan mitigasi risiko.
Analisis risiko meliputi melakukan analisis kualitatif dan kuantitatif.
Manajemen risiko melibatkan Identifikasi risiko utama dalam suatu organisasi.
Manajemen risiko juga mencakup strategi resolusi / remediasi untuk risiko.
Manajemen risiko melakukan penyelarasan risiko utama dan indikator kinerja di seluruh fungsi bisnis yang memungkinkan identifikasi risiko lebih dini dan mitigasi risiko dinamis.
Manajemen risiko juga melibatkan pemantauan proaktif ke dalam proses dan strategi bisnis yang ada.
Tahapan dalam Manajemen Risiko
Sekarang mari kita bahas berbagai tahapan dalam Manajemen Risiko. Berikut adalah berbagai tahapan dalam manajemen risiko -
- Pengakuan Risiko
- Pembuatan Aturan dan Validasi
- Analysis
- Remediation
- Mitigation
- Kepatuhan Berkelanjutan
Pengakuan Risiko
Dalam proses pengenalan risiko di bawah manajemen risiko, langkah-langkah berikut dapat dilakukan -
- Identifikasi risiko otorisasi dan setujui pengecualian
- Memperjelas dan mengklasifikasikan risiko sebagai tinggi, sedang atau rendah
- Identifikasi risiko dan kondisi baru untuk pemantauan di masa depan
Pembuatan Aturan dan Validasi
Lakukan tugas berikut di bawah Pembuatan Aturan dan Validasi -
- Rujuk aturan praktik terbaik untuk lingkungan
- Validasi aturannya
- Sesuaikan aturan dan uji
- Verifikasi terhadap pengguna uji dan kasus peran
Analisis
Lakukan tugas berikut di bawah Analisis -
- Jalankan laporan analitik
- Perkirakan upaya pembersihan
- Analisis peran dan pengguna
- Ubah aturan berdasarkan analisis
- Atur peringatan untuk membedakan risiko yang dieksekusi
Dari aspek manajemen, Anda dapat melihat tampilan ringkas pelanggaran risiko yang dikelompokkan berdasarkan tingkat keparahan dan waktu.
Step 1 - Buka Virsa Compliance Calibrator → tab Informer
Step 2 - Untuk pelanggaran SoD, Anda dapat menampilkan diagram lingkaran dan diagram batang untuk mewakili pelanggaran saat ini dan masa lalu dalam lanskap sistem.
Berikut adalah dua pandangan berbeda terhadap pelanggaran tersebut -
- Pelanggaran berdasarkan tingkat risiko
- Pelanggaran berdasarkan proses
Remediasi
Lakukan tugas-tugas berikut di bawah perbaikan -
- Tentukan alternatif untuk menghilangkan risiko
- Sajikan analisis dan pilih tindakan korektif
- Persetujuan dokumen untuk tindakan korektif
- Ubah atau buat peran atau tugas pengguna
Mitigasi
Lakukan tugas-tugas berikut di bawah mitigasi -
- Tentukan pengendalian alternatif untuk mengurangi risiko
- Mendidik manajemen tentang persetujuan dan pemantauan konflik
- Dokumentasikan proses untuk memantau kontrol mitigasi
- Terapkan kontrol
Kepatuhan Berkelanjutan
Lakukan tugas-tugas berikut di bawah Kepatuhan Berkelanjutan -
- Komunikasikan perubahan dalam peran dan tugas pengguna
- Simulasikan perubahan pada peran dan pengguna
- Menerapkan peringatan untuk memantau risiko yang dipilih dan mengurangi pengujian kontrol
Klasifikasi Resiko
Risiko harus diklasifikasikan sesuai dengan kebijakan perusahaan. Berikut ini adalah berbagai klasifikasi risiko yang dapat Anda tentukan sesuai dengan prioritas risiko dan kebijakan perusahaan -
Kritis
Klasifikasi kritis dilakukan untuk risiko yang mengandung aset penting perusahaan yang sangat mungkin dikompromikan oleh penipuan atau gangguan sistem.
Tinggi
Ini termasuk kerugian fisik atau moneter atau gangguan di seluruh sistem yang mencakup penipuan, kehilangan aset atau kegagalan sistem.
Medium
Ini termasuk beberapa gangguan sistem seperti menimpa data master dalam sistem.
Rendah
Ini termasuk risiko di mana kerugian produktivitas atau kegagalan sistem yang dikompromikan oleh penipuan atau gangguan dan kerugian sistem minimal.
Dalam Manajemen Risiko SAP GRC 10.0, fase remediasi risiko menentukan metode untuk menghilangkan risiko dalam peran. Tujuan dari tahap remediasi adalah untuk menentukan alternatif-alternatif untuk menghilangkan permasalahan dalam manajemen risiko.
Pendekatan berikut ini direkomendasikan untuk menyelesaikan masalah dalam peran -
Peran Tunggal
Anda dapat memulai dengan peran tunggal karena mudah dan cara termudah untuk memulai.
Anda dapat memeriksa pelanggaran SoD Pemisahan Tugas untuk diperkenalkan kembali.
Peran gabungan
Anda dapat melakukan berbagai analisis untuk memeriksa penetapan pengguna pada penetapan atau penghapusan tindakan pengguna.
Anda dapat menggunakan tampilan Manajemen atau laporan Analisis Risiko untuk analisis seperti yang disebutkan di topik sebelumnya.
Dalam Remediasi Risiko, Administrator Keamanan harus mendokumentasikan rencana tersebut dan Pemilik Proses Bisnis harus terlibat dan menyetujui rencana tersebut.
SAP GRC - Jenis Laporan
Anda dapat membuat laporan Analisis Risiko yang berbeda sesuai analisis yang diperlukan -
Action Level - Anda dapat menggunakannya untuk melakukan analisis SoD di tingkat tindakan.
Permission Level - Ini dapat digunakan untuk melakukan analisis SoD pada tingkat tindakan dan izin.
Critical Actions - Ini dapat digunakan untuk menganalisis pengguna yang memiliki akses ke salah satu fungsi penting.
Critical Permissions - Ini dapat digunakan untuk menganalisis pengguna yang memiliki akses ke satu fungsi penting.
Critical Roles/Profiles - Ini dapat digunakan untuk menganalisis pengguna yang memiliki akses ke peran atau profil penting.
Di SAP GRC 10.0, Anda dapat menggunakan kontrol mitigasi jika tidak memungkinkan untuk memisahkan SoD Pemisahan tugas dari proses bisnis.
Contoh
Dalam sebuah organisasi, pertimbangkan skenario di mana seseorang menangani peran dalam proses bisnis yang menyebabkan konflik SoD hilang.
Ada beberapa contoh berbeda yang mungkin untuk pengendalian mitigasi -
- Strategi rilis dan batas otorisasi
- Review log pengguna
- Review laporan pengecualian
- Analisis varians terperinci
- Tetapkan asuransi untuk menutupi dampak insiden keamanan
Jenis Pengendalian Mitigasi
Ada dua jenis kontrol mitigasi di bawah manajemen Risiko SAP GRC -
- Preventive
- Detective
Kontrol Mitigasi Pencegahan
Pengendalian mitigasi preventif digunakan untuk mengurangi dampak risiko sebelum benar-benar terjadi. Ada berbagai aktivitas yang dapat Anda lakukan di bawah kendali mitigasi pencegahan -
- Configuration
- Keluar dari Pengguna
- Security
- Mendefinisikan alur kerja
- Objek Kustom
Kontrol Mitigasi Detektif
Kontrol mitigasi detektif digunakan ketika peringatan diterima dan risiko terjadi. Dalam kasus ini, orang yang bertanggung jawab untuk memulai tindakan korektif mengurangi risiko.
Ada berbagai aktivitas yang dapat Anda lakukan di bawah kendali mitigasi detektif -
- Laporan Kegiatan
- Perbandingan rencana vs tinjauan aktual
- Review anggaran
- Alerts
Menyiapkan Kontrol Migrasi
Ikuti langkah-langkah berikut untuk menyiapkan kontrol migrasi -
Step 1 - Masuk ke kontrol Akses SAP GRC.
Step 2- Lakukan analisis risiko pada tingkat pengguna. Masukkan detail di bawah ini -
- Tipe laporan
- Format Laporan
Step 3 - Klik Jalankan
Step 4 - Anda dapat beralih di antara jenis laporan yang berbeda seperti pada tangkapan layar berikut -
Step 5 - Masuk ke Kontrol Akses SAP GRC dan jadwalkan pekerjaan latar belakang analisis risiko pada tingkat peran.
Masukkan detail berikut -
- Jenis Laporan - Tingkat Izin
- Format Laporan - Ringkasan
Step 6 - Klik Run in Background seperti yang ditunjukkan pada tangkapan layar berikut -
Step 7 - Di jendela berikutnya, Anda dapat memilih Start Immediately. Lalu klikOK.
Di SAP GRC 10.0, Superuser Privilege Management perlu diterapkan di organisasi Anda untuk menghilangkan otorisasi dan risiko yang berlebihan yang dialami perusahaan Anda dengan pendekatan pengguna darurat saat ini.
Berikut ini adalah fitur utama dalam Superuser Privilege -
Anda dapat mengizinkan Pengguna Super untuk melakukan aktivitas darurat dalam lingkungan yang terkendali dan dapat diaudit
Dengan menggunakan Superuser, Anda dapat melaporkan semua aktivitas pengguna yang mengakses hak otorisasi yang lebih tinggi.
Anda dapat membuat jejak audit, yang dapat digunakan untuk mendokumentasikan alasan penggunaan hak akses yang lebih tinggi.
Jejak audit ini dapat digunakan untuk kepatuhan SOX.
Pengguna super dapat bertindak sebagai petugas pemadam kebakaran dan memiliki kemampuan tambahan berikut -
Ini dapat digunakan untuk melakukan tugas di luar peran atau profil normal mereka dalam situasi darurat.
Hanya individu (pemilik) tertentu yang dapat menetapkan ID Pemadam Kebakaran.
Ini memberikan kemampuan yang diperluas kepada pengguna sambil membuat lapisan audit untuk memantau dan merekam penggunaan.
Peran Standar di bawah Manajemen Hak Pengguna Super
Anda dapat menggunakan peran standar berikut untuk Superuser Privilege Management -
/ VIRSA / Z_VFAT_ADMINISTRATOR
- Ini memiliki Kemampuan untuk mengkonfigurasi Pemadam Kebakaran
- Tetapkan pemilik peran dan pengontrol Pemadam Kebakaran ke ID Pemadam Kebakaran
- Jalankan Laporan
/ VIRSA / Z_VFAT_ID_OWNER
- Tetapkan ID Pemadam Kebakaran ke pengguna Pemadam Kebakaran
- Unggah, unduh, dan lihat catatan riwayat Pemadam Kebakaran
VIRSA / Z_VFAT_FIREFIGHTER
- Akses program pemadam kebakaran
Sekarang mari kita mengerti bagaimana mengimplementasikan Superuser.
Anda dapat menerapkan ID petugas pemadam kebakaran dengan melakukan langkah-langkah berikut -
Step 1 - Buat ID Pemadam Kebakaran untuk setiap area proses bisnis
Step 2 - Tetapkan peran dan profil yang diperlukan untuk melaksanakan tugas pemadam kebakaran.
Anda tidak harus menetapkan profil SAP_ALL
Step 3 - Gunakan T-Code - SU01
Step 4 - Klik Create tombol untuk membuat pengguna baru.
Step 5 - Tetapkan peran Pemadam Kebakaran seperti yang disebutkan di atas ke id pengguna -
Tetapkan peran Pemadam Kebakaran ke ID pengguna yang berlaku.
Tetapkan peran administrator / VIRSA / Z_VFAT_ADMINISTRATOR ke administrator pengelolaan hak istimewa pengguna super.
Pengguna administrator tidak boleh ditugaskan untuk memadamkan api
Tetapkan peran standar / VIRSA / Z_VFAT_FIREFIGHTER ke -
- Firefighter ID - Pengguna layanan digunakan untuk logon
- Firefighter user - Pengguna standar bertindak sebagai Pemadam Kebakaran dalam kasus
Tetapkan peran pemilik ID / VIRSA / Z_VFAT_ID_OWNER ke -
Pemilik - Bertanggung jawab untuk menentukan siapa yang akan ditugaskan
Pengendali - Menerima pemberitahuan ketika ID Pemadam Kebakaran adalah tanggung jawab ID Pemadam Kebakaran darurat untuk area bisnisnya yang digunakan.
Step 6 - Pergi ke Roles tab dan pilih peran yang disebutkan sesuai kebutuhan.
Step 7 - Buat tujuan RFC untuk peralihan internal ke ID Pemadam Kebakaran -
Nama - Masukkan nama koneksi RFC
Jenis Koneksi - 3
Masukkan Deskripsi
(Tidak ada nama pengguna, kata sandi, atau data masuk lainnya yang diperlukan)
Masukkan kata sandi untuk setiap ID Pemadam Kebakaran di tabel Keamanan: Kata sandi disimpan sebagai nilai hash dan tidak dapat dibaca setelah administrator menyimpan nilainya.
Step 8 - Untuk membuat log pemadam kebakaran, Anda dapat menjadwalkan pekerjaan latar belakang.
Beri nama pekerjaan itu /VIRSA/ZVFATBAK seperti pada tangkapan layar berikut -
Log Pengguna Super
Mari kita pahami langkah-langkah untuk Log Pengguna Super ini.
Step 1 - Gunakan T-Code - Transaksi - / n / VIRSA / ZVFAT_V01
Step 2 - Sekarang Anda dapat menemukan log di area toolbox.
Step 3 - Anda bisa menggunakan transaction code — SM37 untuk meninjau log untuk pengguna individu.
Anda juga dapat menggunakan GUI web untuk mengakses semua informasi Pemadam Kebakaran. Buka Kontrol Akses SAP GRC → Manajemen hak pengguna super.
Jadi dimungkinkan untuk mengakses data instalasi Pemadam Kebakaran yang berbeda pada sistem backend SAP yang berbeda. Danit is not necessary to log on to each system anymore.
Anda dapat menerapkan analisis risiko yang ditingkatkan menggunakan aturan organisasi. Di unit bisnis layanan bersama, Anda dapat menggunakan aturan organisasi untuk mencapai prosedur analisis risiko dan manajemen grup pengguna.
Pertimbangkan kasus di mana pengguna telah membuat vendor fiktif dan faktur dibuat untuk mendapatkan keuntungan finansial.
Anda dapat membuat aturan organisasi dengan kode perusahaan diaktifkan untuk menghilangkan skenario ini.
Langkah-langkah berikut harus dilakukan untuk mencegah situasi ini -
- Aktifkan bidang tingkat organisasi dalam fungsi
- Buat aturan organisasi
- Perbarui tabel pemetaan pengguna org
- Konfigurasi layanan web analisis risiko
Aktifkan bidang tingkat organisasi dalam fungsi
Ikuti langkah-langkah ini untuk mengaktifkan bidang tingkat organisasi dalam fungsi -
Cari tahu fungsi yang akan dipisahkan berdasarkan tingkat organisasi di lingkungan layanan bersama.
Pertahankan izin untuk transaksi yang terpengaruh.
Buat aturan organisasi
Ikuti langkah-langkah berikut untuk membuat aturan organisasi -
Step 1 - Buat aturan organisasi untuk setiap nilai yang mungkin dari bidang organisasi.
Step 2 - Pergi ke arsitek aturan → Tingkat organisasi → Buat
Step 3 - Masukkan bidang ID aturan organisasi.
Step 4 - Masukkan tugas terkait.
Step 5 - Tentukan bidang tingkat organisasi dan gabungkan dengan operator Boolean.
Step 6 - Klik Save tombol untuk menyimpan aturan Organisasi.
Manfaat Menggunakan Aturan Organisasi
Sekarang mari kita memahami manfaat menggunakan aturan organisasi.
Anda dapat menggunakan aturan organisasi bagi perusahaan untuk menerapkan fitur berikut -
Anda dapat menggunakan aturan organisasi untuk menerapkan layanan bersama. Mereka memisahkan tugas dengan bantuan pembatasan organisasi.
Buka Analisis Risiko → Tingkat Organisasi
Lakukan analisis risiko jenis analisis Aturan Organisasi terhadap pengguna
Anda akan menerima output berikut -
Analisis risiko hanya akan menunjukkan risiko jika pengguna memiliki akses ke kode perusahaan spesifik yang sama di setiap fungsi yang berkonflik.
Di sebuah organisasi, Anda memiliki pemilik kontrol di tingkat hierarki organisasi yang berbeda. Risiko harus dikelola dan dimitigasi sesuai dengan tingkat akses.
Berikut ini adalah pemilik kontrol dalam organisasi -
- Satu pemilik kontrol untuk tingkat global
- Pemilik kontrol yang berbeda untuk tingkat regional
- Beberapa pemilik kontrol untuk tingkat lokal
Anda harus menetapkan kontrol mitigasi ke berbagai tingkat tanggung jawab. Sekarang jika terjadi pelanggaran risiko di tingkat wilayah dan lokal, sebaiknya lakukan mitigasi risiko di tingkat tertinggi.
Untuk menggunakan kontrol mitigasi pada hierarki organisasi, katakanlah Anda telah melakukan analisis risiko di tingkat organisasi dan pengguna melanggar semua aturan organisasi turunan dan memenuhi ketentuan aturan induk dan hanya aturan induk yang muncul; Anda dapat melakukan mitigasi risiko dengan cara berikut -
- Mitigasi di tingkat pengguna
- Mitigasi di tingkat organisasi
Dalam SAO GRC 10.0, alur kerja dipicu dalam situasi berikut -
- Untuk membuat atau memperbarui risiko.
- Untuk membuat atau memperbarui kontrol mitigasi.
- Untuk menetapkan kontrol mitigasi.
Aktifkan pemeliharaan berbasis risiko dan kontrol alur kerja
Saat Anda mengikuti pendekatan manajemen perubahan berbasis alur kerja dalam analisis risiko dan remediasi, Anda harus melakukan langkah-langkah berikut -
- Buka tab Konfigurasi → opsi alur kerja
- Atur parameter di bawah ini -
- Atur parameter Pemeliharaan Risiko ke YA
- Atur parameter Pemeliharaan Kontrol Mitigasi ke YA
- Atur Mitigasi parameter ke YA
- Siapkan URL Layanan Web Alur Kerja -
http://<server>:<port>/AEWFRequestSubmissionService_5_2/Config1?wsdl&style=document
- Sesuaikan alur kerja yang perlu dilakukan di dalam Mesin Alur Kerja.
Pemeliharaan Risiko dan Kontrol Berbasis Alur Kerja
Saat Anda mempertahankan risiko atau kontrol ada di SAP GRC, Anda melakukan langkah-langkah berikut -
Step 1 - Di Access Control, alur kerja dipicu untuk menjalankan risiko atau alur kerja kontrol.
Step 2 - Saat Anda mendapatkan persetujuan yang diperlukan, langkah persetujuan bergantung pada kebutuhan pelanggan.
Step 3 - Dapatkan jejak audit yang mendokumentasikan proses persetujuan lengkap.
SAP GRC - Layanan Perdagangan Global
Dengan menggunakan SAP GRC Global Trade Services, Anda dapat meningkatkan rantai pasokan barang lintas batas dalam suatu organisasi. Aplikasi ini memungkinkan Anda untuk mengotomatiskan proses perdagangan dan membantu Anda mengontrol biaya dan mengurangi risiko penalti dan juga untuk mengelola proses masuk dan keluar.
Menggunakan GTS, Anda dapat membuat centralize single repository yang digunakan untuk menampung semua data dan konten master kepatuhan.
Berikut ini adalah keuntungan utama menggunakan Layanan Perdagangan Global -
Ini membantu dalam mengurangi biaya dan upaya mengelola kepatuhan untuk perdagangan global.
Ini dapat meringankan tugas manual yang memakan waktu dan membantu meningkatkan produktivitas.
Mengurangi hukuman untuk pelanggaran kepatuhan perdagangan.
Ini membantu Anda untuk membuat dan meningkatkan merek dan citra dan menghindari perdagangan dengan pihak yang dikenai sanksi atau ditolak.
Membuka jalan bagi kepuasan pelanggan dan meningkatkan kualitas layanan.
Ini mempercepat proses masuk dan keluar dengan melakukan bea cukai dan juga membantu menghilangkan penundaan yang tidak perlu.
Integrasi antara SAP ERP dan SAP Global Trade Services
Ilustrasi berikut menunjukkan alur proses integrasi antara SAP ERP dan SAP Global Trade Services -
Saat Anda menginstal SAP GRC, ada berbagai konfigurasi dan pengaturan yang perlu Anda lakukan di GRC. Kegiatan utamanya meliputi -
Membuat konektor di GRC
Mengonfigurasi AMF untuk menggunakan konektor
Membuat konektor panggilan balik
Membuat koneksi di GRC adalah proses standar membuat koneksi RFC menggunakan T-Code - SM59
SAP GRC tersedia di SAP Easy Access → di bawah folder Kepatuhan Risiko Tata Kelola.
Step 1 - Buka menu akses SAP Easy dan gunakan T-Code - SPRO
Step 2 - Buka Tata Kelola, Risiko, dan Kepatuhan di bawah SAP Reference IMG → Pengaturan Komponen Umum → Kerangka Integrasi → Buat Konektor
Step 3 - Buat konektor adalah jalan pintas untuk membuat koneksi SM59.
Step 4 - Untuk melihat koneksi yang ada, pergi ke Maintain Connectors and Connection Type -
Anda dapat melihat jenis konektor seperti yang ditunjukkan di bawah ini. Jenis konektor ini dapat digunakan untuk konfigurasi untuk tujuan yang berbeda -
Konektor sistem lokal digunakan untuk berintegrasi dengan aplikasi Kontrol Akses SAP BusinessObjects untuk memantau pemisahan pelanggaran tugas
Konektor layanan web digunakan untuk sumber data mitra eksternal (lihat bagian)
Konektor sistem SAP digunakan di semua kasus lainnya.
Step 5 - Pergi ke Connection Type Definition tab -
Step 6- Tentukan konektor mana yang sebelumnya ditentukan di SM59 yang dapat digunakan dalam pemantauan. Pergi untuk menentukan Konektor
Step 7- Di layar Anda dapat melihat nama konektor - SMEA5_100. Ini adalah konektor yang menunjukkan konektor ke sistem ECC.
Kolom ketiga yang mencantumkan nama konektor yang ditentukan dalam sistem yang dipantau, dan yang dikonfigurasi untuk menunjuk kembali ke sistem GRC yang dikonfigurasi di sini.
SMEA5_100 adalah konektor lain dalam sistem GRC dan menunjuk ke sistem ERP yang akan dipantau. SM2 adalah konektor pada sistem ECC dan mengarah kembali ke sistem GRC.
Step 8 - Tentukan Layar Grup Konektor di sisi kiri.
Step 9 - Di sini Anda harus memastikan bahwa semua konfigurasi konektor untuk pemantauan otomatis harus termasuk dalam grup konfigurasi yang dipanggil Automated Monitoring seperti yang ditunjukkan di atas di bawah define automated monitoring connector group.
Step 10 - Pergi ke assign connectors to connector group di sisi kiri.
Step 11 - Tetapkan konektor ke grup konektor AM seperti yang disebutkan pada gambar di atas.
Step 12 - Pergi ke Maintain Connection Settings di menu utama seperti pada gambar berikut.
Step 13 - Anda harus memasukkan skenario integrasi yang Anda inginkan, masukkan AM seperti pada tangkapan layar berikut -
Step 14- Klik pada tanda centang hijau seperti yang ditunjukkan pada gambar di atas; Anda akan diarahkan ke layar berikut dengan sembilan sub-skenario.
Kotak yang disorot memperlihatkan sembilan entri yang disebut sub-skenario dan mereka mewakili berbagai tipe sumber data dan aturan bisnis yang didukung di bawah Kontrol Proses 10.
Step 15 - Untuk Sistem yang akan dipantau, Anda perlu menghubungkan konektor yang sesuai ke sub-skenario tersebut.
Step 16 - Pilih sub-skenario yang Anda ingin dikonfigurasi dan kemudian pilih Link Konektor Skenario di sisi kiri seperti yang ditunjukkan di bawah ini -
Step 17 - Anda akan diarahkan ke layar berikut -
Step 18 - Sekarang konektor yang ingin Anda gunakan untuk skenario itu belum ada dalam daftar untuk sub-skenario itu,
- Anda dapat mengklik tombol Entri Baru di bagian atas untuk menambahkannya.
- Anda dapat mengikuti rekomendasi ini untuk menambahkan subskenario -
- Aplikasi ABAP - Laporan ABAP, kueri SAP, program yang dapat dikonfigurasi
- SAP BW - Kueri BW
- Sistem Non SAP - Mitra Eksternal
- Proses Integrator - PI
- Sistem GRC - Integrasi SoD
Di SAP GRC Process Control, Anda dapat membuat sumber data. Di sini, antarmuka pengguna waktu desain berada di bawah opsi Pengaturan Aturan di klien Bisnis.
Pergi ke bagian pemantauan berkelanjutan di mana Anda dapat menemukan Data Sources dan Business Rules pilihan.
Untuk membuat Sumber Data baru, klik Sumber Data → Buat.
Di kolom berikutnya, Anda dapat melihat tiga tab berbeda untuk menentukan sumber data.
- Tab Umum
- Bidang Objek
- Tautan dan Lampiran
Di tab Umum, masukkan detail berikut -
- Nama sumber data
- Tanggal mulai masa berlaku
- Tanggal akhir masa berlaku
- Status
Pergi ke Object Field tab, pilih bidang berikut -
Di SAP GRC 10.0, Anda dapat menggunakan Aturan Bisnis untuk memfilter aliran data yang berasal dari sumber data dan Anda dapat menerapkan kondisi / penghitungan yang dikonfigurasi pengguna terhadap data tersebut untuk menentukan apakah ada masalah yang memerlukan perhatian.
Tipe Aturan Bisnis sepenuhnya bergantung pada tipe Sumber Data.
Buka Aturan Bisnis di bawah Penyiapan Aturan.
Untuk membuat aturan bisnis baru, ada daftar langkah-langkah yang perlu Anda ikuti dengan beberapa tipe Sumber Data.
Anda perlu menentukan detail di setiap tab. Misalnya, diGeneral tab, Anda perlu memasukkan informasi dasar tentang aturan bisnis. Business rule gives you data to filter the deficiencies.
Di tab Data for Analysis, Anda akan melihat daftar bidang yang tersedia.
Pergi ke kriteria filter untuk meneruskan kondisi filter pada objek yang tersedia. Anda dapat memilih dari operator yang berbeda.
Saat Anda menentukan semua langkah, Anda memiliki opsi untuk menyimpan aturan. Jika Anda ingin menerapkan aturan pada Process Control, Anda dapat melakukannya dengan mengklikApply tombol.
Untuk menetapkan aturan bisnis ke kontrol proses, masuk ke penetapan aturan bisnis di bawah pemantauan berkelanjutan dalam penyetelan aturan.
Pilih kontrol dan cari aturan Bisnis untuk diterapkan.
Kami sekarang telah memahami cara membuat Sumber Data dan Aturan Bisnis untuk menerapkan filter pada Sumber Data dan cara menetapkan aturan bisnis untuk kontrol proses.