SAP GRC - Zarządzanie ryzykiem

SAP Risk Management w GRC służy do zarządzania dostosowanym do ryzyka zarządzaniem wydajnością przedsiębiorstwa, które umożliwia organizacji optymalizację wydajności, zwiększenie efektywności i maksymalizację widoczności inicjatyw związanych z ryzykiem.

Poniżej znajdują się pliki key functions w ramach zarządzania ryzykiem -

  • Zarządzanie ryzykiem kładzie nacisk na dostosowanie organizacyjne do głównych ryzyk, powiązanych progów i ograniczania ryzyka.

  • Analiza ryzyka obejmuje analizę jakościową i ilościową.

  • Zarządzanie ryzykiem obejmuje identyfikację kluczowych ryzyk w organizacji.

  • Zarządzanie ryzykiem obejmuje również strategie rozwiązywania / naprawiania ryzyka.

  • Zarządzanie ryzykiem polega na dopasowaniu kluczowych wskaźników ryzyka i wydajności we wszystkich funkcjach biznesowych, umożliwiając wcześniejszą identyfikację ryzyka i dynamiczne ograniczanie ryzyka.

Zarządzanie ryzykiem obejmuje również proaktywne monitorowanie istniejących procesów biznesowych i strategii.

Fazy ​​zarządzania ryzykiem

Omówmy teraz różne fazy zarządzania ryzykiem. Poniżej przedstawiono różne fazy zarządzania ryzykiem -

  • Rozpoznawanie ryzyka
  • Budowanie reguł i walidacja
  • Analysis
  • Remediation
  • Mitigation
  • Ciągła zgodność

Rozpoznawanie ryzyka

W procesie rozpoznawania ryzyka w ramach zarządzania ryzykiem można wykonać następujące kroki:

  • Identyfikuj ryzyka związane z autoryzacją i zatwierdzaj wyjątki
  • Wyjaśnij i sklasyfikuj ryzyko jako wysokie, średnie lub niskie
  • Zidentyfikuj nowe ryzyka i warunki do monitorowania w przyszłości

Budowanie reguł i walidacja

Wykonaj następujące zadania w obszarze Tworzenie reguł i sprawdzanie poprawności -

  • Odwołaj się do najlepszych praktyk dotyczących środowiska
  • Zatwierdź zasady
  • Dostosuj reguły i przetestuj
  • Weryfikuj w przypadku użytkowników testowych i ról

Analiza

Wykonaj następujące zadania w sekcji Analiza -

  • Uruchom raporty analityczne
  • Oszacuj wysiłki związane z czyszczeniem
  • Analizuj role i użytkowników
  • Modyfikuj reguły na podstawie analizy
  • Ustaw alerty, aby odróżnić wykonane ryzyka

Z punktu widzenia zarządzania można zobaczyć zwięzły widok naruszeń ryzyka pogrupowanych według wagi i czasu.

Step 1 - Przejdź do Kalibratora zgodności Virsa → zakładka Informer

Step 2 - W przypadku naruszeń SoD można wyświetlić wykres kołowy i słupkowy, aby przedstawić obecne i przeszłe naruszenia w krajobrazie systemu.

Poniżej przedstawiono dwa różne poglądy na te naruszenia -

  • Naruszenia według poziomu ryzyka
  • Naruszenia ze względu na proces

Środki zaradcze

Wykonaj następujące zadania w ramach środków zaradczych -

  • Określ alternatywy dla wyeliminowania ryzyka
  • Przedstaw analizę i wybierz działania naprawcze
  • Dokumentowanie działań naprawczych
  • Zmodyfikuj lub utwórz role lub przypisania użytkowników

Łagodzenie

Wykonaj następujące zadania w ramach łagodzenia skutków -

  • Określ alternatywne środki kontroli w celu ograniczenia ryzyka
  • Poinformuj kierownictwo o akceptacji i monitorowaniu konfliktów
  • Udokumentuj proces monitorowania kontroli łagodzenia skutków
  • Wdrażanie kontroli

Ciągła zgodność

Wykonaj następujące zadania w ramach Ciągłej zgodności -

  • Informuj o zmianach ról i przypisań użytkowników
  • Symuluj zmiany ról i użytkowników
  • Wdrażaj alerty, aby monitorować wybrane ryzyka i łagodzić testy kontrolne

Klasyfikacja ryzyka

Ryzyka należy klasyfikować zgodnie z polityką firmy. Poniżej przedstawiono różne klasyfikacje ryzyka, które można zdefiniować zgodnie z priorytetem ryzyka i polityką firmy -

Krytyczny

Krytyczna klasyfikacja jest wykonywana dla ryzyk, które zawierają krytyczne aktywa firmy, które są bardzo narażone na oszustwa lub zakłócenia systemu.

Wysoki

Obejmuje to straty fizyczne lub pieniężne lub zakłócenia w całym systemie, które obejmują oszustwo, utratę aktywów lub awarię systemu.

Średni

Obejmuje to liczne zakłócenia systemu, takie jak nadpisywanie danych podstawowych w systemie.

Niska

Obejmuje to ryzyko, w przypadku gdy straty produktywności lub awarie systemu narażone na oszustwa lub zakłócenia systemu są minimalne.