SAP GRC - Управление рисками

SAP Risk Management в GRC используется для управления производительностью предприятия с поправкой на риски, что позволяет организации оптимизировать эффективность, повышать эффективность и обеспечивать максимальную прозрачность инициатив по управлению рисками.

Ниже приведены key functions под управлением рисками -

  • Управление рисками делает упор на согласование организации с высшими рисками, связанными с ними пороговыми значениями и снижением рисков.

  • Анализ рисков включает в себя качественный и количественный анализ.

  • Управление рисками включает идентификацию ключевых рисков в организации.

  • Управление рисками также включает стратегии устранения / устранения рисков.

  • Управление рисками обеспечивает согласование ключевых показателей риска и эффективности по всем бизнес-функциям, что позволяет раньше идентифицировать риски и динамически снижать их.

Управление рисками также включает упреждающий мониторинг существующих бизнес-процессов и стратегий.

Этапы управления рисками

Давайте теперь обсудим различные фазы в управлении рисками. Ниже приведены различные этапы управления рисками:

  • Признание риска
  • Построение и проверка правил
  • Analysis
  • Remediation
  • Mitigation
  • Постоянное соответствие

Признание риска

В процессе признания риска в рамках управления рисками могут быть выполнены следующие шаги:

  • Выявление рисков авторизации и утверждение исключений
  • Уточните и классифицируйте риск как высокий, средний или низкий
  • Выявить новые риски и условия для мониторинга в будущем

Построение и проверка правил

Выполните следующие задачи в разделе Создание и проверка правил -

  • Ссылка на правила передового опыта для окружающей среды
  • Подтвердите правила
  • Настроить правила и протестировать
  • Проверка по тестовым случаям пользователей и ролей

Анализ

Выполните следующие задачи в разделе Анализ -

  • Запустить аналитические отчеты
  • Оценить усилия по очистке
  • Анализируйте роли и пользователей
  • Изменить правила на основе анализа
  • Установите оповещения, чтобы различать выполненные риски

С точки зрения управления вы можете видеть компактное представление нарушений риска, сгруппированных по серьезности и времени.

Step 1 - Зайдите в Virsa Compliance Calibrator → вкладка Informer.

Step 2 - Для нарушений SoD вы можете отобразить круговую диаграмму и гистограмму, чтобы представить текущие и прошлые нарушения в системной среде.

Ниже приведены два разных взгляда на эти нарушения:

  • Нарушения по степени риска
  • Нарушения по процессу

Исправление

Выполните следующие задачи по исправлению -

  • Определите альтернативы для устранения рисков
  • Представьте анализ и выберите корректирующие действия
  • Документальное утверждение корректирующих действий
  • Изменение или создание ролей или назначений пользователей

Смягчение

Выполните следующие задачи в рамках смягчения -

  • Определите альтернативные меры контроля для снижения риска
  • Обучите руководство утверждению и мониторингу конфликтов
  • Задокументируйте процесс мониторинга мер по смягчению последствий
  • Управление агрегатом

Постоянное соответствие

Выполните следующие задачи в разделе «Постоянное соответствие» -

  • Сообщать об изменениях в ролях и назначениях пользователей
  • Моделируйте изменения ролей и пользователей
  • Внедрить оповещения для отслеживания выбранных рисков и смягчения контрольных испытаний.

Классификация рисков

Риски следует классифицировать в соответствии с политикой компании. Ниже приведены различные классификации рисков, которые вы можете определить в соответствии с приоритетом риска и политикой компании.

Критический

Критическая классификация выполняется для рисков, которые содержат критические активы компании, которые с большой вероятностью могут быть скомпрометированы в результате мошенничества или сбоев в работе системы.

Высоко

Сюда входят физические или денежные потери или сбой в работе всей системы, включая мошенничество, потерю любого актива или отказ системы.

Средняя

Это включает в себя множественные нарушения работы системы, такие как перезапись основных данных в системе.

Низкий

Сюда входит риск, при котором потери производительности или сбои системы из-за мошенничества или сбоев системы минимальны.