SAP GRC - Hướng dẫn nhanh

Giải pháp Quản trị, Rủi ro và Tuân thủ của SAP cho phép các tổ chức quản lý các quy định và tuân thủ cũng như loại bỏ mọi rủi ro trong việc quản lý các hoạt động chính của tổ chức. Theo tình hình thị trường thay đổi, các tổ chức đang phát triển và thay đổi nhanh chóng và các tài liệu, bảng tính không phù hợp không được chấp nhận đối với các kiểm toán viên và cơ quan quản lý bên ngoài.

SAP GRC giúp tổ chức quản lý các quy định và sự tuân thủ của họ và thực hiện các hoạt động sau:

  • Dễ dàng tích hợp các hoạt động GRC vào quy trình hiện có và tự động hóa các hoạt động GRC chính.

  • Độ phức tạp thấp và quản lý rủi ro hiệu quả.

  • Cải thiện các hoạt động quản lý rủi ro.

  • Quản lý gian lận trong kinh doanh được xử lý và quản lý kiểm toán hiệu quả.

  • Các tổ chức hoạt động tốt hơn và các công ty có thể bảo vệ các giá trị của họ.

  • Giải pháp SAP GRC bao gồm ba lĩnh vực chính: Phân tích, quản lý và giám sát.

Các mô-đun trong SAP GRC

Bây giờ chúng ta hãy hiểu các mô-đun khác nhau trong SAP GRC -

Kiểm soát truy cập SAP GRC

Để giảm thiểu rủi ro trong một tổ chức, cần phải thực hiện kiểm soát rủi ro như một phần của thực hành tuân thủ và quy định. Các trách nhiệm cần được xác định rõ ràng, quản lý việc cung cấp vai trò và quản lý quyền truy cập cho người dùng cấp cao là rất quan trọng để quản lý rủi ro trong một tổ chức.

Quản lý gian lận và kiểm soát quy trình SAP GRC

Giải pháp phần mềm Kiểm soát Quy trình SAP GRC được sử dụng để quản lý việc tuân thủ và quản lý chính sách. Khả năng quản lý tuân thủ cho phép tổ chức quản lý và giám sát môi trường kiểm soát nội bộ của họ. Các tổ chức có thể chủ động khắc phục mọi vấn đề đã xác định và chứng nhận và báo cáo về trạng thái tổng thể của các hoạt động tuân thủ tương ứng.

Kiểm soát quy trình SAP hỗ trợ toàn bộ vòng đời của quản lý chính sách, bao gồm cả việc phân phối và tuân thủ chính sách của các nhóm mục tiêu. Các chính sách này giúp các tổ chức giảm chi phí tuân thủ và cải thiện tính minh bạch trong quản lý và cho phép tổ chức phát triển các quy trình và chính sách quản lý tuân thủ trong môi trường kinh doanh.

Quản lý rủi ro SAP GRC

Quản lý rủi ro SAP GRC cho phép bạn quản lý các hoạt động quản lý rủi ro. Bạn có thể lập kế hoạch trước để xác định rủi ro trong kinh doanh và thực hiện các biện pháp để quản lý rủi ro và cho phép bạn đưa ra quyết định tốt hơn để cải thiện hiệu quả hoạt động kinh doanh.

Rủi ro có nhiều dạng -

  • Rủi ro hoạt động
  • Rủi ro chiến lược
  • Rủi ro tuân thủ
  • Rủi ro tài chính

Quản lý kiểm toán SAP GRC

Điều này được sử dụng để cải thiện quy trình quản lý kiểm toán trong một tổ chức bằng cách lập hồ sơ, sắp xếp giấy tờ công việc và tạo báo cáo kiểm toán. Bạn có thể dễ dàng tích hợp với các giải pháp quản trị, rủi ro và tuân thủ khác và cho phép các tổ chức điều chỉnh các chính sách quản lý kiểm toán với các mục tiêu kinh doanh.

Quản lý đánh giá SAP GRC giúp đánh giá viên đơn giản hóa mọi việc bằng cách cung cấp các khả năng sau:

  • Bạn có thể nắm bắt ngay lập tức các hiện vật để quản lý kiểm toán và các bằng chứng khác bằng cách sử dụng tính năng kéo thả khả năng di động.

  • Bạn có thể dễ dàng tạo, theo dõi và quản lý các vấn đề kiểm toán với sự giám sát và theo dõi toàn cầu.

  • Bạn có thể thực hiện tìm kiếm bằng cách sử dụng các khả năng tìm kiếm cho phép lấy thêm thông tin từ các giấy tờ kế thừa và làm việc.

  • Bạn có thể thu hút các chuyên gia đánh giá bằng giao diện thân thiện với người dùng và các công cụ cộng tác.

  • Dễ dàng tích hợp quản lý kiểm toán với Quản lý gian lận SAP, Quản lý rủi ro SAP và Kiểm soát quy trình SAP để điều chỉnh quy trình kiểm toán với các mục tiêu kinh doanh.

  • Giải quyết vấn đề nhanh chóng bằng cách sử dụng công cụ theo dõi tự động.

  • Nâng cao việc sử dụng nhân viên và giảm chi phí đi lại do lập kế hoạch kiểm toán nội bộ, quản lý nguồn lực và lập lịch trình.

  • Tích hợp dễ dàng với báo cáo Đối tượng Doanh nghiệp SAP và công cụ trực quan hóa dữ liệu để trực quan hóa các báo cáo kiểm toán bằng Lumira và các báo cáo BI khác.

  • Sử dụng các mẫu được thiết lập trước để chuẩn hóa các tạo tác kiểm toán và quy trình báo cáo.

Quản lý gian lận SAP GRC

Công cụ quản lý gian lận SAP GRC giúp các tổ chức phát hiện và ngăn chặn các hành vi gian lận ở giai đoạn đầu và do đó giảm thiểu thiệt hại trong kinh doanh. Quá trình quét có thể được thực hiện trên một lượng lớn dữ liệu trong thời gian thực với độ chính xác cao hơn và các hoạt động gian lận có thể dễ dàng được xác định.

Phần mềm quản lý gian lận SAP có thể giúp các tổ chức có các khả năng sau:

  • Dễ dàng điều tra và lập hồ sơ các trường hợp gian lận.

  • Tăng cường khả năng phản hồi và cảnh báo của hệ thống để ngăn chặn các hoạt động gian lận xảy ra thường xuyên hơn trong tương lai.

  • Dễ dàng quét khối lượng lớn các giao dịch và dữ liệu kinh doanh.

Dịch vụ Thương mại Toàn cầu SAP GRC

Phần mềm SAP GRC GTS giúp các tổ chức tăng cường cung cấp qua biên giới trong giới hạn quản lý thương mại quốc tế. Nó giúp giảm bớt hình phạt rủi ro từ các cơ quan quản lý Quy chế Thương mại Quốc tế.

Nó cung cấp quy trình quản lý thương mại toàn cầu tập trung với một kho lưu trữ duy nhất cho tất cả dữ liệu và nội dung chính về tuân thủ bất kể quy mô của một tổ chức.

Mô hình khả năng SAP GRC

Giải pháp GRC của SAP BusinessObjects bao gồm ba khả năng chính: Analyze, Manage and Monitor.

Trong sơ đồ sau, bạn có thể thấy Mô hình khả năng SAP GRC bao gồm tất cả các tính năng chính của phần mềm SAP GRC. Sử dụng GRC, các tổ chức có thể kiểm tra tất cả các rủi ro tiềm ẩn và các phát hiện tuân thủ, đồng thời có thể đưa ra quyết định chính xác để giảm thiểu chúng.

Trong các phiên bản cũ hơn của SAP GRC, để sử dụng kiểm soát truy cập, kiểm soát quy trình và quản lý rủi ro, có một điều hướng riêng cho từng thành phần. Điều này có nghĩa là người dùng, để thực hiện các nhiệm vụ thành phần chéo, phải đăng nhập vào từng mô-đun riêng biệt và đăng nhập nhiều lần. Điều này dẫn đến một quá trình khó khăn để quản lý nhiều cửa sổ và tài liệu để tìm kiếm cũng rất khó khăn.

SAP GRC 10.0 cung cấp điều hướng trực tiếp đến các thành phần kiểm soát truy cập, kiểm soát quy trình và quản lý rủi ro cho một người dùng theo ủy quyền và loại bỏ việc quản lý nhiều cửa sổ.

Step 1 - Để thực hiện các hoạt động tùy chỉnh và duy trì cài đặt cấu hình cho giải pháp GRC, hãy chuyển đến T-code - SPRO → SAP Reference IMG

Step 2 - Mở rộng nút Quản trị, Rủi ro và Tuân thủ -

Step 3 - Đăng nhập vào NetWeaver Business Client -

Chạy giao dịch cho NWBC trong SAP Dễ dàng truy cập.

Nó sẽ mở màn hình NetWeaver Business Client và bạn sẽ nhận được url sau: http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/

Trung tâm làm việc SAP GRC

Bạn có thể sử dụng Trung tâm làm việc để cung cấp điểm truy cập trung tâm cho GRC 10.0. Chúng có thể được tổ chức dựa trên những gì khách hàng đã được cấp phép hoạt động.

Step 1- Để truy cập Trung tâm làm việc, hãy mở NetWeaver Business Client như đã đề cập ở trên. Đi đến/nwbc ở trên cùng để mở Trung tâm làm việc.

Step 2 - Sau khi nhấp vào, bạn sẽ được chuyển đến màn hình chính của ứng dụng khách SAP NetWeaver Business.

Tùy thuộc vào sản phẩm mà bạn đã cấp phép, các thành phần khác nhau của giải pháp GRC được hiển thị - Access Control, Process Control, or Risk Management.

Kiểm soát truy cập SAP GRC giúp các tổ chức tự động phát hiện, quản lý và ngăn chặn các hành vi vi phạm rủi ro truy cập và giảm truy cập trái phép vào dữ liệu và thông tin của công ty. Người dùng có thể sử dụng tính năng tự phục vụ tự động để truy cập gửi yêu cầu, yêu cầu truy cập theo quy trình công việc và phê duyệt quyền truy cập. Đánh giá tự động về quyền truy cập của người dùng, ủy quyền vai trò và vi phạm rủi ro có thể được sử dụng bằng Kiểm soát truy cập SAP GRC.

Kiểm soát truy cập SAP GRC xử lý những thách thức chính bằng cách cho phép doanh nghiệp quản lý rủi ro truy cập. Nó giúp các tổ chức ngăn chặn truy cập trái phép bằng cách xác định sự tách biệt giữa các nhiệm vụ SoD và truy cập quan trọng và giảm thiểu thời gian và chi phí quản lý rủi ro truy cập.

Các tính năng chính

Sau đây là các tính năng chính của Kiểm soát truy cập SAP GRC -

  • Thực hiện kiểm toán và tuân thủ theo các yêu cầu pháp lý với các tiêu chuẩn kiểm toán khác nhau như SOX, BSI và tiêu chuẩn ISO.

  • Để tự động phát hiện các vi phạm rủi ro truy cập trên các hệ thống SAP và không phải SAP trong một tổ chức.

  • Như đã đề cập, nó cho phép người dùng gửi quyền truy cập tự phục vụ, yêu cầu truy cập quy trình làm việc và phê duyệt yêu cầu.

  • Để tự động hóa việc xem xét quyền truy cập của người dùng, ủy quyền vai trò, vi phạm rủi ro và phân công kiểm soát trong một tổ chức quy mô nhỏ và lớn.

  • Quản lý hiệu quả quyền truy cập của siêu người dùng và tránh vi phạm rủi ro và truy cập trái phép vào dữ liệu và ứng dụng trong hệ thống SAP và không phải SAP.

Làm thế nào để Khám phá Kiểm soát Truy cập Thiết lập Trung tâm Làm việc?

Chạy giao dịch cho NWBC trong SAP Dễ dàng truy cập.

Nó sẽ mở màn hình NetWeaver Business Client và bạn sẽ nhận được url sau: http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/

Step 1- Để truy cập Trung tâm làm việc, hãy mở NetWeaver Business Client như đã đề cập ở trên. Đi đến/nwbc ở trên cùng để mở Trung tâm làm việc.

Step 2 - Sau khi nhấp vào, bạn sẽ được chuyển đến màn hình chính của ứng dụng khách SAP NetWeaver Business.

Step 3- Đi đến trung tâm làm việc thiết lập và khám phá bộ công việc. Nhấp vào một số liên kết dưới mỗi liên kết và khám phá các màn hình khác nhau.

Step 4 - Trung tâm làm việc Thiết lập có sẵn trong Kiểm soát Truy cập và cung cấp các liên kết đến các phần sau -

  • Bảo trì Quy tắc Truy cập
  • Quy tắc truy cập ngoại lệ
  • Quy tắc truy cập quan trọng
  • Quy tắc đã tạo
  • Organizations
  • Kiểm soát giảm nhẹ
  • Chỉ định cấp trên
  • Bảo trì Superuser
  • Quyền sở hữu

Step 5 - Bạn có thể sử dụng các chức năng được liệt kê ở trên theo những cách sau:

  • Sử dụng phần Bảo trì quy tắc truy cập, bạn có thể quản lý các bộ quy tắc truy cập, chức năng và các rủi ro truy cập được sử dụng để xác định vi phạm truy cập.

  • Sử dụng Quy tắc truy cập ngoại lệ, bạn có thể quản lý các quy tắc bổ sung quy tắc truy cập.

  • Sử dụng phần quy tắc truy cập quan trọng, bạn có thể xác định các quy tắc bổ sung xác định quyền truy cập vào các vai trò và hồ sơ quan trọng.

  • Sử dụng phần quy tắc đã tạo, bạn có thể tìm và xem các quy tắc truy cập đã tạo.

  • Trong Tổ chức, bạn có thể duy trì cấu trúc tổ chức của công ty để tuân thủ và quản lý rủi ro với các nhiệm vụ liên quan.

  • Phần Kiểm soát giảm nhẹ cho phép bạn quản lý các biện pháp kiểm soát để giảm thiểu sự phân biệt giữa nhiệm vụ, hành động quan trọng và các vi phạm truy cập quyền nghiêm trọng.

  • Superuser Assignment là nơi bạn chỉ định chủ sở hữu ID lính cứu hỏa và gán ID lính cứu hỏa cho người dùng.

  • Bảo trì Superuser là nơi bạn duy trì việc gán mã cho lính cứu hỏa, bộ điều khiển và lý do.

  • Trong Chủ sở hữu quyền truy cập, bạn quản lý đặc quyền của chủ sở hữu đối với các khả năng quản lý quyền truy cập.

Theo giấy phép phần mềm GRC, bạn có thể điều hướng Trung tâm làm việc quản lý truy cập. Nó có nhiều phần để quản lý các hoạt động kiểm soát truy cập.

Khi bạn nhấp vào Trung tâm công việc quản lý truy cập, bạn có thể thấy các phần sau:

  • Nhiệm vụ vai trò GRC
  • Phân tích rủi ro truy cập
  • Quyền truy cập giảm thiểu
  • Quản trị yêu cầu truy cập
  • Quản lý vai trò
  • Khai thác vai trò
  • Bảo trì hàng loạt vai trò
  • Chỉ định cấp trên
  • Bảo trì Superuser
  • Truy cập yêu cầu tạo
  • Đánh giá chứng nhận tuân thủ
  • Alerts
  • Scheduling

Các phần trên giúp bạn theo những cách sau:

  • Khi bạn truy cập risk analysis, bạn có thể đánh giá hệ thống của mình về rủi ro truy cập giữa người dùng, vai trò, đối tượng nhân sự và cấp tổ chức. Rủi ro truy cập là hai hoặc nhiều hành động hoặc quyền, khi có sẵn cho một người dùng hoặc một vai trò, hồ sơ, cấp tổ chức hoặc Đối tượng nhân sự, sẽ tạo ra khả năng xảy ra lỗi hoặc không bình thường.

  • Sử dụng mitigated access , bạn có thể xác định rủi ro truy cập, đánh giá mức độ của những rủi ro đó và chỉ định các biện pháp kiểm soát giảm thiểu cho người dùng, vai trò và hồ sơ để giảm thiểu vi phạm quy tắc truy cập.

  • Trong access request administration , bạn có thể quản lý các nhiệm vụ truy cập, tài khoản và các quy trình xem xét.

  • Sử dụng role management, bạn quản lý các vai trò từ nhiều hệ thống trong một kho lưu trữ thống nhất.

  • Trong role mining tính năng nhóm, bạn có thể nhắm mục tiêu các vai trò quan tâm, phân tích chúng và thực hiện hành động.

  • Sử dụng role mass maintenance, bạn có thể nhập và thay đổi quyền và thuộc tính cho nhiều vai trò.

  • Trong Superuser Assignment , bạn có thể chỉ định ID lính cứu hỏa cho chủ sở hữu và chỉ định lính cứu hỏa và người điều khiển cho ID lính cứu hỏa.

  • Trong Superuser Maintenance , bạn có thể thực hiện các hoạt động như nghiên cứu và bảo trì các nhân viên cứu hỏa và bộ điều khiển cũng như gán mã lý do theo hệ thống.

  • Sử dụng access request creation, bạn có thể tạo quyền truy cập và tài khoản.

  • Compliance certification reviews hỗ trợ đánh giá quyền truy cập của người dùng, vi phạm rủi ro và phân công vai trò.

  • Sử dụng alerts, bạn có thể tạo bằng ứng dụng để thực hiện các hành động quan trọng hoặc xung đột.

  • Sử dụng Scheduling của Trung tâm Công việc Thiết lập Quy tắc, bạn có thể duy trì lịch biểu để theo dõi kiểm soát liên tục và thử nghiệm tự động, cũng như theo dõi tiến độ công việc liên quan.

Trong giải pháp SAP GRC, bạn có thể quản lý các đối tượng ủy quyền để giới hạn các mục và dữ liệu mà người dùng có thể truy cập. Ủy quyền kiểm soát những gì người dùng có thể truy cập liên quan đến các trung tâm làm việc và báo cáo trong hệ thống SAP.

Để truy cập giải pháp GRC, bạn phải có quyền truy cập sau:

  • Ủy quyền cổng
  • Các vai trò PFCG có thể áp dụng
  • Các vai trò của PFCG đối với kiểm soát truy cập, kiểm soát quy trình và quản lý rủi ro

Các loại ủy quyền được liệt kê dưới đây là bắt buộc theo các thành phần GRC - AC, PC và RM.

Tên vai trò Typ Sự miêu tả Thành phần
SAP_GRC_FN_BASE PFCG Vai trò cơ bản PCRM
SAP_GRAC_BASE PFCG Vai trò cơ bản (bao gồm SAP_GRC_FN_BASE) AC
SAP_GRC_NWBC PFCG Vai trò chạy GRC 10.0 trong NWBC AC, PC, RM
SAP_GRAC_NWBC PFCG Vai trò để chạy các trung tâm làm việc NWBC đơn giản cho AC AC
GRC_Suite Cổng thông tin Vai trò cổng để chạy GRC trong 10.0 trong cổng AC, PC, RM
SAP_GRC_FN_BUSINESS_USER PFCG Vai trò người dùng chung AC * , PC, RM
SAP_GRC_FN_ALL PFCG Vai trò người sử dụng điện; bỏ qua ủy quyền cấp thực thể cho PC và RM PCRM
SAP_GRAC_ALL PFCG Vai trò người dùng quyền lực AC
SAP_GRC_FN_DISPLAY PFCG Hiển thị tất cả vai trò của người dùng PCRM
SAP_GRAC_DISPLAY_ALL PFCG Hiển thị tất cả vai trò của người dùng AC
SAP_GRAC_SETUP PFCG Vai trò tùy chỉnh (được sử dụng để duy trì cấu hình trong IMG) AC
SAP_GRC_SPC_CUSTOMIZING PFCG Vai trò tùy chỉnh (được sử dụng để duy trì cấu hình trong IMG) máy tính
SAP_GRC_RM_CUSTOMIZING PFCG Vai trò tùy chỉnh (được sử dụng để duy trì cấu hình trong IMG) RM
SAP_GRAC_RISK_ANALYSIS PFCG Vai trò cấp quyền điều hành các công việc SoD AC, PC, RM

Ủy quyền trong Thành phần Cổng thông tin và NWBC

Trong giải pháp SAP GRC 10.0, các trung tâm công việc được xác định trong vai trò PCD cho thành phần Cổng thông tin và trong vai trò PFCG cho NWBC (NetWeaver Business Client). Các trung tâm làm việc được cố định trong mỗi vai trò cơ sở. Tuy nhiên, SAP cung cấp những vai trò này; những vai trò này có thể được sửa đổi bởi khách hàng theo yêu cầu.

Vị trí của các thư mục ứng dụng và các ứng dụng cấp dưới trong bản đồ dịch vụ được kiểm soát bởi ứng dụng SAP NetWeaver Launchpad. Bản đồ dịch vụ được kiểm soát bởi ủy quyền của người dùng, vì vậy nếu người dùng không có quyền xem bất kỳ ứng dụng nào, chúng sẽ bị ẩn trong máy khách NetWeaver Business.

Làm thế nào để xem lại các phân công vai trò trong Trung tâm làm việc quản lý truy cập?

Thực hiện theo các bước sau để xem lại việc phân công vai trò -

Step 1 - Đi tới Trung tâm làm việc quản lý truy cập trong NetWeaver Business Client.

Step 2- Chọn quy trình nghiệp vụ theo Phân công vai trò GRC và chuyển đến cấp vai trò quy trình phụ. Bấm tiếp theo để tiếp tục gán các phần vai trò.

Làm thế nào để xem xét các nhiệm vụ vai trò trong Trung tâm Làm việc Dữ liệu Tổng thể?

Step 1 - Đi tới Trung tâm làm việc dữ liệu tổng thể → Tổ chức

Step 2 - Trong cửa sổ tiếp theo, chọn bất kỳ tổ chức nào từ danh sách, sau đó nhấp vào Mở.

Step 3 - Note rằng hình tam giác bên cạnh tổ chức có nghĩa là có các tổ chức con và dấu chấm bên cạnh tổ chức có nghĩa là nó là cấp thấp nhất.

Step 4- Nhấp vào tab quy trình con → Gán quy trình con. Bây giờ chọn một hoặc hai quy trình con và nhấp vào Tiếp theo.

Step 5 - Không thực hiện bất kỳ thay đổi nào, hãy nhấp vào Kết thúc ở bước Chọn Điều khiển.

Step 6- Chọn quy trình con đầu tiên từ danh sách, sau đó nhấp vào Mở. Bạn sẽ thấy chi tiết quy trình phụ.

Step 7- Nhấp vào Tab Vai trò. Chọn một vai trò từ danh sách, sau đó nhấp vào Chỉ định.

Kiểm soát truy cập SAP GRC sử dụng vai trò UME để kiểm soát phân quyền người dùng trong hệ thống. Quản trị viên có thể sử dụng các hành động đại diện cho thực thể nhỏ nhất của vai trò UME mà người dùng có thể sử dụng để xây dựng quyền truy cập.

Một vai trò UME có thể chứa các hành động từ một hoặc nhiều ứng dụng. Bạn phải chỉ định vai trò UME cho người dùng trongUser Management Engine (UME).

Ủy quyền trong UME

Khi người dùng không có quyền truy cập vào một tab nhất định, tab đó sẽ không hiển thị khi người dùng đăng nhập khi người dùng cố gắng truy cập vào tab đó. Khi một hành động UME cho một tab được chỉ định cho người dùng cụ thể đó, chỉ khi đó anh ta mới có thể truy cập vào chức năng đó.

Tất cả các hành động UME tiêu chuẩn có sẵn cho các tab CC có thể được tìm thấy trong tab “Assigned Actions” sau đó Admin User.

Vai trò UME

Bạn nên tạo một vai trò quản trị viên và vai trò này nên được giao cho Superuser để thực hiện các hoạt động liên quan đến trình hiệu chuẩn tuân thủ SAP. Có nhiều vai trò CC khác nhau có thể được tạo trong Kiểm soát truy cập SAP GRC tại thời điểm triển khai -

  • CC.ReportingView

    Description - Hiển thị và báo cáo trình hiệu chuẩn tuân thủ

  • CC.RuleMaintenance

    Description - Duy trì Quy tắc Hiệu chuẩn Tuân thủ

  • CC.MitMaintenance

    Description - Bảo trì Giảm thiểu Hiệu chuẩn Tuân thủ

  • CC.Administration

    Description - Cấu hình cơ sở và quản trị trình hiệu chuẩn tuân thủ

Làm thế nào để mở Công cụ bảo trì người dùng?

Sử dụng UME, bạn có thể thực hiện các hoạt động chính khác nhau trong Kiểm soát truy cập -

  • Bạn có thể thực hiện bảo trì người dùng và vai trò
  • Nó có thể được sử dụng để cấu hình nguồn dữ liệu người dùng
  • Bạn có thể áp dụng cài đặt bảo mật và quy tắc mật khẩu

Để mở UME, bạn nên sử dụng URL sau:

http://<hostname>:<port>/useradmin

Trong SAP GRC 10.0, bạn có thể sử dụng Bàn khởi động Kiểm soát Truy cập để duy trì các chức năng chính trong Kiểm soát Truy cập GRC. Nó là một trang web duy nhất có thể được sử dụng choRisk Analysis and Remediation (RAR).

Trong Kiểm soát truy cập GRC, bạn có thể sử dụng khả năng Phân tích rủi ro và Khắc phục hậu quả (RAR) để thực hiện phân tích kiểm toán bảo mật và phân tách nhiệm vụ (SoD). Nó là một công cụ có thể được sử dụng để xác định, phân tích và giải quyết các vấn đề rủi ro và kiểm toán liên quan đến việc tuân thủ quy định sau đây. Tại đây, bạn cũng có thể xác định thông tục những điều sau:

  • Quản lý vai trò doanh nghiệp (ERM)
  • Cấp phép người dùng tuân thủ (CUP)
  • Quản lý đặc quyền của Superuser

Tạo một bàn di chuột mới trong NWBC

Làm theo các bước sau để tạo Launchpad mới trong NWBC -

Step 1 - Chuyển đến vai trò PFCG và mở vai trò SAP_GRAC_NWBC

Step 2 - Khi click chuột phải vào mục My Home, bạn có thể thấy ứng dụng đang được gọi là grfn_service_map?WDCONFIGURATIONID=GRAC_FPM_AC_LPD_HOME và id cấu hình là GRAC_FPM_AC_LPD_HOME.

Step 3 - Chọn application config và bạn có thể thấy màn hình cấu hình ứng dụng → nút hiển thị.

Step 4 - Khi bạn nhấp vào Hiển thị, bạn có thể thấy màn hình này -

Step 5 - Bây giờ mở Component Configuration cái nút.

Step 6 - Bấm vào Configure UIBBtrong màn hình này. Bạn sẽ được chuyển đến màn hình sau:

Step 7- Bạn có thể chọn Launchpad mà bạn muốn ánh xạ. Nếu bạn muốn tạo một Launchpad mới, bạn cũng có thể ánh xạ nó đến một vai trò mới.

Step 8 - Để tạo một Launchpad mới, hãy xác định như sau:

  • Tạo một bệ phóng mới với các mục menu mà bạn muốn.

  • Tạo cấu hình mới của ứng dụng GRFN_SERVICE_MAP hoặc bạn có thể sao chép id cấu hình GRAC_FPM_AC_LPD_HOME và tùy chỉnh nó hơn nữa.

  • Trong cấu hình mới, chọn bệ khởi động mà bạn muốn kết hợp.

  • Tạo một vai trò mới và thêm ứng dụng webdynpro GRFN_SERVICE_MAP với id cấu hình tùy chỉnh đã tạo ở bước trước.

Trong giải pháp SAP GRC 10.0, dữ liệu tổng thể và cấu trúc tổ chức được chia sẻ qua kiểm soát truy cập, kiểm soát quy trình và quản lý rủi ro. Kiểm soát quy trình cũng chia sẻ các khả năng nhất định với quy trình quản lý rủi ro.

Sau đây là các tính năng chính được chia sẻ với Access Control -

  • Kiểm soát truy cập và kiểm soát quá trình chia sẻ cấu trúc tuân thủ trong các lĩnh vực dưới đây:

    • Trong giải pháp kiểm soát quá trình, các kiểm soát được sử dụng như kiểm soát giảm thiểu trong kiểm soát truy cập theo giải pháp SAP GRC 10.0.

    • Kiểm soát truy cập và kiểm soát quá trình chia sẻ cùng một tổ chức.

    • Trong kiểm soát quy trình, quy trình được sử dụng như quy trình nghiệp vụ trong kiểm soát truy cập.

    • Kiểm soát quá trình và kiểm soát truy cập được tích hợp với phân tích rủi ro truy cập để giám sát việc phân biệt các nhiệm vụ SoD.

The menu areas common to both Process Control and Risk Management are −

  • Phân công vai trò GRC
  • Công cụ lập kế hoạch kiểm soát quy trình
  • Người lập kế hoạch quản lý rủi ro
  • Đoàn đại biểu Trung ương

Sau đây là các điểm tích hợp chính giữa Kiểm soát quy trình và Quản lý rủi ro -

  • Các điểm kiểm soát mới có thể được sử dụng để Kiểm soát quá trình trong Quản lý rủi ro.

  • Khi một biện pháp kiểm soát mới được đề xuất, Kiểm soát quá trình cần đánh giá yêu cầu từ Quản lý rủi ro.

  • Quản lý rủi ro sử dụng kết quả từ Kiểm soát quá trình để đánh giá các kiểm soát mới.

  • Quản lý rủi ro cũng có thể sử dụng các biện pháp kiểm soát hiện có từ Kiểm soát quy trình làm phản hồi trong Quản lý rủi ro.

Internal Audit Managementcho phép bạn xử lý thông tin từ Quản lý rủi ro và Kiểm soát quá trình để sử dụng trong lập kế hoạch kiểm toán. Đề xuất đánh giá có thể được chuyển cho ban quản lý đánh giá để xử lý khi được yêu cầu và các mục đánh giá có thể được sử dụng để tạo ra các vấn đề cho báo cáo. IAM cung cấp cho bạn một nơi để bạn có thể lập kế hoạch kiểm toán hoàn chỉnh, tạo các hạng mục kiểm toán, xác định vũ trụ kiểm toán và tạo và xem các báo cáo kiểm toán và các vấn đề kiểm toán.

Internal Audit Management Work Center cung cấp vị trí trung tâm cho các hoạt động sau:

  • Xác định vũ trụ kiểm toán cho tổ chức của bạn
  • Đánh giá rủi ro kiểm toán
  • Lập kế hoạch đánh giá để xác định thủ tục tuân thủ đánh giá
  • Các vấn đề kiểm toán từ các hành động kiểm toán
  • Báo cáo kiểm toán để xem có những rủi ro nào đối với các đơn vị được kiểm toán

Vũ trụ Kiểm toán bao gồm các thực thể kiểm toán có thể được phân loại thành các đơn vị kinh doanh, ngành kinh doanh hoặc các phòng ban. Các đơn vị kiểm toán xác định chiến lược lập kế hoạch kiểm toán và những chiến lược này có thể được liên kết với Kiểm soát quá trình và Quản lý rủi ro để tìm ra rủi ro, kiểm soát, v.v.

Tạo một pháp nhân có thể kiểm tra

Bây giờ chúng ta hãy hiểu cách tạo ra một tổ chức có thể nghe được.

Step 1 - Đi tới /nwbc ở trên cùng để mở Trung tâm làm việc

Step 2 - Trong SAP NetWeaver Business Client, hãy chuyển đến IAM Work Center.

Step 3 - Điều hướng đến Quản lý kiểm toán nội bộ → Vũ trụ kiểm toán

Step 4 - Bấm vào Create nút và đi đến General chuyển hướng.

Step 5 - Nhập các chi tiết sau cho đơn vị có thể kiểm toán -

  • Name
  • Description
  • Type
  • Status
  • Ghi chú để thêm bất kỳ thông tin bổ sung nào

Step 6 - Đi tới Audit Plan tab để xem các đề xuất kiểm toán và đề xuất kế hoạch kiểm toán với ngày chuyển giao.

Step 7 - Chọn attachments and links để thêm bất kỳ loại tệp hoặc liên kết nào.

Step 8 - Khi bạn nhập các chi tiết cần thiết, bạn có thể chọn từ các tùy chọn sau -

  • Lựa chọn Save để lưu thực thể.
  • Lựa chọn Close để thoát mà không lưu.

Kiểm soát quy trình SAP - Đánh giá rủi ro kiểm toán

Xếp hạng Rủi ro Kiểm toán được sử dụng để xác định các tiêu chí để một tổ chức tìm ra xếp hạng rủi ro và thiết lập xếp hạng để xếp hạng rủi ro. Mỗi đơn vị có thể kiểm toán được đánh giá theo phản hồi của ban quản lý trong ARR. Bạn có thể sử dụng ARR để thực hiện các chức năng sau:

  • Bạn có thể tìm thấy tập hợp các thực thể có thể kiểm toán và các yếu tố rủi ro.

  • Xác định và đánh giá điểm rủi ro đối với hệ số rủi ro trong từng đơn vị được kiểm toán.

  • Theo điểm rủi ro, bạn có thể đánh giá đơn vị có thể kiểm toán.

  • Bạn cũng có thể tạo kế hoạch kiểm toán từ ARR bằng cách so sánh điểm rủi ro cho các đơn vị có thể kiểm toán khác nhau. Ngoài ra, bạn có thể chọn các đơn vị có thể kiểm toán có điểm rủi ro cao và tạo đề xuất kiểm toán và đề xuất kế hoạch kiểm toán.

Tạo xếp hạng rủi ro kiểm toán

Bây giờ chúng ta hãy hiểu các bước để tạo Xếp hạng rủi ro kiểm toán

Step 1 - Trong SAP NetWeaver Business Client, hãy chuyển đến IAM Work Center.

Step 2 - Điều hướng đến Quản lý kiểm toán nội bộ → Xếp hạng rủi ro kiểm toán → Tạo

Step 3 - Trong tab Chung, nhập các chi tiết sau:

  • Name
  • Description
  • Có hiệu lực từ
  • Có hiệu lực đến
  • Người có trách nhiệm
  • Status

Step 4 - Chuyển đến Đối tượng có thể kiểm tra và nhấp vào Add để chọn từ các thực thể có thể kiểm tra.

Step 5 - Đi tới Risk Factor tab và chọn ARRyếu tố rủi ro. Lựa chọnAdd để thêm yếu tố rủi ro → OK.

Step 6 - Đi tới Risk Scores, chọn thực thể và điểm rủi ro đầu vào trên bảng hệ số rủi ro. Nhấp chuộtCalculatenút để xem điểm trung bình. Chuyển đến Mức độ rủi ro và cột ưu tiên rủi ro để nhập thông tin chi tiết.

Đi đến Audit Plan Proposalđể đảm bảo rằng bạn đang tạo một đề xuất kế hoạch kiểm toán. Chọn xuất để tạo bảng tính excel để xem thông tin ở dạng bảng cho ARR của bạn.

Lựa chọn Save để lưu xếp hạng rủi ro kiểm toán cho đơn vị được kiểm toán.

Các trung tâm làm việc cung cấp một điểm truy cập trung tâm cho toàn bộ chức năng GRC. Chúng được tổ chức để cung cấp khả năng truy cập dễ dàng vào các hoạt động ứng dụng và chứa các nhóm menu và liên kết đến các hoạt động khác.

Các trung tâm công việc sau đây được chia sẻ bởi Kiểm soát truy cập, Kiểm soát quy trình và Quản lý rủi ro -

  • Nhà của tôi
  • Dữ liệu chủ
  • Thiết lập quy tắc
  • Assessments
  • Quản lý truy cập
  • Báo cáo và Phân tích

Hãy để chúng tôi thảo luận về các trung tâm làm việc chính.

Nhà của tôi

My Home Work Center được chia sẻ bởi Kiểm soát quy trình, Quản lý rủi ro và Kiểm soát truy cập. Điều này cung cấp một vị trí tập trung, nơi bạn có thể quản lý các nhiệm vụ được giao và các đối tượng có thể truy cập trong ứng dụng GRC. My Home đi kèm với một số phần. Bây giờ chúng ta hãy hiểu phần Hộp thư đến Công việc -

Hộp thư đến Cơ quan

Sử dụng Work Inbox, bạn có thể xem các tác vụ mà bạn phải xử lý trong phần mềm GRC.

Nếu bạn muốn xử lý một nhiệm vụ, hãy nhấp vào nhiệm vụ trong bảng.

Nó sẽ mở cửa sổ quy trình làm việc, trong đó bạn có thể xử lý tác vụ.

Dữ liệu chủ

Master Data Work Center được chia sẻ bởi Kiểm soát quá trình, Quản lý rủi ro và kiểm soát truy cập. Trung tâm làm việc dữ liệu tổng thể kiểm soát quy trình bao gồm các phần sau:

  • Organizations
  • Quy định và Chính sách
  • Objectives
  • Các hoạt động và quy trình
  • Rủi ro và ứng phó
  • Accounts
  • Reports

Bây giờ chúng ta hãy thảo luận về các trung tâm làm việc chính thuộc Trung tâm làm việc dữ liệu tổng thể -

Organizations - Duy trì cấu trúc tổ chức của công ty để tuân thủ và quản lý rủi ro với các nhiệm vụ liên quan

Mitigation Controls - Duy trì các biện pháp kiểm soát để giảm thiểu sự phân biệt giữa nhiệm vụ, hành động quan trọng và vi phạm quyền truy cập cấp phép nghiêm trọng

Để tạo điều khiển giảm thiểu, hãy nhấp vào nút Tạo.

Bạn sẽ được chuyển đến một cửa sổ mới, nhập các chi tiết để kiểm soát giảm thiểu và nhấp vào nút Lưu.

Báo cáo và Phân tích

Báo cáo và Trung tâm làm việc Analytics được chia sẻ bởi Kiểm soát quy trình, Quản lý rủi ro và Kiểm soát truy cập. Báo cáo kiểm soát quy trình và Trung tâm làm việc phân tích bao gồm phần Tuân thủ trong ứng dụng GRC.

Trong phần tuân thủ, bạn có thể tạo các báo cáo sau trong Kiểm soát quy trình -

Bảng điều khiển trạng thái đánh giá

Hiển thị bức tranh cấp cao về tình trạng tuân thủ tổng thể của công ty trong các thực thể kinh doanh khác nhau và cung cấp khả năng phân tích và chi tiết để xem dữ liệu ở các cấp độ và thứ nguyên khác nhau.

Kết quả khảo sát

Hiển thị kết quả của các cuộc khảo sát.

Bảng dữliệu

Cung cấp thông tin toàn diện về dữ liệu tổng thể, đánh giá và các hoạt động khắc phục cho các quá trình phụ và kiểm soát.

Các vai trò sau sử dụng chức năng biểu dữ liệu:

  • Internal Auditors - Họ có thể sử dụng bảng dữ liệu để có được bức tranh về các điều khiển và quy trình con trong một tổ chức thuộc GRC.

  • Process Owners- Trong ứng dụng GRC, Chủ sở hữu quy trình và Chủ sở hữu kiểm soát có thể yêu cầu các bảng dữ liệu để có cái nhìn tổng quan về các quy trình con của họ. Thông tin biểu dữ liệu cung cấp định nghĩa về quy trình con, các đánh giá đã hoàn thành trên quy trình con, các kiểm soát được quy trình con bao gồm và các đánh giá và thử nghiệm được thực hiện trên các kiểm soát này.

  • Control Owners- Chủ sở hữu kiểm soát có thể sử dụng biểu dữ liệu để kiểm tra thiết kế của kiểm soát của họ. Chủ sở hữu quyền kiểm soát có thể đánh giá các biện pháp kiểm soát để kiểm tra các biện pháp kiểm soát và tính hiệu quả của chúng.

  • External Auditors- Các bảng dữ liệu có thể được sử dụng bởi đánh giá viên bên ngoài; điều này có thể được sử dụng để yêu cầu thông tin để nghiên cứu các kiểm soát hoặc quy trình phụ.

Note - Các trung tâm công việc khác như quản lý truy cập, đánh giá và thiết lập quy tắc cũng được chia sẻ bởi kiểm soát quá trình, kiểm soát truy cập và quản lý rủi ro.

Trung tâm Công việc Quản lý Truy cập Kiểm soát Quy trình có phần Phân công Vai trò GRC.

Trong mọi doanh nghiệp, cần phải thực hiện Quản lý Rủi ro Phân biệt Nhiệm vụ (SoD) - bắt đầu từ nhận biết rủi ro đến xác thực xây dựng quy tắc và nhiều hoạt động quản lý rủi ro khác để tuân thủ liên tục.

Theo các vai trò khác nhau, cần phải thực hiện Phân tách nhiệm vụ trong hệ thống GRC. SAP GRC xác định các vai trò và trách nhiệm khác nhau trong Quản lý rủi ro SoD -

Chủ sở hữu quy trình kinh doanh

Chủ sở hữu quy trình kinh doanh thực hiện các nhiệm vụ sau:

  • Xác định rủi ro và phê duyệt rủi ro để giám sát
  • Phê duyệt biện pháp khắc phục liên quan đến quyền truy cập của người dùng
  • Thiết kế các biện pháp kiểm soát để giảm thiểu xung đột
  • Giao tiếp các nhiệm vụ truy cập hoặc thay đổi vai trò
  • Thực hiện chủ động tuân thủ liên tục

Cán bộ cao cấp

Các Sĩ quan Cấp cao thực hiện các nhiệm vụ sau:

  • Chấp thuận hoặc từ chối rủi ro giữa các lĩnh vực kinh doanh
  • Phê duyệt các biện pháp kiểm soát giảm thiểu rủi ro đã chọn

Quản trị viên bảo mật

Quản trị viên bảo mật thực hiện các tác vụ sau:

  • Giả sử quyền sở hữu các công cụ GRC và quy trình bảo mật
  • Thiết kế và duy trì các quy tắc để xác định các điều kiện rủi ro
  • Tùy chỉnh các vai trò GRC để thực thi các vai trò và trách nhiệm
  • Phân tích và khắc phục các xung đột SoD ở cấp độ vai trò

Kiểm toán viên

Kiểm toán viên thực hiện các nhiệm vụ sau:

  • Đánh giá rủi ro một cách thường xuyên
  • Đưa ra các yêu cầu cụ thể cho mục đích kiểm toán
  • Kiểm tra định kỳ các quy tắc và kiểm soát giảm thiểu
  • Hoạt động như người liên lạc giữa các đánh giá viên bên ngoài

Trình giữ quy tắc SoD

SoD Rule Keeper thực hiện các tác vụ sau:

  • Cấu hình và quản trị công cụ GRC
  • Duy trì các kiểm soát đối với các quy tắc để đảm bảo tính toàn vẹn
  • Hoạt động với tư cách là người liên lạc đặt cược cơ sở ween và trung tâm hỗ trợ GRC

Quản lý rủi ro SAP trong GRC được sử dụng để quản lý hiệu quả hoạt động của doanh nghiệp được điều chỉnh theo rủi ro nhằm trao quyền cho một tổ chức để tối ưu hóa hiệu quả, tăng hiệu quả và tối đa hóa khả năng hiển thị thông qua các sáng kiến ​​rủi ro.

Sau đây là key functions trong Quản lý rủi ro -

  • Quản lý rủi ro nhấn mạnh vào sự liên kết của tổ chức đối với rủi ro cao nhất, các ngưỡng liên quan và giảm thiểu rủi ro.

  • Phân tích rủi ro bao gồm thực hiện phân tích định tính và định lượng.

  • Quản lý rủi ro liên quan đến việc Xác định các rủi ro chính trong tổ chức.

  • Quản lý rủi ro cũng bao gồm các chiến lược giải quyết / khắc phục rủi ro.

  • Quản lý rủi ro thực hiện sự liên kết của các chỉ số rủi ro và hiệu suất chính trên tất cả các chức năng kinh doanh cho phép xác định rủi ro sớm hơn và giảm thiểu rủi ro động.

Quản lý rủi ro cũng liên quan đến việc giám sát chủ động vào các quy trình và chiến lược kinh doanh hiện có.

Các giai đoạn trong quản lý rủi ro

Bây giờ chúng ta hãy thảo luận về các giai đoạn khác nhau trong Quản lý rủi ro. Sau đây là các giai đoạn khác nhau trong quản lý rủi ro -

  • Nhận biết rủi ro
  • Xây dựng quy tắc và xác thực
  • Analysis
  • Remediation
  • Mitigation
  • Tuân thủ liên tục

Nhận biết rủi ro

Trong quy trình ghi nhận rủi ro thuộc quản lý rủi ro, các bước sau có thể được thực hiện:

  • Xác định rủi ro ủy quyền và phê duyệt các ngoại lệ
  • Làm rõ và phân loại rủi ro là cao, trung bình hoặc thấp
  • Xác định các rủi ro và điều kiện mới để giám sát trong tương lai

Xây dựng quy tắc và xác thực

Thực hiện các tác vụ sau trong Xây dựng quy tắc và xác thực -

  • Tham khảo các quy tắc thực hành tốt nhất cho môi trường
  • Xác thực các quy tắc
  • Tùy chỉnh các quy tắc và thử nghiệm
  • Xác minh với người dùng thử nghiệm và các trường hợp vai trò

Phân tích

Thực hiện các tác vụ sau trong Phân tích -

  • Chạy các báo cáo phân tích
  • Ước tính nỗ lực dọn dẹp
  • Phân tích vai trò và người dùng
  • Sửa đổi các quy tắc dựa trên phân tích
  • Đặt cảnh báo để phân biệt rủi ro đã thực hiện

Từ khía cạnh quản lý, bạn có thể thấy chế độ xem nhỏ gọn về các vi phạm rủi ro được nhóm theo mức độ nghiêm trọng và thời gian.

Step 1 - Đi tới Trình hiệu chỉnh tuân thủ Virsa → tab Người cung cấp thông tin

Step 2 - Đối với các vi phạm SoD, bạn có thể hiển thị biểu đồ hình tròn và biểu đồ thanh để thể hiện các vi phạm hiện tại và trong quá khứ trong bối cảnh hệ thống.

Sau đây là hai quan điểm khác nhau đối với những vi phạm này -

  • Vi phạm theo mức độ rủi ro
  • Vi phạm theo quy trình

Biện pháp khắc phục hậu quả

Thực hiện các nhiệm vụ sau khi khắc phục -

  • Xác định các lựa chọn thay thế để loại bỏ rủi ro
  • Trình bày phân tích và lựa chọn các hành động khắc phục
  • Văn bản phê duyệt các hành động khắc phục
  • Sửa đổi hoặc tạo vai trò hoặc nhiệm vụ của người dùng

Giảm nhẹ

Thực hiện các nhiệm vụ sau trong điều kiện giảm thiểu -

  • Xác định các biện pháp kiểm soát thay thế để giảm thiểu rủi ro
  • Giáo dục quản lý về việc phê duyệt và giám sát xung đột
  • Ghi lại quy trình để giám sát các biện pháp kiểm soát giảm thiểu
  • Triển khai các kiểm soát

Tuân thủ liên tục

Thực hiện các tác vụ sau trong Tuân thủ liên tục -

  • Thông báo những thay đổi về vai trò và nhiệm vụ của người dùng
  • Mô phỏng các thay đổi đối với vai trò và người dùng
  • Triển khai cảnh báo để giám sát các rủi ro đã chọn và giảm thiểu thử nghiệm kiểm soát

Phân loại rủi ro

Rủi ro nên được phân loại theo chính sách của công ty. Sau đây là các phân loại rủi ro khác nhau mà bạn có thể xác định theo mức độ ưu tiên rủi ro và chính sách của công ty -

Bạo kích

Việc phân loại trọng yếu được thực hiện đối với các rủi ro có chứa các tài sản trọng yếu của công ty rất có thể bị tổn hại do gian lận hoặc gián đoạn hệ thống.

Cao

Điều này bao gồm tổn thất vật chất hoặc tiền tệ hoặc gián đoạn toàn hệ thống bao gồm gian lận, mất bất kỳ tài sản nào hoặc hệ thống bị lỗi.

Trung bình

Điều này bao gồm nhiều gián đoạn hệ thống như ghi đè dữ liệu chính trong hệ thống.

Thấp

Điều này bao gồm rủi ro trong đó tổn thất năng suất hoặc lỗi hệ thống bị ảnh hưởng bởi gian lận hoặc gián đoạn hệ thống và tổn thất là tối thiểu.

Trong Quản lý rủi ro SAP GRC 10.0, giai đoạn khắc phục rủi ro xác định phương pháp loại bỏ rủi ro trong các vai trò. Mục đích của giai đoạn khắc phục là xác định các lựa chọn thay thế để loại bỏ các vấn đề thuộc quản lý rủi ro.

Các cách tiếp cận sau đây được khuyến nghị để giải quyết các vấn đề trong các vai trò:

Vai trò đơn

  • Bạn có thể bắt đầu với các vai trò đơn lẻ vì đây là cách dễ dàng và đơn giản nhất để bắt đầu.

  • Bạn có thể kiểm tra xem có bất kỳ vi phạm SoD Phân biệt Nhiệm vụ nào không khi được giới thiệu lại.

Các vai trò tổng hợp

  • Bạn có thể thực hiện các phân tích khác nhau để kiểm tra việc chỉ định người dùng về việc chỉ định hoặc xóa các hành động của người dùng.

  • Bạn có thể sử dụng chế độ xem Quản lý hoặc báo cáo Phân tích rủi ro để phân tích như đã đề cập trong chủ đề trước.

Trong Biện pháp Xử lý Rủi ro, Quản trị viên Bảo mật nên ghi lại kế hoạch và Chủ sở hữu Quy trình Kinh doanh nên tham gia và phê duyệt kế hoạch.

SAP GRC - Loại báo cáo

Bạn có thể tạo các báo cáo Phân tích rủi ro khác nhau theo phân tích yêu cầu -

  • Action Level - Bạn có thể sử dụng nó để thực hiện phân tích SoD ở cấp độ hành động.

  • Permission Level - Điều này có thể được sử dụng để thực hiện phân tích SoD ở cấp độ hành động và quyền.

  • Critical Actions - Điều này có thể được sử dụng để phân tích những người dùng có quyền truy cập vào một trong những chức năng quan trọng.

  • Critical Permissions - Điều này có thể được sử dụng để phân tích người dùng có quyền truy cập vào một chức năng quan trọng.

  • Critical Roles/Profiles - Điều này có thể được sử dụng để phân tích những người dùng có quyền truy cập vào các vai trò hoặc hồ sơ quan trọng.

Trong SAP GRC 10.0, bạn có thể sử dụng các biện pháp kiểm soát giảm thiểu khi không thể tách SoD phân tách nhiệm vụ khỏi quy trình kinh doanh.

Thí dụ

Trong một tổ chức, hãy xem xét một kịch bản trong đó một người đảm nhận các vai trò trong các quy trình kinh doanh gây ra xung đột SoD bị thiếu.

Có các ví dụ khác nhau có thể áp dụng cho các biện pháp kiểm soát giảm thiểu -

  • Chiến lược phát hành và giới hạn ủy quyền
  • Xem lại nhật ký người dùng
  • Xem xét các báo cáo ngoại lệ
  • Phân tích phương sai chi tiết
  • Thiết lập bảo hiểm để bảo hiểm ảnh hưởng của sự cố an ninh

Các loại kiểm soát giảm thiểu

Có hai loại kiểm soát giảm thiểu trong Quản lý rủi ro SAP GRC -

  • Preventive
  • Detective

Kiểm soát giảm thiểu phòng ngừa

Kiểm soát giảm thiểu phòng ngừa được sử dụng để giảm tác động của rủi ro trước khi nó thực sự xảy ra. Có nhiều hoạt động khác nhau mà bạn có thể thực hiện dưới sự kiểm soát giảm thiểu phòng ngừa -

  • Configuration
  • Người dùng thoát
  • Security
  • Xác định quy trình làm việc
  • Đối tượng tùy chỉnh

Kiểm soát giảm thiểu do thám

Kiểm soát giảm thiểu do thám được sử dụng khi nhận được cảnh báo và rủi ro xảy ra. Trong trường hợp này, người có trách nhiệm thực hiện các biện pháp khắc phục để giảm thiểu rủi ro.

Có nhiều hoạt động khác nhau mà bạn có thể thực hiện dưới sự kiểm soát giảm thiểu của thám tử -

  • Báo cáo hoạt động
  • So sánh kế hoạch và đánh giá thực tế
  • Xem xét ngân sách
  • Alerts

Thiết lập Kiểm soát Di chuyển

Làm theo các bước sau để thiết lập kiểm soát di chuyển -

Step 1 - Đăng nhập vào SAP GRC Access control.

Step 2- Thực hiện phân tích rủi ro ở cấp độ người dùng. Nhập các chi tiết bên dưới -

  • Loại báo cáo
  • Định dạng báo cáo

Step 3 - Nhấp vào Thực thi

Step 4 - Bạn có thể chuyển đổi giữa các loại báo cáo khác nhau như trong ảnh chụp màn hình sau -

Step 5 - Đăng nhập vào Kiểm soát truy cập SAP GRC và lên lịch công việc nền phân tích rủi ro ở cấp độ vai trò.

Nhập các chi tiết sau -

  • Loại báo cáo - Mức cho phép
  • Định dạng Báo cáo - Tóm tắt

Step 6 - Bấm Run in Background như thể hiện trong ảnh chụp màn hình sau -

Step 7 - Trong cửa sổ tiếp theo, bạn có thể chọn Start Immediately. Sau đó nhấp vàoOK.

Trong SAP GRC 10.0, Quản lý đặc quyền siêu người dùng cần được triển khai trong tổ chức của bạn để loại bỏ sự ủy quyền quá mức và rủi ro mà công ty của bạn gặp phải với phương pháp tiếp cận người dùng khẩn cấp hiện tại.

Sau đây là các tính năng chính trong Superuser Privilege -

  • Bạn có thể cho phép Superuser thực hiện các hoạt động khẩn cấp trong một môi trường được kiểm soát và có thể kiểm tra

  • Sử dụng Superuser, bạn có thể báo cáo tất cả các hoạt động của người dùng khi truy cập vào các đặc quyền ủy quyền cao hơn.

  • Bạn có thể tạo một dấu vết kiểm tra, có thể được sử dụng để ghi lại lý do sử dụng các đặc quyền truy cập cao hơn.

  • Quá trình đánh giá này có thể được sử dụng để tuân thủ SOX.

  • Superuser có thể hoạt động như một lính cứu hỏa và có các khả năng bổ sung sau:

    • Nó có thể được sử dụng để thực hiện các nhiệm vụ bên ngoài vai trò thông thường hoặc hồ sơ của họ trong tình huống khẩn cấp.

    • Chỉ một số cá nhân (chủ sở hữu) mới có thể chỉ định ID Lính cứu hỏa.

    • Nó cung cấp một khả năng mở rộng cho người dùng trong khi tạo một lớp kiểm tra để theo dõi và ghi lại việc sử dụng.

Các vai trò tiêu chuẩn trong Quản lý đặc quyền của người dùng siêu cấp

Bạn có thể sử dụng các vai trò tiêu chuẩn sau cho Quản lý đặc quyền của Superuser -

/ VIRSA / Z_VFAT_ADMINISTRATOR

  • Điều này có Khả năng cấu hình Lính cứu hỏa
  • Chỉ định chủ sở hữu và người điều khiển vai trò Lính cứu hỏa cho ID lính cứu hỏa
  • Chạy báo cáo

/ VIRSA / Z_VFAT_ID_OWNER

  • Chỉ định ID lính cứu hỏa cho người dùng lính cứu hỏa
  • Tải lên, tải xuống và xem nhật ký lịch sử Lính cứu hỏa

VIRSA / Z_VFAT_FIREFIGHTER

  • Truy cập chương trình lính cứu hỏa

Bây giờ chúng ta hãy hiểu cách triển khai Superuser.

Bạn có thể triển khai ID lính cứu hỏa bằng cách làm theo các bước sau:

Step 1 - Tạo ID lính cứu hỏa cho từng khu vực quy trình kinh doanh

Step 2 - Phân công vai trò và hồ sơ cần thiết để thực hiện nhiệm vụ chữa cháy.

Bạn không nên chỉ định hồ sơ SAP_ALL

Step 3 - Sử dụng T-Code - SU01

Step 4 - Bấm Create để tạo người dùng mới.

Step 5 - Gán các vai trò Lính cứu hỏa như đã đề cập ở trên cho id người dùng -

  • Chỉ định vai trò Nhân viên cứu hỏa cho các ID người dùng hiện hành.

  • Gán vai trò quản trị viên / VIRSA / Z_VFAT_ADMINISTRATOR cho quản trị viên quản lý đặc quyền người dùng cấp trên.

  • Người dùng quản trị viên không nên được chỉ định bất kỳ hoạt động chữa cháy nào

  • Gán vai trò chuẩn / VIRSA / Z_VFAT_FIREFIGHTER cho -

    • Firefighter ID - Người dùng dịch vụ được sử dụng để đăng nhập
    • Firefighter user - Người dùng tiêu chuẩn hoạt động như một Lính cứu hỏa trong trường hợp
  • Gán vai trò chủ sở hữu ID / VIRSA / Z_VFAT_ID_OWNER cho -

    • Chủ sở hữu - Chịu trách nhiệm xác định ai sẽ được giao cho

    • Bộ điều khiển - Nhận thông báo khi ID lính cứu hỏa là trách nhiệm của ID lính cứu hỏa khẩn cấp cho khu vực kinh doanh của họ được sử dụng.

Step 6 - Đi tới Roles và chọn các vai trò được đề cập theo yêu cầu.

Step 7 - Tạo đích RFC để chuyển nội bộ sang ID lính cứu hỏa -

  • Tên - Nhập tên kết nối RFC

  • Loại kết nối - 3

  • Nhập mô tả

    (Không yêu cầu tên người dùng, mật khẩu hoặc dữ liệu đăng nhập khác)

  • Nhập mật khẩu cho từng ID lính cứu hỏa trong bảng Bảo mật: Mật khẩu được lưu trữ dưới dạng giá trị băm và không thể đọc được sau khi quản trị viên lưu giá trị.

Step 8 - Để tạo nhật ký lính cứu hỏa, bạn có thể lên lịch công việc nền.

Đặt tên cho công việc /VIRSA/ZVFATBAK như trong ảnh chụp màn hình sau -

Nhật ký siêu người dùng

Hãy để chúng tôi hiểu các bước này cho Nhật ký siêu người dùng.

Step 1 - Sử dụng T-Code - Giao dịch - / n / VIRSA / ZVFAT_V01

Step 2 - Bây giờ bạn có thể tìm thấy các bản ghi trong khu vực hộp công cụ.

Step 3 - Bạn có thể sử dụng transaction code — SM37 để xem lại nhật ký cho người dùng cá nhân.

Bạn cũng có thể sử dụng GUI web để truy cập tất cả thông tin về Lính cứu hỏa. Đi tới SAP GRC Kiểm soát truy cập → Quản lý đặc quyền người dùng.

Vì vậy, có thể truy cập dữ liệu của các cài đặt Firefighter khác nhau trên các hệ thống phụ trợ SAP khác nhau. Vàit is not necessary to log on to each system anymore.

Bạn có thể triển khai phân tích rủi ro nâng cao bằng cách sử dụng các quy tắc của tổ chức. Trong các đơn vị kinh doanh dịch vụ chia sẻ, bạn có thể sử dụng các quy tắc tổ chức để đạt được các thủ tục phân tích rủi ro và quản lý nhóm người dùng.

Hãy xem xét trường hợp người dùng đã tạo một nhà cung cấp hư cấu và các hóa đơn đã được tạo để thu được lợi ích tài chính.

Bạn có thể tạo quy tắc tổ chức với mã công ty được bật để loại bỏ trường hợp này.

Các bước sau cần được thực hiện để ngăn chặn tình trạng này -

  • Bật các trường cấp tổ chức trong các chức năng
  • Tạo quy tắc tổ chức
  • Cập nhật bảng ánh xạ người dùng tổ chức
  • Định cấu hình dịch vụ web phân tích rủi ro

Bật các trường cấp tổ chức trong các chức năng

Làm theo các bước sau để bật các trường cấp tổ chức trong các chức năng -

  • Tìm hiểu các chức năng được tách biệt theo cấp tổ chức trong môi trường dịch vụ dùng chung.

  • Duy trì quyền cho các giao dịch bị ảnh hưởng.

Tạo quy tắc tổ chức

Làm theo các bước sau để tạo quy tắc tổ chức -

Step 1 - Tạo ra các quy tắc tổ chức cho mọi giá trị có thể có của lĩnh vực tổ chức.

Step 2 - Chuyển đến kiến ​​trúc quy tắc → Cấp tổ chức → Tạo

Step 3 - Nhập trường ID quy tắc tổ chức.

Step 4 - Nhập nhiệm vụ liên quan.

Step 5 - Xác định trường cấp độ tổ chức và kết hợp chúng với các toán tử Boolean.

Step 6 - Bấm Save để lưu Quy tắc tổ chức.

Lợi ích của việc sử dụng các quy tắc của tổ chức

Bây giờ chúng ta hãy hiểu lợi ích của việc sử dụng các quy tắc tổ chức.

Bạn có thể sử dụng các quy tắc tổ chức cho các công ty để triển khai các tính năng sau:

  • Bạn có thể sử dụng các quy tắc tổ chức để triển khai các dịch vụ dùng chung. Họ tách biệt các nhiệm vụ với sự trợ giúp của các hạn chế của tổ chức.

  • Chuyển đến Phân tích rủi ro → Cấp tổ chức

  • Thực hiện phân tích rủi ro của loại phân tích Quy tắc tổ chức chống lại người dùng

  • Bạn sẽ nhận được kết quả sau:

    • Phân tích rủi ro sẽ chỉ hiển thị rủi ro nếu người dùng có quyền truy cập vào cùng một mã công ty cụ thể trong mỗi chức năng xung đột.

Trong một tổ chức, bạn có chủ sở hữu quyền kiểm soát ở các cấp phân cấp tổ chức khác nhau. Rủi ro cần được quản lý và giảm thiểu theo mức độ truy cập.

Sau đây là các chủ sở hữu quyền kiểm soát trong một tổ chức:

  • Một chủ sở hữu kiểm soát cho cấp độ toàn cầu
  • Chủ sở hữu kiểm soát khác nhau cho các cấp khu vực
  • Nhiều chủ sở hữu kiểm soát cho cấp địa phương

Bạn phải chỉ định các biện pháp kiểm soát giảm thiểu cho các cấp trách nhiệm khác nhau. Bây giờ nếu có vi phạm rủi ro ở cấp khu vực và địa phương, bạn nên thực hiện giảm thiểu rủi ro ở mức cao nhất.

Để sử dụng kiểm soát giảm thiểu ở phân cấp tổ chức, giả sử bạn đã thực hiện phân tích rủi ro ở cấp tổ chức và người dùng vi phạm tất cả các quy tắc của tổ chức con và đáp ứng điều kiện của quy tắc mẹ và chỉ quy tắc mẹ mới hiển thị; bạn có thể thực hiện giảm thiểu rủi ro theo những cách sau:

  • Giảm thiểu ở cấp độ người dùng
  • Giảm thiểu ở cấp độ tổ chức

Trong SAO GRC 10.0, quy trình làm việc được kích hoạt trong các trường hợp sau:

  • Để tạo hoặc cập nhật rủi ro.
  • Để tạo hoặc cập nhật các kiểm soát giảm thiểu.
  • Để chỉ định các biện pháp kiểm soát giảm thiểu.

Kích hoạt rủi ro dựa trên quy trình làm việc và kiểm soát bảo trì

Khi bạn tuân theo phương pháp quản lý thay đổi dựa trên quy trình làm việc trong phân tích và khắc phục rủi ro, bạn phải thực hiện các bước sau:

  • Chuyển đến tab Cấu hình → tùy chọn quy trình làm việc
  • Đặt các thông số dưới đây -
  • Đặt tham số Duy trì rủi ro thành CÓ
  • Đặt tham số Bảo trì kiểm soát giảm thiểu thành CÓ
  • Đặt Giảm thiểu thông số thành CÓ
  • Thiết lập URL Dịch vụ Web Dòng công việc -
http://<server>:<port>/AEWFRequestSubmissionService_5_2/Config1?wsdl&style=document
  • Tùy chỉnh quy trình công việc cần được thực hiện bên trong Công cụ quy trình làm việc.

Bảo trì rủi ro và kiểm soát dựa trên quy trình làm việc

Khi bạn duy trì rủi ro hoặc kiểm soát trong SAP GRC, bạn thực hiện các bước sau:

Step 1 - Trong Kiểm soát Truy cập, một quy trình công việc được kích hoạt để thực hiện rủi ro hoặc quy trình kiểm soát.

Step 2 - Khi bạn nhận được các phê duyệt cần thiết, các bước phê duyệt phụ thuộc vào yêu cầu của khách hàng.

Step 3 - Nhận một dấu vết kiểm toán ghi lại quá trình phê duyệt hoàn chỉnh.

SAP GRC - Dịch vụ Thương mại Toàn cầu

Sử dụng Dịch vụ Thương mại Toàn cầu SAP GRC, bạn có thể cải thiện chuỗi cung ứng hàng hóa xuyên biên giới trong một tổ chức. Ứng dụng này cho phép bạn tự động hóa các quy trình thương mại và giúp bạn kiểm soát chi phí và giảm rủi ro bị phạt và cũng để quản lý các quy trình đến và đi.

Sử dụng GTS, bạn có thể tạo centralize single repository được sử dụng để chứa tất cả dữ liệu và nội dung chính về tuân thủ.

Sau đây là những lợi thế chính của việc sử dụng Dịch vụ Thương mại Toàn cầu -

  • Nó giúp giảm chi phí và nỗ lực quản lý tuân thủ đối với giao dịch toàn cầu.

  • Nó có thể giảm bớt các công việc thủ công tốn thời gian và giúp cải thiện năng suất.

  • Giảm các hình phạt đối với vi phạm tuân thủ thương mại.

  • Nó giúp bạn tạo và cải thiện thương hiệu và hình ảnh và tránh giao dịch với các bên bị trừng phạt hoặc bị từ chối.

  • Mở đường cho sự hài lòng của khách hàng và nâng cao chất lượng dịch vụ.

  • Nó thắt chặt các quy trình nhập và xuất bằng cách thực hiện thủ tục hải quan và cũng giúp loại bỏ những chậm trễ không cần thiết.

Tích hợp giữa SAP ERP và SAP Global Trade Services

Hình minh họa sau đây cho thấy quy trình tích hợp giữa SAP ERP và SAP Global Trade Services -

Khi bạn cài đặt SAP GRC, có nhiều cấu hình và cài đặt khác nhau mà bạn cần thực hiện trong GRC. Các hoạt động chính bao gồm:

  • Tạo trình kết nối trong GRC

  • Định cấu hình AMF để sử dụng các đầu nối

  • Tạo trình kết nối gọi lại

  • Tạo kết nối trong GRC là quy trình chuẩn tạo kết nối RFC bằng T-Code - SM59

SAP GRC có sẵn trong SAP Easy Access → trong thư mục Tuân thủ Rủi ro Quản trị.

Step 1 - Mở menu SAP Dễ dàng truy cập và sử dụng T-Code - SPRO

Step 2 - Đi tới Quản trị, Rủi ro và Tuân thủ trong IMG Tham chiếu SAP → Cài đặt thành phần chung → Khung tích hợp → Tạo trình kết nối

Step 3 - Tạo kết nối là phím tắt để tạo kết nối SM59.

Step 4 - Để xem các kết nối hiện có, hãy đi tới Duy trì trình kết nối và loại kết nối -

Bạn có thể xem các loại đầu nối như hình dưới đây. Các loại đầu nối này có thể được sử dụng để cấu hình cho các mục đích khác nhau -

  • Các trình kết nối hệ thống cục bộ được sử dụng để tích hợp với ứng dụng Kiểm soát truy cập SAP BusinessObjects để giám sát việc tách biệt các vi phạm nghĩa vụ

  • Trình kết nối dịch vụ web được sử dụng cho các nguồn dữ liệu đối tác bên ngoài (xem phần)

  • Các đầu nối hệ thống SAP được sử dụng trong mọi trường hợp khác.

Step 5 - Đi tới Connection Type Definition tab -

Step 6- Xác định đầu nối nào trong số các đầu nối được xác định trước đó trong SM59 có thể được sử dụng trong giám sát. Đi tới xác định Trình kết nối

Step 7- Trong màn hình, bạn có thể thấy tên trình kết nối - SMEA5_100. Đây là một đầu nối hiển thị một đầu nối với hệ thống ECC.

Cột thứ ba liệt kê tên của trình kết nối được xác định trong hệ thống được giám sát và được định cấu hình để trỏ trở lại hệ thống GRC đang được định cấu hình tại đây.

SMEA5_100 là một trình kết nối khác trong hệ thống GRC và nó trỏ đến hệ thống ERP cần được giám sát. SM2 là một đầu nối trên hệ thống ECC và nó trỏ ngược lại hệ thống GRC.

Step 8 - Xác định Màn hình Nhóm Trình kết nối ở phía bên trái.

Step 9 - Ở đây bạn phải đảm bảo rằng tất cả các cấu hình trình kết nối để giám sát tự động phải thuộc nhóm cấu hình được gọi là Automated Monitoring như hình trên dưới define automated monitoring connector group.

Step 10 - Đi tới assign connectors to connector group ở bên trái.

Step 11 - Gán trình kết nối cho nhóm kết nối AM như đã đề cập trong ảnh chụp màn hình ở trên.

Step 12 - Đi tới Maintain Connection Settings trong menu chính như trong ảnh chụp màn hình sau.

Step 13 - Bạn cần nhập kịch bản tích hợp bạn muốn, nhập AM như trong ảnh chụp màn hình sau -

Step 14- Nhấp vào dấu tích màu xanh lá cây như trong ảnh chụp màn hình ở trên; bạn sẽ được chuyển đến màn hình sau với chín tình huống phụ.

Hộp được đánh dấu hiển thị chín mục được gọi là kịch bản phụ và chúng đại diện cho các loại nguồn dữ liệu và quy tắc nghiệp vụ khác nhau được hỗ trợ trong Kiểm soát quy trình 10.

Step 15 - Để Hệ thống được giám sát, bạn cần liên kết trình kết nối tương ứng với kịch bản con đó.

Step 16 - Chọn kịch bản phụ bạn muốn có thể định cấu hình và sau đó chọn Liên kết trình kết nối kịch bản ở phía bên trái như hình dưới đây -

Step 17 - Bạn sẽ được chuyển đến màn hình sau -

Step 18 - Bây giờ trình kết nối bạn muốn sử dụng cho kịch bản đó chưa có trong danh sách cho kịch bản phụ đó,

  • Bạn có thể nhấp vào nút New Entries ở trên cùng để thêm nó.
  • Bạn có thể làm theo các đề xuất này để thêm các kịch bản con -
    • Ứng dụng ABAP - Báo cáo ABAP, truy vấn SAP, chương trình có thể định cấu hình
    • SAP BW - Truy vấn BW
    • Hệ thống không SAP - Đối tác bên ngoài
    • Trình tích hợp quy trình - PI
    • Hệ thống GRC - Tích hợp SoD

Trong Kiểm soát quy trình SAP GRC, bạn có thể tạo nguồn dữ liệu. Tại đây, giao diện người dùng thời gian thiết kế nằm trong tùy chọn Thiết lập quy tắc trong máy khách Doanh nghiệp.

Chuyển đến phần giám sát liên tục nơi bạn có thể tìm thấy Data SourcesBusiness Rules Lựa chọn.

Để tạo Nguồn dữ liệu mới, hãy nhấp vào Nguồn dữ liệu → Tạo.

Trong trường tiếp theo, bạn có thể thấy ba tab khác nhau để xác định nguồn dữ liệu.

  • Tab chung
  • Trường đối tượng
  • Liên kết và tệp đính kèm

Trong tab Chung, nhập các chi tiết sau:

  • Tên nguồn dữ liệu
  • Ngày bắt đầu thời hạn hiệu lực
  • Ngày kết thúc thời hạn hiệu lực
  • Status

Đi đến Object Field , chọn các trường sau:

Trong SAP GRC 10.0, bạn có thể sử dụng Quy tắc nghiệp vụ để lọc luồng dữ liệu đến từ các nguồn dữ liệu và bạn có thể áp dụng các điều kiện / tính toán do người dùng định cấu hình đối với dữ liệu đó để xác định xem có vấn đề gì cần chú ý hay không.

Loại Quy tắc kinh doanh hoàn toàn phụ thuộc vào loại Nguồn dữ liệu.

Đi tới Quy tắc kinh doanh trong Thiết lập quy tắc.

Để tạo các quy tắc kinh doanh mới, có một danh sách các bước mà bạn cần làm theo với một số loại Nguồn dữ liệu.

Bạn cần xác định chi tiết trong mỗi tab. Ví dụ, trongGeneral , bạn cần nhập thông tin cơ bản về quy tắc kinh doanh. Business rule gives you data to filter the deficiencies.

Trong tab Dữ liệu để Phân tích, bạn sẽ thấy danh sách các trường có sẵn.

Chuyển đến tiêu chí bộ lọc để vượt qua điều kiện lọc trên các đối tượng có sẵn. Bạn có thể chọn từ các toán tử khác nhau.

Khi bạn xác định tất cả các bước, bạn có một tùy chọn để lưu quy tắc. Nếu bạn muốn áp dụng quy tắc cho Kiểm soát quy trình, bạn có thể thực hiện bằng cách nhấp vàoApply cái nút.

Để chỉ định quy tắc kinh doanh cho một kiểm soát quy trình, hãy chuyển đến Chỉ định quy tắc kinh doanh trong Giám sát liên tục trong Thiết lập quy tắc.

Chọn điều khiển và tìm kiếm Quy tắc kinh doanh để áp dụng.

Bây giờ chúng ta đã hiểu cách tạo Nguồn dữ liệu và Quy tắc kinh doanh để áp dụng bộ lọc trên Nguồn dữ liệu và cách chỉ định các quy tắc nghiệp vụ để kiểm soát quy trình.