SAP GRC 快速指南



SAP GRC - 概述

SAP 治理、风险和合规解决方案使组织能够管理法规和合规性,并消除管理组织关键运营中的任何风险。根据不断变化的市场形势,组织正在发展壮大并迅速变化,不合适的文档和电子表格对于外部审计师和监管机构是不可接受的。

SAP GRC 帮助组织管理其法规和合规性,并执行以下活动:

  • 轻松将 GRC 活动集成到现有流程中,并自动化关键 GRC 活动。

  • 复杂性低,风险管理效率高。

  • 改进风险管理活动。

  • 有效地管理业务流程中的欺诈行为和审计管理。

  • 组织绩效更好,公司可以保护其价值观。

  • SAP GRC 解决方案包含三个主要领域:分析、管理和监控。

SAP GRC 中的模块

现在让我们了解 SAP GRC 中的不同模块:

SAP GRC 访问控制

为了减轻组织中的风险,需要将风险控制作为合规性和法规实践的一部分来执行。应明确定义职责,管理角色配置和管理超级用户的访问对于管理组织中的风险至关重要。

SAP GRC 流程控制和欺诈管理

SAP GRC 流程控制软件解决方案用于管理合规性和策略管理。合规性管理功能允许组织管理和监控其内部控制环境。组织可以主动修复任何已识别的问题,并对相应合规活动的状态进行认证和报告。

SAP 流程控制支持策略管理的完整生命周期,包括目标群体对策略的分发和遵守。这些策略有助于组织降低合规成本,提高管理透明度,并使组织能够在业务环境中制定合规性管理流程和策略。

SAP GRC 风险管理

SAP GRC 风险管理允许您管理风险管理活动。您可以进行高级规划以识别业务中的风险,并实施措施来管理风险,并允许您做出更好的决策以提高业务绩效。

风险有多种形式:

  • 运营风险
  • 战略风险
  • 合规风险
  • 财务风险
Risk Management

SAP GRC 审计管理

这用于通过记录工件、组织工作底稿和创建审计报告来改进组织中的审计管理流程。您可以轻松地与其他治理、风险和合规解决方案集成,并使组织能够使其审计管理策略与业务目标保持一致。

SAP GRC 审计管理通过提供以下功能来帮助审计师简化工作:

  • 您可以使用移动功能拖放功能立即捕获审计管理和其他证据的工件。

  • 您可以轻松创建、跟踪和管理具有全局监控和后续操作的审计问题。

  • 您可以使用搜索功能执行搜索,以便从旧工作底稿和工作底稿中获取更多信息。

  • 您可以使用用户友好的界面和协作工具来吸引审计师。

  • 将审计管理轻松集成到 SAP 欺诈管理、SAP 风险管理和 SAP 流程控制中,以使审计流程与业务目标保持一致。

  • 使用自动化跟踪工具快速解决问题。

  • 提高员工利用率,减少内部审计规划、资源管理和调度造成的差旅成本。

  • 轻松集成 SAP BusinessObjects 报表和数据可视化工具,以使用 Lumira 和其他 BI 报表可视化审计报告。

  • 使用预先建立的模板来标准化审计工件和报告流程。

SAP GRC 欺诈管理

SAP GRC 欺诈管理工具帮助组织尽早发现和预防欺诈,从而减少业务损失。可以在海量数据上实时进行更准确的扫描,并且可以轻松识别欺诈活动。

SAP 欺诈管理软件可以帮助组织具备以下功能:

  • 轻松调查和记录欺诈案件。

  • 提高系统警报和响应能力,以防止欺诈活动在未来更频繁地发生。

  • 轻松扫描大量交易和业务数据。

SAP GRC 全球贸易服务

SAP GRC GTS 软件帮助组织在国际贸易管理范围内增强跨境供应。它有助于减少来自国际贸易法规当局的风险处罚。

它提供集中式的全球贸易管理流程,为所有合规性主数据和内容提供单一存储库,无论组织规模如何。

SAP GRC 能力模型

SAP BusinessObjects GRC 解决方案包含三个主要能力:**分析、管理和监控**。

在下图中,您可以看到涵盖 SAP GRC 软件所有关键功能的 SAP GRC 能力模型。使用 GRC,组织可以检查所有潜在风险和合规性发现,并可以做出正确的决策来减轻这些风险。

Capability Model

SAP GRC - 导航

在早期版本的 SAP GRC 中,要使用访问控制、流程控制和风险管理,每个组件都有单独的导航。这意味着用户要执行跨组件职责,必须分别登录每个模块并多次登录。这导致管理多个窗口的过程很困难,搜索文档也很困难。

Process Control

SAP GRC 10.0 为单个用户提供对访问控制、流程控制和风险管理组件的直接导航(根据授权),并消除了多个窗口的管理。

**步骤 1** - 要执行自定义活动并维护 GRC 解决方案的配置设置,请转到 T 代码 - SPRO → SAP 参考 IMG

Reference Img

**步骤 2** - 展开治理、风险和合规性节点 -

GRC Node

**步骤 3** - 登录到 NetWeaver Business Client -

在 SAP 简易访问中运行 NWBC 事务。

它将打开 NetWeaver Business Client 屏幕,您将收到以下网址: http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/

Business Client

SAP GRC 工作中心

您可以使用工作中心为 GRC 10.0 提供中央访问点。可以根据客户已获许可的操作内容对其进行组织。

**步骤 1** - 要访问工作中心,请按照上述方法打开 NetWeaver Business Client。转到顶部的 ** /nwbc** 选项以打开工作中心。

Option at Top

**步骤 2** - 单击后,您将被定向到 SAP NetWeaver Business Client 的主屏幕。

Home Screen

根据您已获得许可的产品,将显示 GRC 解决方案的不同组件:**访问控制、流程控制或风险管理**。

SAP GRC - 访问控制

SAP GRC 访问控制帮助组织自动检测、管理和防止访问风险违规,并减少对公司数据和信息的未授权访问。用户可以使用自动自助服务来访问请求提交、工作流驱动的访问请求和访问批准。可以使用 SAP GRC 访问控制来自动审核用户访问、角色授权和风险违规。

SAP GRC 访问控制通过允许企业管理访问风险来处理关键挑战。它帮助组织通过定义职责分离 (SoD) 和关键访问来防止未授权访问,并最大限度地减少访问风险管理的时间和成本。

主要功能

以下是 SAP GRC 访问控制的主要功能:

  • 根据法律要求执行审计和合规性,并符合不同的审计标准,例如 SOX、BSI 和 ISO 标准。

  • 自动检测组织中 SAP 和非 SAP 系统中的访问风险违规。

  • 如前所述,它使用户能够进行自助服务访问提交、工作流驱动的访问请求和请求批准。

  • 自动审核用户访问、角色授权、风险违规和控制分配,适用于小型和大型组织。

  • 有效管理超级用户访问,避免风险违规和对 SAP 和非 SAP 系统中的数据和应用程序的未授权访问。

如何浏览访问控制设置工作中心?

在 SAP 简易访问中运行 NWBC 事务。

它将打开 NetWeaver Business Client 屏幕,您将收到以下网址: http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/

**步骤 1** - 要访问工作中心,请按照上述方法打开 NetWeaver Business Client。转到顶部的 ** /nwbc** 选项以打开工作中心。

Option At Top

**步骤 2** - 单击后,您将被定向到 SAP NetWeaver Business Client 的主屏幕。

Home Screen

**步骤 3** - 转到设置工作中心并浏览工作集。单击每个工作集下的某些链接并浏览各个屏幕。

Setup

**步骤 4** - 设置工作中心在访问控制中可用,并提供指向以下部分的链接:

  • 访问规则维护
  • 例外访问规则
  • 关键访问规则
  • 生成的规则
  • 组织
  • 缓解控制
  • 超级用户分配
  • 超级用户维护
  • 访问所有者

**步骤 5** - 您可以通过以下方式使用上述列出的功能:

  • 使用访问规则维护部分,您可以管理访问规则集、功能以及用于识别访问违规的访问风险。

  • 使用例外访问规则,您可以管理补充访问规则的规则。

  • 使用关键访问规则部分,您可以定义其他规则来识别对关键角色和配置文件的访问。

  • 使用生成的规则部分,您可以查找和查看生成的访问规则。

  • 在“组织”下,您可以维护公司的组织结构,以实现与相关分配相关的合规性和风险管理。

  • 缓解控制部分允许您管理控制措施以减轻职责分离、关键操作和关键权限访问违规。

  • 超级用户分配用于将所有者分配给消防员 ID,并将消防员 ID 分配给用户。

  • 超级用户维护用于维护消防员、控制器和原因代码分配。

  • 在访问所有者下,您可以管理访问管理功能的所有者权限。

SAP GRC - 访问管理工作中心

根据 GRC 软件许可证,您可以导航访问管理工作中心。它包含多个部分来管理访问控制活动。

Access Management

单击访问管理工作中心时,您可以看到以下部分:

Access Management
  • GRC 角色分配
  • 访问风险分析
  • 已缓解访问
  • 访问请求管理
  • 角色管理
  • 角色挖掘
  • 角色批量维护
  • 超级用户分配
  • 超级用户维护
  • 访问请求创建
  • 合规性认证审查
  • 警报
  • 调度

以上部分将以以下方式帮助您:

  • 当您访问**风险分析**部分时,您可以评估系统中跨用户、角色、人力资源对象和组织级别的访问风险。访问风险是指两个或多个操作或权限,当它们同时赋予单个用户或单个角色、配置文件、组织级别或人力资源对象时,会产生错误或异常的可能性。

  • 使用**缓解访问**部分,您可以识别访问风险,评估这些风险的级别,并为用户、角色和配置文件分配缓解控制措施以减轻访问规则违规。

  • 在**访问请求管理**部分,您可以管理访问分配、帐户和审查流程。

  • 使用**角色管理**,您可以管理来自多个系统中统一存储库中的角色。

  • 在**角色挖掘**组功能中,您可以定位感兴趣的角色,分析它们并采取行动。

  • 使用**角色批量维护**,您可以导入和更改多个角色的授权和属性。

  • 在**超级用户分配**部分,您可以为所有者分配消防员 ID,并为消防员 ID 分配消防员和控制器。

  • 在**超级用户维护**部分,您可以执行诸如研究和维护消防员和控制器以及按系统分配原因代码等活动。

  • 使用**访问请求创建**,您可以创建访问分配和帐户。

  • **合规性认证审查**支持审查用户的访问、风险违规和角色分配。

  • 使用**警报**,您可以由应用程序生成,用于执行关键操作或冲突操作。

  • 使用规则设置工作中心的**调度**部分,您可以维护持续控制监控和自动化测试的计划,并跟踪相关作业进度。

访问与授权管理

在 SAP GRC 解决方案中,您可以管理授权对象以限制用户可以访问的项目和数据。授权控制用户在 SAP 系统中可以访问的工作中心和报表。

要访问 GRC 解决方案,您应该拥有以下访问权限:

  • 门户授权
  • 适用的 PFCG 角色
  • 用于访问控制、流程控制和风险管理的 PFCG 角色

根据 GRC 组件(AC、PC 和 RM),需要列出的授权类型。

角色名称 类型 描述 组件
SAP_GRC_FN_BASE PFCG 基本角色 PC,RM
SAP_GRAC_BASE PFCG 基本角色(包括 SAP_GRC_FN_BASE) AC
SAP_GRC_NWBC PFCG 在 NWBC 中运行 GRC 10.0 的角色 AC,PC,RM
SAP_GRAC_NWBC PFCG 用于运行 AC 的简化 NWBC 工作中心的角se AC
GRC_Suite 门户 在门户中运行 GRC 10.0 的门户角色 AC,PC,RM
SAP_GRC_FN_BUSINESS_USER PFCG 普通用户角色 AC*,PC,RM
SAP_GRC_FN_ALL PFCG 超级用户角色;绕过 PC 和 RM 的实体级授权 PC,RM
SAP_GRAC_ALL PFCG 超级用户角色 AC
SAP_GRC_FN_DISPLAY PFCG 显示所有用户角色 PC,RM
SAP_GRAC_DISPLAY_ALL PFCG 显示所有用户角色 AC
SAP_GRAC_SETUP PFCG 定制角色(用于维护 IMG 中的配置) AC
SAP_GRC_SPC_CUSTOMIZING PFCG 定制角色(用于维护 IMG 中的配置) PC
SAP_GRC_RM_CUSTOMIZING PFCG 定制角色(用于维护 IMG 中的配置) RM
SAP_GRAC_RISK_ANALYSIS PFCG 该角色授予运行 SoD 作业的权限 AC,PC,RM

门户组件和 NWBC 中的授权

在 SAP GRC 10.0 解决方案中,工作中心在门户组件的 PCD 角色和 NWBC(**NetWeaver Business Client**)的 PFCG 角色中定义。工作中心在每个基本角色中都是固定的。SAP 提供这些角色;但是,客户可以根据需要修改这些角色。

服务映射中应用程序文件夹和下属应用程序的位置由 SAP NetWeaver Launchpad 应用程序控制。服务映射由用户授权控制,因此如果用户没有查看任何应用程序的授权,它们将隐藏在 NetWeaver Business Client 中。

Work Center

如何在访问管理工作中心中查看角色分配?

请按照以下步骤查看角色分配:

**步骤 1** - 在 NetWeaver Business Client 中转到访问管理工作中心。

Role Assignments

**步骤 2** - 选择 GRC 角色分配下的业务流程,然后转到子流程角色级别。单击下一步以继续分配角色部分。

如何在主数据工作中心中查看角色分配?

**步骤 1** - 转到主数据工作中心 → 组织

Master Data

**步骤 2** - 在下一个窗口中,从列表中选择任何组织,然后单击打开。

**步骤 3** - **注意**,组织旁边的三角形表示存在子组织,组织旁边的点表示它是最低级别。

Sub Organizations

**步骤 4** - 单击子流程选项卡 → 分配子流程。现在选择一个或两个子流程,然后单击下一步。

**步骤 5** - 在不进行任何更改的情况下,单击“选择控制”步骤中的“完成”。

**步骤 6** - 从列表中选择第一个子流程,然后单击打开。您应该看到子流程详细信息。

**步骤 7** - 单击“角色”选项卡。从列表中选择一个角色,然后单击“分配”。

Roles Tab

SAP GRC - 授权

SAP GRC 访问控制使用 UME 角色来控制系统中的用户授权。管理员可以使用表示用户可以用来构建访问权限的 UME 角色最小实体的操作。

一个 UME 角色可以包含来自一个或多个应用程序的操作。您必须在**用户管理引擎 (UME)** 中将 UME 角色分配给用户。

UME 中的授权

当用户无权访问某个选项卡时,当用户尝试访问该选项卡时,该选项卡将不会在用户登录时显示。只有当为该选项卡的 UME 操作分配给该特定用户时,他才能访问该功能。

CC 选项卡的所有可用标准 UME 操作都可以在**管理员用户**的**“已分配操作”**选项卡中找到。

UME Actions

UME 角色

您应该创建一个管理员角色,并将此角色分配给超级用户以执行 SAP 合规性校准器相关的活动。在实施时,可以在 SAP GRC 访问控制下创建各种 CC 角色:

  • CC.ReportingView

    **描述** - 合规性校准器显示和报告

  • CC.RuleMaintenance

    **描述** - 合规性校准器规则维护

  • CC.MitMaintenance

    **描述** - 合规性校准器缓解维护

  • CC.Administration

    **描述** - 合规性校准器管理和基础配置

如何打开用户维护引擎?

使用 UME,您可以在访问控制下执行各种关键活动:

  • 您可以执行用户和角色维护
  • 它可用于用户数据源配置
  • 您可以应用安全设置和密码规则

要打开 UME,您应该使用以下 URL:

http://<主机名>:<端口>/useradmin

Open Ume

SAP GRC - 访问控制启动板

在 SAP GRC 10.0 中,您可以使用访问控制启动板来维护 GRC 访问控制下的关键功能。它是一个单网页,可用于**风险分析和补救 (RAR)**。

在 GRC 访问控制中,您可以使用风险分析和补救 (RAR) 功能来执行安全审计和职责分离 (SoD) 分析。它是一个工具,可用于识别、分析和解决与以下法规遵从性相关的风险和审计问题。在这里,您还可以协同定义以下内容:

  • 企业角色管理 (ERM)
  • 合规用户配置 (CUP)
  • 超级用户权限管理
My Home Tab

在 NWBC 中创建新的启动板

请按照以下步骤在 NWBC 中创建新的启动板:

**步骤 1** - 转到 PFCG 角色,并打开角色 SAP_GRAC_NWBC

Display Roles

**步骤 2** - 右键单击“我的主页”项时,您可以看到调用的应用程序为**grfn_service_map?WDCONFIGURATIONID=GRAC_FPM_AC_LPD_HOME**,配置 ID 为**GRAC_FPM_AC_LPD_HOME**。

Standard Application

**步骤 3** - 选择**应用程序配置**按钮,您将看到应用程序配置屏幕 → 显示按钮。

Display Button

**步骤 4** - 单击“显示”,您将看到此屏幕:

Application Configuration

**步骤 5** - 现在打开**组件配置**按钮。

Component Configuration

**步骤 6** - 在此屏幕中单击**配置 UIBB**按钮。您将被定向到以下屏幕:

Configure Component

**步骤 7** - 您可以选择要映射到的启动板。如果要创建新的启动板,也可以将其映射到新的角色。

Select Launchpad

**步骤 8** - 要创建新的启动板,请定义以下内容:

  • 创建具有所需菜单项的新启动板。

  • 创建应用程序**GRFN_SERVICE_MAP**的新配置,或者您可以复制配置 ID **GRAC_FPM_AC_LPD_HOME** 并进一步对其进行自定义。

  • 在新配置中,选择要关联的启动板。

  • 创建一个新角色,并使用上一步中创建的自定义配置 ID 向其中添加 webdynpro 应用程序**GRFN_SERVICE_MAP**。

Add Web Dynpro

SAP GRC - 与访问控制的集成

在 SAP GRC 10.0 解决方案中,主数据和组织结构在访问控制、流程控制和风险管理之间共享。流程控制还与风险管理流程共享某些功能。

以下是与访问控制共享的关键功能:

  • 访问控制和流程控制在以下领域共享合规性结构:

    • 在流程控制解决方案中,控制措施用作 SAP GRC 10.0 解决方案中访问控制下的缓解控制措施。

    • 访问控制和流程控制共享相同的组织。

    • 在流程控制中,流程用作访问控制中的业务流程。

    • 流程控制和访问控制与访问风险分析集成,以监控职责分离 SoD。

流程控制和风险管理共有的菜单区域为:

  • GRC 角色分配
  • 流程控制规划器
  • 风险管理规划器
  • 集中授权
Menu Area

以下是流程控制和风险管理之间的关键集成点:

  • 可以为风险管理中的流程控制提出新的控制点。

  • 提出新控制措施时,流程控制需要评估来自风险管理的请求。

  • 风险管理使用流程控制的结果来评估新的控制措施。

  • 风险管理还可以使用流程控制中的现有控制措施作为风险管理中的响应。

SAP GRC - 与IAM集成

**内部审计管理**允许您处理来自风险管理和流程控制的信息,以便在审计规划中使用。根据需要,审计建议可以转移到审计管理进行处理,并且审计项目可以用于生成问题以进行报告。IAM 为您提供了一个可以执行完整的审计规划、创建审计项目、定义审计范围以及创建和查看审计报告和审计问题的地方。

**内部审计管理工作中心**为以下活动提供了一个中心位置:

  • 为您的组织定义审计范围
  • 审计风险评级
  • 审计规划,以定义审计合规性的程序
  • 来自审计操作的审计问题
  • 审计报告,以查看可审计实体上存在的风险

SAP GRC - 审计宇宙

审计范围包含可分类为业务单元、业务线或部门的可审计实体。审计实体定义审计规划策略,这些策略可以链接到流程控制和风险管理以查找风险、控制等。

创建可审计实体

现在让我们了解如何创建可审计实体。

**步骤 1** - 转到顶部的** /nwbc**选项以打开工作中心

Option at Top

**步骤 2** - 在 SAP NetWeaver Business Client 中,转到 IAM 工作中心。

Audit Management Tab

**步骤 3** - 导航到内部审计管理 → 审计范围

**步骤 4** - 单击**创建**按钮,然后转到**常规**选项卡。

步骤 5 − 输入可审计实体的以下详细信息 −

  • 名称
  • 描述
  • 类型
  • 状态
  • 备注(添加任何其他信息)

步骤 6 − 转到审计计划选项卡以查看审计建议和带有转移日期的审计计划建议。

步骤 7 − 选择附件和链接选项卡以添加任何类型的文件或链接。

步骤 8 − 输入所需详细信息后,您可以从以下选项中选择 −

  • 选择保存以保存实体。
  • 选择关闭以在不保存的情况下退出。

SAP 流程控制 — 审计风险评级

审计风险评级用于定义组织查找风险评级和建立风险评级等级的标准。每个可审计实体都根据 ARR 中的管理反馈进行评级。您可以使用 ARR 执行以下功能 −

  • 您可以找到可审计实体和风险因素的集合。

  • 定义和评估每个可审计实体中风险因素的风险评分。

  • 根据风险评分,您可以对可审计实体进行评级。

  • 您还可以通过比较不同可审计实体的风险评分,从 ARR 生成审计计划。除此之外,您可以选择高风险评分的可审计实体并生成审计建议和审计计划建议。

创建审计风险评级

现在让我们了解创建审计风险评级的步骤

步骤 1 − 在 SAP NetWeaver Business Client 中,转到 IAM 工作中心。

Audit Management Tab

步骤 2 − 导航到内部审计管理 → 审计风险评级 → 创建

步骤 3 − 在“常规”选项卡中,输入以下详细信息 −

  • 名称
  • 描述
  • 有效期自
  • 有效期至
  • 责任人
  • 状态

步骤 4 − 转到“可审计实体”,然后单击添加按钮以从可审计实体中选择。

步骤 5 − 转到风险因素选项卡,然后选择ARR风险因素。选择添加以添加风险因素→确定。

步骤 6 − 转到风险评分选项卡,选择实体并在风险因素表中输入风险评分。单击计算按钮以查看平均得分。转到风险等级和风险优先级列以输入详细信息。

转到审计计划建议选项卡,以确保您正在创建审计计划建议。选择导出以创建 Excel 电子表格,以便以表格形式查看 ARR 的信息。

选择保存按钮以保存可审计实体的审计风险评级。

流程控制工作中心

工作中心为整个 GRC 功能提供中央访问点。它们经过组织以方便访问应用程序活动,并包含菜单组和指向更多活动的链接。

访问控制、流程控制和风险管理共享以下工作中心 −

  • 我的主页
  • 主数据
  • 规则设置
  • 评估
  • 访问管理
  • 报表和分析

让我们讨论主要的 工作中心。

我的主页

我的主页工作中心由流程控制、风险管理和访问控制共享。它提供了一个中心位置,您可以在其中管理 GRC 应用程序中分配的任务和可访问的对象。“我的主页”包含多个部分。现在让我们了解“工作收件箱”部分 −

工作收件箱

使用“工作收件箱”,您可以查看您必须在 GRC 软件中处理的任务。

Work Items

如果您要处理任务,请单击表中的任务。

它将打开工作流程窗口,您可以在其中处理任务。

主数据

主数据工作中心由流程控制、风险管理和访问控制共享。“流程控制主数据”工作中心包含以下部分 −

  • 组织
  • 法规和政策
  • 目标
  • 活动和流程
  • 风险和应对措施
  • 账户
  • 报表

现在让我们讨论主数据工作中心下的主要工作中心 −

组织 − 维持公司的组织结构,以实现合规性和风险管理以及相关的分配

缓解控制 − 维持控制措施以减轻职责分离、关键操作和关键权限访问违规行为

Mitigating Controls

要创建缓解控制,请单击“创建”按钮。

Create Mitigation Control

您将被定向到一个新窗口,输入缓解控制的详细信息,然后单击“保存”按钮。

Attachments Links

报表和分析

报表和分析工作中心由流程控制、风险管理和访问控制共享。“流程控制报表和分析”工作中心包含 GRC 应用程序中的合规性部分。

在合规性部分,您可以在流程控制下创建以下报表 −

评估状态仪表板

显示整个不同业务实体的企业合规性总体状态的高级视图,并提供分析和细分功能,以便在不同级别和维度上查看数据。

调查结果

显示调查结果。

数据表

提供有关子流程和控制的主数据、评估和补救活动的全面信息。

使用数据表功能的以下角色 −

  • 内部审计员 − 他们可以使用数据表来了解 GRC 下组织中的控制和子流程。

  • 流程所有者 − 在 GRC 应用程序中,流程所有者和控制所有者可以请求数据表以概述其子流程。数据表信息提供子流程的定义、对子流程完成的评估、子流程包含的控制以及对这些控制进行的评估和测试。

  • 控制所有者 − 控制所有者可以使用数据表检查其控制的设计。控制所有者可以评估控制以检查控制及其有效性。

  • 外部审计员 − 数据表可供外部审计员使用;这可用于请求信息以研究控制或子流程。

注意 − 其他工作中心(如访问管理、评估和规则设置)也由流程控制、访问控制和风险管理共享。

流程控制访问管理工作中心具有 GRC 角色分配部分。

SAP GRC - 职责分离风险管理

在每个企业中,都需要执行职责分离 (SoD) 风险管理 - 从风险识别到规则构建验证以及其他各种风险管理活动,以遵循持续合规性。

根据不同的角色,需要在 GRC 系统中执行职责分离。SAP GRC 在 SoD 风险管理下定义了各种角色和职责 −

业务流程所有者

业务流程所有者执行以下任务 −

  • 识别风险并批准要监控的风险
  • 批准涉及用户访问的补救措施
  • 设计控制措施以减轻冲突
  • 沟通访问分配或角色更改
  • 执行主动持续合规性

高级主管

高级主管执行以下任务 −

  • 批准或拒绝业务领域之间的风险
  • 批准所选风险的缓解控制

安全管理员

安全管理员执行以下任务 −

  • 承担 GRC 工具和安全流程的所有权
  • 设计和维护规则以识别风险状况
  • 自定义 GRC 角色以强制执行角色和职责
  • 分析和补救角色级别的 SoD 冲突

审计员

审计员执行以下任务 −

  • 定期进行风险评估
  • 提供审计目的的具体要求
  • 定期测试规则和缓解控制
  • 充当外部审计员之间的联络人

SoD 规则管理员

SoD 规则管理员执行以下任务 −

  • GRC 工具配置和管理
  • 维护对规则的控制以确保完整性
  • 充当基础和 GRC 支持中心之间的联络人

SAP GRC - 风险管理

GRC 中的 SAP 风险管理用于管理风险调整的企业绩效管理,使组织能够优化效率、提高有效性并最大限度地提高跨风险计划的可见性。

以下是风险管理下的关键功能

  • 风险管理强调组织对主要风险、相关阈值和风险缓解的协调一致。

  • 风险分析包括执行定性和定量分析。

  • 风险管理涉及识别组织中的关键风险。

  • 风险管理还包括风险的解决/补救策略。

  • 风险管理执行关键风险和绩效指标在所有业务职能中的协调一致,从而允许更早地识别风险和动态风险缓解。

风险管理还涉及对现有业务流程和战略的主动监控。

风险管理阶段

现在让我们讨论风险管理的各个阶段。以下是风险管理的各个阶段 −

  • 风险识别
  • 规则构建和验证
  • 分析
  • 补救
  • 缓解
  • 持续合规性

风险识别

在风险管理下的风险识别过程中,可以执行以下步骤 −

  • 识别授权风险并批准例外情况
  • 将风险明确分类为高、中或低
  • 识别未来要监控的新风险和条件

规则构建和验证

在规则构建和验证下执行以下任务 −

  • 参考环境的最佳实践规则
  • 验证规则
  • 自定义规则并进行测试
  • 针对测试用户和角色案例进行验证

分析

在分析下执行以下任务 −

  • 运行分析报告
  • 估算清理工作
  • 分析角色和用户
  • 根据分析修改规则
  • 设置警报以区分已执行的风险

从管理方面来看,您可以看到按严重性和时间分组的风险违规的紧凑视图。

步骤 1 − 转到 Virsa 合规性校准器 → 信息告知选项卡

步骤 2 − 对于 SoD 违规,您可以显示饼图和条形图以表示系统环境中当前和过去的违规情况。

这些违规的两种不同视图如下 −

  • 按风险级别划分的违规
  • 按流程划分的违规
Risk Violations

Violations Process

补救

在补救措施下执行以下任务 −

  • 确定消除风险的替代方案
  • 提出分析并选择纠正措施
  • 记录纠正措施的批准
  • 修改或创建角色或用户分配

缓解

在缓解措施下执行以下任务 −

  • 确定减轻风险的替代控制措施
  • 教育管理层了解冲突批准和监控
  • 记录监控缓解控制的流程
  • 实施控制措施

持续合规性

在持续合规性下执行以下任务 −

  • 沟通角色和用户分配的更改
  • 模拟角色和用户的更改
  • 实施警报以监控所选风险并减轻控制测试

风险分类

应根据公司政策对风险进行分类。以下是您可以根据风险优先级和公司政策定义的各种风险分类 −

严重

对包含公司关键资产的风险进行严重分类,这些资产极有可能因欺诈或系统中断而受到损害。

这包括物质损失或金钱损失或系统范围的中断,包括欺诈、任何资产的损失或系统的故障。

这包括多个系统中断,例如覆盖系统中的主数据。

这包括生产力损失或系统故障的风险,这些风险因欺诈或系统中断而受损,损失最小。

SAP GRC - 风险补救

在 SAP GRC 10.0 风险管理中,风险补救阶段确定消除角色中风险的方法。补救阶段的目的是确定消除风险管理下问题的替代方案。

建议采取以下方法来解决角色中的问题:

单个角色

  • 您可以从单个角色开始,这是最简单易行的方法。

  • 您可以检查是否重新引入了任何职责分离 (SoD) 冲突。

组合角色

  • 您可以执行各种分析,以检查用户分配、用户操作的分配或移除。

  • 您可以使用管理视图或风险分析报告进行分析,如前一主题所述。

Risk Violations

Violations Process

在风险补救中,安全管理员应记录计划,业务流程所有者应参与并批准计划。

SAP GRC — 报告类型

您可以根据所需的分析生成不同的风险分析报告:

  • 操作级别 — 您可以使用它在操作级别执行 SoD 分析。

  • 权限级别 — 这可以用于在操作和权限级别执行 SoD 分析。

  • 关键操作 — 这可以用于分析具有关键功能访问权限的用户。

  • 关键权限 — 这可以用于分析具有关键功能访问权限的用户。

  • 关键角色/配置文件 — 这可以用于分析具有关键角色或配置文件访问权限的用户。

SAP GRC - 缓解控制

在 SAP GRC 10.0 中,如果无法从业务流程中分离职责分离 (SoD),您可以使用缓解控制。

示例

在一个组织中,考虑这样一种情况:一个人负责业务流程中的角色,这些角色会导致缺少 SoD 冲突。

缓解控制可能有不同的示例:

  • 发布策略和授权限制
  • 用户日志审查
  • 异常报告审查
  • 详细差异分析
  • 投保以涵盖安全事件的影响

缓解控制类型

SAP GRC 风险管理下有两种类型的缓解控制:

  • 预防性
  • 检测性

预防性缓解控制

预防性缓解控制用于在风险实际发生之前降低其影响。在预防性缓解控制下,您可以执行各种活动:

  • 配置
  • 用户出口
  • 安全
  • 定义工作流
  • 自定义对象

检测性缓解控制

当收到警报并发生风险时,使用检测性缓解控制。在这种情况下,负责启动纠正措施的人员会减轻风险。

在检测性缓解控制下,您可以执行各种活动:

  • 活动报告
  • 计划与实际审查的比较
  • 预算审查
  • 警报

设置缓解控制

请按照以下步骤设置缓解控制:

步骤 1 — 登录到 SAP GRC 访问控制。

Reports and Analytics

Access Risk Analysis Report

步骤 2 — 对用户级别执行风险分析。输入以下详细信息:

  • 报告类型
  • 报告格式

步骤 3 — 单击“执行”。

Risk Analysis User Level

步骤 4 — 您可以像以下屏幕截图一样在不同的报告类型之间切换:

Analysis Results

Result

步骤 5 — 登录到 SAP GRC 访问控制,并安排角色级别的风险分析后台作业。

输入以下详细信息:

  • 报告类型 — 权限级别
  • 报告格式 — 摘要

步骤 6 — 单击后台运行,如下图所示:

Run in Background

步骤 7 — 在下一个窗口中,您可以选择立即启动。然后,单击确定

Background Scheduler

SAP GRC - 超级用户权限

在 SAP GRC 10.0 中,需要在您的组织中实施超级用户权限管理,以消除公司当前应急用户方法所面临的过度授权和风险。

以下是超级用户权限中的关键功能:

  • 您可以允许超级用户在受控且可审计的环境中执行紧急活动。

  • 使用超级用户,您可以报告所有访问更高授权权限的用户活动。

  • 您可以生成审计跟踪,用于记录使用更高访问权限的原因。

  • 此审计跟踪可用于 SOX 合规性。

  • 超级用户可以充当消防员,并具有以下附加功能:

    • 它可用于在紧急情况下执行超出其正常角色或配置文件的任务。

    • 只有某些个人(所有者)可以分配消防员 ID。

    • 它为用户提供了扩展的功能,同时创建了一个审计层来监控和记录使用情况。

超级用户权限管理下的标准角色

您可以使用以下标准角色进行超级用户权限管理:

/VIRSA/Z_VFAT_ADMINISTRATOR

  • 具有配置消防员的功能
  • 将消防员角色所有者和控制器分配给消防员 ID
  • 运行报告

/VIRSA/Z_VFAT_ID_OWNER

  • 将消防员 ID 分配给消防员用户
  • 上传、下载和查看消防员历史日志

VIRSA/Z_VFAT_FIREFIGHTER

  • 访问消防员程序

SAP GRC - 超级用户实施

现在让我们了解如何实施超级用户。

您可以通过以下步骤实施消防员 ID:

步骤 1 — 为每个业务流程区域创建消防员 ID

步骤 2 — 分配必要的角色和配置文件来执行消防任务。

您不应分配配置文件 SAP_ALL

步骤 3 — 使用 T 代码 – SU01

Code

步骤 4 — 单击创建按钮以创建新用户。

New User

步骤 5 — 将如上所述的消防员角色分配给用户 ID:

  • 将消防员角色分配给适用的用户 ID。

  • 将管理员角色 /VIRSA/Z_VFAT_ADMINISTRATOR 分配给超级用户权限管理管理员。

  • 不应为管理员用户分配任何消防员角色。

  • 将标准角色 /VIRSA/ Z_VFAT_FIREFIGHTER 分配给:

    • 消防员 ID — 用于登录的服务用户
    • 消防员用户 — 在紧急情况下充当消防员的标准用户
  • 将 ID 所有者角色 /VIRSA/Z_VFAT_ID_OWNER 分配给:

    • 所有者 — 负责确定谁将被分配到其业务区域的紧急消防员 ID 的责任。

    • 控制器 — 当使用消防员 ID 时会收到通知。

步骤 6 — 转到角色选项卡,并根据需要选择提到的角色。

User Roles Tab

Single Roles

步骤 7 — 为内部切换到消防员 ID 创建 RFC 目标:

  • 名称 — 输入 RFC 连接名称

  • 连接类型 — 3

  • 输入说明

    (不需要用户名、密码或其他登录数据)

  • 在安全表中输入每个消防员 ID 的密码:密码以哈希值存储,管理员保存该值后无法读取。

步骤 8 — 要创建消防员日志,您可以安排后台作业。

将作业命名为/VIRSA/ZVFATBAK,如下图所示:

Job Name

超级用户日志

让我们了解超级用户日志的这些步骤。

步骤 1 — 使用 T 代码 — 事务 — /n/VIRSA/ZVFAT_V01

Superuser Log

步骤 2 — 您现在可以在工具箱区域中找到日志。工具箱区域

步骤 3 — 您可以使用事务代码 — SM37 来查看单个用户的日志。

Log Review

您还可以使用 Web GUI 访问所有消防员信息。转到 SAP GRC 访问控制 → 超级用户权限管理。

因此,可以访问不同 SAP 后端系统上不同消防员安装的数据。并且不再需要登录到每个系统

Log Report

SAP GRC - 增强型风险分析

您可以使用组织规则实施增强的风险分析。在共享服务业务单元中,您可以使用组织规则来实现用户组的风险分析和管理程序。

考虑这样一个案例:用户创建了一个虚构的供应商,并生成了发票以获取经济利益。

您可以创建一个启用公司代码的组织规则来消除这种情况。

应执行以下步骤以防止这种情况:

  • 启用功能中的组织级别字段
  • 创建组织规则
  • 更新组织用户映射表
  • 配置风险分析 Web 服务

启用功能中的组织级别字段

请按照以下步骤在功能中启用组织级别字段:

  • 找出要在共享服务环境中按组织级别隔离的功能。

  • 维护受影响事务的权限。

创建组织规则

请按照以下步骤创建组织规则:

步骤 1 — 为组织字段的每个可能值创建组织规则。

步骤 2 — 转到规则架构 → 组织级别 → 创建

Organization Rules

Create Organization Level

步骤 3 — 输入组织规则 ID 字段。

Organization Rule Id

步骤 4 — 输入相关任务。

步骤 5 — 定义组织级别字段并将其与布尔运算符组合。

步骤 6 — 单击保存按钮以保存组织规则。

使用组织规则的好处

现在让我们了解使用组织规则的好处。

公司可以使用组织规则来实现以下功能:

  • 您可以使用组织规则来实施共享服务。它们借助组织限制来分离职责。

  • 转到风险分析 → 组织级别

  • 对用户执行针对组织规则的分析类型风险分析

  • 您将收到以下输出:

    • 只有当用户在每个冲突功能中都访问相同的特定公司代码时,风险分析才会显示风险。

SAP GRC - 分配缓解控制

在一个组织中,您在不同的组织层次结构级别拥有控制所有者。应根据访问级别管理和减轻风险。

组织中的控制所有者如下:

  • 一个全局级别的控制所有者
  • 不同区域级别的控制所有者
  • 多个本地级别的控制所有者

您必须将缓解控制分配到不同的责任级别。现在,如果在区域和本地级别存在风险违规,则应在最高级别执行风险缓解。

要在组织层次结构中使用缓解控制,假设您已在组织级别执行了风险分析,并且用户违反了所有子组织规则并满足父规则的条件,并且只有父规则显示出来;您可以通过以下方式执行风险缓解:

  • 用户级别的缓解
  • 组织级缓解措施

SAP GRC - 工作流集成

在 SAO GRC 10.0 中,会在以下情况下触发工作流:

  • 创建或更新风险。
  • 创建或更新缓解控制措施。
  • 分配缓解控制措施。
Assign Mitigation Control

激活基于工作流的风险和控制维护

在风险分析和补救中遵循基于工作流的变更管理方法时,您必须执行以下步骤:

  • 转到“配置”选项卡 → 工作流选项
  • 设置以下参数:
  • 将“风险维护”参数设置为“是”
  • 将“缓解控制维护”参数设置为“是”
  • 将“缓解”参数设置为“是”
  • 设置工作流 Web 服务 URL:
http://<server>:<port>/AEWFRequestSubmissionService_5_2/Config1?wsdl&style=document
  • 自定义需要在工作流引擎内执行的工作流。

基于工作流的风险和控制维护

在 SAP GRC 中维护风险或控制措施时,请执行以下步骤:

步骤 1 - 在访问控制中,会触发工作流来执行风险或控制工作流。

步骤 2 - 获取所需的批准后,审批步骤取决于客户需求。

步骤 3 - 获取记录完整审批流程的审计跟踪。

SAP GRC — 全球贸易服务

使用 SAP GRC 全球贸易服务,您可以改善组织的跨境商品供应链。此应用程序允许您自动化贸易流程,帮助您控制成本,降低罚款风险,并管理进出口流程。

使用 GTS,您可以创建一个集中的单一存储库,用于包含所有合规性主数据和内容。

以下是使用全球贸易服务的主要优势:

  • 它有助于降低管理全球贸易合规性的成本和工作量。

  • 它可以简化耗时的手动任务,并有助于提高生产力。

  • 减少贸易合规违规的处罚。

  • 它可以帮助您创建和提升品牌形象,并避免与受制裁或被拒绝的方进行贸易。

  • 为客户满意度铺平道路,并提高服务质量。

  • 它通过执行海关清关来加快进出口流程,并有助于消除不必要的延误。

SAP ERP 和 SAP 全球贸易服务之间的集成

下图显示了 SAP ERP 和 SAP 全球贸易服务之间集成的流程:

Integration

SAP GRC - 安装和配置

安装 SAP GRC 时,需要在 GRC 中执行各种配置和设置。主要活动包括:

  • 在 GRC 中创建连接器

  • 配置 AMF 以使用连接器

  • 创建回调连接器

  • 在 GRC 中创建连接是使用 T-Code — SM59 创建 RFC 连接的标准流程

SAP GRC 位于 SAP 简易访问 → 治理风险合规文件夹下。

步骤 1 - 打开 SAP 简易访问菜单并使用 T-Code — SPRO

SAP Easy Access

步骤 2 - 在 SAP 参考 IMG 下转到治理、风险和合规 → 通用组件设置 → 集成框架 → 创建连接器

Create Connectors

步骤 3 - 创建连接器是创建 SM59 连接的快捷方式。

步骤 4 - 要查看现有连接,请转到“维护连接器和连接类型” -

Maintain Connectors

您可以看到如下所示的连接器类型。这些连接器类型可用于不同目的的配置:

  • 本地系统连接器用于与 SAP BusinessObjects 访问控制应用程序集成,以监控职责分离违规。

  • Web 服务连接器用于外部合作伙伴数据源(见章节)。

  • SAP 系统连接器用于所有其他情况。

步骤 5 - 转到连接类型定义选项卡 -

Connection Type

步骤 6 - 定义先前在 SM59 中定义的哪些连接器可用于监控。转到定义连接器

Define Connectors

步骤 7 - 在屏幕上,您可以看到一个连接器名称 - SMEA5_100。这是一个连接器,显示与 ECC 系统的连接。

Find Connectors

第三列列出了在被监控系统中定义的连接器的名称,该连接器配置为指向此处配置的 GRC 系统。

SMEA5_100 是 GRC 系统中的另一个连接器,它指向要监控的 ERP 系统。SM2 是 ECC 系统上的连接器,它指向 GRC 系统。

步骤 8 - 定义左侧的连接器组屏幕。

Connector Group

步骤 9 - 在此处,您必须确保所有用于自动监控的连接器配置都属于名为“自动监控”的配置组,如上图“定义自动监控连接器组”下所示。

步骤 10 - 转到左侧的将连接器分配给连接器组

Assign Connector Group

步骤 11 - 将连接器分配给上面屏幕截图中提到的 AM 连接器组。

步骤 12 - 如以下屏幕截图所示,转到主菜单中的维护连接设置

Maintain Connection Settings

步骤 13 - 您需要输入所需集成方案,输入 AM,如下面的屏幕截图所示:

Enter Am

步骤 14 - 点击上面的屏幕截图中显示的绿色勾号;您将被定向到包含九个子方案的以下屏幕。

Subscenario

突出显示的框显示九个称为子方案的条目,它们代表过程控制 10 下支持的不同类型的数据源和业务规则。

步骤 15 - 对于要监控的系统,您需要将相应的连接器链接到该子方案。

步骤 16 - 选择要配置的子方案,然后选择左侧的方案连接器链接,如下所示:

Scenario Connector Link

步骤 17 - 您将被定向到以下屏幕:

Connector Link Overview

步骤 18 - 现在,如果要用于该方案的连接器不在该子方案的列表中,

  • 您可以点击顶部的“新建条目”按钮将其添加。
  • 您可以按照这些建议添加子方案:
    • ABAP 应用程序 - ABAP 报表、SAP 查询、可配置程序
    • SAP BW - BW 查询
    • 非 SAP 系统 - 外部合作伙伴
    • 流程集成器 - PI
    • GRC 系统 - SoD 集成
New Entries

SAP GRC - 数据源和业务规则

在 SAP GRC 流程控制中,您可以创建数据源。在此,设计时用户界面位于业务客户端中的“规则设置”选项下。

Rule Setup

转到持续监控部分,您可以在其中找到数据源业务规则选项。

Continuous Monitoring

要创建新的数据源,请点击数据源 → 创建。

Active Queries

在下一个字段中,您可以看到三个不同的选项卡来定义数据源。

  • 常规选项卡
  • 对象字段
  • 链接和附件

在“常规”选项卡中,输入以下详细信息:

  • 数据源名称
  • 有效期开始日期
  • 有效期结束日期
  • 状态
General Tab

转到对象字段选项卡,选择以下字段:

SAP GRC - 创建业务规则

在 SAP GRC 10.0 中,您可以使用业务规则来过滤来自数据源的数据流,并且您可以针对该数据应用用户配置的条件/计算来确定是否存在需要关注的问题。

业务规则类型完全取决于数据源类型。

转到“规则设置”下的“业务规则”。

Business Rule

要创建新的业务规则,需要按照一些数据源类型执行一些步骤。

Basic Information

您需要在每个选项卡中定义详细信息。例如,在常规选项卡中,您需要输入有关业务规则的基本信息。业务规则为您提供过滤缺陷的数据

在“数据分析”选项卡中,您将看到可用字段列表。

Data For Analysis

转到筛选条件以对可用对象传递筛选条件。您可以从不同的运算符中选择。

Filter Criteria

定义所有步骤后,您可以选择保存规则。如果要将规则应用于流程控制,您可以点击应用按钮。

Apply Rule

要将业务规则分配给流程控制,请转到“规则设置”中“持续监控”下的“业务规则分配”。

选择控件并搜索要应用的业务规则。

Control

我们现在已经了解了如何创建数据源和业务规则来对数据源进行过滤,以及如何将业务规则分配给流程控制。

广告