- SAP GRC 教程
- SAP GRC - 主页
- SAP GRC - 概述
- SAP GRC - 导航
- SAP GRC - 访问控制
- 访问管理工作中心
- 访问与授权管理
- SAP GRC - 授权
- 访问控制启动板
- 与访问控制集成
- SAP GRC - 与 IAM 集成
- SAP GRC - 审计领域
- 过程控制工作中心
- SAP GRC - SoD 风险管理
- SAP GRC - 风险管理
- SAP GRC - 风险补救
- SAP GRC - 缓解控制
- SAP GRC - 超级用户权限
- SAP GRC - 实施超级用户
- SAP GRC - 增强的风险分析
- 分配缓解控制措施
- SAP GRC - 工作流程集成
- 安装与配置
- 数据源和业务规则
- SAP GRC - 创建业务规则
- SAP GRC 有用资源
- SAP GRC - 问题与解答
- SAP GRC - 快速指南
- SAP GRC - 有用的资源
- SAP GRC - 讨论
SAP GRC - 快速指南
SAP GRC - 概述
SAP 治理、风险和合规性解决方案使组织能够管理法规和合规性,并消除管理组织关键运营中的任何风险。根据不断变化的市场形势,组织不断发展并迅速变化,外部审计师和监管机构不接受不适当的文件、电子表格。
SAP GRC 帮助组织管理其法规和合规性并执行以下活动 -
将 GRC 活动轻松集成到现有流程中并实现关键 GRC 活动的自动化。
复杂性低,有效管理风险。
改进风险管理活动。
有效管理业务处理和审计管理中的欺诈Behave。
组织表现更好,公司可以保护其价值观。
SAP GRC 解决方案由三个主要部分组成:分析、管理和监控。
SAP GRC 中的模块
现在让我们了解 SAP GRC 中的不同模块 -
SAP GRC 访问控制
为了降低组织中的风险,需要将风险控制作为合规和监管实践的一部分。应明确定义职责,管理角色配置和管理超级用户的访问对于管理组织中的风险至关重要。
SAP GRC 流程控制和欺诈管理
SAP GRC Process Control 软件解决方案用于管理合规性和策略管理。合规管理功能使组织能够管理和监控其内部控制环境。组织可以主动解决任何已发现的问题,并验证和报告相应合规活动的总体状态。
SAP 流程控制支持策略管理的整个生命周期,包括目标群体的策略分发和遵守。这些策略帮助组织降低合规成本并提高管理透明度,并使组织能够在业务环境中制定合规管理流程和策略。
SAP GRC 风险管理
SAP GRC 风险管理允许您管理风险管理活动。您可以提前规划以识别业务风险并实施措施来管理风险,并让您做出更好的决策以提高业务绩效。
风险有多种形式 -
- 操作风险
- 战略风险
- 合规风险
- 财务风险
SAP GRC 审计管理
这用于通过记录工件、组织工作底稿和创建审计报告来改进组织中的审计管理流程。您可以轻松地与其他治理、风险和合规性解决方案集成,并使组织能够使审计管理策略与业务目标保持一致。
SAP GRC 审计管理通过提供以下功能帮助审计员使事情变得简单 -
您可以使用移动功能的拖放功能立即捕获用于审计管理的工件和其他证据。
您可以通过全局监控和跟进轻松创建、跟踪和管理审计问题。
您可以使用搜索功能执行搜索,从而可以从遗留文件和工作文件中获取更多信息。
您可以通过用户友好的界面和协作工具与审核员互动。
将审计管理与 SAP Fraud Management、SAP Risk Management 和 SAP Process Control 轻松集成,使审计流程与业务目标保持一致。
使用自动跟踪工具快速解决问题。
提高员工利用率,并减少内部审计规划、资源管理和调度带来的差旅成本。
与 SAP Business Objects 报告和数据可视化工具轻松集成,使用 Lumira 和其他 BI 报告可视化审计报告。
使用预先建立的模板来标准化审计工件和报告流程。
SAP GRC 欺诈管理
SAP GRC 欺诈管理工具可帮助组织在早期阶段检测和预防欺诈,从而最大限度地减少业务损失。可以对大量数据进行实时扫描,更加准确,并且可以轻松识别欺诈活动。
SAP 欺诈管理软件可以帮助组织具有以下功能 -
轻松调查和记录欺诈案件。
提高系统警报和响应能力,防止欺诈活动今后更加频繁地发生。
轻松扫描大量交易和业务数据。
SAP GRC 全球贸易服务
SAP GRC GTS 软件可帮助组织在国际贸易管理范围内增强跨境供应。它有助于减少国际贸易监管当局的风险处罚。
它提供集中式全球贸易管理流程,并为所有合规主数据和内容提供单一存储库,无论组织规模如何。
SAP GRC 能力模型
SAP BusinessObjects GRC 解决方案由三个主要功能组成:分析、管理和监控。
在下图中,您可以看到 SAP GRC 能力模型,涵盖了 SAP GRC 软件的所有关键功能。使用 GRC,组织可以检查所有潜在风险和合规性结果,并可以采取正确的决策来减轻风险。
SAP GRC - 导航
在旧版本的 SAP GRC 中,要使用访问控制、流程控制和风险管理,每个组件都有单独的导航。这意味着用户要执行跨组件职责,必须分别登录每个模块并多次登录。这导致管理多个窗口的过程很困难,并且要搜索的文档也很困难。
SAP GRC 10.0 根据授权为单个用户提供访问控制、流程控制和风险管理组件的直接导航,并消除了多个窗口的管理。
步骤 1 - 要执行自定义活动并维护 GRC 解决方案的配置设置,请转到 T 代码 - SPRO → SAP 参考 IMG
步骤 2 - 展开治理、风险和合规节点 -
步骤 3 - 登录 NetWeaver Business Client -
在 SAP Easy access 中运行 NWBC 的事务。
它将打开 NetWeaver Business Client 屏幕,您将收到以下 url - http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/
SAP GRC 工作中心
您可以使用工作中心为 GRC 10.0 提供中央访问点。它们可以根据客户已获得运营许可的内容进行组织。
步骤 1 - 要访问工作中心,请如上所述打开 NetWeaver Business Client。转到顶部的/nwbc选项以打开工作中心。
步骤 2 - 单击后,您将被定向到 SAP NetWeaver Business 客户端的主屏幕。
根据您已许可的产品,会显示 GRC 解决方案的不同组件 -访问控制、流程控制或风险管理。
SAP GRC - 访问控制
SAP GRC 访问控制可帮助组织自动检测、管理和防止访问风险违规,并减少对公司数据和信息的未经授权的访问。用户可以使用自动自助服务来访问请求提交、工作流驱动的访问请求和访问批准。可以使用 SAP GRC Access Control 自动审查用户访问、角色授权和风险违规。
SAP GRC Access Control 通过允许企业管理访问风险来应对关键挑战。它通过定义责任分离和关键访问并最大限度地减少访问风险管理的时间和成本,帮助组织防止未经授权的访问。
主要特征
以下是 SAP GRC 访问控制的主要功能 -
根据法律要求和不同的审计标准(如 SOX、BSI 和 ISO 标准)执行审计和合规性。
自动检测组织中 SAP 和非 SAP 系统的访问风险违规情况。
如前所述,它使用户能够进行自助访问提交、工作流驱动的访问请求和请求批准。
自动审查小型和大型组织中的用户访问、角色授权、风险违规和控制分配。
有效管理超级用户访问,避免 SAP 和非 SAP 系统中的数据和应用程序的风险违规和未经授权的访问。
如何探索访问控制设置工作中心?
在 SAP Easy access 中运行 NWBC 的事务。
它将打开 NetWeaver Business Client 屏幕,您将收到以下 url - http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/
步骤 1 - 要访问工作中心,请如上所述打开 NetWeaver Business Client。转到顶部的/nwbc选项以打开工作中心。
步骤 2 - 单击后,您将被定向到 SAP NetWeaver Business 客户端的主屏幕。
步骤 3 - 转到设置工作中心并探索工作集。单击每个链接下方的一些链接并浏览各个屏幕。
步骤 4 - 设置工作中心在访问控制中可用,并提供以下部分的链接 -
- 访问规则维护
- 例外访问规则
- 关键访问规则
- 生成的规则
- 组织机构
- 缓解控制措施
- 超级用户分配
- 超级用户维护
- 访问权限所有者
步骤 5 - 您可以通过以下方式使用上面列出的功能 -
使用访问规则维护部分,您可以管理访问规则集、功能以及用于识别访问违规的访问风险。
使用例外访问规则,您可以管理补充访问规则的规则。
使用关键访问规则部分,您可以定义其他规则来识别对关键角色和配置文件的访问。
使用生成的规则部分,您可以查找并查看生成的访问规则。
在组织下,您可以通过相关任务维护公司的合规性和风险管理组织结构。
“缓解控制”部分允许您管理控制以缓解职责分离、关键操作和关键权限访问违规。
超级用户分配是您将所有者分配给消防员 ID 并将消防员 ID 分配给用户的地方。
超级用户维护是您维护消防员、控制器和原因代码分配的地方。
在访问所有者下,您可以管理访问管理功能的所有者权限。
SAP GRC - 访问管理工作中心
根据 GRC 软件许可证,您可以导航访问管理工作中心。它有多个部分来管理访问控制活动。
当您单击访问管理工作中心时,您可以看到以下部分 -
- GRC 角色分配
- 接入风险分析
- 缓解访问
- 访问请求管理
- 角色管理
- 角色挖掘
- 角色质量维护
- 超级用户分配
- 超级用户维护
- 创建访问请求
- 合规认证审查
- 警报
- 调度
上述部分通过以下方式帮助您 -
当您进入访问风险分析部分时,您可以跨用户、角色、HR 对象和组织级别评估系统的访问风险。访问风险是两个或多个操作或权限,当这些操作或权限可供单个用户或单个角色、配置文件、组织级别或 HR 对象使用时,可能会产生错误或不规则Behave。
使用缓解访问部分,您可以识别访问风险,评估这些风险的级别,并向用户、角色和配置文件分配缓解控制,以缓解访问规则违规。
在访问请求管理部分,您可以管理访问分配、帐户和审核流程。
使用角色管理,您可以在单个统一存储库中管理来自多个系统的角色。
在角色挖掘组功能中,您可以定位感兴趣的角色,对其进行分析并采取行动。
使用角色批量维护,您可以导入和更改多个角色的权限和属性。
在超级用户分配部分,您可以将消防员 ID 分配给所有者,并将消防员和管理员分配给消防员 ID。
在超级用户维护部分,您可以执行诸如研究和维护消防员和控制器以及按系统分配原因代码等活动。
使用访问请求创建,您可以创建访问分配和帐户。
合规认证审核支持对用户访问、风险违规和角色分配的审核。
使用警报,您可以由应用程序生成用于执行关键或冲突操作的警报。
使用规则设置工作中心的计划部分,您可以维护持续控制监控和自动化测试的计划,并跟踪相关作业进度。
访问和授权管理
在 SAP GRC 解决方案中,您可以管理授权对象以限制用户可以访问的项目和数据。授权控制用户可以访问 SAP 系统中的工作中心和报告的内容。
要访问 GRC 解决方案,您应该具有以下访问权限 -
- 门户授权
- 适用的 PFCG 角色
- PFCG 的访问控制、流程控制和风险管理角色
根据 GRC 组件,需要下面列出的授权类型 - AC、PC 和 RM。
| 角色名称 | 典型值 | 描述 | 成分 |
|---|---|---|---|
| SAP_GRC_FN_BASE | PFCG | 基本作用 | 电脑、RM |
| SAP_GRAC_BASE | PFCG | 基本角色(包括SAP_GRC_FN_BASE) | 交流电 |
| SAP_GRC_NWBC | PFCG | 在 NWBC 中运行 GRC 10.0 的角色 | 交流、电脑、RM |
| SAP_GRAC_NWBC | PFCG | 为 AC 运行简化的 NWBC 工作中心 | 交流电 |
| GRC_套件 | 门户网站 | 在门户中运行GRC 10.0的门户角色 | 交流、电脑、RM |
| SAP_GRC_FN_BUSINESS_USER | PFCG | 普通用户角色 | 交流*、PC、RM |
| SAP_GRC_FN_ALL | PFCG | 高级用户角色;绕过PC和RM的实体级授权 | 电脑、RM |
| SAP_GRAC_ALL | PFCG | 高级用户角色 | 交流电 |
| SAP_GRC_FN_DISPLAY | PFCG | 显示所有用户角色 | 电脑、RM |
| SAP_GRAC_DISPLAY_ALL | PFCG | 显示所有用户角色 | 交流电 |
| SAP_GRAC_SETUP | PFCG | 自定义角色(用于维护IMG中的配置) | 交流电 |
| SAP_GRC_SPC_CUSTOMIZING | PFCG | 自定义角色(用于维护IMG中的配置) | 个人电脑 |
| SAP_GRC_RM_CUSTOMIZING | PFCG | 自定义角色(用于维护IMG中的配置) | R M |
| SAP_GRAC_RISK_ANALYSIS | PFCG | 该角色授予运行 SoD 作业的权限 | 交流、电脑、RM |
Portal 组件和 NWBC 中的授权
在 SAP GRC 10.0 解决方案中,工作中心在 Portal 组件的 PCD 角色中和 NWBC(NetWeaver Business Client)的 PFCG 角色中定义。工作中心固定在每个基本角色中。然而,SAP 提供了这些角色;客户可以根据要求修改这些角色。
服务地图内应用程序文件夹和从属应用程序的位置由 SAP NetWeaver Launchpad 应用程序控制。服务地图由用户授权控制,因此如果用户无权查看任何应用程序,它们将隐藏在 NetWeaver Business 客户端中。
如何在访问管理工作中心查看角色分配?
请按照以下步骤查看角色分配 -
步骤 1 - 转到 NetWeaver Business Client 中的访问管理工作中心。
步骤 2 - 在 GRC 角色分配下选择业务流程,然后转到子流程角色级别。单击下一步继续分配角色部分。
如何在主数据工作中心查看角色分配?
步骤 1 - 转到主数据工作中心 → 组织
步骤 2 - 在下一个窗口中,从列表中选择任何组织,然后单击“打开”。
步骤 3 -请注意,组织旁边的三角形表示有子组织,组织旁边的点表示它是最低级别。
步骤 4 - 单击子流程选项卡 → 分配子流程。现在选择一个或两个子流程,然后单击“下一步”。
步骤 5 - 不进行任何更改,单击“选择控件”步骤上的“完成”。
步骤 6 - 从列表中选择第一个子流程,然后单击“打开”。您应该看到子流程的详细信息。
步骤 7 - 单击“角色”选项卡。从列表中选择一个角色,然后单击分配。
SAP GRC - 授权
SAP GRC Access Control 使用 UME 角色来控制系统中的用户授权。管理员可以使用代表 UME 角色的最小实体的操作,用户可以使用该实体来构建访问权限。
一个 UME 角色可以包含来自一个或多个应用程序的操作。您必须在用户管理引擎 (UME)中将 UME 角色分配给用户。
UME中的授权
当用户无权访问某个选项卡时,当用户尝试访问该选项卡时,该选项卡将不会在用户登录时显示。当选项卡的 UME 操作分配给该特定用户时,只有这样他才能访问该功能。
CC 选项卡的所有可用标准 UME 操作都可以在管理员用户的“分配的操作”选项卡中找到。
UME角色
您应该创建一个管理员角色,并且应将该角色分配给超级用户以执行 SAP 合规性校准器相关活动。在实施时,可以在 SAP GRC 访问控制下创建各种 CC 角色 -
- CC.ReportingView
描述- 合规性校准器显示和报告
- CC.规则维护
描述- 合规性校准器规则维护
- CC.Mit维护
描述- 合规性校准器缓解维护
- CC.行政
描述- 合规性校准器管理和基础配置
如何开启用户维护引擎?
使用 UME,您可以在访问控制下执行各种关键活动 -
- 您可以执行用户和角色维护
- 可用于用户数据源配置
- 您可以应用安全设置和密码规则
要打开 UME,您应该使用以下 URL -
http://<主机名>:<端口>/useradmin
SAP GRC - 访问控制启动板
在 SAP GRC 10.0 中,您可以使用访问控制启动板来维护 GRC 访问控制下的关键功能。它是一个可用于风险分析和修复 (RAR)的网页。
在 GRC 访问控制中,您可以使用风险分析和修复 (RAR) 功能来执行安全审核和职责分离 (SoD) 分析。它是一种工具,可用于识别、分析和解决与以下法规遵从性相关的风险和审计问题。在这里,您还可以协作定义以下内容 -
- 企业角色管理 (ERM)
- 合规用户配置 (CUP)
- 超级用户权限管理
在 NWBC 创建新的 Launchpad
按照以下步骤在 NWBC 中创建一个新的 Launchpad -
步骤 1 - 转到 PFCG 角色,然后打开角色 SAP_GRAC_NWBC
步骤 2 - 当您右键单击“我的主页”项时,您可以看到被调用的应用程序是grfn_service_map?WDCONFIGURATIONID=GRAC_FPM_AC_LPD_HOME,配置 ID 是GRAC_FPM_AC_LPD_HOME。
步骤 3 - 选择应用程序配置按钮,您可以看到应用程序配置屏幕 → 显示按钮。
步骤 4 - 当您单击“显示”时,您可以看到此屏幕 -
步骤 5 - 现在打开组件配置按钮。
步骤 6 - 单击此屏幕中的配置 UIBB按钮。您将被引导至以下屏幕 -
步骤 7 - 您可以选择要映射到的启动板。如果您想创建新的 Launchpad,还可以将其映射到新角色。
步骤 8 - 要创建新的 Launchpad,请定义以下内容 -
使用您想要的菜单项创建一个新的启动板。
创建应用程序GRFN_SERVICE_MAP的新配置,或者您可以复制配置 ID GRAC_FPM_AC_LPD_HOME并进一步自定义它。
在新配置中,选择要关联的启动板。
创建一个新角色,并使用上一步中创建的自定义配置 ID将 webdynpro 应用程序GRFN_SERVICE_MAP添加到其中。
SAP GRC - 与访问控制集成
在 SAP GRC 10.0 解决方案中,主数据和组织结构在访问控制、流程控制和风险管理之间共享。流程控制还与风险管理流程共享某些功能。
以下是与访问控制共享的主要功能 -
访问控制和过程控制在以下领域共享合规结构 -
在流程控制解决方案中,控件用作 SAP GRC 10.0 解决方案下访问控制中的缓解控制。
访问控制和过程控制共享同一组织。
在流程控制中,流程被用作访问控制中的业务流程。
流程控制和访问控制与访问风险分析相集成,以监控职责分离 SoD。
过程控制和风险管理共同的菜单区域是 -
- GRC 角色分配
- 过程控制计划员
- 风险管理策划师
- 中央代表团
以下是过程控制和风险管理之间的关键集成点 -
新的控制点可用于风险管理中的过程控制。
当提出新的控制措施时,过程控制需要评估风险管理的请求。
风险管理使用过程控制的结果来评估新的控制措施。
风险管理还可以使用过程控制中的现有控制作为风险管理中的响应。
SAP GRC - 与 IAM 集成
内部审计管理允许您处理来自风险管理和流程控制的信息以用于审计计划。审计建议可以在需要时转移到审计管理层进行处理,审计项目可以用于生成问题进行报告。IAM 为您提供了一个可以执行完整审计计划、创建审计项目、定义审计范围以及创建和查看审计报告和审计问题的地方。
内部审计管理工作中心为以下活动提供了中心位置 -
- 为您的组织定义审计范围
- 审计风险评级
- 审计计划定义审计合规程序
- 审计行动中的审计问题
- 审计报告以了解可审计实体存在哪些风险
SAP GRC - 审计领域
Audit Universe 包含可分为业务单位、业务线或部门的审计实体。审计实体定义审计计划策略,这些策略可以链接到流程控制和风险管理以发现风险、控制等。
创建可审计实体
现在让我们了解如何创建可审计的实体。
步骤 1 - 转到顶部的/nwbc选项以打开工作中心
步骤 2 - 在 SAP NetWeaver Business Client 中,转到 IAM 工作中心。
步骤 3 - 导航至内部审计管理 → 审计领域
步骤 4 - 单击“创建”按钮并转到“常规”选项卡。
步骤 5 - 输入可审计实体的以下详细信息 -
- 姓名
- 描述
- 类型
- 地位
- 添加任何附加信息的注释
步骤 6 - 转到审核计划选项卡以查看审核建议和带有转移日期的审核计划建议。
步骤 7 - 选择附件和链接选项卡以添加任何类型的文件或链接。
步骤 8 - 当您输入所需的详细信息时,您可以从以下选项中进行选择 -
- 选择保存以保存实体。
- 选择关闭退出而不保存。
SAP 流程控制 — 审计风险评级
审计风险评级用于定义组织查找风险评级并建立风险评级排名的标准。每个可审计实体均根据 ARR 中的管理反馈进行评级。您可以使用 ARR 执行以下功能 -
您可以找到一组可审计实体和风险因素。
定义并评估每个可审计实体中风险因素的风险评分。
根据风险评分,您可以对可审计实体进行评级。
您还可以通过比较不同可审计实体的风险评分,从 ARR 生成审计计划。除此之外,您还可以选择高风险评分的可审计实体并生成审计建议和审计计划建议。
创建审计风险评级
现在让我们了解创建审计风险评级的步骤
步骤 1 - 在 SAP NetWeaver Business Client 中,转到 IAM 工作中心。
步骤 2 - 导航至内部审计管理 → 审计风险评级 → 创建
步骤 3 - 在“常规”选项卡中,输入以下详细信息 -
- 姓名
- 描述
- 有效期自
- 有效
- 负责人
- 地位
步骤 4 - 转到可审核实体并单击添加按钮以从可审核实体中进行选择。
步骤 5 - 转到风险因素选项卡,然后选择ARR风险因素。选择“添加”以添加风险因素→“确定”。
步骤 6 - 转到风险评分选项卡,选择实体并在风险因素表上输入风险评分。单击计算按钮查看平均分数。进入风险级别和风险优先级列输入详细信息。
转至审核计划提案选项卡,以确保您正在创建审核计划提案。选择导出以创建 Excel 电子表格,以表格形式查看 ARR 的信息。
选择保存按钮保存可审计实体的审计风险评级。
过程控制工作中心
工作中心为整个 GRC 功能提供中央访问点。它们的组织方式旨在提供对应用程序活动的轻松访问,并包含菜单组和指向其他活动的链接。
以下工作中心由访问控制、流程控制和风险管理共享 -
- 我的家
- 主要的数据
- 规则设置
- 评估
- 访问管理
- 报告和分析
让我们讨论一下主要的工作中心。
我的家
我的家庭工作中心由流程控制、风险管理和访问控制共享。这提供了一个集中位置,您可以在其中管理 GRC 应用程序中分配的任务和可访问的对象。我的家有多个部分。现在让我们了解工作收件箱部分 -
工作收件箱
使用工作收件箱,您可以查看必须在 GRC 软件中处理的任务。
如果您想处理任务,请单击表中的任务。
它将打开工作流程窗口,您可以在其中处理任务。
主要的数据
主数据工作中心由流程控制、风险管理和访问控制共享。过程控制主数据工作中心包含以下部分 -
- 组织机构
- 法规政策
- 目标
- 活动与流程
- 风险与应对
- 账户
- 报告
现在让我们讨论主数据工作中心下的主要工作中心 -
组织- 维护公司的合规和风险管理组织结构以及相关任务
缓解控制- 维持控制以缓解职责分离、关键操作和关键权限访问违规
要创建缓解控制,请单击“创建”按钮。
您将进入一个新窗口,输入缓解控制的详细信息,然后单击“保存”按钮。
报告和分析
报告和分析工作中心由流程控制、风险管理和访问控制共享。过程控制报告和分析工作中心由 GRC 应用程序中的合规性部分组成。
在合规性部分,您可以在流程控制下创建以下报告 -
评估状态仪表板
显示不同业务实体的企业合规总体状况的高级视图,并提供分析和钻取功能以查看不同级别和维度的数据。
调查结果
显示调查结果。
数据表
提供有关子流程和控制的主数据、评估和补救活动的全面信息。
使用数据表功能的以下角色 -
内部审计师- 他们可以使用数据表来了解 GRC 下组织中的控制和子流程。
流程所有者- 在 GRC 应用程序中,流程所有者和控制所有者可以请求数据表以获取其子流程的概述。数据表信息提供子流程的定义、子流程完成的评估、子流程包含的控制以及对这些控制进行的评估和测试。
控件所有者- 控件所有者可以使用数据表来检查其控件的设计。控制所有者可以评估控制以检查控制及其有效性。
外部审计员- 数据表可供外部审计员使用;这可用于请求信息以研究控制或子流程。
注- 其他工作中心(如访问管理、评估和规则设置)也由流程控制、访问控制和风险管理共享。
流程控制访问管理工作中心具有 GRC 角色分配部分。
SAP GRC - SoD 风险管理
每个企业都需要执行职责分离 (SoD) 风险管理 - 从风险识别到规则构建验证以及各种其他风险管理活动,以遵循持续合规性。
根据不同的角色,GRC系统中需要进行职责分离。SAP GRC 定义了 SoD 风险管理下的各种角色和职责 -
业务流程所有者
业务流程所有者执行以下任务 -
- 识别风险并批准风险进行监控
- 批准涉及用户访问的补救措施
- 设计控制措施以减少冲突
- 传达访问权限分配或角色变更
- 执行主动持续合规
高级官员
高级官员执行以下任务 -
- 批准或拒绝业务领域之间的风险
- 批准针对选定风险的缓解控制措施
安全管理员
安全管理员执行以下任务 -
- 承担 GRC 工具和安全流程的所有权
- 设计和维护规则以识别风险状况
- 自定义 GRC 角色以强制执行角色和职责
- 分析并修复角色级别的 SoD 冲突
审核员
审核员执行以下任务 -
- 定期进行风险评估
- 提供审计目的的具体要求
- 定期测试规则和缓解控制
- 充当外部审计师之间的联络人
SOD 规则守护者
SoD 规则守护者执行以下任务 -
- GRC 工具配置和管理
- 保持对规则的控制以确保完整性
- 充当基础和 GRC 支持中心之间的联络人
SAP GRC - 风险管理
GRC 中的 SAP 风险管理用于管理企业绩效的风险调整管理,使组织能够优化效率、提高有效性并最大限度地提高风险计划的可见性。
以下是风险管理下的主要职能-
风险管理强调组织对最高风险、相关阈值和风险缓解的协调。
风险分析包括进行定性和定量分析。
风险管理涉及识别组织中的关键风险。
风险管理还包括风险的解决/补救策略。
风险管理对所有业务职能中的关键风险和绩效指标进行协调,从而实现早期风险识别和动态风险缓解。
风险管理还涉及对现有业务流程和策略的主动监控。
风险管理的阶段
现在让我们讨论风险管理的各个阶段。以下是风险管理的各个阶段 -
- 风险识别
- 规则构建和验证
- 分析
- 补救措施
- 减轻
- 持续合规
风险识别
在风险管理下的风险识别过程中,可以执行以下步骤 -
- 识别授权风险并批准例外情况
- 明确风险并将其分类为高、中或低
- 确定未来监测的新风险和条件
规则构建和验证
在规则构建和验证下执行以下任务 -
- 参考环境最佳实践规则
- 验证规则
- 自定义规则并测试
- 根据测试用户和角色案例进行验证
分析
在分析下执行以下任务 -
- 运行分析报告
- 估计清理工作
- 分析角色和用户
- 根据分析修改规则
- 设置警报以区分已执行的风险
从管理方面,您可以看到按严重程度和时间分组的风险违规的紧凑视图。
步骤 1 - 转到 Virsa Compliance Calibrator → Informer 选项卡
步骤 2 - 对于 SoD 违规,您可以显示饼图和条形图来表示系统环境中当前和过去的违规。
以下是对这些违规Behave的两种不同看法 -
- 按风险级别划分的违规Behave
- 流程违规
补救措施
在补救措施下执行以下任务 -
- 确定消除风险的替代方案
- 提出分析并选择纠正措施
- 纠正措施的文件批准
- 修改或创建角色或用户分配
减轻
在缓解措施下执行以下任务 -
- 确定替代控制措施以降低风险
- 对管理层进行有关冲突批准和监控的教育
- 记录监控缓解控制的流程
- 实施控制
持续合规
在持续合规下执行以下任务 -
- 传达角色和用户分配的变化
- 模拟角色和用户的更改
- 实施警报以监控选定的风险并减轻控制测试
风险分类
应根据公司政策对风险进行分类。以下是您可以根据风险优先级和公司政策定义的各种风险分类 -
批判的
关键分类是针对包含公司关键资产的风险进行的,这些资产很可能因欺诈或系统中断而受到损害。
高的
这包括物理或金钱损失或系统范围的破坏,包括欺诈、任何资产损失或系统故障。
中等的
这包括多个系统中断,例如覆盖系统中的主数据。
低的
这包括因欺诈或系统中断而造成的生产力损失或系统故障以及损失最小的风险。
SAP GRC - 风险补救
在SAP GRC 10.0风险管理中,风险补救阶段决定了消除角色风险的方法。补救阶段的目的是确定消除风险管理下问题的替代方案。
建议使用以下方法来解决角色中的问题 -
单一角色
您可以从单一角色开始,因为这是简单且最简单的开始方式。
您可以检查是否重新引入任何违反职责分离 SoD 的Behave。
复合角色
您可以执行各种分析来检查用户分配或删除用户操作的用户分配情况。
您可以使用管理视图或风险分析报告进行分析,如上一主题中所述。
在风险补救中,安全管理员应记录该计划,业务流程负责人应参与并批准该计划。
SAP GRC — 报告类型
您可以根据所需的分析生成不同的风险分析报告 -
操作级别- 您可以使用它在操作级别执行 SoD 分析。
权限级别- 这可用于在操作和权限级别执行 SoD 分析。
关键操作- 这可用于分析有权访问关键功能之一的用户。
关键权限- 这可用于分析有权访问一项关键功能的用户。
关键角色/配置文件- 这可用于分析有权访问关键角色或配置文件的用户。
SAP GRC - 缓解控制
在 SAP GRC 10.0 中,当无法将职责分离 SoD 与业务流程分开时,您可以使用缓解控制。
例子
在组织中,考虑一个场景,其中一个人负责业务流程中导致丢失的 SoD 冲突的角色。
有不同的例子可以用于缓解控制 -
- 发布策略和授权限制
- 审查用户日志
- 异常报告审查
- 详细的方差分析
- 建立保险以弥补安全事件的影响
缓解控制类型
SAP GRC 风险管理下有两种类型的缓解控制 -
- 预防性
- 侦探
预防性缓解控制措施
预防性缓解控制用于在风险实际发生之前减少风险的影响。您可以在预防性缓解控制下执行各种活动 -
- 配置
- 用户退出
- 安全
- 定义工作流程
- 自定义对象
侦探缓解控制
当收到警报并发生风险时,使用检测缓解控制。在这种情况下,负责启动纠正措施的人可以减轻风险。
您可以在侦探缓解控制下执行各种活动 -
- 活动报告
- 计划与实际审查的比较
- 预算审查
- 警报
设置迁移控制
请按照以下步骤设置迁移控制 -
步骤 1 - 登录 SAP GRC 访问控制。
步骤 2 - 在用户级别执行风险分析。输入以下详细信息 -
- 报告类型
- 报告格式
步骤 3 - 单击执行
步骤 4 - 您可以在不同的报告类型之间切换,如下面的屏幕截图所示 -
步骤 5 - 登录 SAP GRC Access Control 并在角色级别安排风险分析后台作业。
输入以下详细信息 -
- 报告类型 - 权限级别
- 报告格式 - 摘要
步骤 6 - 单击“后台运行”,如下面的屏幕截图所示 -
步骤 7 - 在下一个窗口中,您可以选择立即开始。然后,单击“确定”。
SAP GRC - 超级用户权限
在 SAP GRC 10.0 中,您的组织需要实施超级用户权限管理,以消除您的公司在当前紧急用户方法中遇到的过多授权和风险。
以下是超级用户权限的主要功能 -
您可以允许超级用户在受控且可审核的环境中执行紧急活动
使用超级用户,您可以报告所有访问更高授权权限的用户活动。
您可以生成审核跟踪,用于记录使用更高访问权限的原因。
此审计跟踪可用于 SOX 合规性。
超级用户可以充当消防员并具有以下附加功能 -
它可用于在紧急情况下执行正常角色或个人资料之外的任务。
只有某些个人(所有者)可以分配消防员 ID。
它为用户提供扩展功能,同时创建审计层来监视和记录使用情况。
超级用户权限管理下的标准角色
您可以使用以下标准角色进行超级用户权限管理 -
/VIRSA/Z_VFAT_ADMINISTRATOR
- 这有能力配置消防员
- 将消防员角色所有者和控制者分配给消防员 ID
- 运行报告
/VIRSA/Z_VFAT_ID_OWNER
- 为消防员用户分配消防员 ID
- 上传、下载和查看消防员历史日志
VIRSA/Z_VFAT_FIREFIGHTER
- 访问消防员计划
SAP GRC - 实施超级用户
现在让我们了解如何实现超级用户。
您可以通过执行以下步骤来实现消防员 ID:
步骤 1 - 为每个业务流程区域创建消防员 ID
步骤 2 - 分配必要的角色和配置文件来执行消防任务。
您不应分配配置文件 SAP_ALL
步骤 3 - 使用 T 代码 - SU01
步骤 4 - 单击“创建”按钮创建新用户。
步骤 5 - 将上述消防员角色分配给用户 ID -
将消防员角色分配给适用的用户 ID。
将管理员角色 /VIRSA/Z_VFAT_ADMINISTRATOR 分配给超级用户权限管理管理员。
管理员用户不应被分配任何消防任务
将标准角色 /VIRSA/ Z_VFAT_FIREFIGHTER 分配给 -
- 消防员 ID - 用于登录的服务用户
- 消防员用户- 标准用户在情况下充当消防员
将 ID 所有者角色 /VIRSA/Z_VFAT_ID_OWNER 分配给 -
所有者 - 负责确定谁将被分配给
控制器 - 当消防员 ID 负责其所使用的业务区域的紧急消防员 ID 时,收到通知。
步骤 6 - 转到角色选项卡并根据要求选择提到的角色。
步骤 7 - 为内部交换机创建 RFC 目标到消防员 ID -
名称 - 输入 RFC 连接名称
连接类型 - 3
输入描述
(不需要用户名、密码或其他登录数据)
在安全表中输入每个消防员 ID 的密码:密码存储为哈希值,并且在管理员保存该值后将无法读取。
步骤 8 - 要创建消防员日志,您可以安排后台作业。
将作业命名为/VIRSA/ZVFATBAK,如以下屏幕截图所示 -
超级用户日志
让我们了解超级用户日志的这些步骤。
步骤 1 - 使用 T 代码 - 交易 - /n/VIRSA/ZVFAT_V01
步骤 2 - 您现在可以在工具箱区域中找到日志。
步骤 3 - 您可以使用事务代码 — SM37查看单个用户的日志。
您还可以使用 Web GUI 访问所有消防员信息。转到 SAP GRC 访问控制 → 超级用户权限管理。
因此可以访问不同 SAP 后端系统上不同消防员安装的数据。并且不再需要登录每个系统。
SAP GRC - 增强的风险分析
您可以使用组织规则实施增强的风险分析。在共享服务业务单元中,您可以使用组织规则来实现对用户组进行风险分析和管理的流程。
考虑这样一种情况:用户创建了一个虚构的供应商并生成了发票以获得经济利益。
您可以创建启用公司代码的组织规则来消除这种情况。
应执行以下步骤来防止这种情况 -
- 启用职能中的组织级别字段
- 创建组织规则
- 更新组织用户映射表
- 配置风险分析 Web 服务
启用职能中的组织级别字段
按照以下步骤启用功能中的组织级字段 -
找出共享服务环境中按组织级别划分的功能。
维护受影响交易的权限。
创建组织规则
按照以下步骤创建组织规则 -
步骤 1 - 为组织字段的每个可能值创建组织规则。
步骤 2 - 转到规则架构师 → 组织级别 → 创建
步骤 3 - 输入组织规则 ID 字段。
步骤 4 - 输入相关任务。
步骤 5 - 定义组织级别字段并将其与布尔运算符组合。
步骤 6 - 单击“保存”按钮保存组织规则。
使用组织规则的好处
现在让我们了解使用组织规则的好处。
您可以使用公司的组织规则来实现以下功能 -
您可以使用组织规则来实现共享服务。他们借助组织限制来分离职责。
转到风险分析→组织级别
针对用户执行分析类型组织规则的风险分析
您将收到以下输出 -
仅当用户有权访问每个冲突功能中的相同特定公司代码时,风险分析才会显示风险。
SAP GRC - 分配缓解控制
在组织中,您在不同的组织层次结构级别上拥有控制所有者。应根据访问级别来管理和减轻风险。
以下是组织中的控制所有者 -
- 全球级别的一个控制所有者
- 区域级别的不同控制所有者
- 本地级别的多个控制所有者
您必须将缓解控制分配给不同级别的责任。现在,如果在地区和地方层面存在风险违规Behave,就应该在最高层进行风险缓解。
要在组织层次结构中使用缓解控制,假设您已在组织级别执行了风险分析,并且用户违反了所有子组织规则并满足父规则的条件,并且仅显示父规则;您可以通过以下方式缓解风险 -
- 用户级别的缓解
- 组织层面的缓解措施
SAP GRC - 工作流程集成
在 SAO GRC 10.0 中,工作流程在以下情况下触发 -
- 创建或更新风险。
- 创建或更新缓解控制。
- 分配缓解控制。
激活基于工作流程的风险和控制维护
当您在风险分析和补救中遵循基于工作流的变更管理方法时,您必须执行以下步骤 -
- 转到配置选项卡 → 工作流程选项
- 设置以下参数 -
- 将参数风险维护设置为 YES
- 将参数缓解控制维护设置为 YES
- 将参数缓解设置为 YES
- 设置工作流 Web 服务 URL -
http://<server>:<port>/AEWFRequestSubmissionService_5_2/Config1?wsdl&style=document
- 自定义需要在工作流引擎内执行的工作流。
基于工作流的风控维护
当您在 SAP GRC 中维护风险或控制时,请执行以下步骤 -
步骤 1 - 在访问控制中,触发工作流程以执行风险或控制工作流程。
步骤 2 - 当您获得所需的批准时,批准步骤取决于客户要求。
步骤 3 - 获取记录完整审批流程的审计跟踪。
SAP GRC — 全球贸易服务
使用 SAP GRC 全球贸易服务,您可以改善组织中的跨境货物供应链。该应用程序允许您实现贸易流程自动化,帮助您控制成本并降低处罚风险,并管理入库和出库流程。
使用 GTS,您可以创建用于包含所有合规性主数据和内容的集中式单一存储库。
以下是使用全球贸易服务的主要优势 -
它有助于降低管理全球贸易合规性的成本和工作量。
它可以减轻耗时的手动任务并有助于提高生产力。
减少对贸易合规违规Behave的处罚。
它可以帮助您创建和改善品牌和形象,并避免与受制裁或被拒绝的各方进行贸易。
为客户满意度铺平道路并提高服务质量。
它通过执行清关加快进出境流程,并有助于消除不必要的延误。
SAP ERP 与 SAP 全球贸易服务之间的集成
下图显示了 SAP ERP 和 SAP Global Trade Services 之间集成的流程 -
SAP GRC - 安装和配置
安装 SAP GRC 时,需要在 GRC 中执行各种配置和设置。主要活动包括 -
在 GRC 中创建连接器
配置 AMF 以使用连接器
创建回调连接器
在 GRC 中创建连接是使用 T 代码创建 RFC 连接的标准过程 - SM59
SAP GRC 可在 SAP Easy Access → 治理风险合规文件夹下找到。
步骤 1 - 打开 SAP Easy access 菜单并使用 T-Code - SPRO
步骤 2 - 转到 SAP 参考 IMG → 通用组件设置 → 集成框架 → 创建连接器下的治理、风险和合规性
步骤 3 - 创建连接器是创建 SM59 连接的快捷方式。
步骤 4 - 要查看现有连接,请转到维护连接器和连接类型 -
您可以看到连接器类型,如下所示。这些连接器类型可用于不同目的的配置 -
本地系统连接器用于与 SAP BusinessObjects Access Control 应用程序集成,以监控职责违规Behave的分离
Web 服务连接器用于外部合作伙伴数据源(请参阅部分)
SAP 系统连接器用于所有其他情况。
步骤 5 - 转到连接类型定义选项卡 -
步骤 6 - 定义先前在 SM59 中定义的连接器可用于监控。去定义连接器
步骤 7 - 在屏幕中您可以看到连接器名称 - SMEA5_100。这是一个连接器,显示了 ECC 系统的连接器。
第三列列出了在受监控系统中定义的连接器的名称,该连接器被配置为指向此处配置的 GRC 系统。
SMEA5_100是GRC系统中的另一个连接器,它指向要监控的ERP系统。SM2是ECC系统上的连接器,它指向GRC系统。
步骤 8 - 在左侧定义连接器组屏幕。
步骤 9 - 在这里,您必须确保用于自动监控的所有连接器配置都应属于名为“自动监控”的配置组,如上面定义自动监控连接器组下所示。
步骤 10 - 将连接器分配给左侧的连接器组。
步骤 11 - 将连接器分配给 AM 连接器组,如上面的屏幕截图中所述。
步骤 12 - 转到主菜单中的维护连接设置,如下图所示。
步骤13 - 您需要输入您想要的集成场景,输入AM,如下图所示 -
步骤 14 - 单击绿色勾号,如上面的屏幕截图所示;您将被引导至以下屏幕,其中包含九个子场景。