A solução SAP Governance, Risk and Compliance permite que a organização gerencie regulamentações e conformidade e remova qualquer risco no gerenciamento das operações principais da organização. Conforme a situação do mercado em constante mudança, as organizações estão crescendo e mudando rapidamente e com documentos inadequados, planilhas não são aceitáveis ​​para auditores externos e reguladores.

SAP GRC ajuda a organização a gerenciar seus regulamentos e conformidade e você pode realizar as seguintes atividades -

  • Fácil integração de atividades de GRC no processo existente e automatização das principais atividades de GRC.

  • Baixa complexidade e gerenciamento eficiente de riscos.

  • Melhorar as atividades de gerenciamento de risco.

  • Gerenciando fraudes em processos de negócios e gerenciamento de auditoria de forma eficaz.

  • As organizações têm um desempenho melhor e as empresas podem proteger seus valores.

  • A solução SAP GRC consiste em três áreas principais: Analisar, gerenciar e monitorar.

  • Controle de acesso SAP GRC
  • Controle de processo SAP GRC
  • Gerenciamento de Risco SAP GRC
  • Gerenciamento de auditoria SAP GRC
  • SAP GRC Fraud Management
  • GRC Global Trade Services

Para mitigar o risco em uma organização, é necessário realizar o controle de risco como parte da prática de conformidade e regulamentação. As responsabilidades devem ser claramente definidas, o gerenciamento de provisionamento de funções e o gerenciamento de acesso para superusuário são essenciais para o gerenciamento de riscos em uma organização.

O controle de processo SAP GRC é usado para monitorar tarefas e relatórios em tempo real e você pode gerar o status de conformidade dos controles em vigor de acordo com os processos de negócios e alinhando os processos de negócios para realizar a prevenção e mitigação de riscos.

O gerenciamento de riscos SAP GRC permite que você gerencie as atividades de gerenciamento de riscos. Você pode fazer um planejamento antecipado para identificar riscos nos negócios e implementar medidas para gerenciar riscos e permitir que você tome decisões melhores que melhorem o desempenho dos negócios.

Os riscos vêm em muitas formas -

  • Risco operacional
  • Risco Estratégico
  • Riscos de conformidade
  • Risco financeiro

Isso é usado para melhorar o processo de gerenciamento de auditoria em uma organização, documentando artefatos, organizando papéis de trabalho e criando relatórios de auditoria. Você pode se integrar facilmente com outra solução de governança, risco e conformidade e permite que as organizações alinhem as políticas de gerenciamento de auditoria com os objetivos de negócios.

A ferramenta de gerenciamento de fraudes SAP GRC ajuda as organizações a detectar e prevenir fraudes em um estágio inicial, reduzindo assim a perda de negócios. As varreduras podem ser realizadas em uma grande quantidade de dados em tempo real com mais precisão e atividades fraudulentas podem ser facilmente identificadas.

O software SAP Fraud Management pode ajudar as organizações com os seguintes recursos -

  • Fácil investigação e documentação de casos de fraude.

  • Aumente o alerta e a capacidade de resposta do sistema para evitar que atividades fraudulentas ocorram com mais frequência no futuro.

  • Digitalização fácil de grandes volumes de transações e dados de negócios.

O software SAP GRC GTS ajuda as organizações a aprimorar o fornecimento internacional dentro dos limites da gestão do comércio internacional. Ele ajuda a reduzir a penalidade de riscos das autoridades de regulamentação do comércio internacional.

Ele fornece um processo centralizado de gerenciamento de comércio global com um único repositório para todos os dados mestre de conformidade e conteúdo, independentemente do tamanho de uma organização.

Sim, usando o código T: EWZ5

Objetos de autorização são grupos de campos de autorização usados ​​para regular atividades no sistema SAP. Todos os objetos vêm na classe de autorização e agrupados por diferentes áreas funcionais, como finanças, contabilidade, etc.

O controle de acesso SAP GRC usa funções UME para controlar a autorização do usuário no sistema. Um administrador pode usar ações que representam a menor entidade de função do UME que um usuário pode usar para criar direitos de acesso.

Uma função do UME pode conter ações de um ou mais aplicativos. Você deve atribuir funções do UME aos usuários no mecanismo de gerenciamento de usuários (UME).

Mecanismo de gerenciamento de usuários (UME). Quando um usuário não tem acesso a uma determinada guia, a guia não será exibida no logon do usuário quando o usuário tentar acessar essa guia. Quando uma ação do UME para uma guia é atribuída a esse usuário específico, só então ele poderá acessar essa função.

Todas as ações padrão do UME disponíveis para as guias CC podem ser encontradas na guia “Ações atribuídas” do usuário administrador.

CC.ReportingView

Descrição: Exibição e relatório do calibrador de conformidade

CC.RuleMaintenance

Descrição: Manutenção da regra do calibrador de conformidade

CC.MitMaintenance

Descrição: Manutenção de Mitigação do Calibrador de Conformidade

CC.Administration

Descrição: Administração do Calibrador de Conformidade e Configuração Básica

Risk Analysis and Remediation (RAR) −

No controle de acesso GRC, você pode usar o recurso Análise e Correção de Riscos (RAR) para realizar uma auditoria de segurança e análise de segregação de funções (SoD). É uma ferramenta que pode ser usada para identificar, analisar e resolver problemas de risco e auditoria relacionados à conformidade regulatória.

O controle de acesso e o controle de processo compartilham a estrutura de conformidade nas áreas abaixo -

  • Na solução de controle de processo, os controles são usados ​​como controle de mitigação no controle de acesso sob a solução SAP GRC 10.0.

  • O controle de acesso e o controle de processo compartilham a mesma organização.

  • No controle de processos, os processos são usados ​​como processos de negócios no controle de acesso.

  • O controle de processo e o controle de acesso são integrados à análise de risco de acesso para monitorar a segregação de funções SoD.

  • Atribuição de função de GRC
  • Planejador de controle de processo
  • Planejador de gerenciamento de risco
  • Delegação Central

O gerenciamento de auditoria interna permite que você processe as informações do gerenciamento de riscos e do controle de processos para uso no planejamento de auditoria. A proposta de auditoria pode ser transferida para o gerenciamento de auditoria para processamento quando necessário e os itens de auditoria podem ser usados ​​para gerar problemas para relatórios. O IAM fornece um local onde você pode realizar um planejamento de auditoria completo, criar itens de auditoria, definir o universo de auditoria e criar e visualizar relatórios de auditoria e problemas de auditoria.

No centro de trabalho Gerenciamento de auditoria interna, você pode realizar várias atividades -

  • Audit Universe contém entidades auditáveis
  • Classificação de risco de auditoria
  • Planejamento de auditoria para definir procedimento para conformidade de auditoria
  • Problemas de auditoria de ações de auditoria
  • Relatórios de auditoria para ver quais riscos existem em entidades auditáveis

O Universo de auditoria contém entidades de auditoria que podem ser classificadas como unidades de negócios, Lob's ou departamentos. As entidades de auditoria definem a estratégia de planejamento de auditoria e estes podem ser vinculados ao controle de processos e gestão de riscos para encontrar riscos, controles, etc.

A classificação de risco de auditoria é usada para definir os critérios para uma organização encontrar a classificação de risco e estabelecer a classificação para a classificação de risco. Cada entidade audível é classificada de acordo com o feedback da administração no ARR. Você pode usar o ARR para executar o seguinte -

  • Você pode encontrar um conjunto de entidades auditáveis ​​e fatores de risco

  • Defina e avalie as pontuações de risco para o fator de risco em cada entidade auditável.

  • De acordo com a pontuação de risco, você pode classificar a entidade auditável.

  • Você também pode gerar um plano de auditoria do ARR comparando as pontuações de risco para diferentes entidades auditáveis. Selecionar as entidades auditáveis ​​de pontuação de alto risco e gerar proposta de auditoria e proposta de plano de auditoria.

O centro de trabalho de relatórios e análises é compartilhado por controle de processos, gerenciamento de riscos e controle de acesso. O centro de trabalho Relatórios de controle de processos e análises consiste na seção Conformidade no aplicativo GRC.

Na seção de conformidade, você pode criar vários relatórios em Controle de processo.

Evaluation Status Dashboard -

Mostra uma imagem de alto nível do status geral da conformidade corporativa em diferentes entidades de negócios e fornece recursos de análise e detalhamento para visualizar dados em diferentes níveis e dimensões.

Survey Results -

Exibe os resultados das pesquisas.

Datasheet -

Fornece informações abrangentes sobre dados mestre, avaliação e atividades de remediação para subprocessos e controles.

Em todos os negócios, é necessário realizar o gerenciamento de riscos de segregação de funções, começando do reconhecimento de riscos à validação da construção de regras e várias outras atividades de gerenciamento de riscos para seguir a conformidade contínua.

De acordo com as diferentes funções, é necessário realizar a segregação de funções no sistema GRC.

Business Process Owners -

  • Identifique os riscos e aprove os riscos para monitoramento.
  • Aprove a correção envolvendo o acesso do usuário.
  • Projete controles para mitigar conflitos.
  • Comunique atribuições de acesso ou mudanças de função.
  • Execute conformidade contínua proativa.

Senior Officers -

  • Aprovar ou rejeitar riscos entre áreas de negócios
  • Aprovar controles de mitigação para riscos selecionados

Security Administrators -

  • Assuma a propriedade das ferramentas de GRC e do processo de segurança
  • Projetar e manter regras para identificar condições de risco
  • Personalize funções de GRC para impor funções e responsabilidades
  • Analisar e corrigir conflitos de SoD no nível da função

Auditors -

  • Realize a avaliação de risco regularmente
  • Fornece requisitos específicos para fins de auditoria
  • Realizar testes periódicos de regras e controles de mitigação
  • Atuar como contato entre auditores externos

SoD Rule Keeper -

  • Execute a configuração e administração da ferramenta GRC
  • Manter controles sobre as regras para garantir a integridade
  • Atuar como base de ligação entre e centro de suporte GRC

Existem várias fases no processo de gestão de risco -

  • Reconhecimento de Risco
  • Criação e validação de regras
  • Analysis
  • Remediation
  • Mitigation
  • Conformidade Contínua
  • Reconhecimento de Risco
  • Criação e validação de regras
  • Analysis
  • Remediation
  • Mitigation
  • Conformidade Contínua
  • Consulte as regras de práticas recomendadas para o meio ambiente
  • Validando as regras
  • Personalize regras e teste
  • Verificar contra usuários de teste e casos de função

O risco deve ser classificado de acordo com a política da empresa. Existem várias classificações de risco que você pode definir de acordo com a prioridade de risco e a política da empresa -

Critical -

A classificação crítica é feita para riscos que contêm ativos críticos da empresa que têm grande probabilidade de serem comprometidos por fraude ou interrupções do sistema.

High -

Isso inclui perda física ou monetária ou interrupção de todo o sistema, incluindo fraude, perda de qualquer ativo ou falha de um sistema.

Medium -

Isso inclui várias interrupções do sistema, como sobrescrever dados mestre no sistema.

Low -

Isso inclui o risco em que as perdas de produtividade ou falhas do sistema comprometidas por fraude ou interrupções e perdas do sistema sejam mínimas.

A tabela de decisão do BRFplus não contém a condição adequada.

O controle de mitigação preventiva é usado para reduzir o impacto do risco antes que ele realmente ocorra. Existem várias atividades que você pode executar sob o controle de mitigação preventiva -

  • Configuration
  • Saídas do usuário
  • Security
  • Definição de fluxo de trabalho
  • Objetos Personalizados

Detective Mitigation Controls -

O controle de mitigação de detecção é usado quando um alerta é recebido e ocorre um risco. Neste caso, a pessoa que é responsável por iniciar as medidas corretivas para mitigar o risco.

Existem várias atividades que você pode realizar sob o controle de mitigação de detetive -

  • Relatórios de Atividades
  • Comparação do plano com a revisão real
  • Revisão de orçamento
  • Alerts

No SAP GRC 10.0, o gerenciamento de privilégios de superusuário precisa ser implementado em sua organização para eliminar as autorizações e riscos excessivos que sua empresa enfrenta com a abordagem atual do usuário de emergência.

  • Você pode permitir que o superusuário execute atividades de emergência em um ambiente controlado e auditável

  • Usando o Superusuário, você pode relatar todas as atividades do usuário acessando privilégios de autorização mais altos.

  • Você pode gerar uma trilha de auditoria, que pode ser usada para documentar os motivos do uso de privilégios de acesso mais altos.

  • Esta trilha de auditoria pode ser usada para conformidade SOX

O superusuário pode atuar como bombeiro e ter os seguintes recursos adicionais -

  • Ele pode ser usado para executar tarefas fora de sua função ou perfil normal em uma situação de emergência.

  • Apenas alguns indivíduos (proprietários) podem atribuir IDs de bombeiro

  • Ele permite que um recurso estendido seja fornecido aos usuários ao criar uma camada de auditoria para monitorar e registrar o uso.

Você pode usar as seguintes funções padrão para gerenciamento de privilégios de superusuário.

/VIRSA/Z_VFAT_ADMINISTRATOR -

  • Capacidade de configurar o Bombeiro
  • Atribuir proprietários e controladores de funções de bombeiro a IDs de bombeiro
  • Executar relatórios

/VIRSA/Z_VFAT_ID_OWNER -

  • Atribuir IDs de bombeiro a usuários de bombeiros
  • Carregue, baixe e veja o registro do histórico de bombeiros

Use o Código T: Transação: / n / VIRSA / ZVFAT_V01

Abaixo estão as principais vantagens de usar Global Trade Services -

  • Ajuda a reduzir o custo e o esforço de gerenciamento de conformidade para o comércio global.

  • Ele pode facilitar tarefas manuais demoradas e ajuda a melhorar a produtividade.

  • Reduz as penalidades para violações de conformidade comercial

  • Ajuda a criar e melhorar a marca e a imagem e evitar o comércio com partes sancionadas ou negadas.

  • Melhor satisfação do cliente e melhoria da qualidade do serviço.

  • Ele agiliza os processos de entrada e saída, realizando o desembaraço aduaneiro e também ajuda a remover atrasos desnecessários.

Para função única, você pode adicionar / excluir códigos de transação, enquanto em funções derivadas você não pode adicionar códigos-T.

O buffer do usuário armazena todas as autorizações de um usuário.

Você pode atribuir 14.000 transações a uma função.

Usando códigos de transação SM18.

A implementação de IDs de bombeiro consiste nas seguintes etapas -

  • Criação de IDs de bombeiro para cada área de processo de negócios
  • Em seguida, é atribuir funções e perfis necessários para realizar tarefas de combate a incêndios.
  • Você não deve atribuir o perfil SAP_ALL

A coleção de várias regras é conhecida como conjunto de regras. No GRC, temos um conjunto de regras padrão conhecido como conjunto de regras globais.

Usando PFCG_TIME_DEPENDANCY trabalho de fundo.

A paisagem GRC tem 2 sistemas -

  • SAP GRC Dev
  • SAP GRC PRD e não há sistema de qualidade.

SOD é implementado no sistema SAP para detectar e monitorar fraudes nas transações comerciais.

A tabela USR40 é usada para armazenar todos os detalhes de senha ilegal.

Você precisa atribuir as seguintes funções ao usuário para fazer o login no sistema GRS -

  • Autorização do portal
  • Funções PFCG aplicáveis
  • Funções PFCG para controle de acesso, controle de processo e gestão de risco