SAP GRC - Guia rápido

A solução SAP Governance, Risk and Compliance permite que as organizações gerenciem regulamentações e conformidade e removam qualquer risco no gerenciamento das operações principais das organizações. De acordo com a mudança da situação do mercado, as organizações estão crescendo e mudando rapidamente e documentos inadequados, planilhas não são aceitáveis ​​para auditores externos e reguladores.

SAP GRC ajuda a organização a gerenciar seus regulamentos e conformidade e realizar as seguintes atividades -

  • Fácil integração das atividades de GRC em processos existentes e automatização das principais atividades de GRC.

  • Baixa complexidade e gerenciamento eficiente de riscos.

  • Melhorar as atividades de gerenciamento de risco.

  • Gerenciando fraudes em negócios processados ​​e gerenciamento de auditoria de forma eficaz.

  • As organizações têm um desempenho melhor e as empresas podem proteger seus valores.

  • A solução SAP GRC consiste em três áreas principais: Analisar, gerenciar e monitorar.

Módulos em SAP GRC

Vamos agora entender os diferentes módulos do SAP GRC -

Controle de acesso SAP GRC

Para mitigar o risco em uma organização, é necessário realizar o controle de risco como parte da prática de conformidade e regulamentação. As responsabilidades devem ser claramente definidas, o gerenciamento de provisionamento de funções e o gerenciamento de acesso para superusuário são essenciais para o gerenciamento de riscos em uma organização.

SAP GRC Process Control and Fraud Management

A solução de software SAP GRC Process Control é usada para gerenciar conformidade e gerenciamento de políticas. Os recursos de gerenciamento de conformidade permitem que as organizações gerenciem e monitorem seus ambientes de controle interno. As organizações podem corrigir proativamente quaisquer problemas identificados e certificar e relatar o estado geral das atividades de conformidade correspondentes.

O SAP Process control suporta o ciclo de vida completo do gerenciamento de políticas, incluindo a distribuição e adesão de políticas por grupos-alvo. Essas políticas ajudam as organizações a reduzir o custo de conformidade e melhorar a transparência de gerenciamento e permitem que a organização desenvolva processos e políticas de gerenciamento de conformidade no ambiente de negócios.

Gerenciamento de Risco SAP GRC

SAP GRC Risk Management permite que você gerencie atividades de gerenciamento de risco. Você pode fazer um planejamento antecipado para identificar riscos nos negócios e implementar medidas para gerenciar riscos e permitir que você tome decisões melhores que melhorem o desempenho dos negócios.

Os riscos vêm em muitas formas -

  • Risco operacional
  • Risco Estratégico
  • Riscos de conformidade
  • Risco financeiro

Gerenciamento de auditoria SAP GRC

Isso é usado para melhorar o processo de gerenciamento de auditoria em uma organização, documentando artefatos, organizando papéis de trabalho e criando relatórios de auditoria. Você pode se integrar facilmente com outra solução de governança, risco e conformidade e permitir que as organizações alinhem as políticas de gerenciamento de auditoria com os objetivos de negócios.

O gerenciamento de auditoria SAP GRC ajuda o auditor a simplificar as coisas, fornecendo os seguintes recursos -

  • Você pode capturar instantaneamente os artefatos para gerenciamento de auditoria e outras evidências usando o recurso de arrastar e soltar de recursos móveis.

  • Você pode criar, rastrear e gerenciar facilmente problemas de auditoria com monitoramento e acompanhamento globais.

  • Você pode realizar pesquisas usando recursos de pesquisa que permitem obter mais informações do legado e de papéis de trabalho.

  • Você pode envolver os auditores com uma interface amigável e ferramentas de colaboração.

  • Fácil integração do gerenciamento de auditoria com SAP Fraud Management, SAP Risk Management e SAP Process Control para alinhar o processo de auditoria com as metas de negócios.

  • Resolução rápida de problemas usando ferramenta de rastreamento automatizada.

  • Aumente a utilização da equipe e menos custos com viagens resultaram do planejamento de auditoria interna, gerenciamento de recursos e programação.

  • Fácil integração com relatórios SAP Business Objects e ferramenta de visualização de dados para visualizar relatórios de auditoria usando Lumira e outros relatórios de BI.

  • Uso de modelos pré-estabelecidos para padronizar artefatos de auditoria e processo de relatório.

SAP GRC Fraud Management

A ferramenta de gerenciamento de fraudes SAP GRC ajuda as organizações a detectar e prevenir fraudes no estágio inicial e, portanto, reduzir a perda de negócios. As varreduras podem ser realizadas em uma grande quantidade de dados em tempo real com mais precisão e atividades fraudulentas podem ser facilmente identificadas.

O software de gerenciamento de fraudes SAP pode ajudar as organizações com os seguintes recursos -

  • Fácil investigação e documentação de casos de fraude.

  • Aumente o alerta e a capacidade de resposta do sistema para evitar que atividades fraudulentas ocorram com mais frequência no futuro.

  • Digitalização fácil de grandes volumes de transações e dados de negócios.

SAP GRC Global Trade Services

O software SAP GRC GTS ajuda as organizações a aprimorar o fornecimento internacional dentro dos limites da gestão do comércio internacional. Ele ajuda a reduzir a penalidade de riscos das autoridades de regulamentação do comércio internacional.

Ele fornece um processo centralizado de gerenciamento de comércio global com um único repositório para todos os dados mestre de conformidade e conteúdo, independentemente do tamanho de uma organização.

Modelo de capacidade SAP GRC

A solução SAP BusinessObjects GRC consiste em três recursos principais - Analyze, Manage and Monitor.

No diagrama a seguir, você pode ver o SAP GRC Capability Model que cobre todos os principais recursos do software SAP GRC. Usando o GRC, as organizações podem verificar todos os riscos potenciais e descobertas de conformidade e podem tomar a decisão correta para mitigá-los.

Em versões anteriores do SAP GRC, para usar controle de acesso, controle de processo e gerenciamento de risco, havia uma navegação separada para cada componente. Isso significa que os usuários, para realizar tarefas entre componentes, tinham que fazer login em cada módulo separadamente e fazer login várias vezes. Isso resultou em um processo difícil para gerenciar várias janelas e documentos para pesquisar também era difícil.

SAP GRC 10.0 fornece navegação direta para componentes de controle de acesso, controle de processo e gerenciamento de risco para um único usuário conforme autorização e remove o gerenciamento de várias janelas.

Step 1 - Para realizar atividades de customização e manter os parâmetros de configuração para solução GRC, vá para T-code - SPRO → SAP Referência IMG

Step 2 - Expanda o nó Governança, Risco e Conformidade -

Step 3 - Logon para NetWeaver Business Client -

Execute a transação para NWBC no SAP Easy access.

Isso abrirá a tela do NetWeaver Business Client e você receberá o seguinte url - http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/

Centros de Trabalho SAP GRC

Você pode usar centros de trabalho para fornecer um ponto de acesso central para GRC 10.0. Eles podem ser organizados com base no que o cliente tem licença para operar.

Step 1- Para acessar os Centros de Trabalho, abra o NetWeaver Business Client conforme mencionado acima. Vamos para/nwbc opção na parte superior para abrir Centros de Trabalho.

Step 2 - Depois de clicar em, você será direcionado para a tela inicial do cliente SAP NetWeaver Business.

Dependendo dos produtos que você licenciou, diferentes componentes da solução GRC são exibidos - Access Control, Process Control, or Risk Management.

O controle de acesso SAP GRC ajuda as organizações a detectar, gerenciar e prevenir automaticamente violações de risco de acesso e reduzir o acesso não autorizado aos dados e informações da empresa. Os usuários podem usar o autoatendimento automático para acessar o envio de solicitações, solicitações de acesso orientadas ao fluxo de trabalho e aprovações de acesso. Revisões automáticas de acesso de usuário, autorização de função e violações de risco podem ser usadas usando o SAP GRC Access Control.

O SAP GRC Access Control lida com os principais desafios, permitindo que as empresas gerenciem o risco de acesso. Ele ajuda as organizações a evitar o acesso não autorizado, definindo a segregação de funções, SoD e acesso crítico e minimizando o tempo e o custo do gerenciamento de risco de acesso.

Características principais

A seguir estão os principais recursos do SAP GRC Access Control -

  • Para realizar auditoria e conformidade de acordo com os requisitos legais com diferentes padrões de auditoria, como SOX, BSI e padrões ISO.

  • Para detectar automaticamente violações de risco de acesso em sistemas SAP e não SAP em uma organização.

  • Conforme mencionado, ele capacita os usuários com o envio de acesso por autoatendimento, solicitações de acesso orientadas ao fluxo de trabalho e aprovações da solicitação.

  • Para automatizar revisões de acesso de usuário, autorizações de função, violações de risco e atribuições de controle em uma organização de pequena e grande escala.

  • Gerenciar com eficiência o acesso do superusuário evitando riscos de violações e acesso não autorizado a dados e aplicativos em sistema SAP e não SAP.

Como explorar o controle de acesso e configurar o centro de trabalho?

Execute a transação para NWBC no SAP Easy access.

Isso abrirá a tela do NetWeaver Business Client e você receberá o seguinte url - http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/

Step 1- Para acessar os Centros de Trabalho, abra o NetWeaver Business Client conforme mencionado acima. Vamos para/nwbc opção na parte superior para abrir Centros de Trabalho.

Step 2 - Depois de clicar em, você será direcionado para a tela inicial do cliente SAP NetWeaver Business.

Step 3- Vá para configurar o centro de trabalho e explore o conjunto de trabalho. Clique em alguns dos links abaixo de cada um e explore as várias telas.

Step 4 - O centro de trabalho Configuração está disponível em Controle de acesso e fornece links para as seguintes seções -

  • Manutenção de regras de acesso
  • Regras de acesso de exceção
  • Regras de acesso críticas
  • Regras Geradas
  • Organizations
  • Controles atenuantes
  • Atribuição de superusuário
  • Manutenção de superusuário
  • Proprietários de acesso

Step 5 - Você pode usar as funções listadas acima das seguintes maneiras -

  • Usando a seção Manutenção de regras de acesso, você pode gerenciar conjuntos de regras de acesso, funções e riscos de acesso usados ​​para identificar violações de acesso.

  • Usando regras de acesso de exceção, você pode gerenciar regras que complementam as regras de acesso.

  • Usando a seção de regras de acesso críticas, você pode definir regras adicionais que identificam o acesso a funções e perfis críticos.

  • Usando a seção de regras geradas, você pode localizar e visualizar as regras de acesso geradas.

  • Em Organizações, você pode manter a estrutura organizacional da empresa para conformidade e gerenciamento de risco com atribuições relacionadas.

  • A seção Controles de mitigação permite que você gerencie controles para mitigar a segregação de funções, ações críticas e violações de acesso de permissão crítica.

  • Atribuição de superusuário é onde você atribui proprietários a IDs de bombeiro e atribui IDs de bombeiro aos usuários.

  • A Manutenção do Superusuário é onde você mantém as atribuições do bombeiro, do controlador e do código de razão.

  • Em Proprietários de acesso, você gerencia os privilégios de proprietário para recursos de gerenciamento de acesso.

De acordo com a licença do software GRC, você pode navegar pelo Access Management Work Center. Ele tem várias seções para gerenciar as atividades de controle de acesso.

Ao clicar em Centro de Trabalho de Gerenciamento de Acesso, você pode ver as seguintes seções -

  • Atribuições de funções de GRC
  • Análise de risco de acesso
  • Acesso Mitigado
  • Administração de solicitações de acesso
  • Gestão de Funções
  • Mineração de papéis
  • Manutenção em massa de papéis
  • Atribuição de superusuário
  • Manutenção de superusuário
  • Criação de solicitação de acesso
  • Avaliações de certificação de conformidade
  • Alerts
  • Scheduling

As seções acima ajudam você das seguintes maneiras -

  • Quando você vai acessar risk analysisseção, você pode avaliar seus sistemas para riscos de acesso em usuários, funções, objetos de RH e níveis de organização. Um risco de acesso é duas ou mais ações ou permissões que, quando disponíveis para um único usuário ou função, perfil, nível organizacional ou objeto de RH, cria a possibilidade de erro ou irregularidade.

  • Usando mitigated access seção, você pode identificar riscos de acesso, avaliar o nível desses riscos e atribuir controles de atenuação a usuários, funções e perfis para atenuar as violações de regra de acesso.

  • Dentro access request administration seção, você pode gerenciar atribuições de acesso, contas e processos de revisão.

  • Usando role management, você gerencia funções de vários sistemas em um único repositório unificado.

  • Dentro role mining recurso de grupo, você pode definir funções de interesse, analisá-las e agir.

  • Usando role mass maintenance, você pode importar e alterar autorizações e atributos para várias funções.

  • Dentro Superuser Assignment seção, você pode atribuir IDs de bombeiro aos proprietários e atribuir bombeiros e controladores a IDs de bombeiro.

  • Dentro Superuser Maintenance seção, você pode executar atividades como pesquisar e manter bombeiros e controladores e atribuir códigos de razão por sistema.

  • Usando access request creation, você pode criar atribuições de acesso e contas.

  • Compliance certification reviews suporta revisões de acesso de usuários, violações de risco e atribuições de funções.

  • Usando alerts, você pode gerar pelo aplicativo para a execução de ações críticas ou conflitantes.

  • Usando Scheduling seção do Centro de Trabalho de Configuração de Regras, você pode manter agendas para monitoramento de controle contínuo e teste automatizado, e para rastrear o progresso do trabalho relacionado.

Na solução SAP GRC, você pode gerenciar objetos de autorização para limitar os itens e dados que um usuário pode acessar. A autorização controla o que um usuário pode acessar em relação aos centros de trabalho e relatórios no sistema SAP.

Para acessar a solução GRC, você deve ter o seguinte acesso -

  • Autorização do portal
  • Funções PFCG aplicáveis
  • Funções PFCG para controle de acesso, controle de processo e gestão de risco

Os tipos de autorização listados abaixo são necessários para os componentes GRC - AC, PC e RM.

Nome do papel Typ Descrição Componente
SAP_GRC_FN_BASE PFCG Papel básico PC, RM
SAP_GRAC_BASE PFCG Função básica (inclui SAP_GRC_FN_BASE) AC
SAP_GRC_NWBC PFCG Função para executar GRC 10.0 em NWBC AC, PC, RM
SAP_GRAC_NWBC PFCG Função para executar centros de trabalho NWBC simplificados para AC AC
GRC_Suite Portal Função do portal para executar GRC em 10.0 no portal AC, PC, RM
SAP_GRC_FN_BUSINESS_USER PFCG Função de usuário comum AC * , PC, RM
SAP_GRC_FN_ALL PFCG Função de usuário avançado; ignora a autorização de nível de entidade para PC e RM PC, RM
SAP_GRAC_ALL PFCG Função de usuário avançado AC
SAP_GRC_FN_DISPLAY PFCG Exibir todas as funções do usuário PC, RM
SAP_GRAC_DISPLAY_ALL PFCG Exibir todas as funções do usuário AC
SAP_GRAC_SETUP PFCG Função de personalização (usada para manter a configuração no IMG) AC
SAP_GRC_SPC_CUSTOMIZING PFCG Função de personalização (usada para manter a configuração no IMG) PC
SAP_GRC_RM_CUSTOMIZING PFCG Função de personalização (usada para manter a configuração no IMG) RM
SAP_GRAC_RISK_ANALYSIS PFCG A função concede autoridade para executar trabalhos SoD AC, PC, RM

Autorização no Componente do Portal e NWBC

Na solução SAP GRC 10.0, os centros de trabalho são definidos em funções PCD para o componente Portal e em funções PFCG para NWBC (NetWeaver Business Client) Os centros de trabalho são fixos em cada função básica. A SAP entrega essas funções; essas funções podem ser modificadas pelo cliente conforme a necessidade.

Os locais de pastas de aplicativos e aplicativos subordinados dentro do mapa de serviço são controlados pelo aplicativo SAP NetWeaver Launchpad. O mapa de serviço é controlado pela autorização do usuário, portanto, se o usuário não tiver autorização para ver nenhum aplicativo, ele ficará oculto no cliente NetWeaver Business.

Como revisar as atribuições de função no Access Management Work Center?

Siga estas etapas para revisar as atribuições de funções -

Step 1 - Acesse Access Management Work Center no NetWeaver Business Client.

Step 2- Selecione o processo empresarial em Atribuição de função GRC e vá para o nível de função de subprocesso. Clique em Avançar para continuar a atribuir seções de função.

Como revisar as atribuições de função no Master Data Work Center?

Step 1 - Vá para Master Data Work Center → Organizations

Step 2 - Na próxima janela, selecione qualquer organização da lista e clique em Abrir.

Step 3 - Note que o triângulo ao lado da organização significa que há suborganizações e o ponto ao lado da organização significa que é o nível mais baixo.

Step 4- Clique na guia subprocesso → Atribuir subprocesso. Agora selecione um ou dois subprocessos e clique em Avançar.

Step 5 - Sem fazer nenhuma alteração, clique em Concluir na etapa Selecionar controles.

Step 6- Escolha o primeiro subprocesso da lista e clique em Abrir. Você deve ver os detalhes do subprocesso.

Step 7- Clique na guia Funções. Escolha uma função na lista e clique em Atribuir.

O SAP GRC Access Control usa funções UME para controlar a autorização do usuário no sistema. Um administrador pode usar ações que representam a menor entidade de função do UME que um usuário pode usar para criar direitos de acesso.

Uma função do UME pode conter ações de um ou mais aplicativos. Você deve atribuir funções UME aos usuários emUser Management Engine (UME).

Autorização em UME

Quando um usuário não tem acesso a uma determinada guia, a guia não será exibida no logon do usuário quando o usuário tentar acessar essa guia. Quando uma ação do UME para uma guia é atribuída a esse usuário específico, só então ele poderá acessar essa função.

Todas as ações padrão do UME disponíveis para guias CC podem ser encontradas na guia “Assigned Actions” do Admin User.

Funções UME

Você deve criar uma função de administrador e essa função deve ser atribuída ao Superusuário para executar atividades relacionadas ao calibrador de conformidade SAP. Existem várias funções CC que podem ser criadas sob o controle de acesso SAP GRC no momento da implementação -

  • CC.ReportingView

    Description - Exibição e relatório do calibrador de conformidade

  • CC.RuleMaintenance

    Description - Manutenção da regra do calibrador de conformidade

  • CC.MitMaintenance

    Description - Manutenção de mitigação do calibrador de conformidade

  • CC.Administration

    Description - Administração do Calibrador de Conformidade e Configuração Básica

Como abrir o User Maintenance Engine?

Usando o UME, você pode realizar várias atividades principais em Controle de acesso -

  • Você pode realizar manutenção de usuário e função
  • Pode ser usado para configuração da fonte de dados do usuário
  • Você pode aplicar configurações de segurança e regras de senha

Para abrir o UME, você deve usar o seguinte URL -

http://<hostname>:<port>/useradmin

No SAP GRC 10.0, você pode usar o Access Control Launch Pad para manter as principais funcionalidades do GRC Access Control. É uma única página da web que pode ser usada paraRisk Analysis and Remediation (RAR).

No controle de acesso GRC, você pode usar o recurso Análise e correção de riscos (RAR) para realizar uma auditoria de segurança e análise de segregação de tarefas (SoD). É uma ferramenta que pode ser usada para identificar, analisar e resolver problemas de risco e auditoria ligados à seguinte conformidade regulatória. Aqui, você também pode definir colaborativamente o seguinte -

  • Enterprise Role Management (ERM)
  • Provisionamento de usuário compatível (CUP)
  • Gerenciamento de privilégios de superusuário

Criando um Novo Launchpad em NWBC

Siga estas etapas para criar um novo Launchpad em NWBC -

Step 1 - Vá para funções PFCG e abra a função SAP_GRAC_NWBC

Step 2 - Quando você clica com o botão direito no item Minha casa, pode ver que o aplicativo que está sendo chamado é grfn_service_map?WDCONFIGURATIONID=GRAC_FPM_AC_LPD_HOME e o id de configuração é GRAC_FPM_AC_LPD_HOME.

Step 3 - Selecione application config botão e você pode ver a tela de configuração do aplicativo → botão de exibição.

Step 4 - Quando você clica em Exibir, você pode ver esta tela -

Step 5 - Agora abra o Component Configuration botão.

Step 6 - Clique em Configure UIBBbotão nesta tela. Você será direcionado para a seguinte tela -

Step 7- Você pode selecionar o Launchpad para o qual deseja mapear. Se você deseja criar um novo Launchpad, também pode mapeá-lo para uma nova função.

Step 8 - Para criar um novo Launchpad, defina o seguinte -

  • Crie uma nova barra de lançamento com os itens de menu que você deseja.

  • Crie uma nova configuração do aplicativo GRFN_SERVICE_MAP ou você pode copiar o id de configuração GRAC_FPM_AC_LPD_HOME e personalizá-lo ainda mais.

  • Na nova configuração, selecione a barra de ativação que deseja associar.

  • Crie uma nova função e adicione o aplicativo webdynpro GRFN_SERVICE_MAP a ele com o ID de configuração customizado criado na etapa anterior.

Na solução SAP GRC 10.0, os dados mestre e a estrutura organizacional são compartilhados entre o controle de acesso, o controle de processo e o gerenciamento de risco. O controle de processos também compartilha certos recursos com o processo de gerenciamento de riscos.

A seguir estão os principais recursos compartilhados com o controle de acesso -

  • O controle de acesso e o controle de processo compartilham a estrutura de conformidade nas áreas abaixo -

    • Na solução de controle de processo, os controles são usados ​​como controle de mitigação no controle de acesso sob a solução SAP GRC 10.0.

    • O controle de acesso e o controle de processo compartilham a mesma organização.

    • No controle de processos, os processos são usados ​​como processos de negócios no controle de acesso.

    • O controle de processo e o controle de acesso são integrados à análise de risco de acesso para monitorar a segregação de funções SoD.

The menu areas common to both Process Control and Risk Management are −

  • Atribuição de função de GRC
  • Planejador de controle de processo
  • Planejador de gerenciamento de risco
  • Delegação Central

A seguir estão os principais pontos de integração entre Controle de Processo e Gerenciamento de Risco -

  • Novos pontos de controle podem ser propostos para Controle de Processo em Gerenciamento de Risco.

  • Quando um novo controle é proposto, o Controle de Processo precisa avaliar a solicitação do Gerenciamento de Riscos.

  • A Gestão de Risco usa os resultados do Controle de Processo para avaliar novos controles.

  • O gerenciamento de riscos também pode usar os controles existentes do controle de processos como respostas no gerenciamento de riscos.

Internal Audit Managementpermite que você processe as informações do gerenciamento de riscos e do controle de processos para uso no planejamento de auditoria. A proposta de auditoria pode ser transferida para o gerenciamento de auditoria para processamento quando necessário e os itens de auditoria podem ser usados ​​para gerar problemas para relatórios. O IAM fornece um lugar onde você pode realizar o planejamento de auditoria completo, criar itens de auditoria, definir universo de auditoria e criar e visualizar relatórios de auditoria e problemas de auditoria.

Internal Audit Management Work Center fornece uma localização central para as seguintes atividades -

  • Defina o universo de auditoria para sua organização
  • Classificação de risco de auditoria
  • Planejamento de auditoria para definir procedimento para conformidade de auditoria
  • Problemas de auditoria de ações de auditoria
  • Relatórios de auditoria para ver quais riscos existem em entidades auditáveis

O Universo de auditoria contém entidades de auditoria que podem ser classificadas como unidades de negócios, linhas de negócios ou departamentos. As entidades de auditoria definem a estratégia de planejamento de auditoria e estas podem ser vinculadas ao Controle de Processos e Gestão de Riscos para encontrar riscos, controles, etc.

Criar uma entidade auditável

Vamos agora entender como criar uma entidade auditável.

Step 1 - Vá para /nwbc opção no topo para abrir Centros de Trabalho

Step 2 - No SAP NetWeaver Business Client, vá para IAM Work Center.

Step 3 - Navegue para Gerenciamento de Auditoria Interna → Universo de Auditoria

Step 4 - Clique em Create botão e vá para General aba.

Step 5 - Insira os seguintes detalhes para entidade auditável -

  • Name
  • Description
  • Type
  • Status
  • Notas para adicionar qualquer informação adicional

Step 6 - Vá para Audit Plan guia para visualizar propostas de auditoria e propostas de plano de auditoria com a data de transferência.

Step 7 - Selecione o attachments and links guia para adicionar qualquer tipo de arquivos ou links.

Step 8 - Ao inserir os detalhes necessários, você pode selecionar uma das seguintes opções -

  • Selecione Save para salvar a entidade.
  • Selecione Close para sair sem salvar.

Controle de Processo SAP - Classificação de Risco de Auditoria

A classificação de risco de auditoria é usada para definir os critérios para uma organização encontrar a classificação de risco e estabelecer a classificação para a classificação de risco. Cada entidade auditável é classificada de acordo com o feedback da administração no ARR. Você pode usar o ARR para realizar as seguintes funções -

  • Você pode encontrar o conjunto de entidades auditáveis ​​e fatores de risco.

  • Defina e avalie as pontuações de risco para o fator de risco em cada entidade auditável.

  • De acordo com a pontuação de risco, você pode classificar a entidade auditável.

  • Você também pode gerar um plano de auditoria a partir do ARR, comparando as pontuações de risco para diferentes entidades auditáveis. Além disso, você pode selecionar as entidades auditáveis ​​de pontuação de alto risco e gerar uma proposta de auditoria e uma proposta de plano de auditoria.

Criar uma classificação de risco de auditoria

Vamos agora entender as etapas para criar uma classificação de risco de auditoria

Step 1 - No SAP NetWeaver Business Client, vá para IAM Work Center.

Step 2 - Navegue para Gerenciamento de Auditoria Interna → Classificação de Risco de Auditoria → Criar

Step 3 - Na guia Geral, insira os seguintes detalhes -

  • Name
  • Description
  • Válido de
  • Valido para
  • Pessoa responsável
  • Status

Step 4 - Vá para Entidades Auditáveis ​​e clique em Add botão para escolher entre entidades auditáveis.

Step 5 - Vá para Risk Factor guia e selecione ARRfator de risco. SelecioneAdd para adicionar um fator de risco → OK.

Step 6 - Vá para Risk Scoresguia, selecione a entidade e insira as pontuações de risco na tabela de fatores de risco. CliqueCalculatebotão para ver a pontuação média. Vá para o nível de risco e coluna de prioridade de risco para inserir os detalhes.

Vamos para Audit Plan Proposalguia, para garantir que você está criando uma proposta de plano de auditoria. Selecione exportar para criar uma planilha do Excel para visualizar as informações em forma de tabela para o seu ARR.

Selecione Save botão para salvar a classificação de risco de auditoria para entidade auditável.

Os centros de trabalho fornecem um ponto de acesso central para toda a funcionalidade GRC. Eles são organizados para fornecer acesso fácil às atividades do aplicativo e contêm grupos de menus e links para outras atividades.

Os seguintes centros de trabalho são compartilhados por Controle de Acesso, Controle de Processo e Gerenciamento de Risco -

  • Minha casa
  • Dados mestre
  • Configuração de regra
  • Assessments
  • Gestão de Acesso
  • Relatórios e análises

Vamos discutir os principais centros de trabalho.

Minha casa

Meu Centro de Trabalho em Casa é compartilhado pelo Controle de Processos, Gerenciamento de Riscos e Controle de Acesso. Isso fornece um local centralizado onde você pode gerenciar tarefas atribuídas e objetos acessíveis no aplicativo GRC. Minha casa vem com várias seções. Vamos agora entender a seção Caixa de entrada de trabalho -

Caixa de entrada de trabalho

Usando a Caixa de entrada de trabalho, você pode ver as tarefas que precisa processar no software GRC.

Se você deseja processar uma tarefa, clique na tarefa na tabela.

Isso abrirá a janela do fluxo de trabalho na qual você pode processar a tarefa.

Dados mestre

O Master Data Work Center é compartilhado pelo Controle de Processos, Gerenciamento de riscos e controle de acesso. O centro de trabalho de dados mestre de controle de processo contém as seguintes seções -

  • Organizations
  • Regulamentos e políticas
  • Objectives
  • Atividades e Processos
  • Riscos e Respostas
  • Accounts
  • Reports

Vamos agora discutir os principais centros de trabalho em Master Data Work Center -

Organizations - Manter a estrutura organizacional da empresa para conformidade e gestão de risco com atribuições relacionadas

Mitigation Controls - Manter controles para mitigar a segregação de funções, ações críticas e violações críticas de acesso de permissão

Para criar o controle de mitigação, clique no botão Criar.

Você será direcionado para uma nova janela, insira os detalhes para o controle de mitigação e clique no botão Salvar.

Relatórios e análises

O Centro de Trabalho de Relatórios e Análise é compartilhado pelo Controle de Processos, Gerenciamento de Riscos e Controle de Acesso. O Centro de Trabalho de Análise e Relatórios de Controle de Processos consiste na seção Conformidade no aplicativo GRC.

Na seção de conformidade, você pode criar os seguintes relatórios em Controle de processo -

Painel de status de avaliação

Mostra uma imagem de alto nível do status geral da conformidade corporativa em diferentes entidades de negócios e fornece recursos de análise e detalhamento para visualizar dados em diferentes níveis e dimensões.

Resultados da pesquisa

Exibe os resultados das pesquisas.

Ficha de dados

Fornece informações abrangentes sobre dados mestre, avaliação e atividades de remediação para subprocessos e controles.

As seguintes funções que usam a funcionalidade de folha de dados -

  • Internal Auditors - Eles podem usar planilhas de dados para obter uma imagem dos controles e subprocessos em uma organização sob GRC.

  • Process Owners- No aplicativo GRC, os Proprietários do Processo e Proprietários do Controle podem solicitar planilhas de dados para obter uma visão geral de seus subprocessos. As informações da planilha de dados fornecem a definição do subprocesso, avaliações concluídas no subprocesso, controles abrangidos pelo subprocesso e as avaliações e testes realizados nesses controles.

  • Control Owners- Os proprietários de controle podem usar planilhas de dados para verificar o design de seus controles. O proprietário do controle pode avaliar os controles para verificar os controles e sua eficácia.

  • External Auditors- Folhas de dados podem ser utilizadas por auditores externos; isso pode ser usado para solicitar as informações para pesquisar controles ou subprocessos.

Note - Outros centros de trabalho como gerenciamento de acesso, avaliações e configuração de regras também são compartilhados por controle de processo, controle de acesso e gerenciamento de risco.

O Centro de Trabalho de Gerenciamento de Acesso de Controle de Processo tem a seção Atribuições de Função GRC.

Em todos os negócios, é necessário realizar o Gerenciamento de Risco de Segregação de Funções (SoD) - começando do reconhecimento do risco à validação da construção de regras e várias outras atividades de gerenciamento de risco para seguir a conformidade contínua.

De acordo com as diferentes funções, é necessário realizar a segregação de funções no sistema GRC. SAP GRC define várias funções e responsabilidades sob a gestão de risco SoD -

Proprietários de processos de negócios

Proprietários de processos de negócios realizam as seguintes tarefas -

  • Identificar riscos e aprovar riscos para monitoramento
  • Aprovar remediação envolvendo o acesso do usuário
  • Projete controles para mitigar conflitos
  • Comunicar atribuições de acesso ou mudanças de função
  • Executar conformidade contínua proativa

Oficiais Seniores

Oficiais seniores executam as seguintes tarefas -

  • Aprovar ou rejeitar riscos entre áreas de negócios
  • Aprovar controles de mitigação para riscos selecionados

Administradores de Segurança

Os administradores de segurança executam as seguintes tarefas -

  • Assuma a propriedade das ferramentas GRC e do processo de segurança
  • Projetar e manter regras para identificar condições de risco
  • Personalize funções de GRC para impor funções e responsabilidades
  • Analisar e corrigir conflitos de SoD no nível da função

Auditores

Os auditores realizam as seguintes tarefas -

  • Avaliação de risco em uma base regular
  • Fornece requisitos específicos para fins de auditoria
  • Testes periódicos de regras e controles de mitigação
  • Atuar como elo de ligação entre auditores externos

Guardião da regra de SoD

O Guardião da Regra SoD executa as seguintes tarefas -

  • Configuração e administração da ferramenta GRC
  • Mantém controles sobre as regras para garantir a integridade
  • Atua como contato entre a base e o centro de suporte GRC

O SAP Risk Management em GRC é usado para gerenciar o gerenciamento ajustado ao risco do desempenho da empresa que capacita uma organização a otimizar a eficiência, aumentar a eficácia e maximizar a visibilidade das iniciativas de risco.

A seguir estão os key functions sob Gestão de Risco -

  • A gestão de riscos enfatiza o alinhamento organizacional em relação aos principais riscos, limites associados e mitigação de riscos.

  • A análise de risco inclui a realização de análises qualitativas e quantitativas.

  • O gerenciamento de riscos envolve a identificação dos principais riscos em uma organização.

  • A gestão de riscos também inclui estratégias de resolução / remediação de riscos.

  • A gestão de riscos realiza o alinhamento dos principais indicadores de risco e desempenho em todas as funções de negócios, permitindo a identificação antecipada de riscos e a mitigação dinâmica de riscos.

O gerenciamento de riscos também envolve o monitoramento proativo dos processos e estratégias de negócios existentes.

Fases na gestão de risco

Vamos agora discutir as várias fases do Gerenciamento de Risco. A seguir estão as várias fases da gestão de risco -

  • Reconhecimento de Risco
  • Criação e validação de regras
  • Analysis
  • Remediation
  • Mitigation
  • Conformidade Contínua

Reconhecimento de Risco

Em um processo de reconhecimento de risco sob gestão de risco, as seguintes etapas podem ser executadas -

  • Identificar riscos de autorização e aprovar exceções
  • Esclareça e classifique o risco como alto, médio ou baixo
  • Identifique novos riscos e condições para monitoramento no futuro

Criação e validação de regras

Execute as seguintes tarefas em Criação e validação de regras -

  • Consulte as regras de práticas recomendadas para o meio ambiente
  • Valide as regras
  • Personalize regras e teste
  • Verificar contra usuários de teste e casos de função

Análise

Execute as seguintes tarefas em Análise -

  • Execute os relatórios analíticos
  • Estimar os esforços de limpeza
  • Analise funções e usuários
  • Modifique as regras com base na análise
  • Defina alertas para distinguir os riscos executados

Do ponto de vista de gerenciamento, você pode ver uma visão compacta das violações de risco agrupadas por gravidade e tempo.

Step 1 - Vá para Virsa Compliance Calibrator → guia Informer

Step 2 - Para violações de SoD, você pode exibir um gráfico de pizza e um gráfico de barras para representar as violações atuais e passadas na paisagem do sistema.

A seguir estão as duas visões diferentes dessas violações -

  • Violações por nível de risco
  • Violações por processo

Remediação

Execute as seguintes tarefas em correção -

  • Determine alternativas para eliminar riscos
  • Apresentar análises e selecionar ações corretivas
  • Aprovação de documentos de ações corretivas
  • Modificar ou criar funções ou atribuições de usuário

Mitigação

Execute as seguintes tarefas sob mitigação -

  • Determine controles alternativos para mitigar o risco
  • Educar a gestão sobre a aprovação e monitoramento de conflitos
  • Documentar um processo para monitorar os controles de mitigação
  • Implementar controles

Conformidade Contínua

Execute as seguintes tarefas em Conformidade Contínua -

  • Comunicar mudanças nas funções e atribuições do usuário
  • Simule mudanças em funções e usuários
  • Implementar alertas para monitorar riscos selecionados e mitigar testes de controle

Classificação de Risco

Os riscos devem ser classificados de acordo com a política da empresa. A seguir estão as várias classificações de risco que você pode definir de acordo com a prioridade de risco e a política da empresa -

Crítico

A classificação crítica é feita para riscos que contêm ativos críticos da empresa que têm grande probabilidade de ser comprometidos por fraude ou interrupções do sistema.

Alto

Isso inclui perda física ou monetária ou interrupção de todo o sistema que inclui fraude, perda de qualquer ativo ou falha de um sistema.

Médio

Isso inclui várias interrupções do sistema, como sobrescrever dados mestre no sistema.

Baixo

Isso inclui o risco em que as perdas de produtividade ou falhas do sistema comprometidas por fraude ou interrupções e perdas do sistema sejam mínimas.

No SAP GRC 10.0 Risk Management, a fase de remediação do risco determina o método para eliminar os riscos nas funções. O objetivo da fase de remediação é determinar alternativas para eliminar problemas no gerenciamento de risco.

As seguintes abordagens são recomendadas para resolver problemas nas funções -

Funções Únicas

  • Você pode começar com funções únicas, pois é a maneira mais fácil e simples de começar.

  • Você pode verificar se há alguma violação de Segregation of Duties SoD que está sendo reintroduzida.

Funções compostas

  • Você pode realizar várias análises para verificar a atribuição do usuário na atribuição ou remoção de ações do usuário.

  • Você pode usar a visualização de gerenciamento ou relatórios de análise de risco para análise, conforme mencionado no tópico anterior.

Na correção de riscos, os administradores de segurança devem documentar o plano e os proprietários do processo de negócios devem estar envolvidos e aprovar o plano.

SAP GRC - Tipo de Relatório

Você pode gerar diferentes relatórios de análise de risco de acordo com a análise necessária -

  • Action Level - Você pode usá-lo para realizar a análise de SoD no nível de ação.

  • Permission Level - Isso pode ser usado para executar a análise de SoD nos níveis de ação e permissão.

  • Critical Actions - Isso pode ser usado para analisar os usuários que têm acesso a uma das funções críticas.

  • Critical Permissions - Isso pode ser usado para analisar usuários que têm acesso a uma função crítica.

  • Critical Roles/Profiles - Isso pode ser usado para analisar os usuários que têm acesso a funções ou perfis críticos.

No SAP GRC 10.0, você pode usar controles de mitigação quando não for possível separar a Segregação de funções SoD do processo de negócios.

Exemplo

Em uma organização, considere um cenário em que uma pessoa desempenha funções nos processos de negócios que causam a ausência de um conflito de SoD.

Existem diferentes exemplos que são possíveis para controles de mitigação -

  • Estratégias de liberação e limites de autorização
  • Revisão dos registros do usuário
  • Revisão de relatórios de exceção
  • Análise de variância detalhada
  • Estabelecer seguro para cobrir o impacto de um incidente de segurança

Tipos de controle de mitigação

Existem dois tipos de controle de mitigação no gerenciamento de riscos SAP GRC -

  • Preventive
  • Detective

Controles preventivos de mitigação

O controle de mitigação preventiva é usado para reduzir o impacto do risco antes que ele realmente ocorra. Existem várias atividades que você pode executar sob o controle de mitigação preventiva -

  • Configuration
  • Saídas do usuário
  • Security
  • Definição de fluxo de trabalho
  • Objetos Personalizados

Controles de mitigação de detetive

O controle de mitigação de detecção é usado quando um alerta é recebido e ocorre um risco. Nesse caso, a pessoa responsável por iniciar as medidas corretivas mitiga o risco.

Existem várias atividades que você pode realizar sob o controle de mitigação de detetive -

  • Relatórios de Atividades
  • Comparação do plano com a revisão real
  • Revisão de orçamento
  • Alerts

Configurando controles de migração

Siga estas etapas para configurar os controles de migração -

Step 1 - Faça login no controle de acesso SAP GRC.

Step 2- Realizar uma análise de risco no nível do usuário. Insira os detalhes abaixo -

  • Tipo de relatório
  • Formato de Relatório

Step 3 - Clique em Executar

Step 4 - Você pode alternar entre os diferentes tipos de relatório como na imagem a seguir -

Step 5 - Faça logon no SAP GRC Access Control e agende um trabalho em segundo plano de análise de risco no nível da função.

Insira os seguintes detalhes -

  • Tipo de relatório - Nível de permissão
  • Formato do relatório - Resumo

Step 6 - Clique Run in Background como mostrado na imagem a seguir -

Step 7 - Na próxima janela, você pode selecionar Start Immediately. Então cliqueOK.

No SAP GRC 10.0, o Superuser Privilege Management precisa ser implementado em sua organização para eliminar as autorizações e riscos excessivos que sua empresa enfrenta com a abordagem atual do usuário de emergência.

A seguir estão os principais recursos do Privilégio de Superusuário -

  • Você pode permitir que o superusuário execute atividades de emergência em um ambiente controlado e auditável

  • Usando o Superusuário, você pode relatar todas as atividades do usuário acessando privilégios de autorização mais altos.

  • Você pode gerar uma trilha de auditoria, que pode ser usada para documentar os motivos do uso de privilégios de acesso mais altos.

  • Esta trilha de auditoria pode ser usada para conformidade SOX.

  • O superusuário pode atuar como bombeiro e ter os seguintes recursos adicionais -

    • Ele pode ser usado para executar tarefas fora de sua função ou perfil normal em uma situação de emergência.

    • Apenas determinados indivíduos (proprietários) podem atribuir IDs de bombeiro.

    • Ele fornece uma capacidade estendida aos usuários ao criar uma camada de auditoria para monitorar e registrar o uso.

Funções padrão sob gerenciamento de privilégios de superusuário

Você pode usar as seguintes funções padrão para Gerenciamento de privilégios de superusuário -

/ VIRSA / Z_VFAT_ADMINISTRATOR

  • Isso tem a capacidade de configurar o bombeiro
  • Atribuir proprietários e controladores de funções de bombeiro a IDs de bombeiro
  • Executar relatórios

/ VIRSA / Z_VFAT_ID_OWNER

  • Atribuir IDs de bombeiro a usuários de bombeiros
  • Carregue, baixe e veja o registro do histórico de bombeiros

VIRSA / Z_VFAT_FIREFIGHTER

  • Acesse o programa de bombeiros

Vamos agora entender como implementar o Superusuário.

Você pode implementar IDs de bombeiro trabalhando nas seguintes etapas -

Step 1 - Criar IDs de bombeiro para cada área de processo de negócios

Step 2 - Atribuir funções e perfis necessários para realizar tarefas de combate a incêndios.

Você não deve atribuir o perfil SAP_ALL

Step 3 - Use o código T - SU01

Step 4 - Clique Create botão para criar um novo usuário.

Step 5 - Atribuir funções de bombeiro conforme mencionado acima para a id do usuário -

  • Atribua funções de bombeiro a IDs de usuário aplicáveis.

  • Atribua a função de administrador / VIRSA / Z_VFAT_ADMINISTRATOR ao administrador de gerenciamento de privilégios de superusuário.

  • O usuário administrador não deve ser designado para combate a incêndios

  • Atribua a função padrão / VIRSA / Z_VFAT_FIREFIGHTER para -

    • Firefighter ID - Usuário do serviço usado para logon
    • Firefighter user - Usuário padrão atuando como bombeiro no caso

  • Atribua a função de proprietário de ID / VIRSA / Z_VFAT_ID_OWNER a -

    • Proprietário - Responsável por determinar quem será atribuído a

    • Controlador - Recebe notificação quando a ID de bombeiro é de responsabilidade das IDs de bombeiro de emergência para sua área de negócios utilizada.

Step 6 - Vá para Roles guia e selecione as funções mencionadas de acordo com o requisito.

Step 7 - Criar destino RFC para a mudança interna para ID de bombeiro -

  • Nome - digite o nome da conexão RFC

  • Tipo de conexão - 3

  • Insira uma descrição

    (Nenhum nome de usuário, senha ou outros dados de logon são necessários)

  • Digite as senhas para cada ID de bombeiro na tabela Segurança: As senhas são armazenadas como valores hash e ficam ilegíveis depois que o administrador salva o valor.

Step 8 - Para criar um registro de bombeiro, você pode agendar um trabalho em segundo plano.

Nomeie o trabalho /VIRSA/ZVFATBAK como na imagem a seguir -

Log de superusuário

Vamos entender essas etapas para Log de superusuário.

Step 1 - Use Código T - Transação - / n / VIRSA / ZVFAT_V01

Step 2 - Agora você pode encontrar os logs na área da caixa de ferramentas.

Step 3 - Você pode usar transaction code — SM37 para revisar os logs de usuário individual.

Você também pode usar a interface web para acessar todas as informações do Bombeiro. Vá para SAP GRC Access control → Superusuário privilege management.

Portanto, é possível acessar os dados de diferentes instalações do Bombeiro em diferentes sistemas back-end SAP. Eit is not necessary to log on to each system anymore.

Você pode implementar a análise de risco aprimorada usando as regras da organização. Em unidades de negócios de serviço compartilhado, você pode usar as regras da organização para obter procedimentos de análise de risco e gerenciamento de grupos de usuários.

Considere um caso em que um usuário criou um fornecedor fictício e faturas foram geradas para obter benefício financeiro.

Você pode criar uma regra de organização com o código da empresa habilitado para eliminar este cenário.

As seguintes etapas devem ser realizadas para evitar esta situação -

  • Habilitar campos de nível de organização em funções
  • Criar regras da organização
  • Atualizar tabela de mapeamento de usuários da organização
  • Configurar serviço web de análise de risco

Habilitar campos de nível de organização em funções

Siga estas etapas para habilitar os campos de nível de organização nas funções -

  • Descubra as funções a serem segregadas por nível de organização em ambiente de serviço compartilhado.

  • Mantenha as permissões para as transações afetadas.

Crie regras de organização

Siga estas etapas para criar regras de organização -

Step 1 - Crie regras de organização para todos os valores possíveis do campo de organização.

Step 2 - Vá para arquiteto de regras → Nível de organização → Criar

Step 3 - Insira o campo de ID da regra da organização.

Step 4 - Insira a tarefa relacionada.

Step 5 - Definir o campo do nível da organização e combiná-los com os operadores booleanos.

Step 6 - Clique Save botão para salvar a regra da organização.

Benefícios do uso de regras da organização

Vamos agora entender os benefícios de usar regras de organização.

Você pode usar regras organizacionais para empresas para implementar os seguintes recursos -

  • Você pode usar regras de organização para implementar serviços compartilhados. Eles segregam funções com a ajuda de restrições organizacionais.

  • Vá para Análise de risco → Nível organizacional

  • Execute uma análise de risco do tipo de análise Org Rule em relação a um usuário

  • Você receberá a seguinte saída -

    • A análise de risco só mostrará um risco se o usuário tiver acesso ao mesmo código de empresa específico em cada uma das funções conflitantes.

Em uma organização, você tem proprietários de controle em diferentes níveis de hierarquia da organização. O risco deve ser gerenciado e mitigado de acordo com o nível de acesso.

A seguir estão os proprietários de controle em uma organização -

  • Um proprietário de controle para nível global
  • Diferentes proprietários de controle para níveis regionais
  • Vários proprietários de controle para nível local

Você deve atribuir controles de mitigação a diferentes níveis de responsabilidade. Agora, se houver uma violação de risco em nível regional e local, você deve realizar a mitigação de risco no nível mais alto.

Para usar o controle de mitigação na hierarquia da organização, digamos que você executou uma análise de risco no nível da organização e o usuário viola todas as regras da organização filha e atende à condição da regra pai e apenas a regra pai aparece; você pode realizar a mitigação de risco das seguintes maneiras -

  • Mitigação no nível do usuário
  • Mitigação no nível da organização

No SAO GRC 10.0, um fluxo de trabalho é acionado nas seguintes situações -

  • Para criar ou atualizar riscos.
  • Para criar ou atualizar controles de mitigação.
  • Para atribuir controles de mitigação.

Ative o risco baseado em fluxo de trabalho e controle de manutenção

Conforme você segue a abordagem de gerenciamento de mudança baseada em fluxo de trabalho na análise de risco e remediação, você deve executar as seguintes etapas -

  • Vá para a guia Configuração → opções de fluxo de trabalho
  • Defina os parâmetros abaixo -
  • Defina o parâmetro de manutenção de risco para SIM
  • Defina o parâmetro Manutenção do Controle de Mitigação como SIM
  • Defina o parâmetro Mitigação para SIM
  • Configure o URL do serviço Web de fluxo de trabalho -
http://<server>:<port>/AEWFRequestSubmissionService_5_2/Config1?wsdl&style=document
  • Personalize os fluxos de trabalho que precisam ser executados dentro do Workflow Engine.

Risco baseado em fluxo de trabalho e manutenção de controle

Quando você mantém um risco ou um controle está no SAP GRC, você executa as seguintes etapas -

Step 1 - No controle de acesso, um fluxo de trabalho é acionado para executar um risco ou um fluxo de trabalho de controle.

Step 2 - Quando você obtém as aprovações necessárias, as etapas de aprovação dependem dos requisitos do cliente.

Step 3 - Obtenha uma trilha de auditoria documentando todo o processo de aprovação.

SAP GRC - Global Trade Services

Com o SAP GRC Global Trade Services, você pode melhorar a cadeia de suprimentos internacional de mercadorias em uma organização. Esta aplicação permite automatizar os processos de negociação e ajuda a controlar os custos e reduzir o risco de penalidades e também a gerir os processos de entrada e saída.

Usando GTS, você pode criar centralize single repository que é usado para conter todos os dados mestre de conformidade e conteúdo.

A seguir estão as principais vantagens de usar o Global Trade Services -

  • Ajuda a reduzir o custo e o esforço de gerenciamento de conformidade para o comércio global.

  • Ele pode facilitar tarefas manuais demoradas e ajudar a aumentar a produtividade.

  • Reduz as penalidades para violações de conformidade comercial.

  • Ajuda a criar e melhorar a marca e a imagem e evitar o comércio com partes sancionadas ou negadas.

  • Abre caminho para a satisfação do cliente e melhora a qualidade do serviço.

  • Ele agiliza os processos de entrada e saída, realizando o desembaraço aduaneiro e também ajuda a remover atrasos desnecessários.

Integração entre SAP ERP e SAP Global Trade Services

A ilustração a seguir mostra o fluxo do processo de integração entre SAP ERP e SAP Global Trade Services -

Quando você instala o SAP GRC, há várias configurações e definições que você precisa executar no GRC. As principais atividades incluem -

  • Criação de conectores em GRC

  • Configurando AMF para usar os conectores

  • Criação de conectores de retorno de chamada

  • A criação de conexões em GRC é o processo padrão de criação de conexão RFC usando T-Code - SM59

SAP GRC está disponível em SAP Easy Access → na pasta Governance Risk Compliance.

Step 1 - Abra o menu SAP Easy access e use T-Code - SPRO

Step 2 - Vá para Governança, Risco e Conformidade em Referência SAP IMG → Configurações de Componente Comum → Estrutura de Integração → Criar Conectores

Step 3 - Criar conector é um atalho para a criação da conexão SM59.

Step 4 - Para ver as conexões existentes, vá para Manter conectores e tipos de conexão -

Você pode ver os tipos de conectores conforme mostrado abaixo. Esses tipos de conectores podem ser usados ​​para configuração para diferentes fins -

  • Os conectores do sistema local são usados ​​para integração com o aplicativo SAP BusinessObjects Access Control para monitorar a segregação de violações de deveres

  • Conectores de serviço da Web são usados ​​para fontes de dados de parceiros externos (consulte a seção)

  • Os conectores do sistema SAP são usados ​​em todos os outros casos.

Step 5 - Vá para Connection Type Definition guia -

Step 6- Defina quais dos conectores previamente definidos no SM59 podem ser usados ​​no monitoramento. Vá para definir conectores

Step 7- Na tela você pode ver um nome de conector - SMEA5_100. Este é um conector que mostra um conector para um sistema ECC.

A terceira coluna que lista o nome de um conector que é definido no sistema monitorado e que está configurado para apontar de volta para o sistema GRC sendo configurado aqui.

SMEA5_100 é outro conector no sistema GRC e aponta para um sistema ERP que deve ser monitorado. SM2 é um conector no sistema ECC e aponta para o sistema GRC.

Step 8 - Definir tela de grupo de conectores no lado esquerdo.

Step 9 - Aqui você deve garantir que todas as configurações do conector para monitoramento automatizado devem pertencer ao grupo de configuração chamado Automated Monitoring como mostrado acima em define automated monitoring connector group.

Step 10 - Vá para assign connectors to connector group no lado esquerdo.

Step 11 - Atribua o conector ao grupo de conectores AM conforme mencionado na captura de tela acima.

Step 12 - Vá para Maintain Connection Settings no menu principal como na imagem a seguir.

Step 13 - Você precisa inserir o cenário de integração desejado, insira AM como na imagem a seguir -

Step 14- Clique na marca de seleção verde, conforme mostrado na imagem acima; você será direcionado para a tela a seguir com nove subcenários.

A caixa destacada mostra nove entradas chamadas subcenários e representam os diferentes tipos de fontes de dados e regras de negócios com suporte no Controle de Processo 10.

Step 15 - Para que o sistema seja monitorado, você precisa vincular o conector correspondente a esse subcenário.

Step 16 - Selecione o subcenário que você deseja configurável e, em seguida, escolha o link do conector do cenário no lado esquerdo, conforme mostrado abaixo -

Step 17 - Você será direcionado para a seguinte tela -

Step 18 - Agora, o conector que você deseja usar para esse cenário ainda não está na lista para esse subcenário,

  • Você pode clicar no botão Novas Entradas na parte superior para adicioná-lo.
  • Você pode seguir estas recomendações para adicionar subcenários -
    • Aplicativos ABAP - relatório ABAP, consulta SAP, programa configurável
    • SAP BW - consulta BW
    • Sistema Não SAP - Parceiro Externo
    • Integrador de processos - PI
    • Sistema GRC - integração SoD

No SAP GRC Process Control, você pode criar fontes de dados. Aqui, as interfaces de usuário em tempo de design estão na opção Configuração de regra no cliente Business.

Vá para a seção de monitoramento contínuo, onde você pode encontrar Data Sources e Business Rules opção.

Para criar uma nova fonte de dados, clique em Fontes de dados → Criar.

No próximo campo, você pode ver três guias diferentes para definir a fonte de dados.

  • Guia geral
  • Campo de Objeto
  • Link e anexo

Na guia Geral, insira os seguintes detalhes -

  • Nome da fonte de dados
  • Data de início do período de validade
  • Data de término do período de validade
  • Status

Vamos para Object Field guia, selecione os seguintes campos -

No SAP GRC 10.0, você pode usar regras de negócios para filtrar o fluxo de dados que vem das fontes de dados e pode aplicar as condições / cálculos configurados pelo usuário contra esses dados para determinar se há um problema que requer atenção.

O tipo de regra de negócios depende puramente do tipo de fonte de dados.

Vá para Regras de negócios em Configuração de regra.

Para criar novas regras de negócios, há uma lista de etapas que você precisa seguir com alguns dos tipos de fonte de dados.

Você precisa definir os detalhes em cada guia. Por exemplo, noGeneral guia, você precisa inserir as informações básicas sobre a regra de negócios. Business rule gives you data to filter the deficiencies.

Na guia Dados para Análise, você verá uma lista de campos disponíveis.

Vá para o filtro criterial para passar a condição do filtro nos objetos disponíveis. Você pode selecionar diferentes operadores.

Ao definir todas as etapas, você tem a opção de salvar a regra. Se você deseja aplicar a regra ao Controle de Processo, você pode fazer clicando emApply botão.

Para atribuir uma regra de negócios a um controle de processo, vá para Atribuição de regra de negócios em Monitoramento contínuo em Configuração de regra.

Selecione o controle e pesquise a regra de negócios a ser aplicada.

Agora entendemos como criar fontes de dados e regras de negócios para aplicar filtros em fontes de dados e como atribuir regras de negócios aos controles de processo.