SAP GRC - Gestão de Risco

O SAP Risk Management em GRC é usado para gerenciar o gerenciamento ajustado ao risco do desempenho da empresa que capacita uma organização a otimizar a eficiência, aumentar a eficácia e maximizar a visibilidade das iniciativas de risco.

A seguir estão os key functions sob Gestão de Risco -

  • A gestão de riscos enfatiza o alinhamento organizacional em relação aos principais riscos, limites associados e mitigação de riscos.

  • A análise de risco inclui a realização de análises qualitativas e quantitativas.

  • O gerenciamento de riscos envolve a identificação dos principais riscos em uma organização.

  • A gestão de riscos também inclui estratégias de resolução / remediação de riscos.

  • A gestão de riscos realiza o alinhamento dos principais indicadores de risco e desempenho em todas as funções de negócios, permitindo a identificação antecipada de riscos e a mitigação dinâmica de riscos.

O gerenciamento de riscos também envolve o monitoramento proativo dos processos e estratégias de negócios existentes.

Fases na gestão de risco

Vamos agora discutir as várias fases do Gerenciamento de Risco. A seguir estão as várias fases da gestão de risco -

  • Reconhecimento de Risco
  • Criação e validação de regras
  • Analysis
  • Remediation
  • Mitigation
  • Conformidade Contínua

Reconhecimento de Risco

Em um processo de reconhecimento de risco sob gestão de risco, as seguintes etapas podem ser executadas -

  • Identificar riscos de autorização e aprovar exceções
  • Esclareça e classifique o risco como alto, médio ou baixo
  • Identifique novos riscos e condições para monitoramento no futuro

Criação e validação de regras

Execute as seguintes tarefas em Criação e validação de regras -

  • Consulte as regras de práticas recomendadas para o meio ambiente
  • Valide as regras
  • Personalize regras e teste
  • Verificar contra usuários de teste e casos de função

Análise

Execute as seguintes tarefas em Análise -

  • Execute os relatórios analíticos
  • Estimar os esforços de limpeza
  • Analise funções e usuários
  • Modifique as regras com base na análise
  • Defina alertas para distinguir os riscos executados

Do ponto de vista de gerenciamento, você pode ver uma visão compacta das violações de risco agrupadas por gravidade e tempo.

Step 1 - Vá para Virsa Compliance Calibrator → guia Informer

Step 2 - Para violações de SoD, você pode exibir um gráfico de pizza e um gráfico de barras para representar as violações atuais e passadas na paisagem do sistema.

A seguir estão as duas visões diferentes dessas violações -

  • Violações por nível de risco
  • Violações por processo

Remediação

Execute as seguintes tarefas em correção -

  • Determine alternativas para eliminar riscos
  • Apresentar análises e selecionar ações corretivas
  • Aprovação de documentos de ações corretivas
  • Modificar ou criar funções ou atribuições de usuário

Mitigação

Execute as seguintes tarefas sob mitigação -

  • Determine controles alternativos para mitigar o risco
  • Educar a gestão sobre a aprovação e monitoramento de conflitos
  • Documentar um processo para monitorar os controles de mitigação
  • Implementar controles

Conformidade Contínua

Execute as seguintes tarefas em Conformidade Contínua -

  • Comunicar mudanças nas funções e atribuições do usuário
  • Simule mudanças em funções e usuários
  • Implementar alertas para monitorar riscos selecionados e mitigar testes de controle

Classificação de Risco

Os riscos devem ser classificados de acordo com a política da empresa. A seguir estão as várias classificações de risco que você pode definir de acordo com a prioridade de risco e a política da empresa -

Crítico

A classificação crítica é feita para riscos que contêm ativos críticos da empresa que têm grande probabilidade de ser comprometidos por fraude ou interrupções do sistema.

Alto

Isso inclui perda física ou monetária ou interrupção de todo o sistema que inclui fraude, perda de qualquer ativo ou falha de um sistema.

Médio

Isso inclui várias interrupções do sistema, como sobrescrever dados mestre no sistema.

Baixo

Isso inclui o risco em que as perdas de produtividade ou falhas do sistema comprometidas por fraude ou interrupções e perdas do sistema sejam mínimas.