La solución SAP Governance, Risk and Compliance permite a la organización gestionar las regulaciones y el cumplimiento y eliminar cualquier riesgo en la gestión de las operaciones clave de la organización. Debido a la cambiante situación del mercado, las organizaciones están creciendo y cambiando rápidamente y con documentos inapropiados, las hojas de cálculo no son aceptables para los auditores y reguladores externos.

SAP GRC ayuda a la organización a administrar sus regulaciones y cumplimiento y puede realizar las siguientes actividades:

  • Fácil integración de las actividades de GRC en procesos existentes y automatización de actividades clave de GRC.

  • Baja complejidad y gestión eficiente del riesgo.

  • Mejorar las actividades de gestión de riesgos.

  • Gestionar el fraude en el negocio procesado y la gestión de auditorías de forma eficaz.

  • Las organizaciones funcionan mejor y las empresas pueden proteger sus valores.

  • La solución SAP GRC consta de tres áreas principales: Analizar, administrar y monitorear.

  • Control de acceso SAP GRC
  • Control de procesos SAP GRC
  • Gestión de riesgos SAP GRC
  • Gestión de auditoría de SAP GRC
  • Gestión de fraudes SAP GRC
  • Servicios de comercio global de GRC

Para mitigar el riesgo en una organización, se requiere realizar un control de riesgo como parte de la práctica de cumplimiento y regulación. Las responsabilidades deben estar claramente definidas, administrar el aprovisionamiento de roles y administrar el acceso para el superusuario es fundamental para administrar el riesgo en una organización.

El control de procesos SAP GRC se utiliza para monitorear tareas e informes en tiempo real y puede generar el estado de cumplimiento de los controles implementados según los procesos comerciales y alineando los procesos comerciales para realizar la prevención y mitigación de riesgos.

La gestión de riesgos de SAP GRC le permite gestionar las actividades de gestión de riesgos. Puede realizar una planificación anticipada para identificar el riesgo en el negocio e implementar medidas para gestionar el riesgo y permitirle tomar mejores decisiones que mejoren el rendimiento del negocio.

Los riesgos se presentan de muchas formas:

  • Riesgo operacional
  • Riesgo estratégico
  • Riesgo de cumplimiento
  • Riesgo financiero

Esto se utiliza para mejorar el proceso de gestión de auditoría en una organización al documentar los artefactos, organizar los papeles de trabajo y crear informes de auditoría. Puede integrarse fácilmente con otras soluciones de gobernanza, riesgo y cumplimiento y permite a las organizaciones alinear las políticas de gestión de auditoría con los objetivos comerciales.

La herramienta de gestión de fraudes SAP GRC ayuda a las organizaciones a detectar y prevenir fraudes en una etapa temprana y, por lo tanto, reducir al mínimo las pérdidas comerciales. Los escaneos se pueden realizar en una gran cantidad de datos en tiempo real con más precisión y las actividades fraudulentas se pueden identificar fácilmente.

El software de gestión de fraudes de SAP puede ayudar a las organizaciones con las siguientes capacidades:

  • Fácil investigación y documentación de casos de fraude.

  • Aumente la alerta y la capacidad de respuesta del sistema para evitar que se produzcan actividades fraudulentas con mayor frecuencia en el futuro.

  • Escaneo sencillo de grandes volúmenes de transacciones y datos comerciales.

El software SAP GRC GTS ayuda a las organizaciones a mejorar el suministro transfronterizo dentro de los límites de la gestión del comercio internacional. Ayuda a reducir la penalización de los riesgos de las autoridades de regulación del comercio internacional.

Proporciona un proceso de gestión de comercio global centralizado con un único repositorio para todos los datos maestros de cumplimiento y el contenido, independientemente del tamaño de la organización.

Sí, usando el código T: EWZ5

Los objetos de autorización son grupos de campos de autorización que se utilizan para regular actividades en el sistema SAP. Todos los objetos pertenecen a la clase Autorización y se agrupan por diferentes áreas funcionales como Finanzas, contabilidad, etc.

El control de acceso de SAP GRC utiliza roles UME para controlar la autorización del usuario en el sistema. Un administrador puede usar acciones que representan la entidad más pequeña de rol UME que un usuario puede usar para construir derechos de acceso.

Un rol de UME puede contener acciones de una o más aplicaciones. Debe asignar roles UME a los usuarios en el motor de administración de usuarios (UME).

Motor de gestión de usuarios (UME). Cuando un usuario no tiene acceso a una pestaña determinada, la pestaña no se mostrará cuando el usuario inicie sesión cuando el usuario intente acceder a esa pestaña. Cuando se asigna una acción UME para una pestaña a ese usuario en particular, solo entonces podrá acceder a esa función.

Todas las acciones UME estándar disponibles para las pestañas CC se pueden encontrar en la pestaña "Acciones asignadas" del Usuario administrador.

CC.ReportingView

Descripción: Visualización e informes del calibrador de cumplimiento

CC.RuleMaintenance

Descripción: Mantenimiento de la regla del calibrador de cumplimiento

CC.MitMaintenance

Descripción: Mantenimiento de mitigación del calibrador de cumplimiento

CC.Administration

Descripción: Administración del calibrador de cumplimiento y configuración básica

Risk Analysis and Remediation (RAR) −

En el control de acceso de GRC, puede utilizar la capacidad de Análisis y corrección de riesgos (RAR) para realizar auditorías de seguridad y análisis de segregación de funciones (SoD). Es una herramienta que se puede utilizar para identificar, analizar y resolver problemas de riesgo y auditoría relacionados con el cumplimiento normativo.

El control de acceso y el control de procesos comparten la estructura de cumplimiento en las siguientes áreas:

  • En la solución de control de procesos, los controles se utilizan como control de mitigación en el control de acceso bajo la solución SAP GRC 10.0.

  • El control de acceso y el control de procesos comparten la misma organización.

  • En el control de procesos, los procesos se utilizan como procesos comerciales en el control de acceso.

  • El control de procesos y el control de acceso se integran con el análisis de riesgos de acceso para monitorear la segregación de funciones.

  • Asignación de roles de GRC
  • Planificador de control de procesos
  • Planificador de gestión de riesgos
  • Delegación Central

La gestión de auditoría interna le permite procesar la información de la gestión de riesgos y el control de procesos para utilizarla en la planificación de la auditoría. La propuesta de auditoría se puede transferir a la gestión de auditoría para su procesamiento cuando sea necesario y los elementos de auditoría se pueden utilizar para generar problemas para informar. IAM le proporciona un lugar donde puede realizar una planificación de auditoría completa, crear elementos de auditoría, definir el universo de auditoría y crear y ver informes de auditoría y problemas de auditoría.

En el centro de trabajo Gestión de Auditoría Interna puede realizar diversas actividades:

  • Audit Universe contiene entidades auditables
  • Calificación de riesgo de auditoría
  • Planificación de la auditoría para definir el procedimiento de cumplimiento de la auditoría
  • Problemas de auditoría de acciones de auditoría
  • Informes de auditoría para ver qué riesgos existen en las entidades auditables

Audit Universe contiene entidades de auditoría que pueden clasificarse como unidades de negocio, Lob o departamentos. Las entidades de auditoría definen la estrategia de planificación de la auditoría y estas se pueden vincular al control de procesos y la gestión de riesgos para encontrar riesgos, controles, etc.

La calificación de riesgo de auditoría se utiliza para definir los criterios para que una organización encuentre la calificación de riesgo y establezca la calificación de riesgo. Cada entidad audible se califica según los comentarios de la administración en ARR. Puede usar ARR para realizar lo siguiente:

  • Puede encontrar un conjunto de entidades auditables y factores de riesgo

  • Definir y evaluar puntajes de riesgo por factor de riesgo en cada entidad auditable.

  • Según la puntuación de riesgo, puede calificar la entidad auditable.

  • También puede generar un plan de auditoría a partir de ARR comparando puntuaciones de riesgo para diferentes entidades auditables. Seleccionar las entidades auditables de alto puntaje de riesgo y generar propuesta de auditoría y propuesta de plan de auditoría.

El centro de trabajo de informes y análisis es compartido por Control de procesos, gestión de riesgos y control de acceso. El centro de trabajo Análisis e informes de control de procesos consta de la sección Cumplimiento en la aplicación GRC.

En la sección de cumplimiento, puede crear varios informes en Control de procesos.

Evaluation Status Dashboard -

Muestra una imagen de alto nivel del estado general del cumplimiento corporativo en diferentes entidades comerciales y proporciona capacidades de análisis y desglose para ver datos en diferentes niveles y dimensiones.

Survey Results -

Muestra los resultados de las encuestas.

Datasheet -

Proporciona información completa sobre datos maestros, evaluación y actividades de remediación para subprocesos y controles.

En todos los negocios, se requiere realizar la administración de riesgos de segregación de funciones, desde el reconocimiento de riesgos hasta la validación de la creación de reglas y varias otras actividades de administración de riesgos para seguir el cumplimiento continuo.

Según los diferentes roles, es necesario realizar la segregación de funciones en el sistema GRC.

Business Process Owners -

  • Identificar riesgos y aprobar riesgos para seguimiento.
  • Aprobar las medidas correctivas que impliquen el acceso de los usuarios.
  • Diseñar controles para mitigar conflictos.
  • Comunicar asignaciones de acceso o cambios de roles.
  • Realice un cumplimiento continuo proactivo.

Senior Officers -

  • Aprobar o rechazar riesgos entre áreas de negocio
  • Aprobar controles de mitigación para riesgos seleccionados

Security Administrators -

  • Asumir la propiedad de las herramientas GRC y el proceso de seguridad
  • Diseñar y mantener reglas para identificar condiciones de riesgo.
  • Personalice los roles de GRC para hacer cumplir roles y responsabilidades
  • Analizar y remediar conflictos de SoD a nivel de rol

Auditors -

  • Realizar evaluaciones de riesgos de forma regular
  • Proporcionar requisitos específicos para fines de auditoría.
  • Realizar pruebas periódicas de reglas y controles de mitigación.
  • Actuar como enlace entre auditores externos

SoD Rule Keeper -

  • Realice la configuración y administración de la herramienta GRC
  • Mantener controles sobre las reglas para garantizar la integridad.
  • Actuar como enlace entre la base y el centro de soporte de GRC

Hay varias fases en el proceso de gestión de riesgos:

  • Reconocimiento de riesgos
  • Creación y validación de reglas
  • Analysis
  • Remediation
  • Mitigation
  • Cumplimiento continuo
  • Reconocimiento de riesgos
  • Creación y validación de reglas
  • Analysis
  • Remediation
  • Mitigation
  • Cumplimiento continuo
  • Consulte las reglas de mejores prácticas para el medio ambiente
  • Validando las reglas
  • Personaliza reglas y prueba
  • Verificar contra casos de roles y usuarios de prueba

El riesgo debe clasificarse según la política de la empresa. Existen varias clasificaciones de riesgo que puede definir según la prioridad de riesgo y la política de la empresa:

Critical -

La clasificación crítica se realiza para los riesgos que contienen activos críticos de la empresa que es muy probable que se vean comprometidos por fraude o interrupciones del sistema.

High -

Esto incluye la pérdida física o monetaria o la interrupción de todo el sistema incluye fraude, pérdida de cualquier activo o falla de un sistema.

Medium -

Esto incluye múltiples interrupciones del sistema, como sobrescribir datos maestros en el sistema.

Low -

Esto incluye el riesgo donde las pérdidas de productividad o fallas del sistema comprometidas por fraude o interrupciones y pérdidas del sistema son mínimas.

La tabla de decisiones BRFplus no contiene la condición adecuada.

El control de mitigación preventivo se utiliza para reducir el impacto del riesgo antes de que realmente ocurra. Hay varias actividades que puede realizar bajo control de mitigación preventiva:

  • Configuration
  • Salidas de usuario
  • Security
  • Definición de flujo de trabajo
  • Objetos personalizados

Detective Mitigation Controls -

El control de mitigación de detectives se utiliza cuando se recibe una alerta y se produce un riesgo. En este caso la persona que se encarga de iniciar la medida correctiva para mitigar el riesgo.

Hay varias actividades que puede realizar bajo el control de mitigación de detectives:

  • Reportes de actividad
  • Comparación del plan con la revisión real
  • Revisión de presupuesto
  • Alerts

En SAP GRC 10.0, la gestión de privilegios de superusuario debe implementarse en su organización para eliminar las autorizaciones excesivas y los riesgos que experimenta su empresa con el enfoque de usuario de emergencia actual.

  • Puede permitir que el superusuario realice actividades de emergencia en un entorno controlado y auditable

  • Con Superusuario, puede informar todas las actividades del usuario que acceden a privilegios de autorización superiores.

  • Puede generar una pista de auditoría, que se puede utilizar para documentar las razones por las que se utilizan privilegios de acceso superiores.

  • Esta pista de auditoría se puede utilizar para el cumplimiento de SOX

El superusuario puede actuar como bombero y tener las siguientes capacidades adicionales:

  • Se puede utilizar para realizar tareas fuera de su rol o perfil normal en una situación de emergencia.

  • Solo determinadas personas (propietarios) pueden asignar identificaciones de bombero

  • Permite que se brinde una capacidad extendida a los usuarios mientras se crea una capa de auditoría para monitorear y registrar el uso.

Puede utilizar los siguientes roles estándar que se pueden utilizar para la gestión de privilegios de superusuario.

/VIRSA/Z_VFAT_ADMINISTRATOR -

  • Posibilidad de configurar Firefighter
  • Asignar propietarios y controladores de roles de bombero a las ID de bombero
  • Ejecutar informes

/VIRSA/Z_VFAT_ID_OWNER -

  • Asignar ID de bombero a usuarios de bombero
  • Cargar, descargar y ver el registro del historial de bomberos

Use T-Code: Transacción: / n / VIRSA / ZVFAT_V01

A continuación se muestran las ventajas clave de utilizar Global Trade Services:

  • Ayuda a reducir el costo y el esfuerzo de administrar el cumplimiento para el comercio global.

  • Puede facilitar las tareas manuales que requieren mucho tiempo y ayuda a mejorar la productividad.

  • Reduce las sanciones por infracciones de cumplimiento comercial

  • Le ayuda a crear y mejorar la marca y la imagen y evitar el comercio con partes sancionadas o denegadas.

  • Mayor satisfacción del cliente y mejora de la calidad del servicio.

  • Acelera los procesos de entrada y salida al realizar el despacho de aduanas y también ayuda a eliminar retrasos innecesarios.

Para el rol único, puede agregar / eliminar códigos de transacción mientras que en roles derivados no puede agregar códigos T.

El búfer de usuario almacena toda la autorización de un usuario.

Puede asignar 14000 transacciones a un rol.

Uso de códigos de transacción SM18.

La implementación de ID de bombero consiste en los siguientes pasos:

  • Creación de ID de bombero para cada área de proceso empresarial
  • Lo siguiente es asignar roles y perfiles necesarios para llevar a cabo tareas de extinción de incendios.
  • No debes asignar el perfil SAP_ALL

La colección de múltiples reglas se conoce como conjunto de reglas. En GRC, tenemos un conjunto de reglas predeterminado conocido como conjunto de reglas globales.

Utilizando el trabajo de fondo PFCG_TIME_DEPENDANCY.

GRC landscape tiene 2 sistemas:

  • Desarrollo de SAP GRC
  • SAP GRC PRD y no existe un sistema de calidad.

SOD se implementa en el sistema SAP para detectar y monitorear el fraude en las transacciones comerciales.

La tabla USR40 se utiliza para almacenar todos los detalles de las contraseñas ilegales.

Debe asignar las siguientes funciones al usuario para iniciar sesión en el sistema GRS:

  • Autorización del portal
  • Roles de PFCG aplicables
  • Roles de PFCG para control de acceso, control de procesos y gestión de riesgos