SAP GRC - Gestión de riesgos

SAP Risk Management en GRC se utiliza para gestionar la gestión ajustada al riesgo del rendimiento empresarial que permite a una organización optimizar la eficiencia, aumentar la eficacia y maximizar la visibilidad en todas las iniciativas de riesgo.

Los siguientes son los key functions bajo Gestión de Riesgos -

  • La gestión de riesgos hace hincapié en la alineación organizacional hacia los principales riesgos, los umbrales asociados y la mitigación de riesgos.

  • El análisis de riesgos incluye la realización de análisis cualitativos y cuantitativos.

  • La gestión de riesgos implica la identificación de riesgos clave en una organización.

  • La gestión de riesgos también incluye estrategias de resolución / remediación de riesgos.

  • La gestión de riesgos realiza la alineación de los indicadores clave de riesgo y rendimiento en todas las funciones comerciales, lo que permite una identificación de riesgos más temprana y una mitigación dinámica de riesgos.

La gestión de riesgos también implica un seguimiento proactivo de los procesos y estrategias comerciales existentes.

Fases de la gestión de riesgos

Analicemos ahora las distintas fases de la gestión de riesgos. Las siguientes son las distintas fases de la gestión de riesgos:

  • Reconocimiento de riesgos
  • Creación y validación de reglas
  • Analysis
  • Remediation
  • Mitigation
  • Cumplimiento continuo

Reconocimiento de riesgos

En un proceso de reconocimiento de riesgos bajo gestión de riesgos, se pueden realizar los siguientes pasos:

  • Identificar riesgos de autorización y aprobar excepciones
  • Aclarar y clasificar el riesgo como alto, medio o bajo
  • Identificar nuevos riesgos y condiciones para monitorear en el futuro.

Creación y validación de reglas

Realice las siguientes tareas en Creación y validación de reglas:

  • Consulte las reglas de mejores prácticas para el medio ambiente
  • Valida las reglas
  • Personaliza reglas y prueba
  • Verificar contra casos de roles y usuarios de prueba

Análisis

Realice las siguientes tareas en Análisis:

  • Ejecute los informes analíticos
  • Estimar los esfuerzos de limpieza
  • Analizar roles y usuarios
  • Modificar reglas basadas en análisis
  • Establecer alertas para distinguir los riesgos ejecutados

Desde el aspecto de la administración, puede ver una vista compacta de las infracciones de riesgo que están agrupadas por gravedad y tiempo.

Step 1 - Vaya a Virsa Compliance Calibrator → pestaña Informer

Step 2 - Para las infracciones de SoD, puede mostrar un gráfico circular y un gráfico de barras para representar las infracciones actuales y pasadas en el panorama del sistema.

Los siguientes son los dos puntos de vista diferentes sobre estas violaciones:

  • Infracciones por nivel de riesgo
  • Violaciones por proceso

Remediación

Realice las siguientes tareas en reparación:

  • Determinar alternativas para eliminar riesgos
  • Presentar análisis y seleccionar acciones correctivas
  • Documentar la aprobación de acciones correctivas
  • Modificar o crear roles o asignaciones de usuarios

Mitigación

Realice las siguientes tareas bajo mitigación:

  • Determinar controles alternativos para mitigar el riesgo.
  • Educar a la gerencia sobre la aprobación y el monitoreo de conflictos
  • Documentar un proceso para monitorear los controles de mitigación
  • Implementar controles

Cumplimiento continuo

Realice las siguientes tareas en Cumplimiento continuo:

  • Comunicar cambios en roles y asignaciones de usuarios
  • Simular cambios en roles y usuarios
  • Implementar alertas para monitorear riesgos seleccionados y mitigar las pruebas de control

Clasificación de riesgo

Los riesgos deben clasificarse según la política de la empresa. Las siguientes son las diversas clasificaciones de riesgo que puede definir según la prioridad de riesgo y la política de la empresa:

Crítico

La clasificación crítica se realiza para riesgos que contienen activos críticos de la empresa que muy probablemente se verán comprometidos por fraude o interrupciones del sistema.

Alto

Esto incluye pérdida física o monetaria o interrupción de todo el sistema que incluye fraude, pérdida de cualquier activo o falla de un sistema.

Medio

Esto incluye múltiples interrupciones del sistema, como sobrescribir datos maestros en el sistema.

Bajo

Esto incluye el riesgo donde las pérdidas de productividad o fallas del sistema comprometidas por fraude o interrupciones y pérdidas del sistema son mínimas.