SAP GRC – 风险管理

GRC 中的 SAP Risk Management 用于管理企业绩效的风险调整管理，使组织能够优化效率、提高有效性并最大限度地提高风险计划的可见性。

以下是风险管理下的主要功能–

• 风险管理强调组织对最高风险、相关阈值和风险缓解的调整。

• 风险分析包括进行定性和定量分析。

• 风险管理涉及识别组织中的关键风险。

• 风险管理还包括风险的解决/补救策略。

• 风险管理在所有业务功能中执行关键风险和绩效指标的调整，从而允许早期风险识别和动态风险缓解。

风险管理还涉及对现有业务流程和战略的主动监控。

风险管理的阶段

现在让我们讨论风险管理的各个阶段。以下是风险管理的各个阶段 –

• 风险识别
• 规则构建和验证
• 分析
• 修复
• 减轻
• 持续合规

风险识别

在风险管理下的风险识别过程中，可以执行以下步骤 –

• 识别授权风险并批准例外
• 明确风险并将其分类为高、中或低
• 识别未来监测的新风险和条件

规则构建和验证

在规则构建和验证下执行以下任务 –

• 参考环境的最佳实践规则
• 验证规则
• 自定义规则和测试
• 针对测试用户和角色案例进行验证

分析

在分析下执行以下任务 –

• 运行分析报告
• 估计清理工作
• 分析角色和用户
• 根据分析修改规则
• 设置警报以区分执行的风险

从管理方面，您可以查看按严重性和时间分组的风险违规的紧凑视图。

步骤 1 – 转到 Virsa 合规性校准器 → Informer 选项卡

步骤 2 – 对于 SoD 违规，您可以显示饼图和条形图来表示系统环境中当前和过去的违规。

以下是对这些违规行为的两种不同看法 –

• 按风险级别划分的违规
• 流程违规

修复

在修复下执行以下任务 –

• 确定消除风险的替代方案
• 进行分析并选择纠正措施
• 纠正措施的文件批准
• 修改或创建角色或用户分配

减轻

在缓解下执行以下任务 –

• 确定替代控制措施以降低风险
• 对管理层进行冲突批准和监控方面的教育
• 记录监控缓解控制的过程
• 实施控制

持续合规

在持续合规下执行以下任务 –

• 传达角色和用户分配的变化
• 模拟角色和用户的变化
• 实施警报以监控选定的风险并减轻控制测试

风险分类

应根据公司政策对风险进行分类。以下是您可以根据风险优先级和公司政策定义的各种风险分类 –

危急

关键分类是针对包含公司关键资产的风险进行的，这些资产很可能会因欺诈或系统中断而受到损害。

高的

这包括物理或金钱损失或系统范围的中断，包括欺诈、任何资产丢失或系统故障。

中等的

这包括多个系统中断，例如覆盖系统中的主数据。

低的

这包括由欺诈或系统中断和损失造成的生产力损失或系统故障最小的风险。