Copyright HébergementWebs.com - License GPL

SAP GRC - Guide rapide

Tutoriel sap grc   2020-11-15 20:21:54

SAP GRC - Guide rapide SAP GRC - Présentation Gouvernance SAP, La solution Risk and Compliance permet aux organisations de gérer les réglementations et la conformité et d"éliminer tout risque lié à la gestion des opérations clés des organisations. Compte tenu de l"évolution de la situation du marché, les organisations se développent et changent rapidement et les documents inappropriés, les feuilles de calcul ne sont pas acceptables pour les auditeurs externes et les régulateurs. SAP GRC aide l"organisation à gérer ses réglementations et sa conformité et à effectuer les activités suivantes - Intégration facile des activités GRC dans les processus existants et automatisation des activités GRC clés. Faible complexité et gérer efficacement les risques. Améliorer les activités de gestion des risques. Gérer efficacement la fraude dans l"entreprise et gérer efficacement les audits. Les organisations fonctionnent mieux et les entreprises peuvent protéger leurs valeurs. La solution SAP GRC se compose de trois domaines principaux: analyser, gérer et surveiller. Modules dans SAP GRC Comprenons maintenant les différents modules de SAP GRC - SAP GRC Access Control Pour atténuer les risques dans une organisation, il est nécessaire d"effectuer un contrôle des risques l dans le cadre de la pratique de la conformité et de la réglementation. Les responsabilités doivent être clairement définies, la gestion de l"attribution des rôles et la gestion des accès pour le super utilisateur sont essentielles pour gérer les risques dans une organisation. SAP GRC Process Control and Fraud Management Logiciel SAP GRC Process Control La solution est utilisée pour gérer la conformité et la gestion des politiques. Les capacités de gestion de la conformité permettent aux organisations de gérer et de surveiller leurs environnements de contrôle interne. Les organisations peuvent résoudre de manière proactive tout problème identifié et certifier et signaler l"état général des activités de conformité correspondantes. SAP Process Control prend en charge le cycle de vie complet de la gestion des politiques, y compris la distribution etrespect des politiques par les groupes cibles. Ces politiques aident les organisations à réduire le coût de la conformité et à améliorer la transparence de la gestion et permettent à l"organisation de développer des processus et des politiques de gestion de la conformité dans l"environnement commercial. SAP GRC Risk Management SAP GRC Risk Management vous permet de gérer les activités de gestion des risques. Vous pouvez planifier à l"avance pour identifier les risques dans l"entreprise et mettre en œuvre des mesures pour gérer les risques et vous permettre de prendre de meilleures décisions qui améliorent les performances de l"entreprise. Les risques prennent de nombreuses formes - Risque opérationnel Risque stratégique Risque de conformité Risque financier SAP GRC Audit Management Ceci est utilisé pour améliorer le processus de gestion de l"audit dans une organisation en documentant les artefacts, en organisant les documents de travail et en créant des rapports d"audit. Vous pouvez facilement intégrer d"autres solutions de gouvernance, de risque et de conformité et permettre aux organisations d"aligner les politiques de gestion d"audit avec les objectifs de l"entreprise. La gestion d"audit SAP GRC aide l"auditeur à simplifier les choses en fournissant les fonctionnalités suivantes - Vous pouvez capturer instantanément les artefacts pour la gestion de l"audit et d"autres preuves à l"aide de la fonction de glisser-déposer des fonctionnalités mobiles. Vous pouvez facilement créer, suivre et gérer les problèmes d"audit grâce à une surveillance et un suivi globaux. Vous pouvez effectuer une recherche à l"aide des capacités de recherche qui permettent d"obtenir plus d"informations sur les anciennes versions et le travail documents. Vous pouvez engager des auditeurs avec une interface conviviale et des outils de collaboration. Intégration facile de la gestion d"audit avec SAP Fraud Management, SAP Risk Management et SAP Process Control pour aligner le processus d"audit sur les objectifs de l"entreprise. Résolution rapide des problèmes à l"aide d"un outil de suivi automatisé. Améliorez l"utilisation du personnel et réduisez les frais de déplacement grâce à la planification de l"audit interne, à la gestion des ressources et à la planification. Intégration facile avec l"outil de reporting et de visualisation de données SAP Business Objects pour visualiser les rapports d"audit à l"aide de Lumira et d"autres rapports BI. Utilisation de modèles préétablis pour standardiser les artefacts d"audit et le processus de reporting. Gestion des fraudes SAP GRC L"outil de gestion des fraudes SAP GRC aide les organisations à détecter et à prévenir les fraudes à un stade précoce, réduisant ainsi au minimum les pertes commerciales. Les scans peuvent être effectués sur d"énormes quantités de données en temps réel avec plus de précision et les activités frauduleuses peuvent être facilement identifiées. Le logiciel de gestion de la fraude SAP peut aider les organisations avec les capacités suivantes - Enquête et documentation faciles sur les cas de fraude. Augmentez l"alerte et la réactivité du système pour éviter que les activités frauduleuses ne se produisent plus fréquemment à l"avenir. Analyse facile de gros volumes de transactions et de données commerciales. SAP GRC Global Trade Services Le logiciel SAP GRC GTS aide les organisations à améliorer l"offre transfrontalière dans les limites de la gestion du commerce international. Il aide à réduire les risques encourus par les autorités de réglementation du commerce international. Il fournit un processus de gestion du commerce mondial centralisé avec un référentiel unique pour toutes les données de référence et le contenu de la conformité, quelle que soit la taille d"une organisation. Modèle de capacité SAP GRC La solution SAP BusinessObjects GRC comprend trois fonctionnalités principales: Analyser, gérer et surveiller . Dans le diagramme suivant, vous pouvez voir le modèle de capacité SAP GRC qui couvre toutes les fonctionnalités clés du logiciel SAP GRC. En utilisant GRC, les organisations peuvent vérifier tous les risques potentiels et les constatations de conformité et peuvent prendre la bonne décision pour les atténuer. SAP GRC - Navigation Dans les anciennes versions de SAP GRC, utiliser contrôle d"accès, contrôle des processus et gestion des risques, il y avait une navigation distincte pour chaque composant. Cela signifie que les utilisateurs, pour effectuer des tâches inter-composants, devaient se connecter à chaque module séparément et se connecter plusieurs fois. Cela a entraîné un processus difficile pour gérer plusieurs la recherche de fenêtres et de documents était également difficile. SAP GRC 10.0 fournit une navigation directe vers les composants de contrôle d"accès, de contrôle de processus et de gestion des risques pour un seul utilisateur conformément à l"autorisation et supprime la gestion de plusieurs fenêtres. Étape 1 - Pour effectuer des activités de personnalisation et maintenir les paramètres de configuration de la solution GRC, accédez à T-code - SPRO → SAP Reference IMG Étape 2 - Développer le nœud Gouvernance, risque et conformité - Étape 3 - Connexion à NetWeaver Business Client - Exécutez la transaction pour NWBC dans SAP Easy Access. Cela ouvrira l"écran NetWeaver Business Client et vous recevoir l"url suivante - http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/" Centres de travail SAP GRC Vous pouvez utiliser les centres de travail pour fournir un point d"accès central pour GRC 10.0. Ils peuvent être organisés en fonction de ce que le client a été autorisé à exploiter. Étape 1 - Pour accéder à Work Centers, ouvrez NetWeaver Business Client comme indiqué ci-dessus. Accédez à l"option / nwbc en haut pour ouvrir les centres de travail. Étape 2 - Une fois que vous avez cliqué, vous serez dirigé vers l"écran d"accueil du client SAP NetWeaver Business . En fonction des produits pour lesquels vous avez obtenu une licence, différents composants de la solution GRC s"affichent - Contrôle d"accès, Contrôle des processus ou Gestion des risques . SAP GRC - Contrôle d"accès Le contrôle d"accès SAP GRC aide les organisations à détecter, gérer et prévenir automatiquement les violations des risques d"accès et à réduire les accès non autorisés aux données et informations de l"entreprise. Les utilisateurs peuvent utiliser le libre-service automatique pour accéder à la soumission des demandes, aux demandes d"accès pilotées par le flux de travail et aux approbations d"accès. Les examens automatiques de l"accès des utilisateurs, de l"autorisation de rôle et des violations de risque peuvent être utilisés à l"aide de SAP GRC Access Control. SAP GRC Access Control relève les principaux défis en permettant aux entreprises de gérer les risques d"accès. Il aide les organisations à empêcher les accès non autorisés en définissant la séparation des tâches SoD et des accès critiques et en minimisant le temps et le coût de la gestion des risques d’accès. Principales caractéristiques Les principales caractéristiques de Contrôle d"accès SAP GRC - Pour effectuer l"audit et la conformité conformément aux exigences légales avec différentes normes d"audit telles que les normes SOX, BSI et ISO. Pour détecter automatiquement les violations des risques d"accès dans les systèmes SAP et non SAP d"une organisation. Comme mentionné, cela permet aux utilisateurs de se soumission d"accès au service, demandes d"accès pilotées par le flux de travail et approbations de la demande. Pour automatiser les examens des accès des utilisateurs, des autorisations de rôle, des violations de risque et des attributions de contrôle à petite et grande échellee organisation. Pour gérer efficacement l"accès des super-utilisateurs et éviter les violations des risques et l"accès non autorisé aux données et aux applications dans les systèmes SAP et non SAP. Comment explorer le centre de travail de configuration du contrôle d"accès? Exécutez la transaction pour NWBC dans SAP Easy Access. Cela ouvrira l"écran NetWeaver Business Client et vous recevrez l"url suivante - http://ep5crgrc.renterpserver.com:8070/nwbc/~launch/" Étape 1 - Pour accéder aux centres de travail, ouvrez NetWeaver Business Client comme mentionné ci-dessus. Accédez à l"option / nwbc en haut pour ouvrir les centres de travail. Étape 2 - Une fois que vous avez cliqué, vous serez dirigé vers l"écran d"accueil du client SAP NetWeaver Business . Étape 3 - Accédez au centre de travail de configuration et explorez l"ensemble de travail. Cliquez sur certains des liens sous chacun et explorez les différents écrans. Étape 4 - Le poste de travail Configuration est disponible dans Contrôle d"accès et fournit des liens vers les sections suivantes - Gestion des règles d"accès Règles d"accès d"exception Règles d"accès critiques Règles générées Organisations Contrôles d"atténuation Attribution de super-utilisateur Maintenance de super-utilisateur Propriétaires d"accès Étape 5 - Vous pouvez utiliser les fonctions énumérées ci-dessus des manières suivantes - En utilisant la section Maintenance des règles d"accès, vous pouvez gérer les ensembles de règles d"accès , les fonctions et les risques d"accès utilisés pour identifier les violations d"accèsns. En utilisant les règles d"accès d"exception, vous pouvez gérer des règles qui complètent les règles d"accès. En utilisant la section des règles d"accès critiques, vous pouvez définir des règles supplémentaires qui identifient l"accès aux rôles et profils critiques. En utilisant la section des règles générées, vous pouvez rechercher et afficher les règles d"accès générées. Sous Organisations, vous pouvez gérer la structure organisationnelle de l"entreprise pour la conformité et la gestion des risques avec les affectations associées. La section Contrôles d"atténuation vous permet de gérer contrôles pour atténuer la séparation des tâches, les actions critiques et les violations d"accès aux autorisations critiques. L"attribution de super-utilisateur est l"endroit où vous attribuez des propriétaires aux ID de pompier et attribuez des ID de pompier aux utilisateurs. La maintenance des super-utilisateurs est l"endroit où vous gérez les attributions des pompiers, des contrôleurs et des codes raison. Sous Propriétaires d"accès, vous gérez les privilèges de propriétaire pour l"accès capacités de gestion. SAP GRC - Access Management Work Center Conformément à la licence du logiciel GRC, vous pouvez naviguer dans Access Management Work Center. Il comporte plusieurs sections pour gérer les activités de contrôle d"accès. Lorsque vous cliquez sur Access Management Work Center, vous pouvez voir les sections suivantes - Attributions de rôles GRC Analyse des risques d"accès Accès atténué Administration des demandes d"accès Gestion des rôles Exploration de rôles Maintenance en masse des rôles Attribution de super-utilisateur Maintenance de super-utilisateur Création de demande d"accès Examens de certification de conformité Alertes Planification Les sections ci-dessus vous aident de la manière suivante - Lorsque vous accédez à la section analyse des risques , vous pouvez évaluer vos systèmes pour les risques d"accès à travers les utilisateurs, les rôles, les objets RH et les niveaux d"organisation. Un risque d"accès est constitué d"au moins deux actions ou autorisations qui, lorsqu"elles sont disponibles pour un seul utilisateur ou un seul rôle, profil, niveau organisationnel ou objet RH, créent la possibilité d"une erreur ou d"une irrégularité. À l"aide de la section accès limité , vous pouvez identifier les risques d"accès, évaluer le niveau de ces risques et attribuer des contrôles d"atténuation aux utilisateurs, rôles et profils pour atténuer les violations des règles d"accès. Dans la section administration des demandes d"accès , vous pouvez gérer les attributions d"accès, les comptes et les processus d"examen. Utilisation gestion des rôles , vous gérez les rôles de plusieurs systèmes dans un seul référentiel unifié. Dans la fonction de groupe exploration de rôles , vous peut cibler les rôles d"intérêt, les analyser et prendre des mesures. Grâce à la maintenance en masse des rôles , vous pouvez importer et modifier les autorisations et les attributs de plusieurs rôles . Dans la section Attribution de super-utilisateur , vous pouvez attribuer des identifiants de pompier à propriétaires et attribuez aux pompiers et aux contrôleurs les identifiants des pompiers. Dans la section Maintenance des super-utilisateurs , vous pouvez effectuer des activités telles que la recherche et l"entretien des pompiers et des contrôleurs, et attribuer des codes raison par système. En utilisant la création de demande d"accès , vous pouvez créer des attributions d"accès et des comptes. Examens de certification de conformité prend en charge les examens des accès des utilisateurs, des violations des risques et des attributions de rôles. Utilisation des alertes , vous pouvez générer par l"application pour l"exécution d"actions critiques ou conflictuelles. À l"aide de la section Planification du centre de travail de configuration des règles, vous pouvez gérer les plannings pour une surveillance continue des contrôles et des tests automatisés, et pour suivre l"avancement des travaux associés. Accès et autorisationn Gestion Dans la solution SAP GRC, vous pouvez gérer les objets d"autorisation pour limiter les éléments et les données auxquels un utilisateur peut accéder. L"autorisation contrôle ce à quoi un utilisateur peut accéder en ce qui concerne les centres de travail et les rapports dans le système SAP. Pour accéder à la solution GRC, vous devez avoir l"accès suivant - Autorisation du portail Rôles PFCG applicables Rôles PFCG pour le contrôle d"accès, le contrôle des processus et la gestion des risques Les types d"autorisation répertoriés ci-dessous sont requis selon les composants GRC - AC, PC et RM. Nom du rôle Typ Deion Composant SAP_GRC_FN_BASE PFCG Rôle de base PC, RM SAP_GRAC_BASE PFCG Rôle de base (inclut SAP_GRC_FN_BASE) AC SAP_GRC_NWBC PFCG Rôle pour exécuter GRC 10.0 dans NWBC AC, PC, RM SAP_GRAC_NWBC PFCG Rôle à exécuter des centres de travail NWBC simplifiés pour AC AC GRC_Suite Portal Rôle de portail pour exécuter GRC dans 10.0 dans le portail AC, PC, RM SAP_GRC_FN_BUSINESS_USER PFCG Rôle utilisateur commun AC * , PC, RM SAP_GRC_FN_ALL PFCG Rôle d"utilisateur avancé; contourne l"autorisation au niveau de l"entité pour PC et RM PC, RM SAP_GRAC_ALL PFCG Power rôle utilisateur AC SAP_GRC_FN_DISPLAY PFCG Afficher tous les rôles utilisateur PC, RM SAP_GRAC_DISPLAY_ALL PFCG Afficher tous les rôles utilisateur AC SAP_GRAC_SETUPPFCG Rôle de personnalisation (utilisé pour maintenir la configuration dans IMG) AC SAP_GRC_SPC_CUSTOMIZING PFCG Rôle de personnalisation (utilisé pour maintenir la configuration dans IMG) PC SAP_GRC_RM_CUSTOMIZING PFCG Rôle de personnalisation (utilisé pour maintenir la configuration dans IMG) RM SAP_GRAC_RISK_ANALYSIS PFCG Le rôle accorde l"autorisation d"exécuter des tâches SoD AC, PC, RM Autorisation dans le composant Portal et NWBC Dans la solution SAP GRC 10.0, les postes de travail sont définis dans les rôles PCD pour le composant Portal et dans les rôles PFCG pour NWBC ( NetWeaver Business Client ). Les postes de travail sont fixés dans chaque rôle de base. SAP assure cependant ces rôles; ces rôles peuvent être modifiés par le client selon les besoins. Les emplacements des dossiers d"application et des applications subordonnées dans la carte de service sont contrôlés par l"application SAP NetWeaver Launchpad. La carte des services est contrôlée par l"autorisation de l"utilisateur, donc si l"utilisateur n"a pas l"autorisation de voir une application, il sera masqué dans le client NetWeaver Business. Comment consulter les attributions de rôles dans Access Management Work Center? Suivez ces étapes de révision des attributions de rôles - Étape 1 - Accédez au centre de travail de gestion des accès dans NetWeaver Business Client. Étape 2 - Sélectionnez le processus métier sous Attribution de rôle GRC et passez au niveau de rôle de sous-processus. Cliquez sur suivant pour continuer à attribuer des sections de rôle. Comment consulter les attributions de rôle dans le centre de travail des données de base? Étape 1 - Accéder au travail de données de base Centre → Organisations Étape 2 - Dans la fenêtre suivante, sélectionnez une organisation dans la liste, puis cliquez sur Ouvrir. Étape 3 - Notez que le triangle à côté de l"organisation signifie qu"il y a des sous-organisations et que le dot à côté de l"organisation signifie qu"il s"agit du niveau le plus bas. Étape 4 - Cliquez sur l"onglet sous-processus → Attribuer un sous-processus. Sélectionnez maintenant un ou deux sous-processus et cliquez sur Suivant. Étape 5 - Sans apporter de modifications, cliquez sur Terminer à l"étape Sélectionner les contrôles. Étape 6 - Choisissez le premier sous-processus dans la liste, puis cliquez sur Ouvrir. Vous devriez voir les détails du sous-processus. Étape 7 - Cliquez sur l"onglet Rôles. Choisissez un rôle dans la liste, puis cliquez sur Attribuer. SAP GRC - Autorisation SAP GRC Access Control utilise des rôles UME pour contrôler l"autorisation utilisateur dans le système. Un administrateur peut utiliser des actions qui représentent la plus petite entité du rôle UME qu"un utilisateur peut utiliser pour créer des droits d"accès. Un rôle UME peut contenir des actions d"une ou plusieurs applications. Vous devez attribuer des rôles UME aux utilisateurs dans User Management Engine (UME) . Autorisation dans UME Lorsqu"un utilisateur n"a pas accès à un certain onglet, l"onglet ne s"affichera pas lors de la connexion de l"utilisateur lorsque l"utilisateur essaie d"accéder à cet onglet. Lorsqu"une action UME pour un onglet est attribuée à cet utilisateur particulier, ce n"est qu"alors qu"il pourra accéder à cette fonction. Toutes les actions UME standard disponibles pour les onglets CC se trouvent dans l"onglet " Actions attribuées " de l " utilisateur administrateur . Rôles UME Vous devez créer un rôle d"administrateur et ce rôle doit être attribué au superutilisateur pour effectuer le calibrateur de conformité SAP lié Activités. Il existe différents rôles CC qui peuvent être créés sous SAP GRC Access Control au moment de la mise en œuvre - CC.ReportingView Deion - Affichage et rapports du calibrateur de conformité CC.RuleMaintenance Deion - Maintenance des règles du calibrateur de conformité CC.MitMaintenance Deion - Maintenance d"atténuation du calibrateur de conformité CC .Administration Deion - Administration du calibrateur de conformité et configuration de base Comment ouvrir le moteur de maintenance des utilisateurs? En utilisant UME, vous pouvez effectuer Vous pouvez effectuer la maintenance des utilisateurs et des rôles Cela peut être utilisé pour la configuration de la source de données utilisateur Vous pouvez appliquer des paramètres de sécurité et des règles de mot de passe Pour ouvrir UME, vous devez utiliser l"URL suivante - http://:/useradmin SAP GRC - Tableau de bord de contrôle d"accès Dans SAP GRC 10.0, vous pouvez nous e Zone de lancement de contrôle d"accès pour maintenir les fonctionnalités clés sous GRC Access Control. Il s’agit d’une page Web unique qui peut être utilisée pour Analyse et remédiation des risques (RAR) . Dans GRC Access Control, vous pouvez utiliser la fonction d’analyse et de correction des risques (RAR) pour effectuer un audit de sécurité et une analyse de la séparation des tâches (SoD). C"est un outil qui peut être utilisé pour identifier, analyser et résoudre les problèmes de risque et d"audit liés à la conformité réglementaire suivante. Ici, vous pouvez également définir en collaboration les éléments suivants - Enterprise Role Management (ERM) Compliant User Provisioning (CUP) Gestion des privilèges de superutilisateur Création d"un nouveau Launchpad dans NWBC Suivez ces étapes pour créer un nouveau Launchpad dans NWBC - Étape 1 - Accédez aux rôles PFCG, et ouvrez le rôle SAP_GRAC_NWBC Étape 2 - Lorsque vous cliquez avec le bouton droit sur l"élément Ma maison , vous pouvez voir que l"application appelée est grfn_service_map? WDCONFIGURATIONID = GRAC_FPM_AC_LPD_HOME et que l"ID de configuration est GRAC_FPM_AC_LPD_HOME . Étape 3 - Sélectionnez application config et vous pouvez voir l"écran de configuration de l"application → bouton d"affichage. Étape 4 - Lorsque vous cliquez sur Afficher, vous pouvez voir cet écran - Étape 5 - Ouvrez maintenant le bouton Configuration des composants . Étape 6 - Cliquez sur Bouton Configurer UIBB dans cet écran. Vous serez dirigé vers l"écran suivant - Étape 7 - Vous pouvez sélectionner le Launchpad auquel vous souhaitez mapper. Si vous souhaitez créer un nouveau Launchpad, vous pouvez également le mapper à un nouveau rôle. Étape 8 - Pour créer un nouveau Launchpad, définissez ce qui suit - Créez un nouveau tableau de bord avec les éléments de menu de votre choix. Créez une nouvelle configuration de l"application GRFN_SERVICE_MAP ou vous pouvez copier l"ID de configuration GRAC_FPM_AC_LPD_HOME et le personnaliser davantage. Dans la nouvelle configuration sélectionnez le tableau de bord que vous souhaitez associer. Créez un nouveau rôle et ajoutez-y l"application webdynpro GRFN_SERVICE_MAP avec l"ID de configuration personnalisé créé dans le étape précédente. SAP GRC - Intégration avec contrôle d"accès Dans la solution SAP GRC 10.0, les données de base et la structure organisationnelle sont partagées entre le contrôle d"accès, le contrôle des processus et les risques la gestion. Process Control partage également certaines fonctionnalités avec le processus de gestion des risques. Voici les principales fonctionnalités partagées avec Access Control - Contrôle d"accès et le contrôle de processus partage la structure de conformité dans les domaines ci-dessous - Dans la solution de contrôle de processus, les contrôles sont utilisés comme contrôle d"atténuation dans le contrôle d"accès sous la solution SAP GRC 10.0 . Le contrôle d"accès et le contrôle de processus partagent la même organisation. Dans le contrôle de processus, les processus sont utilisés comme processus métier dans l"accès contrôle. Le contrôle des processus et le contrôle d"accès sont intégrés à l"analyse des risques d"accès pour surveiller la séparation des tâches SoD. Les zones de menu communes à la fois au contrôle de processus et à la gestion des risques sont - Attribution de rôle GRC Process Control Planner Risk Management Planner Délégation centrale Voici les principaux points d"intégration entre le contrôle des processus et la gestion des risques - De nouveaux points de contrôle peuvent être proposés pour le contrôle des processus dans la gestion des risques. Lorsqu"un nouveau contrôle est proposé, le contrôle des processus doit évaluer la demande du Risk Management. Le Risk Management utilise les résultats du Process Control pour évaluer les nouveaux La gestion des risques peut également utiliser les contrôles existants de Process Control comme réponses dans la gestion des risques. SAP GRC - L"intégration avec IAM Gestion de l"audit interne vous permet de traiter les informations de la gestion des risques et du contrôle des processus pour les utiliser dans la planification de l"audit. La proposition d"audit peut être transférée à la direction de l"audit pour traitement lorsque cela est nécessaire et les éléments d"audit peuvent être utilisés pour générer des problèmes de reporting. IAM vous offre un espace où vous pouvez effectuer une planification d"audit complète, créer des éléments d"audit, définir un univers d"audit et créer et afficher des rapports d"audit et des problèmes d"audit. Internal Audit Management Work Center fournit un emplacement central pour les activités suivantes - Définir l"univers d"audit de votre organisation Evaluation du risque d"audit Audit planification de la définition d"une procédure pour la conformité de l"audit Problèmes d"audit liés aux actions d"audit Rapports d"audit pour voir quels risques existent sur les entités auditables SAP GRC - Audit Universe Audit Universe contient des entités d"audit qui peuvent être classées en tant qu"unités commerciales, secteurs d"activité ou départements. Les entités d"audit définissent la stratégie de planification de l"audit et celles-ci peuvent être liées au contrôle des processus et à la gestion des risques pour trouver des risques, des contrôles, etc. Créer une entité auditable Voyons maintenant comment créer une entité auditable. Étape 1 - Accédez à l"option / nwbc en haut pour ouvrir les centres de travail Étape 2 - Dans SAP NetWeaver Business Client, accédez à IAM Work Center. Étape 3 - Accédez à Gestion de l’audit interne → Univers de l’audit Étape 4 - Cliquez sur le bouton Créer et allez dans l"onglet Général . Étape5 - Saisissez les informations suivantes pour l"entité contrôlable - Nom Deion Type Statut Notes pour ajouter des informations supplémentaires Étape 6 - Passez à Plan d"audit pour afficher les propositions d"audit et les propositions de plan d"audit avec la date de transfert. Étape 7 - Sélectionnez l"onglet pièces jointes et liens pour ajouter tout type de fichiers ou liens. Étape 8 - Lorsque vous entrez les détails requis, vous pouvez choisir parmi les options suivantes - Sélectionnez Enregistrer pour enregistrer l"entité. Sélectionnez Fermer pour quitter sans enregistrer. SAP Contrôle des processus - Evaluation des risques d"audit La notation des risques d"audit est utilisée pour définir les critères permettant à une organisation de déterminer la notation des risques et d"établir un classment pour la notation des risques. Chaque entité vérifiable est notée selon les commentaires de la direction dans l"ARR. Vous pouvez utiliser ARR pour exécuter les fonctions suivantes - Vous pouvez trouver l"ensemble des entités auditables et des facteurs de risque. Définissez et évaluez les scores de risque pour le facteur de risque dans chaque entité auditable. En fonction du score de risque, vous pouvez noter l"entité auditable. Vous pouvez également générer un plan d"audit à partir d"ARR en comparant les scores de risque pour différentes entités auditables. En plus de cela, vous pouvez sélectionner les entités auditables ayant un score de risque élevé et générer une proposition d"audit et une proposition de plan d"audit. Créer une notation de risque d"audit Comprenons maintenant les étapes de création d"une évaluation des risques d"audit Étape 1 - Dans SAP NetWeaver Business Client, accédez à IAM Work Center. Étape 2 - Accédez à Gestion de l"audit interne → Évaluation des risques d"audit → Créer Étape 3 - Dans l"onglet Général, entrez les détails suivants - Nom Deion Valable depuis Valid à Personne responsable Statut Étape 4 - Allez dans Entités auditables et cliquez sur Ajouter pour choisir parmi les entités vérifiables. Étape 5 - Allez dans l"onglet Facteur de risque et sélectionnez ARR facteur de risque. Sélectionnez Ajouter pour ajouter un facteur de risque → OK. Étape 6 - Allez dans l"onglet Scores de risque , sélectionnez l"entité et saisir les scores de risque sur le tableau des facteurs de risque. Cliquez sur le bouton Calculer pour afficher le score moyen. Accédez à la colonne Niveau de risque et priorité du risque pour saisir les détails. Accédez à l"onglet Proposition de plan d"audit pour vous assurer que vous créez une proposition de plan d"audit. Sélectionnez Exporter pour créer une feuille de calcul Excel afin d"afficher les informations sous forme de tableau pour votre ARR. Sélectionnez le bouton Enregistrer pour enregistrer l"évaluation du risque d"audit pour l"entité contrôlable. Centres de travail de contrôle de processus Les centres de travail fournissent un point d"accès central pour l"ensemble des fonctionnalités GRC. Ils sont organisés pour fournir un accès facile aux activités de l"application et contiennent des groupes de menus et des liens vers d"autres activités. Les postes de travail suivants sont partagés par le contrôle d"accès, le contrôle des processus et la gestion des risques - Ma maison Données de base Configuration des règles Évaluations Gestion des accès Rapports et analyses Parlons des principaux centres de travail. Ma maison Mon centre de travail à domicile est partagé par Contrôle des processus, gestion des risques et contrôle d"accès. Cela fournit un emplacement centralisé où vous pouvez gérer les tâches affectées et les objets accessibles dans l"application GRC. My Home comprend un certain nombre de sections. Voyons maintenant la section Work Inbox - Work Inbox En utilisant Work Inbox, vous pouvez afficher les tâches que vous devez traiter dans le logiciel GRC. Si vous souhaitez traiter une tâche, cliquez sur la tâche dans le tableau. Cela ouvrira la fenêtre de workflow dans laquelle, vous cun processus de la tâche. Données de base Le centre de travail des données de base est partagé par le contrôle des processus, la gestion des risques et le contrôle d"accès. Le centre de travail des données de base de contrôle de processus contient les sections suivantes - Organisations Réglementations et politiques Objectifs Activités et processus Risques et réponses Comptes Rapports Parlons maintenant de la principaux centres de travail sous Master Data Work Center - Organisations - Maintenir la structure organisationnelle de l"entreprise pour la conformité et la gestion des risques avec les missions associées Contrôles d"atténuation - Maintenir des contrôles pour atténuer la séparation des tâches, les actions critiques et les violations d"accès aux autorisations critiques Pour créer un contrôle d"atténuation, cliquez sur le bouton Créer. Vous serez dirigé vers une nouvelle fenêtre, entrez t il détaille le contrôle d"atténuation et cliquez sur le bouton Enregistrer. Rapports et analyses Le centre de travail Rapports et analyses est partagé par le contrôle des processus, la gestion des risques et le contrôle d"accès. Le centre de travail Rapports et analyses de contrôle de processus se compose de la section Conformité dans l"application GRC. Dans la section Conformité, vous pouvez créer les rapports suivants sous Contrôle de processus - Tableau de bord de l"état de l"évaluation Affiche une vue d"ensemble de l"état général de la conformité de l"entreprise dans différentes entités commerciales et fournit des capacités d"analyse et d"exploration pour afficher les données à différents niveaux et dimensions. Résultats de l"enquête Affiche les résultats des enquêtes. Fiche technique Fournitdes informations complètes sur les données de base, l"évaluation et les activités de correction pour les sous-processus et les contrôles. Les rôles suivants qui utilisent la fonctionnalité de feuille de données - Auditeurs internes - Ils peuvent utiliser des fiches techniques pour obtenir une image des contrôles et des sous-processus dans une organisation sous GRC. Propriétaires de processus - Dans l"application GRC, les propriétaires de processus et les propriétaires de contrôle peuvent demander des fiches techniques pour obtenir une vue d"ensemble de leurs sous-processus. Les informations de la fiche technique fournissent la définition du sous-processus, les évaluations effectuées sur le sous-processus, les contrôles englobés par le sous-processus, ainsi que les évaluations et les tests effectués sur ces contrôles. Propriétaires de contrôle - Les propriétaires de contrôles peuvent utiliser des fiches techniques pour vérifier la conception de leurs contrôles. Le propriétaire du contrôle peut évaluer les contrôles pour vérifier les contrôles et leur efficacité. Auditeurs externes - Les fiches techniques peuvent être utilisées par des auditeurs externes; cela peut être utilisé pour demander les informations pour rechercher des contrôles ou des sous-processus. Remarque - Autres centres de travail comme la gestion des accès, les évaluations et la configuration des règles sont également partagés par le contrôle des processus, le contrôle d"accès et la gestion des risques. Le centre de travail de gestion des accès au contrôle des processus a la section Attributions de rôles GRC. SAP GRC - SoD Risk Management Dans chaque entreprise, il est nécessaire d"effectuer une gestion des risques de séparation des tâches (SoD) - en commençant par la reconnaissance des risques jusqu"à la validation de l"élaboration des règles et Selon différents rôles, il est nécessaire d"effectuer la séparation des tâches dans le système GRC. SAP GRC définit Les responsables des processus métiers Les responsables des processus métiers exécutent les tâches suivantes - Identifier les risques et approuver les risques pour la surveillance Approuver la correction impliquant l"accès des utilisateurs Concevoir avectrols pour atténuer les conflits Communiquer les attributions d"accès ou les changements de rôle Assurer une conformité proactive continue Cadres supérieurs Cadres supérieurs effectuer les tâches suivantes - Approuver ou rejeter les risques entre les domaines d"activité Approuver les contrôles d"atténuation pour les risques sélectionnés Administrateurs de sécurité Les administrateurs de sécurité exécutent les tâches suivantes - Assumer la propriété des outils GRC et du processus de sécurité Concevoir et maintenir des règles pour identifier les conditions de risque Personnaliser les rôles GRC pour appliquer les rôles et responsabilités Analyser et résoudre les conflits SoD au niveau des rôles Auditeurs Les auditeurs exécutent les tâches suivantes - Évaluation des risques sur une base régulière Fournir des exigences spécifiques à des fins d"audit Test périodique des règles et contrôles d"atténuation Agir en tant que liaison entre les auditeurs externes SoD Rule Keeper SoD Rule Keeper effectue les tâches suivantes - Configuration et administration de l"outil GRC Maintient le contrôle des règles pour garantir l"intégrité Agit en tant que liaison entre la base et le centre d"assistance GRC SAP GRC - Gestion des risques SAP Risk Management in GRC est utilisé pour gérer la gestion ajustée en fonction des risques des performances de l"entreprise, ce qui permet à une organisation d"optimiser son efficacité, d"augmenter son efficacité et de maximiser la visibilité des initiatives de gestion des risques. Voici les fonctions clés sous Gestion des risques - La gestion des risques met l"accent sur l"alignement organisationnel sur les principaux risques, les seuils associés et l"atténuation des risques. L"analyse des risques comprend la réalisation d"analyses qualitatives et quantitatives. La gestion des risques implique l"identification des principaux risques dans une organisation. La gestion des risques comprend également des solutions de résolution / remédiationstratégies pour les risques. La gestion des risques effectue l"alignement des principaux indicateurs de risque et de performance dans toutes les fonctions de l"entreprise, ce qui permet une identification précoce des risques et une atténuation dynamique des risques. La gestion des risques implique également une surveillance proactive des processus et stratégies d"entreprise existants. Phases de la gestion des risques Parlons maintenant des différentes phases de la gestion des risques. Voici les différentes phases de la gestion des risques - Reconnaissance des risques Construction et validation des règles Analyse Remédiation Atténuation Conformité continue Reconnaissance des risques Dans un processus de reconnaissance des risques sous risque gestion, les étapes suivantes peuvent être effectuées - Identifier les risques d"autorisation et approuver les exceptions Clarifier et classr le risque comme élevé, moyen ou faible Identifier les nouveaux risques et conditions pour la surveillance à l"avenir Construction et validation de règles Effectuez les tâches suivantes sous Construction et validation de règles - Faire référence aux règles de bonnes pratiques pour l"environnement Valider les règles Personnaliser les règles et tester Vérifier les cas d"utilisateurs et de rôles de test Analyse Effectuez les tâches suivantes sous Analyse - Exécutez les rapports analytiques Estimation Efforts de nettoyage Analyser les rôles et les utilisateurs Modifier les règles en fonction de l"analyse Définir des alertes pour distinguer les risques exécutés Du point de vue de la gestion, vous pouvez voir une vue compacte des violations de risque qui sont regroupées par gravité et par heure. Étape 1 - Allez dans Virsa Compliance Calibrator → onglet Informer Étape 2 - Pour les violations SoD, vous pouvez afficher un graphique à secteurs et un graphique à barres pour représenter les violations actuelles et passées dans le paysage du système. Voici les deux différentes vues de ces violations - Violations par niveau de risque Non-respects par processus Remédiation Effectuez les tâches suivantes en cours de correction - Déterminer des alternatives pour éliminer les risques Présenter l"analyse et sélectionner les actions correctives Documenter l"approbation des actions correctives Modifier ou créer des rôles ou attributions d"utilisateurs Atténuation Effectuez les tâches suivantes sous Atténuation - Déterminez des contrôles alternatifs pour atténuer les risques Éduquer la direction sur l"approbation et la surveillance des conflits Documenter un processus pour surveiller les contrôles d"atténuation Mettre en œuvre des contrôles Conformité continue Effectuez les tâches suivantes et er Conformité continue - Communiquer les changements dans les rôles et les attributions d"utilisateurs Simuler les changements de rôles et d"utilisateurs Mettre en œuvre des alertes pour surveiller les risques sélectionnés et atténuer les tests de contrôle Classification des risques Les risques doivent être classés conformément à la politique de l"entreprise. Voici les différentes classifications de risques que vous pouvez définir selon la priorité de risque et la politique de l"entreprise - Critique La classification critique est effectuée pour les risques qui contiennent des actifs critiques de l"entreprise qui sont très susceptibles de être compromis par la fraude ou les perturbations du système. Élevé Cela comprend les pertes physiques ou financières ou les perturbations à l"échelle du système qui incluent la fraude, la perte de tout actif ou la défaillance d"un système. Moyen Cela inclut plusieurs perturbations du système comme l"écrasement des données de base dans le système. Faible Cela inclut le risque où les pertes de productivité ou le système défaillances compromises par la fraude ou les perturbations du système etla perte est minimale. SAP GRC - Remédiation des risques Dans SAP GRC 10.0 Gestion des risques, la phase de correction des risques détermine la méthode pour éliminer les risques dans les rôles. Le but de la phase de correction est de déterminer des alternatives pour éliminer les problèmes liés à la gestion des risques. Les approches suivantes sont recommandées pour résoudre les problèmes dans les rôles - Rôles uniques Vous pouvez commencer avec des rôles uniques car c"est le moyen le plus simple et le plus simple de commencer. Vous pouvez vérifier toute séparation des violations SoD des devoirs d"être réintroduites. Rôles composites Vous pouvez effectuer Vous pouvez utiliser la vue de gestion ou les rapports d"analyse des risques pour l"analyse comme mentionné dans la rubrique précédente. Dans la correction des risques, annonce de sécurité les administrateurs doivent documenter le plan et les responsables des processus métier doivent être impliqués et approuver le plan. SAP GRC - Type de rapport Vous pouvez générer différents rapports d"analyse des risques selon l"analyse requise - Niveau d’action - Vous pouvez l’utiliser pour effectuer une analyse SoD au niveau de l’action. Niveau d"autorisation - Cela peut être utilisé pour effectuer une analyse SoD aux niveaux d"action et d"autorisation. Actions critiques - Cela peut être utilisé pour analyser les utilisateurs qui ont accès à l"une des fonctions critiques. Autorisations critiques - Cela peut être utilisé pour analyser les utilisateurs ayant accès à une fonction critique. Rôles / profils critiques - Cela peut être utilisé pour analyser les utilisateurs qui ont accès à des rôles critiques ou profils. SAP GRC - Contrôles d"atténuation Dans SAP GRC 10.0, vous pouvez utiliser des contrôles d"atténuation lorsqu"il n"est pas possible de séparer la séparation des tâches SoD du processus métier. Exemple Dans une organisation, considérez un scénario où une personne prend en charge les rôles au sein des processus métier qui provoquent un conflit SoD manquant. Il existe différents exemples possibles pour les contrôles d"atténuation - Stratégies de publication et limites d"autorisation Examen des journaux utilisateur Examen des rapports d"exception Analyse détaillée des écarts Établir une assurance pour couvrir l"impact d"un incident de sécurité Types de contrôle d"atténuation Il existe deux types de contrôle d"atténuation sous SAP Gestion des risques GRC - Préventif Détective Contrôles d’atténuation préventive Le contrôle d"atténuation préventive est utilisé pour réduire l"impact du risque avant qu"il ne se produise réellement. Il existe Configuration Exits utilisateur Sécurité Définition du flux de travail Objets personnalisés Contrôles d"atténuation de détection Le contrôle d"atténuation de détection est utilisé lorsqu"une alerte est reçue et un risque se produit. Dans ce cas, la personne chargée d"initier une mesure corrective atténue le risque. Il existe différentes activités que vous pouvez effectuer sous le contrôle de l"atténuation des détecteurs - Rapports d"activité Comparaison du plan par rapport à l"examen réel Examen du budget Alertes Configuration de la migration Contrôles Suivez ces étapes pour configurer les contrôles de migration - Étape 1 - Connectez-vous au contrôle d"accès SAP GRC. Étape 2 - Effectuer une analyse des risques au niveau de l"utilisateur. Entrez le détails ci-dessous - Type de rapport Format de rapport Étape 3 - Cliquez sur Exécuter Étape 4 - Vous pouvez basculer entre différents types de rapports comme dans la capture d"écran suivante - Étape 5 - Connectez-vous au contrôle d"accès SAP GRC et planifier une tâche d’analyse des risques en arrière-plan au niveau du rôle. Entrez les détails suivants - Type de rapport - Niveau d’autorisation Format du rapport - Résumé Étape 6 - Cliquez sur Exécuter en arrière-plan comme indiqué dans la capture d"écran suivante - Étape 7 - Dans la fenêtre suivante, vous pouvez sélectionner Démarrer immédiatement . Cliquez ensuite sur OK . SAP GRC - Privilège de superutilisateur Dans SAP GRC 10.0, la gestion des privilèges de superutilisateur doit être implémentée dans votre organisation pour éliminer les autorisations excessives et les risques que votre expériences de l"entreprise avec l"approche utilisateur d"urgence actuelle. Voici les principales fonctionnalités du privilège de superutilisateur - Vous pouvez autoriser le superutilisateur pour effectuer des activités d"urgence dans un environnement contrôlé et auditable En utilisant Superuser, vous pouvez signaler toutes les activités de l"utilisateur accédant à des privilèges d"autorisation plus élevés. Vous pouvez générer une piste d"audit, qui peut être utilisée pour documenter les raisons d"utiliser des privilèges d"accès plus élevés. Cette piste d"audit peut être utilisé pour la conformité SOX. Le superutilisateur peut agir en tant que pompier et disposer des fonctionnalités supplémentaires suivantes - Il peut être utilisé pour effectuer des tâches en dehors de leur rôle ou profil normal dans une situation d"urgence. Seules certaines personnes (propriétaires) peuvent attribuer des identifiants de pompier. Il fournit une capacité étendue aux utilisateurs tout en créant une couche d"audit pour surveiller et enregistrer l"utilisation. Rôles standard sous Superuser Privilege Management Vous pouvez utiliser les rôles standard suivants pour Superuser Privilege Management - / VIRSA / Z_VFAT_ADMINISTRATOR Cela permet de configurer Firefighter Attribuer des propriétaires et des contrôleurs de rôle Firefighter aux ID Firefighter Exécuter des rapports / VIRSA / Z_VFAT_ ID_OWNER Attribuer des identifiants Firefighter aux utilisateurs Firefighter Importer, télécharger et afficher l"historique de Firefighter VIRSA / Z_VFAT_FIREFIGHTER Accéder au programme des pompiers SAP GRC - Implémentation du superutilisateur Laissez-nous comprendre maintenant comment implémenter Superuser. Vous pouvez implémenter les ID de pompier en suivant les étapes suivantes - Étape 1 - Créer des ID Firefighter pour chaque processus métier Étape 2 - Attribuez les rôles et les profils nécessaires pour effectuer les tâches de lutte contre les incendies. Vous ne devez pas attribuer le profil SAP_ALL Étape 3 - Utiliser le T-Code - SU01 Étape 4 - Cliquez sur le bouton Créer pour créer un nouvel utilisateur. Étape 5 - Attribuer Firefighter rôles comme mentionné ci-dessus à l"ID utilisateur - Attribuez des rôles Firefighter aux ID utilisateur applicables. Attribuez le rôle d"administrateur / VIRSA / Z_VFAT_ADMINISTRATOR à l"administrateur de la gestion des privilèges du superutilisateur. L"utilisateur administrateur ne doit pas être affecté à la lutte contre les incendies Attribuez le rôle standard / VIRSA / Z_VFAT_FIREFIGHTER à - Firefighter ID - Utilisateur du service utilisé pour la connexion Utilisateur pompier - Utilisateur standard agissant en tant que pompier au cas où Attribuez le rôle de propriétaire ID / VIRSA / Z_VFAT_ID_OWNER à - Propriétaire - Responsable de déterminer qui sera affecté à Contrôleur - Reçoit une notification lorsque l"ID de pompier est responsable d"ID de pompier d"urgence pour son domaine d"activité utilisé. Étape 6 - Passez à Rôles et sélectionnez les rôles mentionnés conformément aux exigences. Étape 7 - Créer une destination RFC pour le commutateur interne vers Firefighter ID - Nom - Entrez le nom de connexion RFC Type de connexion - 3 Entrez une deion (Aucun nom d"utilisateur, mot de passe ou autre donnée de connexion n"est requis) Entrez les mots de passe pour chaque ID de pompier dans le tableau Sécurité: les mots de passe sont stockés sous forme de valeurs de hachage et sont illisibles une fois que l"administrateur a enregistré la valeur. Étape 8 - Pour créer un journal de pompier, vous pouvez planifier une tâche d"arrière-plan. Nommez la tâche / VIRSA / ZVFATBAK comme dans la capture d"écran suivante - Journal du superutilisateur Comprenons ces étapes pour Superuser Log. Étape 1 - Utiliser le T-Code - Transaction - / n / VIRSA / ZVFAT_V01 Étape 2 - Vous pouvez maintenant trouver les journaux dans la zone de la boîte à outils. Étape 3 - Vous pouvez utiliser le code de transaction - SM37 pour consulter les journaux de chaque utilisateur. Vous pouvez également utiliser l"interface graphique Web pour accéder à toutes les informations de Firefighter. Allez dans Contrôle d"accès SAP GRC → Gestion des privilèges des super-utilisateurs. Il est donc possible d"accéder aux données de différentes installations de Firefighter sur différents systèmes backend SAP. Et il n"est plus nécessaire de se connecter à chaque système . SAP GRC - Analyse des risques améliorée Vous pouvez implémenter une analyse des risques améliorée à l"aide de règles d"organisation. Dans les unités commerciales de services partagés, vous pouvez utiliser des règles d"organisation pour mettre en place des procédures d"analyse des risques et de gestion des groupes d"utilisateurs. Prenons le cas où un utilisateur a créé un fournisseur fictif et des factures ont été générées pour obtenir un avantage financier . Vous pouvez créer une règle d"organisation avec le code d"entreprise activé pour éliminer ce scénario. Les étapes suivantes doivent être effectuées pour éviter cette situation - Activer les champs au niveau de l"organisation dans les fonctions Créer des règles d"organisation Mettre à jour la table de mappage des utilisateurs de l"organisation Configurer le service Web d"analyse des risques Activer les champs de niveau organisation dans les fonctions Suivez ces étapes pour activer les champs de niveau organisation dans les fonctions - Découvrir les fonctions to être séparé par niveau d"organisation dans un environnement de service partagé. Conservez les autorisations pour les transactions concernées. Créer des règles d"organisation Suivez ces étapes pour créer des règles d"organisation - Étape 1 - Créez des règles d"organisation pour chaque valeur possible du champ d"organisation. Étape 2 - Aller à l"architecte de règles → Niveau organisation → Créer Étape 3 - Saisissez le champ ID de la règle d"organisation. Étape 4 - Entrez la tâche associée. Étape 5 - Définissez le champ au niveau de l"organisation et combinez-les avec des opérateurs booléens. Étape 6 - Cliquez sur le bouton Enregistrer pour enregistrer la règle d"organisation. Avantages de l"utilisation des règles d"organisation Voyons maintenant les avantages de l"utilisation des règles d"organisation. Vous pouvez utiliser des règles d"organisation pour les entreprises pour implémenter les fonctionnalités suivantes - Vous pouvez utiliser des règles d"organisation pour implémenter des services partagés. Ils séparent les tâches à l"aide de restrictions organisationnelles. Allez à Analyse des risques → Niveau de l"organisation Effectuez une analyse des risques de type d"analyse Org Rule contre un utilisateur Vous recevrez le résultat suivant - Le risque l"analyse ne montrera un risque que si l"utilisateur a accès au même code d"entreprise spécifique dans chacune des fonctions en conflit. SAP GRC - Attribution de contrôles d"atténuation Dans une organisation, vous avez des propriétaires de contrôle à différents niveaux de la hiérarchie de l"organisation. Le risque doit être géré et atténué selon le niveau d"access. Voici les propriétaires de contrôle dans une organisation - Un propriétaire de contrôle pour le niveau global Différent propriétaires de contrôle pour les niveaux régionaux Plusieurs propriétaires de contrôles pour le niveau local Vous devez attribuer des contrôles d"atténuation à différents niveaux de responsabilité. Désormais, s"il y a une violation des risques au niveau régional et local, vous devez effectuer une atténuation des risques au plus haut niveau. Pour utiliser le contrôle d"atténuation au niveau de la hiérarchie de l"organisation, supposons que vous ayez effectué une analyse des risques au niveau de l"organisation et du l"utilisateur enfreint toutes les règles d"organisation enfant et remplit la condition de la règle parente et seule la règle parente apparaît; vous pouvez effectuer une atténuation des risques des manières suivantes - Atténuation au niveau de l"utilisateur Atténuation au niveau de l"organisation SAP GRC - Intégration de flux de travail Dans SAO GRC 10.0, un flux de travail est déclenché dans les situations suivantes - Pour créer ou mettre à jour risques. Pour créer ou mettre à jour des contrôles d"atténuation. Pour attribuer des contrôles d"atténuation. Activer la gestion des risques et contrôler le workflow Lorsque vous suivez une approche de gestion du changement basée sur le flux de travail dans l"analyse des risques et la correction, vous devez effectuer les étapes suivantes - Allez dans l"onglet Configuration → options de flux de travail Définissez les paramètres ci-dessous - Définissez le paramètre Risk Maintenance sur YES Définissez le paramètre Mitigation Control Maintenance sur YES Définissez le paramètre Mitigation sur YES Configurer l"URL du service Web de workflow - http://:" / AEWFRequestSubmissionService_5_2 / Config1? wsdl & style = document La personnalisation des flux de travail doit être effectuée dans le moteur de flux de travail. Gestion des risques et contrôle basés sur les flux de travailMaintenance Lorsque vous maintenez un risque ou qu"un contrôle est dans SAP GRC, vous effectuez les étapes suivantes - Étape 1 - Dans Access Control, un workflow est déclenché pour effectuer un processus de gestion des risques ou de contrôle. Étape 2 - Lorsque vous obtenez les approbations requises, les étapes d"approbation dépendent des exigences du client. Étape 3 - Obtenez une piste d"audit documentant le processus d"approbation complet. SAP GRC - Global Trade Services En utilisant SAP GRC Global Trade Services, vous pouvez améliorer -chaîne d"approvisionnement frontalière de marchandises dans une organisation. Cette application vous permet d"automatiser les processus commerciaux et vous aide à contrôler les coûts et à réduire les risques de pénalités, ainsi qu"à gérer les processus entrants et sortants. En utilisant GTS, vous pouvez créer un référentiel unique centralisé qui est utilisé pour contenir toutes les données de base et le contenu de conformité. Voici les principaux avantages de l"utilisation de Global Trade Services - Il aide à réduire les coûts et les efforts de gestion de la conformité pour le commerce mondial. Il peut faciliter les tâches manuelles chronophages et contribuer à améliorer la productivité. Réduit les pénalités pour les violations de conformité commerciale. Il vous aide à créer et à améliorer la marque et l"image et à éviter le commerce avec des sanctions ou des parties refusées. Ouvre la voie à la satisfaction du client et améliore la qualité du service. Il sécurise les flux entrants et sortants processus en effectuant le dédouanement et aide également à éliminer les y retards. Intégration entre SAP ERP et SAP Global Trade Services L"illustration suivante montre le flux de processus d"intégration entre SAP ERP et SAP Global Trade Services - SAP GRC - Installation et configuration Lorsque vous installez SAP GRC, il existe différentes configurations etettings que vous devez effectuer dans GRC. Les activités clés incluent - Création de connecteurs dans GRC Configuration d"AMF pour utiliser les connecteurs Création de connecteurs de rappel La création de connexions dans GRC est un processus standard de création de connexion RFC à l"aide de T-Code - SM59 SAP GRC est disponible dans SAP Easy Access → sous le dossier Governance Risk Compliance. Étape 1 - Ouvrez le menu d"accès SAP Easy et utiliser T-Code - SPRO Étape 2 - Accédez à Gouvernance, risques et conformité sous SAP Reference IMG → Common Component Settings → Integration Framework → Create Connectors Étape 3 - Créer un connecteur est un raccourci pour créer une connexion SM59. Étape 4 - Pour voir les connexions existantes, g o pour maintenir les connecteurs et les types de connexion - Vous pouvez voir les types de connecteurs comme indiqué ci-dessous. Ces types de connecteurs peuvent être utilisés pour la configuration à différentes fins - Les connecteurs du système local sont utilisés pour s"intégrer à l"application SAP BusinessObjects Access Control pour surveiller la séparation des violations de droits Les connecteurs de service Web sont utilisés pour les sources de données de partenaires externes (voir la section) Les connecteurs de système SAP sont utilisés dans tous les autres cas. Étape 5 - Aller à l"onglet Définition du type de connexion - Étape 6 - Définissez lequel des connecteurs précédemment définis dans SM59 peut être utilisé dans la surveillance. Aller à defConnecteurs ine Étape 7 - Dans l"écran, vous pouvez voir un nom de connecteur - SMEA5_100. Il s"agit d"un connecteur qui montre un connecteur vers un système ECC. La troisième colonne qui répertorie le nom d"un connecteur qui est défini dans le système surveillé, et qui est configuré pour pointer vers le système GRC configuré ici. SMEA5_100 est un autre connecteur du système GRC et il pointe vers un système ERP qui doit être surveillé. SM2 est un connecteur sur le système ECC et il pointe vers le système GRC. Étape 8 - Écran de définition du groupe de connecteurs sur le côté gauche. Étape 9 - Ici, vous devez vous assurer que toutes les configurations de connecteur pour la surveillance automatisée doivent appartenir au groupe de configuration appelé Surveillance automatisée comme indiqué ci-dessus sous définir le groupe de connecteurs de surveillance automatisée . Étape 10 - Allez à attribuer des connecteurs au groupe de connecteurs sur le côté gauche. Étape 11 - Assign le connecteur au groupe de connecteurs AM comme mentionné dans la capture d"écran ci-dessus. Étape 12 - Allez à Conserver les paramètres de connexion dans le menu principal comme dans la capture d"écran suivante . Étape 13 - Vous devez entrer le scénario d"intégration vous voulez, entrez AM comme dans la capture d"écran suivante - Étape 14 - Cliquez sur la coche verte comme indiqué dans la capture d"écran ci-dessus; vous serez dirigé vers le écran suivant avec neuf sous-scénarios. La boîte en surbrillance montre neuf entrées appelées sous-scénarios et ils représentent les différents types de sources de données et de règles métier pris en charge sous Process Control 10. Étape 15 - Pour que le système soit surveillé, vous devez lier le connecteur correspondant à ce sous-scénario. Étape 16 - Sélectionnez le sous-scénario que vous souhaitez configurer et puis choisissez Lien de connecteur de scénario dans le côté gauche comme indiqué ci-dessous - Étape 17 - Vous serez dirigé vers l"écran suivant - Étape 18 - Maintenant, le connecteur que vous souhaitez utiliser pour cela le scénario n"est pas déjà dans la liste pour ce sous-scénario, Vous pouvez cliquer sur le bouton Nouvelles entrées en haut pour l"ajouter. Vous pouvez suivre ces recommandations pour ajouter des sous-scénarios - Applications ABAP - rapport ABAP, requête SAP, programme configurable SAP BW - requête BW Système non SAP - Partenaire externe Process Integrator - PI Système GRC - Intégration SoD SAP GRC - Données Sources et règles métier Dans SAP GRC Process Control, vous pouvez créer des sources de données. Ici, les interfaces utilisateur au moment de la conception sont sous l"option de configuration des règles dans le client Business. Accédez à la section de surveillance continue où vous pouvez trouver Sources de données et Règles de gestion option. Pour créer une nouvelle source de données, cliquez sur Sources de données → Créer. Dans le champ suivant, vous pouvez voir trois onglets différents pour définir la source de données. Onglet Général Champ d’objet Lien et pièce jointe Dans l’onglet Général, saisissez les informations suivantes - Nom de la source de données Date de début de la période de validité Date de fin de la période de validité Statut Aller au Champ Objet t ab, sélectionnez les champs suivants - SAP GRC - Création de règles métier Dans SAP GRC 10.0, vous pouvez utiliser des règles métier pour filtrer le flux de données provenant des sources de données et vous pouvez appliquer les conditions / calculs configurés par l"utilisateur à ces données pour déterminer s"il existe un problème nécessitant une attention particulière. Le type de règle métier dépend uniquement du type de source de données. Aller aux règles métier sous Configuration des règles. Pour créer de nouvelles règles métier, il existe une liste d"étapes que vous devez suivre avec quelques types de sources de données. Vous devez définir les détails dans chaque onglet. Par exemple, dans l"onglet Général , vous devez saisir les informations de base sur la règle métier. La règle métier vous donne des données à filtrerles lacunes . Dans l"onglet Données à analyser, vous verrez une liste des champs disponibles. Aller au critère de filtrage pour passer la condition de filtre sur les objets disponibles. Vous pouvez choisir parmi différents opérateurs. Lorsque vous définissez toutes les étapes, vous avez une option pour enregistrer la règle. Si vous souhaitez appliquer la règle à Process Control, vous pouvez le faire en cliquant sur le bouton Appliquer . Pour affecter une règle métier à un contrôle de processus, accédez à Attribution de règle métier sous Surveillance continue dans la configuration des règles. Sélectionnez le contrôle et recherchez la règle métier à appliquer. Nous avons maintenant compris comment créer des sources de données et des règles métier pour appliquer un filtre sur des sources de données et comment affecter des règles métier aux contrôles de processus.