企業(yè)內(nèi)控合規(guī)與風(fēng)險(xiǎn)管理解決方案

1、企業(yè)內(nèi)控合規(guī)與風(fēng)險(xiǎn)管理解決方案SAP GRC 企業(yè)治理、風(fēng)險(xiǎn)與合規(guī)管理方案概覽SAP 訪問控制SAP 內(nèi)部控制SAP 風(fēng)險(xiǎn)管理SAP 全球貿(mào)易服務(wù)SAP 巴西電子票據(jù)第二道防線第三道防線(基于 HANA 技術(shù)產(chǎn)品)全球貿(mào)易系統(tǒng)安全SAP 身份識(shí)別管理SAP 單點(diǎn)登錄SAP 企業(yè)威脅檢測(cè)(基于 HANA技術(shù)產(chǎn)品)SAP 審計(jì)管理SAP 舞弊管理SAP 訪問控制SAP GRC內(nèi)部控制管理IT合規(guī)行業(yè)規(guī)定自我評(píng)估自動(dòng)控制監(jiān)控手工控制測(cè)試認(rèn)證、簽署、電子簽名(302, 404, 21CFRPart11)問題整改控制環(huán)境：流程、控制、目標(biāo)、風(fēng)險(xiǎn)監(jiān)控例外IT架構(gòu)業(yè)務(wù)流程YesNoS U R V E Y文檔

2、評(píng)估簽核執(zhí)行CAPA范圍監(jiān)控SOX/中國(guó)內(nèi)控指引應(yīng)用系統(tǒng)集成風(fēng)險(xiǎn)管理訪問控制OraclePSFTDB2第三方應(yīng)用事件系統(tǒng)高效運(yùn)營(yíng)報(bào)表水晶報(bào)表Xcelsius儀表盤BI報(bào)表數(shù)據(jù)表文檔范圍監(jiān)控評(píng)估簽核建立內(nèi)控管理環(huán)境（控制環(huán)境）支持企業(yè)端到端的內(nèi)控管理工作內(nèi)控經(jīng)理視圖某業(yè)務(wù)崗位視圖嚴(yán)格的權(quán)限劃分建立內(nèi)控管理環(huán)境（控制環(huán)境）內(nèi)控手冊(cè)維護(hù)管理（風(fēng)險(xiǎn)評(píng)估）內(nèi)控手冊(cè)內(nèi)控矩陣流程制度測(cè)評(píng)模板工作手冊(cè)匯報(bào)模板支持企業(yè)端到端的內(nèi)控管理工作建立內(nèi)控管理環(huán)境（控制環(huán)境）內(nèi)控手冊(cè)維護(hù)管理（風(fēng)險(xiǎn)評(píng)估）內(nèi)控測(cè)試管理（控制活動(dòng)）科學(xué)規(guī)劃、有序分解、有效執(zhí)行，推動(dòng)內(nèi)控工作落到實(shí)處支持企業(yè)端到端的內(nèi)控管理工作建立內(nèi)控管理環(huán)境（

3、控制環(huán)境）內(nèi)控手冊(cè)維護(hù)管理（風(fēng)險(xiǎn)評(píng)估）內(nèi)控測(cè)試管理（控制活動(dòng)）缺陷管理與整改（監(jiān)控）通過信息化手段以待辦的方式將整改內(nèi)容推送給控制點(diǎn)負(fù)責(zé)人，并定時(shí)提醒，強(qiáng)化整改效果支持企業(yè)端到端的內(nèi)控管理工作建立內(nèi)控管理環(huán)境（控制環(huán)境）內(nèi)控手冊(cè)維護(hù)管理（風(fēng)險(xiǎn)評(píng)估）內(nèi)控測(cè)試管理（控制活動(dòng)）缺陷管理與整改（監(jiān)控）成果匯報(bào)信息溝通（信息溝通）多樣化的報(bào)表展現(xiàn)，支持領(lǐng)導(dǎo)決策支持企業(yè)端到端的內(nèi)控管理工作內(nèi)控管理自動(dòng)化持續(xù)監(jiān)控IT合規(guī)行業(yè)規(guī)定自我評(píng)估自動(dòng)控制監(jiān)控手工控制測(cè)試認(rèn)證、簽署、電子簽名(302, 404, 21CFRPart11)問題整改控制環(huán)境：流程、控制、目標(biāo)、風(fēng)險(xiǎn)監(jiān)控例外IT架構(gòu)業(yè)務(wù)流程YesNoS U R

4、 V E Y文檔評(píng)估簽核執(zhí)行CAPA范圍監(jiān)控SOX/中國(guó)內(nèi)控指引應(yīng)用系統(tǒng)集成風(fēng)險(xiǎn)管理訪問控制OraclePSFTDB2第三方應(yīng)用事件系統(tǒng)高效運(yùn)營(yíng)報(bào)表水晶報(bào)表Xcelsius儀表盤BI報(bào)表數(shù)據(jù)表提出問題設(shè)定目標(biāo)業(yè)務(wù)流程分析系統(tǒng)與數(shù)據(jù)分析數(shù)據(jù)式建模模型的運(yùn)作與監(jiān)控模型成果及改進(jìn)1、領(lǐng)導(dǎo)關(guān)注的重要領(lǐng)域2、重大重要風(fēng)險(xiǎn)3、業(yè)務(wù)流程覆蓋完整性4、上一年審計(jì)結(jié)果5、業(yè)務(wù)流程的信息化基礎(chǔ)6、外部監(jiān)管機(jī)構(gòu)的要求.真實(shí)性問題信息真實(shí)性數(shù)據(jù)真實(shí)性合規(guī)性問題業(yè)務(wù)合規(guī)性管理合規(guī)性系統(tǒng)合規(guī)性數(shù)據(jù)準(zhǔn)確問題系統(tǒng)數(shù)據(jù)質(zhì)量數(shù)據(jù)一致性效益問題資產(chǎn)運(yùn)營(yíng)能力指標(biāo) 銷售/庫(kù)存比率銷售（營(yíng)業(yè)）增長(zhǎng)率資金安全問題審批手續(xù)是否健全資金管理執(zhí)

5、行核算準(zhǔn)確性資金活動(dòng)采購(gòu)業(yè)務(wù)資產(chǎn)管理銷售業(yè)務(wù)研究與開發(fā)工程項(xiàng)目擔(dān)保業(yè)務(wù)財(cái)務(wù)報(bào)告全面預(yù)算合同管理內(nèi)部信息傳遞業(yè)務(wù)外包示 例示 例風(fēng)險(xiǎn)管理流程管理內(nèi)控管理風(fēng)險(xiǎn)指標(biāo)自動(dòng)化和內(nèi)控測(cè)試自動(dòng)化實(shí)施方法論提出問題設(shè)定目標(biāo)業(yè)務(wù)流程分析系統(tǒng)與數(shù)據(jù)分析數(shù)據(jù)式建模模型的運(yùn)作與監(jiān)控模型成果及改進(jìn)充分借鑒內(nèi)控管理的此現(xiàn)有成果制度體系職責(zé)與分工采購(gòu)請(qǐng)購(gòu)管理供應(yīng)商管理定價(jià)機(jī)制驗(yàn)收管理合同管理采購(gòu)方式采購(gòu)付款預(yù)付款和定金會(huì)計(jì)系統(tǒng)管理采購(gòu)過程管理退貨管理采購(gòu)業(yè)務(wù)子流程關(guān)鍵控制點(diǎn)審批采購(gòu)申請(qǐng)。審批超預(yù)算或預(yù)算外采購(gòu)項(xiàng)目。組織人員調(diào)查供應(yīng)商。供應(yīng)商評(píng)審。供應(yīng)商考核。供應(yīng)商信息維護(hù)。評(píng)標(biāo)。建立采購(gòu)價(jià)格數(shù)據(jù)庫(kù)。分析價(jià)格并確定最高采購(gòu)限

6、價(jià)。詢價(jià)比價(jià)。確定價(jià)格。經(jīng)授權(quán)與供應(yīng)商簽訂采購(gòu)合同。物資入庫(kù)前初驗(yàn)。物資入庫(kù)前質(zhì)檢。異常情況處理。定期跟蹤合同履行情況。付款申請(qǐng)審批。審批預(yù)付款申請(qǐng)。示 例風(fēng)險(xiǎn)指標(biāo)自動(dòng)化和內(nèi)控測(cè)試自動(dòng)化實(shí)施方法論提出問題設(shè)定目標(biāo)業(yè)務(wù)流程分析系統(tǒng)與數(shù)據(jù)分析數(shù)據(jù)式建模模型的運(yùn)作與監(jiān)控模型成果及改進(jìn)子流程采購(gòu)請(qǐng)購(gòu)管理控制目標(biāo)確保采購(gòu)申請(qǐng)內(nèi)容符合生產(chǎn)經(jīng)營(yíng)需要，符合采購(gòu)計(jì)劃，在采購(gòu)預(yù)算范圍內(nèi)控制點(diǎn)名稱審批采購(gòu)申請(qǐng)控制點(diǎn)描述公司物資需求部門根據(jù)實(shí)際生產(chǎn)需要和采購(gòu)計(jì)劃，填寫采購(gòu)申請(qǐng)單，提出采購(gòu)申請(qǐng)，并按照公司采購(gòu)請(qǐng)購(gòu)制度報(bào)相關(guān)部門和領(lǐng)導(dǎo)進(jìn)行審批。檢查程序示 例預(yù)算系統(tǒng)采購(gòu)系統(tǒng)協(xié)同辦公系統(tǒng)庫(kù)存系統(tǒng)業(yè)務(wù)系統(tǒng)1、核查物資庫(kù)存量等

7、內(nèi)容2、是否在采購(gòu)預(yù)算內(nèi)3、檢查采購(gòu)申請(qǐng)單是否在采購(gòu)計(jì)劃內(nèi)，申請(qǐng)內(nèi)容是否準(zhǔn)確4、是否經(jīng)過相關(guān)部門和領(lǐng)導(dǎo)審批庫(kù)存量預(yù)算額度采購(gòu)計(jì)劃內(nèi)容采購(gòu)申請(qǐng)內(nèi)容審批設(shè)置風(fēng)險(xiǎn)指標(biāo)自動(dòng)化和內(nèi)控測(cè)試自動(dòng)化實(shí)施方法論提出問題設(shè)定目標(biāo)業(yè)務(wù)流程分析系統(tǒng)與數(shù)據(jù)分析數(shù)據(jù)式建模模型的運(yùn)作與監(jiān)控模型成果及改進(jìn)模型名稱：采購(gòu)申請(qǐng)超預(yù)算監(jiān)控模型模型描述：對(duì)模型數(shù)據(jù)進(jìn)行集中度分析模型目的：檢查采購(gòu)物資的累計(jì)采購(gòu)金額是否超過采購(gòu)預(yù)算。模型規(guī)則：從采購(gòu)系統(tǒng)的申請(qǐng)表中獲取采購(gòu)物資的累計(jì)采購(gòu)金額，與預(yù)算系統(tǒng)中對(duì)該物資的預(yù)算金額比較，是否超出預(yù)算金額數(shù)據(jù)來源：采購(gòu)系統(tǒng)中的采購(gòu)申請(qǐng)表，字段包括申請(qǐng)人、申請(qǐng)物資、采購(gòu)金額、申請(qǐng)數(shù)量、申請(qǐng)時(shí)間、用途、

8、供應(yīng)商名稱、供應(yīng)商聯(lián)系方式；預(yù)算系統(tǒng)中的各類物資采購(gòu)的預(yù)算金額。數(shù)據(jù)提取周期：每月從數(shù)據(jù)維護(hù)部門提取相應(yīng)數(shù)據(jù)運(yùn)行要求：月/次示 例風(fēng)險(xiǎn)指標(biāo)自動(dòng)化和內(nèi)控測(cè)試自動(dòng)化實(shí)施方法論SAP GRC 平臺(tái)的先天性數(shù)據(jù)集成優(yōu)勢(shì)借助IT技術(shù)實(shí)現(xiàn)數(shù)據(jù)集成企業(yè)SAP 業(yè)務(wù)系統(tǒng)業(yè)務(wù)數(shù)據(jù)存儲(chǔ)主數(shù)據(jù)交易數(shù)據(jù)配置數(shù)據(jù)其他廠商風(fēng)控平臺(tái)數(shù)據(jù)庫(kù)數(shù)據(jù)提取數(shù)據(jù)分析及轉(zhuǎn)換ODBCwebserviceETLAdapter數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)預(yù)警自動(dòng)化測(cè)試規(guī)則固化規(guī)則固化SAP 審計(jì)及風(fēng)控平臺(tái)風(fēng)險(xiǎn)預(yù)警自動(dòng)化測(cè)試RFC與SAP業(yè)務(wù)系統(tǒng)共用數(shù)據(jù)源自定義規(guī)則1、過程繁瑣，數(shù)據(jù)準(zhǔn)確性和時(shí)效性無法保證2、固化的規(guī)則無法應(yīng)對(duì)監(jiān)控規(guī)則的改變與其他廠商風(fēng)控平臺(tái)相

9、比，SAP 審計(jì)及風(fēng)控平臺(tái)數(shù)據(jù)集成優(yōu)勢(shì)明顯1、過程簡(jiǎn)單，數(shù)據(jù)準(zhǔn)確且時(shí)效性強(qiáng)2、可自定義規(guī)則靈活應(yīng)對(duì)后期業(yè)務(wù)規(guī)則的改變提出問題設(shè)定目標(biāo)業(yè)務(wù)流程分析系統(tǒng)與數(shù)據(jù)分析數(shù)據(jù)式建模模型的運(yùn)作與監(jiān)控模型成果及改進(jìn)持續(xù)性控制監(jiān)控采購(gòu)訂單超額開票持續(xù)性控制監(jiān)控預(yù)置腳本系統(tǒng)預(yù)置大量流程風(fēng)險(xiǎn)監(jiān)控規(guī)則支持實(shí)時(shí)監(jiān)控資金管理現(xiàn)金管理 風(fēng)險(xiǎn)管理1訂單到收款 訂單錄入 訂單實(shí)現(xiàn) 計(jì)費(fèi)和退還采購(gòu)到付款需求計(jì)劃 運(yùn)營(yíng)采購(gòu)調(diào)賬到報(bào)告 預(yù)算規(guī)劃 子賬交易 財(cái)務(wù)結(jié)賬IT系統(tǒng)安全管理 應(yīng)用實(shí)施 變更控制 收入確認(rèn) 存貨管理 應(yīng)付款管理 合并報(bào)表固定資產(chǎn)23281818 人力資源 人力資源計(jì)劃 錄用15資產(chǎn)購(gòu)置 資產(chǎn)折舊5 傭金員工主數(shù)據(jù)

10、 應(yīng)用安全網(wǎng)絡(luò)支持 組合管理 公司間財(cái)務(wù)資產(chǎn)處理資產(chǎn)管理 利用預(yù)置查詢和報(bào)告實(shí)時(shí)監(jiān)控流程控制風(fēng)險(xiǎn)點(diǎn)持續(xù)性控制和數(shù)據(jù)審計(jì)企業(yè)大規(guī)模的使用ERP系統(tǒng)取代原先的手工流程給企業(yè)的內(nèi)部控制提出了新的要求，也同時(shí)為內(nèi)控管理帶來了新的契機(jī)。使用持續(xù)性的控制和數(shù)據(jù)審計(jì)流程將原先內(nèi)控人員定期手工進(jìn)行的系統(tǒng)復(fù)核工作轉(zhuǎn)變成使用內(nèi)審系統(tǒng)對(duì)ERP系統(tǒng)的配置數(shù)據(jù)、主數(shù)據(jù)和交易數(shù)據(jù)進(jìn)行持續(xù)監(jiān)控的過程，大大方便了內(nèi)控和內(nèi)審的工作，降低了作業(yè)成本。傳統(tǒng)的控制審計(jì)審計(jì)頻率通常為半年一次，間隔時(shí)間較長(zhǎng)；審計(jì)師檢查系統(tǒng)配置信息和主數(shù)據(jù)信息僅能夠反應(yīng)當(dāng)時(shí)點(diǎn)的情況，而通常很難對(duì)歷史進(jìn)行追溯；審計(jì)師對(duì)系統(tǒng)交易數(shù)據(jù)的審計(jì)通常采取抽樣方式，覆

11、蓋面較小。持續(xù)性的控制審計(jì)持續(xù)性控制審計(jì)的監(jiān)控頻率可達(dá)每天一次；持續(xù)性控制審計(jì)可以通過持續(xù)監(jiān)控系統(tǒng)配置的變化，捕捉任何可疑的系統(tǒng)變更；持續(xù)性控制審計(jì)可以對(duì)系統(tǒng)中的所有交易數(shù)據(jù)進(jìn)行全面而完整的分析，將所有的可疑數(shù)據(jù)展現(xiàn)在審計(jì)師面前。DHL 內(nèi)控案例eGRC Reporting and Dashboard ArchitectureGRC Reporting EngineOffline Data LoaderBW ExtractorMaster Data tables (configurations, master data, some transactions)Transaction tables

12、(most transactions)Data Mart tables(for reports and dashboards)GRC DatabaseALVCrystal Reports ViewerBusiness WarehouseeGRC 10.0Solution Components, running on Netweaver 7.02Crystal Reports DesignerGRC software componentNetWeaver software componentOptional software componentSAP-delivered contentKeyDa

13、shboard tablesXcelciusData flow directly in response to user request for a reportOther reporting data flows權(quán)責(zé)分離(SOD)管理 是IT 與 ERP審計(jì)的內(nèi)容之一美國(guó)薩班斯法案審計(jì)主要發(fā)現(xiàn)點(diǎn)缺失正常的申請(qǐng)和復(fù)核流程：23%職責(zé)分離問題：19%流程或文檔缺失：34%無缺陷：8%其余：16%Source: Jefferson Wells International & The Institute of Auditors企業(yè)應(yīng)用系統(tǒng)權(quán)限管理普遍存在的問題應(yīng)用系統(tǒng)帳號(hào)和角色眾多，管理復(fù)雜，權(quán)限過

14、大的情況時(shí)有發(fā)生，手工維護(hù)極易出錯(cuò)，給企業(yè)應(yīng)用系統(tǒng)安全帶來隱患審計(jì)人員無法通過人工方式有效的檢測(cè)所有用戶帳號(hào)和權(quán)限分配的合規(guī)性以及合理性，對(duì)超級(jí)用戶的審計(jì)取證困難企業(yè)IT部門每天花費(fèi)大量的時(shí)間和人力維護(hù)應(yīng)用系統(tǒng)中的用戶帳號(hào)和權(quán)限，進(jìn)行密碼重置等繁瑣的工作企業(yè)業(yè)務(wù)部門在權(quán)限審批過程中沒有審批依據(jù)，業(yè)務(wù)部門和IT部門在權(quán)限管理的過程中溝通不暢企業(yè)員工從入職到離職的帳號(hào)管理通常通過手工完成，容易出錯(cuò)且管理效率較低12345 某企業(yè)ERP生產(chǎn)系統(tǒng)風(fēng)險(xiǎn)發(fā)現(xiàn)實(shí)例SAP GRC訪問控制功能模塊SAP GRC Risk Analysis and Remediation 風(fēng)險(xiǎn)分析和修復(fù)訪問與授權(quán)控制，進(jìn)行風(fēng)險(xiǎn)分

15、析，檢查并清除風(fēng)險(xiǎn) SAP GRC Enterprise Role Management 企業(yè)角色管理角色定義與管理SAP GRC Super User Privilege Management超級(jí)用戶訪問控制SAP GRC Compliant User Provisioning合規(guī)用戶自動(dòng)化開通用戶權(quán)限管理保持合規(guī)完成合規(guī)風(fēng)險(xiǎn)分析與修復(fù)企業(yè)角色管理超級(jí)用戶特權(quán)管理合規(guī)用戶提供SAP GRC訪問控制風(fēng)險(xiǎn)分析與修復(fù)SAP GRC訪問控制預(yù)定義規(guī)則庫(kù)133600+詳細(xì)職責(zé)分離檢測(cè)規(guī)則SAP GRC訪問控制與HR集成特性一（訪問請(qǐng)求自動(dòng)化觸發(fā)）SAP HRPeopleSoft HRSAP GRC訪問

16、控制AC通過后臺(tái)作業(yè)定期自動(dòng)檢查HR系統(tǒng)中的相應(yīng)變更，例如“新員工”、“員工換崗”、“員工離職”等AC抓取到HR系統(tǒng)中相應(yīng)員工變化信息AC根據(jù)其自身所設(shè)置的判斷規(guī)則自動(dòng)觸發(fā)相應(yīng)的請(qǐng)求，例如：HR系統(tǒng)新員工創(chuàng)建 AC新員工帳號(hào)請(qǐng)求HR系統(tǒng)員工換崗 AC員工帳號(hào)變更請(qǐng)求HR系統(tǒng)員工離職 AC員工帳號(hào)鎖定/刪除請(qǐng)求123SAP GRC訪問控制與HR集成特性一（訪問請(qǐng)求自動(dòng)化觸發(fā)）SAP GRC訪問控制與HR集成特性二（ERP系統(tǒng)密碼自助）SAP GRC訪問控制ERP用戶在AC系統(tǒng)中提交相應(yīng)密碼自助服務(wù)請(qǐng)求，并輸入所需驗(yàn)證信息（如身份證號(hào)碼）。12AC根據(jù)所設(shè)置的HR系統(tǒng)信息類型進(jìn)行身份驗(yàn)證匹配。3H

17、R系統(tǒng)返回以下結(jié)果：身份驗(yàn)證匹配成功與否用戶相應(yīng)ERP系統(tǒng)帳號(hào)用戶電子郵件信息若匹配成功則進(jìn)行ERP系統(tǒng)密碼重置若匹配不成功，則返回出錯(cuò)信息45通過電子郵件通知用戶新密碼SAP HR無HR系統(tǒng)支持下的密碼自助服務(wù)GRC AC 和IDM 無縫集成應(yīng)用實(shí)現(xiàn)完整的合規(guī)身份管理身份管理基于員工職位判斷所需授權(quán)信息HR應(yīng)用系統(tǒng)新入職 / 職位變更經(jīng)理審批權(quán)限分配創(chuàng)建用戶分配角色異構(gòu)系統(tǒng)架構(gòu)分配SAP GRC訪問控制合規(guī)風(fēng)險(xiǎn)檢查與補(bǔ)救創(chuàng)建用戶分配授權(quán)HR創(chuàng)建用戶分配角色創(chuàng)建用戶分配角色訪問控制和身份識(shí)別系統(tǒng)集成應(yīng)用示例: 崗位變更Sun ONEMicrosoftActive DirectoryMicros

18、oftExchangePortalCRMERPHCM GRC訪問控制身份識(shí)別系統(tǒng)風(fēng)險(xiǎn)分析和修復(fù)虛擬目錄服務(wù)器身份中心合規(guī)用戶開通基于事件的增量導(dǎo)出1b轉(zhuǎn)發(fā)請(qǐng)求3b開通3a開通5基于崗位的業(yè)務(wù)角色變更”默認(rèn)采購(gòu)”2員工崗位變更1a風(fēng)險(xiǎn)分析和批準(zhǔn)4統(tǒng)一權(quán)控平臺(tái)優(yōu)化提升權(quán)限的集中申請(qǐng)和合規(guī)性管理通過權(quán)限管控平臺(tái)的技術(shù)功能，將控制環(huán)節(jié)固化在系統(tǒng)工作流中，并在工作流中明晰各部門在不同環(huán)節(jié)中的職責(zé)：承擔(dān)更多的職責(zé)，增強(qiáng)權(quán)限管控的主動(dòng)性：通過系統(tǒng)工作流的固化，使得控制環(huán)節(jié)在權(quán)限維護(hù)流程中是業(yè)務(wù)部門必需執(zhí)行的步驟。減輕手工維護(hù)權(quán)限工作量：利用管控平臺(tái)權(quán)限自動(dòng)配置功能，將IT部門從繁重的手工維護(hù)權(quán)限工作中解放出

19、來，從而關(guān)注于技術(shù)支持、系統(tǒng)維護(hù)等IT職能。強(qiáng)化監(jiān)督管理的功能：通過管控平臺(tái)提供的實(shí)時(shí)管理報(bào)表，實(shí)時(shí)監(jiān)督控制執(zhí)行情況、管理權(quán)限風(fēng)險(xiǎn)。合規(guī)部門業(yè)務(wù)部門IT部門訪問權(quán)限管控平臺(tái)2015某著名大型石油央企訪問控制系統(tǒng)架構(gòu)集中部署統(tǒng)一的權(quán)限管理應(yīng)用系統(tǒng)，實(shí)現(xiàn)權(quán)限的集中申請(qǐng)和合規(guī)性管理。報(bào)表和表單應(yīng)用平臺(tái)權(quán)限管理應(yīng)用 用戶平臺(tái)系統(tǒng)關(guān)鍵用戶審核人內(nèi)控部門權(quán)限管理員展示門戶GRC權(quán)限管理應(yīng)用核心功能系統(tǒng)入口應(yīng)用平臺(tái)ERP系統(tǒng)平臺(tái)信息管理部服務(wù)總線平臺(tái)數(shù)據(jù)映射管理接口配置合規(guī)性規(guī)則庫(kù) 用戶授權(quán)庫(kù) 各企事業(yè)單位內(nèi)部支持隊(duì)伍外部審計(jì)各平臺(tái)權(quán)限申請(qǐng)流程管理上市ERP未上市ERP海外ERP人力資源決策支持平臺(tái)集成平臺(tái)

20、（BPM）自主開發(fā)應(yīng)用ERP系統(tǒng)權(quán)限合規(guī)性檢查ERP系統(tǒng)應(yīng)急賬號(hào)管理用戶平臺(tái)待辦集成報(bào)表和表單數(shù)據(jù)分級(jí)管理用戶認(rèn)證管理日志管理某著名大型石油央企GRC 訪問控制項(xiàng)目后期展望流程可控權(quán)限管理應(yīng)用實(shí)現(xiàn)用戶權(quán)限從申請(qǐng)到審批的各級(jí)流程電子化，同時(shí)可根據(jù)實(shí)際需要對(duì)標(biāo)準(zhǔn)工作流程進(jìn)行定制修改， ERP權(quán)限日常運(yùn)維從根本上得到了控制。風(fēng)險(xiǎn)可控權(quán)限管理應(yīng)用將通過實(shí)時(shí)權(quán)限互斥風(fēng)險(xiǎn)的預(yù)警，進(jìn)行用戶權(quán)限潛在風(fēng)險(xiǎn)的統(tǒng)計(jì)分析。角色可控提供基于崗位職能的權(quán)限申請(qǐng)功能，通過將崗位與角色在系統(tǒng)中進(jìn)行關(guān)聯(lián)以及角色基本屬性的提煉，方便用戶的權(quán)限申請(qǐng)。表單可控梳理ERP權(quán)限運(yùn)維相關(guān)表單，對(duì)于目前的表單提出修改建議，完善表單體系，通過

21、權(quán)限線上的申請(qǐng)審批流程，實(shí)現(xiàn)表單的電子化管理。合規(guī)可控權(quán)限管理應(yīng)用將固化ERP系統(tǒng)權(quán)限測(cè)試依據(jù)及標(biāo)準(zhǔn)，以全面的權(quán)限測(cè)試（互斥、敏感、冗余）、嚴(yán)格的多級(jí)審批等手段確保ERP系統(tǒng)權(quán)限的全過程實(shí)時(shí)管控。2015上汽延鋒 GRC 訪問控制案例國(guó)內(nèi)領(lǐng)先的汽車零部件集團(tuán)國(guó)內(nèi)領(lǐng)先的汽車零部件企業(yè)項(xiàng)目背景(原因)企業(yè)自身是中國(guó)上市公司子公司，滿足內(nèi)控規(guī)范對(duì)信息系統(tǒng)安全與控制的明確要求；內(nèi)審在實(shí)施SAP之前對(duì)舊ERP系統(tǒng)已經(jīng)有系統(tǒng)職責(zé)分離的要求；IT關(guān)心SAP ERP系統(tǒng)上線后系統(tǒng)角色、臨時(shí)、緊急情況下的超級(jí)用戶如何有效管控防范風(fēng)險(xiǎn)；企業(yè)中外方股東方都是上市公司，需滿內(nèi)控規(guī)范對(duì)信息系統(tǒng)安全與控制的明確要求；內(nèi)審

22、在實(shí)施SAP之前對(duì)舊ERP系統(tǒng)已經(jīng)有系統(tǒng)職責(zé)分離的要求；IT關(guān)心SAP ERP系統(tǒng)上線后系統(tǒng)角色、臨時(shí)、緊急情況下的超級(jí)用戶如何有效管控防范風(fēng)險(xiǎn)；實(shí)施策略SAP ERP、SRM等系統(tǒng)實(shí)施時(shí)同步實(shí)施SAP GRC訪問控制；確保SAP ERP等系統(tǒng)上線時(shí)“干凈”不存在任何訪問控制缺陷SAP ERP系統(tǒng)上線1年半后再實(shí)施SAP GRC訪問控制，發(fā)現(xiàn)現(xiàn)有系統(tǒng)問題并整改，確保GRC上線后未來不會(huì)產(chǎn)生新的訪問控制缺陷；實(shí)施內(nèi)容幫助企業(yè)優(yōu)化SAP系統(tǒng)訪問控制管理流程（用戶授權(quán)、角色管理、緊急訪問、風(fēng)險(xiǎn)監(jiān)控）、建立SAP系統(tǒng)職責(zé)分離和敏感訪問技術(shù)標(biāo)準(zhǔn)、配置與實(shí)施SAP GRC訪問控制系統(tǒng)固化咨詢成果；“管理咨

23、詢”+ “系統(tǒng)實(shí)施” 二合一！項(xiàng)目?jī)r(jià)值“高起點(diǎn)”：SAP ERP等系統(tǒng)“零”缺陷上線；“好手段”：SAP GRC系統(tǒng)導(dǎo)入保證系統(tǒng)未來運(yùn)維過程沒有新缺陷、提升業(yè)務(wù)滿意度、提供IT日常授權(quán)管理效率?！按髵叱保呵謇須v史遺留問題；“好手段”：SAP GRC系統(tǒng)導(dǎo)入保證系統(tǒng)未來運(yùn)維過程沒有新缺陷、提升業(yè)務(wù)滿意度、提供IT日常授權(quán)管理效率。SAP GRC訪問控制實(shí)施方法藍(lán)圖階段配置階段接納階段維護(hù)階段基于最佳實(shí)踐經(jīng)驗(yàn)的實(shí)施方法SAP GRC訪問控制實(shí)施方法基于最佳實(shí)踐經(jīng)驗(yàn)的實(shí)施方法需求分析定義職責(zé)沖突風(fēng)險(xiǎn)點(diǎn)及業(yè)務(wù)規(guī)則定義超級(jí)用戶權(quán)限，使用及監(jiān)控流程定義用戶帳號(hào)及權(quán)限申請(qǐng)/變更流程定義企業(yè)角色管理流程（包

24、括命名規(guī)范、審核流程等）功能培訓(xùn)最終用戶功能培訓(xùn)項(xiàng)目組關(guān)鍵成員培訓(xùn)關(guān)鍵產(chǎn)出職責(zé)沖突風(fēng)險(xiǎn)控制矩陣職責(zé)沖突風(fēng)險(xiǎn)控制業(yè)務(wù)規(guī)則超級(jí)用戶定義、使用及監(jiān)控流程用戶帳號(hào)及權(quán)限申請(qǐng)流程角色管理流程藍(lán)圖階段配置階段接納階段維護(hù)階段SAP GRC訪問控制實(shí)施方法基于最佳實(shí)踐經(jīng)驗(yàn)的實(shí)施方法藍(lán)圖階段配置階段接納階段維護(hù)階段系統(tǒng)配置職責(zé)沖突分離規(guī)則導(dǎo)入超級(jí)用戶權(quán)限定義，使用人、監(jiān)控人、審核人配置用戶帳號(hào)及權(quán)限申請(qǐng)流程系統(tǒng)配置角色創(chuàng)建命名規(guī)則、創(chuàng)建流程配置單元測(cè)試確認(rèn)系統(tǒng)功能正確有效確認(rèn)導(dǎo)入數(shù)據(jù)完整正確關(guān)鍵產(chǎn)出職責(zé)沖突分離業(yè)務(wù)規(guī)則配置文檔（GRC 4大模塊）單元測(cè)試計(jì)劃（GRC 4大模塊）單元測(cè)試報(bào)告（GRC 4大模塊）

25、SAP GRC訪問控制實(shí)施方法基于最佳實(shí)踐經(jīng)驗(yàn)的實(shí)施方法藍(lán)圖階段配置階段接納階段維護(hù)階段用戶測(cè)試（UAT）系統(tǒng)現(xiàn)有帳號(hào)及角色職責(zé)分離沖突風(fēng)險(xiǎn)分析根據(jù)上述分析結(jié)果進(jìn)行權(quán)限清理和整改超級(jí)用戶權(quán)限測(cè)試及使用監(jiān)控流程測(cè)試和確認(rèn)用戶帳號(hào)及權(quán)限申請(qǐng)流程測(cè)試和確認(rèn)角色創(chuàng)建及審批流程測(cè)試和確認(rèn)補(bǔ)償性控制識(shí)別與設(shè)計(jì)識(shí)別企業(yè)現(xiàn)有的補(bǔ)償性控制措施為企業(yè)設(shè)計(jì)補(bǔ)償性控制的測(cè)試步驟關(guān)鍵產(chǎn)出用戶接受測(cè)試計(jì)劃用戶接受測(cè)試報(bào)告職責(zé)沖突后續(xù)跟蹤流程補(bǔ)償性控制管理流程超級(jí)用戶使用及監(jiān)控流程系統(tǒng)管理及運(yùn)營(yíng)流程如何正確處理系統(tǒng)報(bào)告的職責(zé)沖突風(fēng)險(xiǎn)如何正確的識(shí)別并定義補(bǔ)償性控制如何對(duì)超級(jí)用戶的使用進(jìn)行審批和監(jiān)控最終用戶培訓(xùn)最終用戶熟悉系統(tǒng)

26、功能和特性SAP GRC訪問控制實(shí)施方法藍(lán)圖階段配置階段接納階段維護(hù)階段關(guān)鍵產(chǎn)出GRC系統(tǒng)變更及維護(hù)流程GRC系統(tǒng)內(nèi)部審計(jì)方法上線后系統(tǒng)支持系統(tǒng)現(xiàn)場(chǎng)支持系統(tǒng)維護(hù)流程如何進(jìn)行GRC系統(tǒng)變更如何進(jìn)行GRC系統(tǒng)內(nèi)部審核風(fēng)險(xiǎn)分析與修復(fù)使用者權(quán)限管理業(yè)務(wù)角色管理訪問權(quán)限復(fù)核超級(jí)使用者權(quán)限管理高效管理超級(jí)賬號(hào)權(quán)限及審計(jì)定期訪問權(quán)限與職責(zé)分離復(fù)核統(tǒng)一角色管理平臺(tái)在源頭防控風(fēng)險(xiǎn)自動(dòng)化訪問權(quán)限分配識(shí)別和修復(fù)SOD以及敏感權(quán)限違規(guī)訪問控制功能特性SAP_ALLXLegacy實(shí)時(shí)分析能力，即時(shí)制止風(fēng)險(xiǎn)隱患提供SAP, 非SAP系統(tǒng)以及跨系統(tǒng)細(xì)顆粒度準(zhǔn)確分析能力，拒絕風(fēng)險(xiǎn)誤報(bào)自動(dòng)化執(zhí)行，降低企業(yè)合規(guī)成本 模擬工具避免

27、權(quán)限違規(guī)，第一時(shí)間發(fā)現(xiàn)權(quán)限問題所在標(biāo)準(zhǔn)化權(quán)限申請(qǐng)開通流程提升權(quán)限申請(qǐng)效率實(shí)時(shí)權(quán)限分析報(bào)告幫助審批人審批權(quán)限時(shí)有據(jù)可依，預(yù)防違規(guī)情況發(fā)生自動(dòng)化權(quán)限分配流程，避免人為錯(cuò)誤的情況發(fā)生，提高IT效率集成HR系統(tǒng)事件（入職、換崗、離職等），進(jìn)行權(quán)限變更, 實(shí)現(xiàn)全生命周期的合規(guī)管理方案超級(jí)賬號(hào)申請(qǐng)、審批、使用、和監(jiān)控的全生命周期管理流程訪問限制,規(guī)避大權(quán)限賬號(hào)帶來的安全隱患有效期控制詳細(xì)全面日志降低審計(jì)時(shí)間成本，解決審計(jì)難題角色創(chuàng)建時(shí)嵌入風(fēng)險(xiǎn)分析，從源頭避免權(quán)限風(fēng)險(xiǎn)角色挖掘分析報(bào)告和批量處理提升質(zhì)量與效率強(qiáng)制執(zhí)行角色維護(hù)最佳實(shí)踐，減少錯(cuò)誤發(fā)生定期觸發(fā)權(quán)限分配復(fù)核，持續(xù)合規(guī)定期觸發(fā)SOD違規(guī)復(fù)核，持續(xù)合規(guī)降

28、低審計(jì)時(shí)間和成本訪問控制方案價(jià)值企業(yè)訪問權(quán)限風(fēng)險(xiǎn)的“風(fēng)向標(biāo)”完整展現(xiàn)企業(yè)信息系統(tǒng)的潛在職責(zé)沖突風(fēng)險(xiǎn)提供全面的管理層、內(nèi)審及內(nèi)控視角企業(yè)訪問權(quán)限風(fēng)險(xiǎn)的“防火墻”預(yù)防職責(zé)分離沖突風(fēng)險(xiǎn)的發(fā)生，保護(hù)企業(yè)核心ERP系統(tǒng)的訪問安全支持定期用戶權(quán)限復(fù)核工作，保障用戶權(quán)限分配的準(zhǔn)確性、合理性訪問權(quán)限管理“自動(dòng)化”、“自助化”，解放IT維護(hù)資源自動(dòng)化用戶帳號(hào)申請(qǐng)、審批工作流自動(dòng)化用戶帳號(hào)創(chuàng)建、權(quán)限分配和角色維護(hù)密碼自助服務(wù)嚴(yán)控“超級(jí)用戶帳號(hào)”，有效防止越權(quán)操作“超級(jí)用戶帳號(hào)”集中申請(qǐng)、分配、監(jiān)督和管控自動(dòng)提供“超級(jí)用戶帳號(hào)”實(shí)時(shí)登錄報(bào)告和使用情況報(bào)告解決“第一號(hào)”審計(jì)難題：對(duì)SAP_ALL的審計(jì)跨企業(yè)、跨集團(tuán)的

29、訪問控制解決方案支持多個(gè)業(yè)務(wù)系統(tǒng)的并存的訪問控制管理跨流程、跨應(yīng)用、跨系統(tǒng)的職責(zé)分離沖突風(fēng)險(xiǎn)分析基于風(fēng)險(xiǎn)控制的企業(yè)身份管理方案業(yè)務(wù)部門與IT部門協(xié)同工作,共同防范訪問風(fēng)險(xiǎn)訪問權(quán)限風(fēng)險(xiǎn)不僅僅是IT風(fēng)險(xiǎn)，而是與業(yè)務(wù)密切相關(guān)的風(fēng)險(xiǎn)業(yè)務(wù)部門作為應(yīng)對(duì)訪問權(quán)限風(fēng)險(xiǎn)的責(zé)任部門IT部門為業(yè)務(wù)部門的決策提供強(qiáng)有力的IT支持GRC 訪問控制系統(tǒng)投資回報(bào)(ROI)測(cè)算指標(biāo)減少檢查用戶賬號(hào)申請(qǐng)的時(shí)間75-85%減少賬戶創(chuàng)建和變更的時(shí)間75-85%優(yōu)化的業(yè)務(wù)用戶賬號(hào)申請(qǐng)和審批流程70-80%優(yōu)化了用戶權(quán)限關(guān)閉的流程75-85%自動(dòng)化創(chuàng)建SOD報(bào)告80-90%改進(jìn)了SOD 報(bào)告的審查和分析 80-90%更快地解決處理SO

30、D問題80-90%改進(jìn)了特權(quán)用戶的創(chuàng)建80-90%改進(jìn)了對(duì)特權(quán)用戶訪問的檢查80-90%用戶管理員$XXX-$XXX M職責(zé)分離管理$XXX-$XXX M特權(quán)用戶訪問和管理 $XXX-$XXX K具有潛在SOD風(fēng)險(xiǎn)的不當(dāng)分配的角色減少的風(fēng)險(xiǎn)角色設(shè)計(jì)和管理$XXX-$XXX K審計(jì)合規(guī)$XXX-$XXX M節(jié)省的IT 支持成本$XXX-$XXX K改進(jìn)角色定義80-90%改進(jìn)角色維護(hù)80-90%減少IT審計(jì)費(fèi)用20-25%提高審計(jì)周期效率50-60%減少了定制報(bào)告創(chuàng)建-開發(fā)人員100%減少了報(bào)告維護(hù)工作-開發(fā)人員20-50%不當(dāng)用戶授權(quán)不當(dāng)角色分配和管理未被監(jiān)控的特權(quán)管理來源： 實(shí)際客戶的認(rèn)定評(píng)

31、測(cè)指標(biāo)節(jié)省的應(yīng)用系統(tǒng)接口開發(fā)和維護(hù)成本$XXX-$XXX K減少了與SAP ERP/HR人力資源/BW報(bào)表接口開發(fā)成本和后期維護(hù)成本100%減少了與非SAP系統(tǒng)/IDM身份識(shí)別系統(tǒng)的接口開發(fā)和運(yùn)維成本60-70%減少控制測(cè)試和變更跟蹤時(shí)間20-50%提高審計(jì)報(bào)告生成速度60-80%澳大利亞郵政風(fēng)險(xiǎn)管理 SAP Running SAP GRCProject HARMONY Continuous Control Monitoring SAP Process Map1 Define, Operationalize, and Track Strategy 2 Business Development,

32、 partner management and M&A3 Idea-to-Market4 Demand-to-Cash5 Service & Support Delivery7 Attract , Develop, and Retain Workforce8 Workplace & Infrastructure Provisioning 10 Corporate Finance and Operational Compliance11 Shareholder & Stakeholder ManagementCoreSupport6 Manage Customer Relationship9 P

33、rocure-to-PayManagementVersion 2.3.0 as of January 2nd, 2013Project HARMONY - Continuous Control MonitoringControl Overview HR and P2P8Priority High- P2P ControlsP2P Controls (28) HR Controls (8)ProcessControl9.4 Accounts PayableCheck frequency vendor was paid via One Time Vendor (CPD) accounts and

34、check aggregated amount of CPD9.3. Manage Operational ProcurementCheck if invoice date is before date of shopping cart/ purchase order9.4 Accounts PayableCheck on recurring overpostings (invoice amount PO amount) by the same vendor9.4 Accounts PayableCheck on recurring overpostings of vendors by the

35、 same goods recipient9.4 Accounts PayableCheck vendors with a debit balance9.4 Accounts PayableCheck asset master records with blocked COs (Controlling Objects)9.3. Manage Operational Procurement1. Check if FI bookings without PO exist.2. Check if there are any POs which are not in the included in t

36、he exception list.9.3. Manage Operational ProcurementCheck if for PO 50k EURa bidding or vendor selection was accomplishedProcessControl7.2.4 Calculate and Run PayrollCheck if employees did change their own master data (salary)7.2.4 Calculate and Run PayrollCheck frequent changes of master data (bank accounts)7.2.4 Calculate and run payrollCheck employees with identical bank data7.5.1.2 Employer Initiated TerminationCheck fixed term contracts to ensure timely termination7.5.1 Manage Separation of EmployeesCheck that terminated employees do not receive any