欢迎来到天天文库
浏览记录
ID:11345038
大小:76.15 KB
页数:8页
时间:2018-07-11
《德勤关于青岛海尔sap grc项目介绍及讨论》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、德勤关于青岛海尔SAPGRC项目介绍及讨论德勤企业风险管理冯晔高级经理朱磊经理2007年8月15日议程oSAP给企业内控带来的新挑战oSAPGRC产品概览o德勤建议的总体项目方案及思路o德勤实施SAPGRC产品的阶段及主要工作o为什么选择德勤o预计项目团队介绍o互动讨论o附件议程oSAP给企业内控带来的新挑战oSAPGRC产品概览及给企业带来的益处o德勤建议的总体项目方案及思路o德勤实施SAPGRC产品的阶段及主要工作o为什么选择德勤o预计项目团队介绍o互动讨论o附件引入SAP给企业内控带来的挑战来自管理层的疑问公司所投资的SAP系统是否得到了最大化的利用?公司的SAP系统是否能为我
2、们的决策准确地、快速地提供数据?公司的SAP系统是否到底在多大程度上提高了企业运作的效率?为什么有的部门觉得SAP系统的运作流程没有原来的手工处理流程好?来自审计师的疑问公司是否对SAP系统实施了完善的内部控制?使用SAP系统后,企业的运作是否面临着新的风险?SAP如何能帮助企业提高内部控制的效果和效率?对于SAP系统,审计师如何实施审计工作?IT审计中对SAP系统的典型发现举例??业建务销环售节订及单I;T开的发职环责境分中配的冲程突,序例员如可存以在在用生户产既环可境以中创释建放客变户更主请数求据(又可以创ChangeRequest)??权限设置过大,如太多的用户拥有SAP_Al
3、l和SAP_New的权限;??权限设置不准确,一些关键的授权对象(AuthorizationObject),比如S程_序De的ve权lo限p,被S_赋Pr予og了ra不m等恰,当授的予用了户不;恰当的用户。另外,直接修改表或者ABAP??超级用户管理不善,比如没有对SAP*这个帐号实施足够的安全措施;??数SA等P安设全置管,理不不符善合,最如佳密实码践策的略要,求包;括密码长度,密码变更周期,密码锁定次??通关键过交易代码管理不善,如一些敏感的交易代码没有被锁定或者被监控;没有SCC4来禁止对数据的直接修改等;??等等……议程oSAP给企业内控带来的新挑战oSAPGRC产品概览及给
4、企业带来的益处o德勤建议的总体项目方案及思路o德勤实施SAPGRC产品的方法论o为什么选择德勤o预计项目团队介绍o互动讨论o附件持续性地对职责分离进行预防突击阶段保持阶段(SprintPhase)(MarathonPhase)风险定义和改善角色管理超级用户访问控制预防VirsaRoleExpertVirsaFirefighterVirsaAccessforSAPforSAPEnforcerforSAP角色定义和管理超级用户访问控制申请的合规性的解决方案的解决方案解决方案VirsaComplianceCalibratorforSAP关于授权控制的冲突定义,发现,改善等的解决方案SAPG
5、RC产品概览2、可实时集成各SAP平台,乃至非SAP系统3、图形化的1、可使管理层问题展现界从多个角度去面分析SAP中所存在的职责冲突的风险SAPGRC产品概览1、可直接将企业(业务用户)认同的职责冲突风险设置到系统中,便于之后从不同角度定期地自动运行冲突报表SAPGRC产品概览1、尊重企业的现实情况,对无法分离的职责,提供记录补偿控制的地方,并对这些补偿控制进行系统化的记录。SAPGRC产品概览1、对生产环境中的管理员帐号进行实时控制,允许企业对不同的业务职能设置所需的超级用户。2、日志报告帮助企业对所使用的超级用户帐号进行完全的监控,包括每次登录系统所做的操作。SAPGRC产品概
6、览1、可定义的角色创建流程,流程中包含必要的审核控制。使用统一的平台设计和管理角色。SAPGRC产品概览1、可定义的用户创建流程,并在创建用户时即可通过模拟方式检验职责冲突SAPGRC产品和普通SOD工具的比较企业面对的控系统功能普通SAPSAPGRC备注制难题和风险SOD审计产品的解工具决方案一、职责分离事后复核及控制vv预定义需要分离的系统权限vv生成冲突清单vv实时监控系统中发生的冲突操作xv1可将冲突的交易情况及时发送Email通知管理xv2人员对允许发生的冲突直接记录补偿控制xv3可追溯的活动日志,变更记录xv备注:1,审计工具由于是不能和SAP集成,因此无法做到实时监控冲
7、突的发生。2,审计工具并不设定工作流。3,在某些情况下,企业为了控制成本,可能允许某个用户操作两个应该分离的交易,但通过第三方复核报表作为补偿控制,而GRC产品可以记录针对哪种冲突实施的什么补偿控制。SAPGRC产品和普通SOD工具的比较企业面对的控系统功能普通SAPSAPGRC备注制难题和风险SOD审计产品的解工具决方案二、关键操作的监控定义需要监控的关键操作xv对发生的关键操作进行实时报警xv4三、超级用户的使用对超级用户的适用进行实时监控xv5四、权
此文档下载收益归作者所有