Get RID of Risk GRC

SAP GRC   (Governance Risk and Compliance )

 



กระบวนการดำเนินการ

v  พิจารณา /ทบทวนBusiness Process ตาม Functionality (P2P, Order to Cash, Financial and HR (รวม Payroll)

v  พิจารณา และกำหนด Segregation of Duties (SoD) และ Critical Transaction Risks (มี Standard SAP) ของแต่ละ Business Process

v  จัดเตรียม Risk Rule (ระบุว่า Function ในแต่ละ Business Process มี T-Codeอะไร รวมถึง ค่าใน Authorize object)  เพื่อ Set Up ระบบ  แล้วดำเนินการ Run Simulation ตามBusiness Process และ Company เพื่อแสดงรายงานของ  Risk  ปัจจุบัน 

v  พิจารณาแนวทางในการแก้ไขRisk ที่เกิดขึ้น (Mitigating controls) ซึ่งสามารถดำเนินการได้2 แบบ : ถอด Transaction Code ที่ Conflict ออกจาก User ID หรือกำหนดProcess เพิ่มเติมเพื่อการควบคุม








ปัญหา และการแก้ไข ( SOD Workshop)

ปัญหา

การแก้ไข

Business Owner  มองว่า Function ในแต่ละคู่ไม่ได้เป็น Risk เนื่องจากมี Process Control กันเองอยู่แล้ว และมีการแยกคนทำงานอยู่แล้ว

ต้องอธิบายให้ Business Owner เข้าใจว่า เรามาตั้งกฎเกณฑ์สำหรับบริษัทฯ ไม่ได้มอง Process การทำงานในปัจจุบัน

ใช้เวลาในการพิจารณา Risk ในแต่ละข้อค่อนข้างช้า

ให้ทำ Workshop พร้อมกันหลายๆ บริษัทที่มี Business Process เหมือนกัน

การตัดสินใจว่า Risk ใดเป็น High  Medium หรือ Low ไม่ได้

กำหนดหลักเกณฑ์ของ High  Medium หรือ Low ให้ชัดเจน

ค่าใน Authorize Object บน SAP-ERP  ไม่ตรงกับค่าที่ Set ใน  Configuration ของ GRC

ต้องตรวจสอบให้ดี เช่น Activities Type  01 (บน SAP-ERP) บน SAP-GRC ต้องเป็น 01 เช่นกัน

Risk เดียวกันแต่ต่างบริษัท มี Mitigation Control ไม่เหมือนกัน

ต้องมีการ Configuration แยกบริษัท ตั้งแต่ Risk ID, Function ID เพื่อให้เมื่อมีการ Run Report จะได้ Risk ID คนและตัวกันของแต่ละบริษัท

พบว่า User ID ไม่เคยใช้งาน T-code ที่มีใน Authorization เลย

ทำการตรวจสอบสถิติการใช้งานของ User ID ว่าได้ใช้งาน T-Code ใดบ้าง เพื่อนำมาเป็นข้อมูลในการพิจารณาทำ Mitigation Control ว่าจะนำ T-Code ออกจาก Authorize ของ User นั้นได้เลย โดยไม่ต้องเสียเวลาในการหา Mitigation Control วิธีอื่นๆ

ผู้ใช้งานระบบไม่อยากให้เอา T-Code ออกจาก User ID ที่ใช้งานอยู่ แม้ว่าการปฏิบัติงานปกติไม่ต้องใช้ T-Code นั้น แต่จะใช้ต่อเมื่อพนักงานอีกท่านที่ต้องทำงานใน T-Code นี้ไม่มาทำงาน

ยังคงนำ T-Code ในออกจาก User ID แต่ต้องกำหนด SLA ให้ลูกค้ามั่นใจว่า เราจะเพิ่ม Authorize  หรือ Implement  Super user privilege

ในระหว่างประชุม Business Process Owner ไม่ทราบว่าจะทำ Mitigation อย่างไร

ที่ปรึกษาจะต้องเตรียม Mitigation Control ในเบื้องต้นไว้ก่อน เพื่อเป็นแนวทางให้กับ Business Process Owner

 

 

 


 
© 2012 I.T. Applications and Services Company Limited. All Rights Reserved.