SAP GRC 应用深度剖析

内容简介

本书通过对目前中国企业在风险管理和内部控制工作中的业务应用和场景分析，结合SAP
GRC系统所能够提供的功能，帮助读者真正了解SAP GRC平台在中国企业风控管理工作中所能够起到的实质性作用。同时，本书通过介绍SAP
GRC应用系统的配置过程，帮助SAP的实施合作伙伴能够清楚地理解GRC系统各实施配置项的作用及其使用场景，从而在系统实施过程中将客户的实际业务需求充分在SAP系统中进行体现，发挥SAP
GRC系统的br>　　大优势，服务于客户。

目录

第一章 风险管理与内部控制理论体系介绍
第二章 SAP治理、风险与合规解决方案总体介绍
第三章 ERP权限管控规范化
第一节 SAP GRC访问控制功能概览
第二节 访问权限标准化规则库
第三节 访问权限风险分析及处理应对
第四章 ERP权限管控流程化
第一节 访问权限风险自动化及权限管理自助化
第二节 用户访问权限生命周期管理
第三节 特权账号访问管控
第四节 ERP应用系统角色设计及风险控制
第五节 SAP GRC访问控制报表使用及定制化开发
第五章 管控企业业务流程合规性
第一节 内部控制环境建立
第二节 内部控制测试与评估
第三节 内部控制缺陷报告、汇总与整改
第四节 内控自评报告签核与披露
第五节 系统报表
第六节 SAP流程控制系统架构
第六章 持续性控制监控（Continuous Control Monitoring）
第七章 企业全面风险管理应用
第一节 企业风险智库建立
第二节 风险管理到岗到人
第二节 风险评估
第四节 自动化风险监控与预警
第五节 风险应对
第六节 风险事件库
第七节 风险管理报告与报表
第八节 SAP GRC风险管理模块技术架构
第八章 贸易企业合规风险管控
第九章 应用系统建设与风险管控体系建设的关系

摘要与插图

SAP治理、风险与合规解决方案(SAP Governance，Risk and Compliance，简称为SAP
GRC)是SAP公司在企业绩效与风控管理方面重要的解决方案之一。SAP GRC解决方案与SAP企业绩效管理(Enterprise
Performance Management)均属于SAP商务分析解决方案(Business
Analytics)的一部分。EPM对于企业来说主要注重于如何更好地提升企业绩效，更加有效地贯彻和落实企业战略，完成年度全面预算的编制与控制以及财务报表的合并，更好地计量和控制企业成本等内容。而SAP
GRC对于企业来说则是专注于企业如何防范风险、如何做到更有效的内部控制体系，规避企业在业务经营过程中所可能发生的各类风险和不合规行为。因此，EPM解决方案及其所有产品对于企业来说好比其用于提升绩效的进攻武器，而SAP
GRC解决方案则是企业在高速发展过程中，帮助其自身进行防护的盾牌。
　　企业所开展的任何工作都是服务于其所制定的战略目标，而风险则是阻碍企业达成其战略目标的重要因素。风险存在于企业的各个业务流程和业务环节中，企业的全面风险管理工作就是要将其所面临的所有风险点独立出来，进行统一的管理和控制。SAP
GRC为企业所提供的是一体化的风险管理与控制解决方案，从风险信息的收集，到风险智库的建立，到风险点的调查与评估、风险点的应对和控制以及风险管理与控制的报告生成等，均可以在统一的平台上完成。SAP
GRC平台在应用过程中将企业在风控管理咨询过程中的体系架构、管控内容进行落地和实现，从而帮助企业更地执行其风险管理与控制工作。
　　SAP GRC平台提供的是端到端的风险管理与控制流程。
　　(1) 风险管理模块
　　风险管理模块先从企业宏观战略与发展目标出发(需与SAP SSM产品集成使用)，对企业所面临的所有风险进行识别、收集和记录。SAP
GRC所支持的风险识别和收集方法是一种全员参与的过程。通过风险建议，企业所有员工可以将其所认为的可能是风险的潜在事件在系统中进行记录，并提交专业的风险管理部门进行评估和审核。同时SAP
GRC也支持企业将其风险管理工作既有的风险库进行一次性导入，形成风险库。
　　风险信息的收集和完善主要通过调查问卷的方式进行，通过收集各部门不同员工对于同一风险点的不同看法，形成完整的风险信息。调查问卷既可以线上执行，也可以线下执行。也就是说，企业员工可以直接登录SAP
GRC系统，回答并完成调查问卷中所提出的问题，也可以通过电子邮件的方式，收到一份电子版的调查问卷，并在线下完成调查问卷的填写工作。系统会直接将所填写的结果记录在数据库中，而对于用户来说，这个过程是透明的。
　　风险预警也是风险信息收集的一个重要手段。预警信息的来源一般是多方面的、多层次的，而SAP
GRC平台可以作为企业风险预警信息的归属地，所有的关键风险指标(Key Risk Indicator，KRI)都可以汇总至SAP
GRC平台，进行后续处理和汇总。预警信息通过与预先设定的阀值进行比对后，给出预警结果。SAP
GRC平台所提供的风险预警并不是纸上谈兵，在预警触发后，SAP
GRC平台将自动触发后续的跟进流程，包括对风险重评估，重新调整风险应对方法等。
　　风险管理模块支持对固有风险和剩余风险进行评估，风险评估的结果可以是定性的，也可以是定量的或者混合型的，风险评估的方法可以是单人评估，也可以是多人同时进行评估，风险评估的手段可以通过直接登录评估表单进行，也可以通过调查问卷的方式进行。风险评估的结果能够直接反应在风险管理热图中。
　　SAP GRC平台所支持的风控一体化能力，主要体现在强大的风险应对功能中。SAP
GRC平台既能够支持一般意义