未来控制 | GRC和ERP技术：智慧访问风险管控

智慧访问风险管控挑战

内部

• 企业大量业务运行于各种应用系统之上，其中涉及各种敏感数据，如客户、价格、研发等相关信息。数据的流动加剧了企业面临的数据安全挑战。
• 不合理或是不充分的访问控制可能给企业带来难以预计和估量的负面影响和损失。还可能因为敏感信息泄露或对公司财产和资金的控制不充分而造成重大财务影响。

外部

• 外部环境：目前国内国际市场环境复杂多变，例如中美贸易战、英国退欧等，加剧了网络安全风险。
• 监管政策：近期关于风险合规，国内出台了网络安全法、电子商务法、数据安全法（草案）以及个人信息保护法（草案）等一系列相关的法律法规，规范化有关风险管控的相关标准与需求。国际上，各国家也在陆续出台针对风险管控、合规方面的相关法律法规，例如欧洲的GDPR，印度也在最近即将出台个人信息保护法。
   

根据国内外对上市公司6年内控合规数据分析，发现公司存在前12大控制缺陷中有5个都与企业系统用户授权与访问控制有关。

智慧访问风险管控治理框架

勤根据多年实践，提出数字化访问风险管控治理框架六层模型：

智慧访问风险管控建设路线

德勤智慧访问风险管控方案一览

德勤可以为客户提供如下六类服务内容：
A. 访问风险评估和健康检查；
B. 访问风险治理咨询（制度/组织/流程）；
C. 访问风险规则设计（职责分离 & 敏感访问）；
D. 访问控制设计咨询 & 实施（新实施/重构，SAP S/4，自研系统）；
E. 访问控制系统咨询 & 实施（SAP GRC 访问控制，德勤访问控制平台等)；
F. 访问风险持续监控和用户行为分析

运营效率和成本控制

• 减少用户账号管理和服务台运营支出
• 强化用户生命周期管理效率和访问控制流程
• 通过自服务和委托减少管理成本
• 使用工作流提升对于业务主管和经理审批的控制和问责能力
  
  

提升用户体验

• 通过单点登录快速访问业务应用提升生产力
• 减少账号和密码的数量提升使用体验
• 客户可以方便的统一访问企业应用和传统系统
• 业务主管和经理使用统一的界面处理访问请求，审查和审批
   

治理和安全效益

• 减少对于关键系统的未授权访问风险
• 安全策略和访问控制的一致性管理和自动化执行
• 防御无良用户账号
• 减少数据丢失和隐私相关事件和违规的风险
   

审计和法规合规

• 实时的视图和报表，清楚了解用户对于权限的使用
• 帮助满足内部安全策略和政府法规的合规检查
• 提升法规合规和精确度和问责能力
• 管理特权访问和职责分离(SOD)控制
   

业务驱动和IT敏捷

• 合作伙伴和供应商整合身份，形成业务协力效应
• 支撑当前移动化，社交化，基于云的业务环境
• 简化客户的注册和应用访问过程，提升客户体验
• 基于角色的自动化访问业务应用