本书通过对目前中国企业在风险管理和内部控制工作中的业务应用和场景分析，结合SAP GRC系统所能够提供的功能，帮助读者真正了解SAP GRC平台在中国企业风控管理工作中所能够起到的实质性作用。同时，本书通过介绍SAP GRC应用系统的配置过程，帮助SAP的实施合作伙伴能够清楚地理解GRC系统各实施配置项的作用及其使用场景，从而在系统实施过程中将客户的实际业务需求充分在SAP系统中进行体现，发挥SAP GRC系统的最

大优势，服务于客户。

丛书总序一

SAP是一家具有40年历史的全球最大的企业管理和协同化商务解决方案供应商。作为全球领先的企业应用软件解决方案提供商，SAP 帮助各行业不同规模的公司提供商务软件解决方案和咨询服务，以帮助他们成为最佳运营企业。从企业后台到公司管理层、从工厂仓库到商铺店面、从电脑桌面到移动终端——SAP 助力用户和企业更加高效地协作，同时更加有效地获取商业洞见，在竞争中保持领先地位。

目前，SAP的应用程序和服务帮助全球120多个国家的超过197 000 多家客户实现运营盈利、不断完善和稳步增长。《财富》500强80%以上的企业都正在从SAP的管理方案中获益。十多年来，我们深耕中国，服务超过1 500家企业，其中超过80%是本地客户，70家以上的合作伙伴与我们维持稳定紧密的合作关系，2 000多名经过认证的顾问为我们的客户带来高品质、本地化的服务及商业价值。

SAP中国的发展价值与目标十分明确——建立互信、互助、互动、互惠的行业生态系统。借由与合作伙伴密切合作，将先进的管理理念与方法转变为切实帮助中国企业迈向成功、走入世界的现实。凭借与政府的携手配合，贴近国家经济与社会发展的步伐，积极参与行业相关标准与法规制定程序，并引入SAP几十年来在全球不同市场的最佳业务实践，从根本上协助政府注入创新技术与运营模式，从而推动国家信息化建设，完全秉持“在中国、为中国、与中国一起发展茁壮”的一贯信念。

SAP拥有多元且全面的产品与解决方案 。在广度上，我们可以服务于不同行业、规模、类型的企业；在深度上，客户企业的各业务线与各类信息化需求都能通过缜密的部署实施得到满足。从后勤办公室到董事会、仓库到店面、桌面设备到移动设备， SAP支持人员和企业提高合作效率，更加高效地利用业务洞察力来保持竞争优势。我们可以通过企业预置、按需随选、移动应用等来扩展软件的可用性，从而更加灵活地实现上述目标。

我们希望透过与清华大学出版社合作的“SAP企业信息化与最佳实践丛书”，帮助您更进一步地了解SAP先进的方案、产品、技术和SAP中国。同时也期望您的许多关于信息化管理、技术应用以及企业运营的疑问也能够获得解答。

我们的使命是帮助各种规模及行业的公司更卓越地运营。我们的愿景是帮助世界更卓越地运转。我们期待与您一起“蕴韬略，更卓越”！

萧洁云

SAP全球高级副总裁、中国区总裁

2012年12月于北京 

丛书总序二

长期以来，坚持不断创新和持续发展使SAP当之无愧地成为了行业的领军者。SAP一直基于领先的产品技术、丰富的实践积淀和优质的保障服务，为中国企业提供企业预置、按需随选、移动应用等协调运营的企业管理解决方案，以满足不同行业、不同规模和不同类型企业的信息化需求，为客户提供高端业务洞察力与全方位管理企业商务智能和企业信息的技术平台。

SAP面向企业的行业需求，量身定制行业解决方案。融合了SAP及其合作伙伴40年的“最佳业务实践”，不仅仅为众多制造行业企业提供了富有效率的工具和最佳业务实践经验，使得从行业领袖到不同规模大小的企业都能从中受益，同时更为包括电力、电信、物流等非制造业企业提供面向其特殊需求的解决方案，从而帮助他们提高管理水平，提升效益，增强竞争能力并制定正确的商业决策。

有别于市场上的其他管理软件供应商, SAP公司提供的SAP最佳业务实践，是一套整体的、可配置的、端到端的业务财务一体化解决方案。通过SAP最佳业务实践可以帮助企业管理财务、人力资源、采购、库存、制造、物流、新品开发，贯通从企业的内部服务到外部客户服务、连接销售和营销等各方面的商业事项。

SAP 最佳业务实践为商务流程提供的支持和方法功能反映了 SAP解决方案在超过 125 个国家，跨 26 个行业，超过 40,000 次实施中获得的经验教训，以利于企业实施和消费SAP系统软件的功能。借助SAP最佳业务实践，企业可以免去软件实施项目中最复杂的实施步骤，并且避免大量资源的投入。过去在启动项目时仅能开启很少的基础功能，现在企业可以通过SAP 最佳业务实践获得丰富的行业知识，外加合作伙伴的行业知识与经验，支持标准的行业和跨行业流程，专为您的业务需求而预先配置。

一直以来，SAP 通过产品和服务推动全球企业创新。我们相信，其将帮助全世界的企业实现增长并创造新的价值源泉，并最终惠及整个行业和经济。正是基于不断创新这样一个最基本的理念，SAP在2012年把创新分成五大市场，分别是：移动解决方案、商务分析、企业应用、数据库与平台技术以及云计算。

移动应用无处不在，移动应用改变未来。SAP和Sybase（SAP旗下公司）一起致力打造无线企业，为客户提供广泛的移动应用和基础设施，将企业的人员、信息、移动设备整合起来，让工作者随时随地、在任何设备上安全地访问业务流程，实现企业移动化变革。SAP在其强大的移动应用平台基础上，不仅提供了移动销售、移动工作流等系统级移动应用以拓展企业CRM和ERP，还提供了专业的移动商务智能应用扩展企业决策支持的覆盖面。SAP在各应用和技术领域不断创新，为企业创造短、平、快的无线增值应用，以使得企业能够快速实施、快速部署、快速实现应用价值。

SAP商务分析系列解决方案包含商务智能解决方案、信息管理解决方案、企业绩效管理解决方案，以及治理、风险管理及合规解决方案。其中，商务智能和信息管理解决方案均构建在一个得到市场公认的智能平台之上。SAP商务分析解决方案组合有助于各类机构有效地做到合规和应对业务风险，缩小战略与执行之间的差距，从而实现优化业务绩效的目标。采用SAP 商务分析系列解决方案，企业将获得更为广泛的洞见，同时将各项战略有机地结合起来，优化决策流程，改善风险管理，而这些都不受底层特定事务系统的约束。SAP 商务分析解决方案让企业把对业务的洞察转化为策略，再将业务策略转化为能够即刻执行的运营决策。

SAP企业应用的核心是SAP商务套件。SAP商务套件是一套真正完整集成的解决方案和应用平台。它提供开放的商务应用软件，通过集成人员、信息和流程来获得最大的回报。SAP商务解决方案使企业从容应对不断变化的客户和市场需求，使得企业成功地驾驭与客户、供应商、后勤伙伴、金融服务商以及员工的关系，并从这些关系中获得效率和收益。它包括功能强大的跨行业方案和26个行业解决方案。通过SAP商务套件可以优化企业的业务和IT战略，使其更有效率，更具灵活性，提高企业对业务的洞察力。其独特优势有：丰富的应用解决方案能针对每个行业的业务流程提供持续地管理创新；其融合最佳行业实践的管理理念可以促进企业管理核心业务绩效的改善；通过其功能增强包，企业可以在不停机的情况下在线升级，灵活地应对业务需求与状况的改变，以更低的整体拥有成本实现企业创新；通过SAP平台能无限扩展端到端的流程，在确保流程的完整性的同时增强业务和IT效率；新套件基于企业级SOA，可以全面提高IT对业务的敏捷性；其内置的分析功能，能够实现对业务清晰透明的洞察和实时监控；通过SAP统一协调的用户界面，能有效地提升最终用户使用系统的效率。

SAP的数据库与平台技术的核心是业界领先的内存计算平台与解决方案——HANA。SAP HANA 提供多用途的内存应用设备，企业可以利用它即时掌握业务运营情况，从而对所有可用的数据进行分析，并对快速变化的业务环境做出迅速响应。使用 SAP HANA，企业可以即时访问相关信息，更快地做出更加可靠的决策，并降低获取洞察力时对 IT 部门的依赖。SAP HANA 提供灵活、节约、高效、实时的方法管理海量数据；利用它，企业可以不必运行多个数据仓库、运营和分析系统，从而削减相关的硬件和维护成本。

云计算已经深远地改变了人们互动的方式。随着各企业以全新方式与其全球客户和合作伙伴互联和协作，这种影响力将更加难以估量。基于云的协作重新定义了业务网络创新的概念，而SAP在这一变革早期便已成为弄潮儿。随着SuccessFactor和Ariba 的加入，SAP可以为企业创建业务网络，为客户实现立竿见影的价值。同时SAP在成长型企业信息化领域拥有领先的理念、技术、产品和实践经验，推动在云端部署的解决方案，为广大成长型企业用户带来符合自身需求的最佳实践。

SAP 致力于通过创新来提高全球企业的运营效益。这五大市场的创新是我们的未来发展的指导愿景，是我们通过思考自己在全球市场中应该扮演角色后做出的。通过五大创新，我们希望创造一个更加高效的世界，所有企业都能在其中找到和把握新的机会，同时平衡风险，从而实现赢利性增长。

我们始终相信，“立足中国，创新中国”！通过清华大学出版社“SAP企业信息化与最佳实践丛书”的发行，我们希望更多中国的企业管理者、IT从业人员以及院校师生能更好的了解SAP和SAP的解决方案。

欢迎您走近SAP！

张志琦

SAP中国区方案与架构设计部总经理

2012年12月于上海

中国经济在过去的30年中取得了飞速的发展和长足的进步，越来越多的跨国集团在中国开设自己的分支机构，有些甚至将全球总部迁移至中国，而我国的本土企业也在这场大发展的进程中逐渐地夯实自身业务经营的基础，并不断地向国际化、多元化的方向发展。在这场硝烟弥漫的经济大战中，企业自身的业务经营需要越来越贴近市场的变化、越来越贴近客户的需求，这就要求企业在完善及加固自身经营模式的前提下，提供更多的业务灵活度，并向更多原来所不为熟知的业务领域进行拓展。在这样的企业发展过程中，外部市场的变化可能会给企业带来其所不能预知的业务经营风险，而企业内部经营模式的快速转变也会因为内部控制的不完善而带来业务运营上的风险。这些风险都是目前企业管理层非常关心也是非常头疼的问题。

通常，跨国集团型企业根据其多年经营所积累的管理和管控经验，已经形成一套非常成熟的管理模式和管控标准。同时因为这些企业通常都是国外上市公司，受到的监管力度较强，所要求披露的信息也比较全面，所以在风险管控方面相对中国本土企业来说较为成熟，而中国本土企业从这方面来讲还处于起步的阶段。与此同时，我国政府机构也不遗余力地推动中国企业在风险管控方面的发展进程，从2006年起，已经有多个政府机构颁布了多项关于企业风险管理和内部控制体系建设的指导性要求。这些要求和指引的颁布向我们的企业发出了非常明确的信号，只有建立完善和坚固的风险管理和内部控制体系，我国企业才有可能在国际化进程和激烈的商业竞争中，保持自身业务的稳定运营，并谋求快速的增长，我们的企业才有可能与众多的国际化大型集团公司抗衡。而风险管控体系的建设和切实有效的执行已经不是一件可做可不做的事情，而是一项企业发展和建设过程中必须完成的任务。

笔者在与中国众多本土企业管理层交流和探讨风险管控话题的过程中，越来越多地发现风险管控的工作在中国企业内，有着其独特的个性和方法。在中国企业管理层的脑海中，比较典型的风险管控工作理念有“报告型”风险管控，即企业各部门每年度上报自身的风险以及评估打分结果，形成整个企业的风险管理和内部控制报告。但这些报告通常文字性描述比较多，而实际内容则比较少。也有“业务梳理型”风险管控，即企业认为在业务信息系统(例如ERP系统)的建设过程中，完成了业务流程标准化的工作。这些标准化流程在转换到系统配置以后就不会有较大的偏差，也就做到了企业业务运营风险的实质性管控。

笔者认为，这些风险管控的方法都是非常有必要的，也是国外企业在自身发展历程中已经使用过的方法，是企业风险管控工作开展的必经之路。如何能够让中国的企业真正做好风险管控的工作，在保证企业业务开展稳定性的同时，又不会对企业的业务拓展带来过多的阻碍，保持一定的灵活性，是本书所要探讨的一个重要话题，也是SAP所提供的企业风险管控整体解决方案的特点。与此同时，由于现代企业在其发展进程中，越来越多地使用信息化手段，越来越多地建设应用系统管理其业务，这对尚处于发展初期的中国企业风险管控工作来说提出了新的命题。我们如何能够充分利用企业现有的信息架构体系为风险管控工作服务，从现有的系统数据中快速地寻找到所需要关注的业务风险点以及所可能存在的流程执行违规问题，帮助企业真正得益于风险管控的工作成果，使风险管控的工作不流于形式，是目前中国企业所需要密切关注的问题。SAP GRC作为专业化的企业治理、风险与合规管理应用平台，正好能够与企业现有的业务应用系统紧密集成，从业务的角度帮助梳理并细化流程执行过程中的风险点与关键控制点，并通过有效的技术手段实时进行监控，在出现预警情况时，及时进行报告和通知，从而帮助企业将风控管理的工作真正落到实处，客观地反应企业业务风险和流程执行合规性的实际情况。

本书以国内企业风险管理和内控管理的业务为基础，结合我国在风控管理方面的具体要求以及国外企业已有的成熟风控管理经验，为读者讲述如何有效地应用SAP GRC平台管理企业的风控工作。风险管理与内部控制的理念在国外很早就已经被提出，而中国的风险管理与内部控制指导性建议也是以美国COSO框架为基础而建立的。本书第一章主要基于风险管理与内部控制的理论，并结合中国实际情况，阐述这些理论在中国的应用。

本书第二章主要阐述作者作为SAP资深方案架构师，对中国企业建设风险管理和内部控制体系的理解。同时结合SAP治理、风险与合规(SAP GRC)解决方案，阐述SAP GRC如何在中国企业的风控工作中得到更好的应用。

SAP GRC解决方案主要包含四大模块，分别从IT信息安全风险、业务流程合规性风险、企业全面风险管理以及国际贸易专项风险四个方面为客户提供高效的风控管理应用平台。本书第三章和第四章将基于SAP GRC访问控制模块(SAP GRC Access Control)，为读者讲述ERP应用系统中由于权限分配不当而可能会带来的风险隐患，以及如何通过SAP GRC访问控制模块的应用，防范这些权限问题的发生。

本书第五章和第六章将基于SAP GRC流程控制模块(SAP GRC Process Control)，介绍上市公司内部控制体系的建设过程，以及如何应用流程控制模块进行流程固化。

企业全面风险管理是目前所有的国资委下属央企都需要完成的工作。笔者在与很多央企进行交流和探讨的过程中，发现目前央企风险管理工作的开展程度参差不齐，有些确实是将风险管理工作作为一个长效的机制和抓手，而有些仅仅是为了发布风险管理报告。本书的第七章主要讲述SAP GRC风险管理模块(SAP GRC Risk Management)如何能够帮助企业建立智能化的风险管理和预警体系，风险管理工作如何能够与内部控制工作有效地进行衔接，从而使其发挥其应有的作用和生命力。

目前中国有很多的企业越来越多地将其产品和服务销售至国外，开展跨境贸易和跨境交易。由于国际贸易本身的流程复杂，以及各国海关为保护自身利益所出台各种贸易规定和贸易限制，跨国贸易的合规性越来越受到具有大量进出口业务企业的重视。本书第八章就为我们的读者阐述了SAP GRC全球贸易服务模块(SAP Global Trade Service)在进行国际贸易的过程中所能够为企业提供的帮助。

笔者在与众多的中国企业探讨风险管控建设的过程中，非常明显地感受到中国企业对于风险控制建设的迫切期望。同时由于很多企业目前在进行自身的业务流程改造和流程标准化，并通过ERP系统进行落地，因此如何在ERP系统建设过程中更好地融入风控管理的思想，也是目前很热门的话题。本书第九章就主要为我们的读者讲述如何更好地平衡事物型应用系统建设(例如ERP系统)的灵活度，以及在建设过程中所需要考虑的必要控制手段。控制越严格的系统，越能够加强企业的业务合规性，但是也会大大降低企业业务拓展的灵活度，因此把握“平衡度”是非常关键的。

任　彬         

2013年5月于上海 

第一章　风险管理与内部控制理论体系介绍   1

第二章　SAP治理、风险与合规解决方案总体介绍   9

第三章　ERP权限管控规范化   17

第一节　SAP GRC访问控制功能概览 21

第二节　访问权限标准化规则库 24

第三节　访问权限风险分析及处理应对 35

第四章　ERP权限管控流程化   43

第一节　访问权限风险自动化预防及权限管理自助化  43

第二节　用户访问权限生命周期管理 62

第三节　超级特权账号访问管控 66

第四节　ERP应用系统角色设计及风险控制 70

第五节　SAP GRC访问控制报表使用及定制化开发 75

第五章　管控企业业务流程合规性   79

第一节　内部控制环境建立 80

第二节　内部控制测试与评估 103

第三节　内部控制缺陷报告、汇总与整改 118

第四节　内控自评报告签核与披露 124

第五节　系统报表 126

第六节　SAP流程控制系统架构 130

第六章　持续性控制监控(Continuous Control Monitoring)   139

第七章　企业全面风险管理应用   155

第一节　企业风险智库建立 158

第二节　风险管理到岗到人 163

第三节　风险评估 166

第四节　自动化风险监控与预警 177

第五节　风险应对 186

第六节　风险事件库 190

第七节　风险管理报告与报表 191

第八节　SAP GRC风险管理模块技术架构 195

第八章　贸易企业合规风险管控   197

第九章　应用系统建设与风险管控体系建设的关系   209