从企业内控合规到风险管理方案

从企业内控合规到风险管理方案,SAP GRC 企业治理、风险与合规管理方案概览,SAP 访问控制,SAP 内部控制,SAP 风险管理,SAP 全球贸易服务,SAP 巴西电子票据,第二道防线,第三道防线(基于 HANA 技术产品),全球贸易,系统安全,SAP 身份识别管理,SAP 单点登录,SAP 企业威胁检测(基于 HANA技术产品),SAP 审计管理,SAP 舞弊管理,SAP 访问控制,SAP GRC内部控制管理,SOX/中国内控指引,支持企业端到端的内控管理工作,内控手册维护管理（风险评估）,内控手册,内控矩阵,流程制度,测评模板,工作手册,汇报模板,支持企业端到端的内控管理工作,内控手册维护管理（风险评估）,内控测试管理（控制活动）,科学规划、有序分解、有效执行，推动内控工作落到实处,支持企业端到端的内控管理工作,内控手册维护管理（风险评估）,内控测试管理（控制活动）,缺陷管理与整改（监控）,通过信息化手段以待办的方式将整改内容推送给控制点负责人，并定时提醒，强化整改效果,支持企业端到端的内控管理工作,建立内控管理环境（控制环境）,内控手册维护管理（风险评估）,内控测试管理（控制活动）,缺陷管理与整改（监控）,成果汇报信息沟通（信息沟通）,多样化的报表展现，支持领导决策,支持企业端到端的内控管理工作,内控管理自动化持续监控,SOX/中国内控指引,1、领导关注的重要领域2、重大重要风险3、业务流程覆盖完整性4、上一年审计结果5、业务流程的信息化基础6、外部监管机构的要求.,真实性问题,信息真实性,数据真实性,合规性问题,业务合规性,管理合规性,系统合规性,数据准确问题,系统数据质量,数据一致性,效益问题,资产运营能力指标,销售/库存比率,销售（营业）增长率,资金安全问题,审批手续是否健全,资金管理执行,核算准确性,示 例,示 例,风险管理,流程管理,内控管理,风险指标自动化和内控测试自动化实施方法论,提出问题设定目标,业务流程分析,系统与数据分析,数据式建模,模型的运作与监控,模型成果及改进,充分借鉴内控管理的此现有成果,制度体系,职责与分工,采购请购管理,供应商管理,定价机制,验收管理,合同管理,采购方式,采购付款,预付款和定金,会计系统管理,采购过程管理,退货管理,采购业务,子流程,关键控制点,示 例,风险指标自动化和内控测试自动化实施方法论,提出问题设定目标,业务流程分析,系统与数据分析,数据式建模,模型的运作与监控,模型成果及改进,检查程序,示 例,预算系统,采购系统,协同办公系统,库存系统,业务系统,1、核查物资库存量等内容,2、是否在采购预算内,3、检查采购申请单是否在采购计划内，申请内容是否准确,4、是否经过相关部门和领导审批,库存量,预算额度,采购计划内容,采购申请内容,审批设置,风险指标自动化和内控测试自动化实施方法论,提出问题设定目标,业务流程分析,系统与数据分析,数据式建模,模型的运作与监控,模型成果及改进,模型名称：采购申请超预算监控模型模型描述：对模型数据进行集中度分析模型目的：检查采购物资的累计采购金额是否超过采购预算。模型规则：从采购系统的申请表中获取采购物资的累计采购金额，与预算系统中对该物资的预算金额比较，是否超出预算金额数据来源：采购系统中的采购申请表，字段包括申请人、申请物资、采购金额、申请数量、申请时间、用途、供应商名称、供应商联系方式；预算系统中的各类物资采购的预算金额。数据提取周期：每月从数据维护部门提取相应数据运行要求：月/次,示 例,风险指标自动化和内控测试自动化实施方法论,SAP GRC 平台的先天性数据集成优势,借助IT技术实现数据集成,企业SAP 业务系统,业务数据存储,主数据,交易数据,配置数据,其他厂商风控平台,数据库,数据提取,数据分析及转换,ODBCwebserviceETLAdapter,数据存储,风险预警,自动化测试,规则固化,规则固化,1、过程繁琐，数据准确性和时效性无法保证2、固化的规则无法应对监控规则的改变,与其他厂商风控平台相比，SAP 审计及风控平台数据集成优势明显,1、过程简单，数据准确且时效性强2、可自定义规则灵活应对后期业务规则的改变,提出问题设定目标,业务流程分析,系统与数据分析,数据式建模,模型的运作与监控,模型成果及改进,持续性控制监控采购订单超额开票,持续性控制监控预置脚本,系统预置大量流程风险监控规则支持实时监控,利用预置查询和报告实时监控流程控制风险点,持续性控制和数据审计,企业大规模的使用ERP系统取代原先的手工流程给企业的内部控制提出了新的要求，也同时为内控管理带来了新的契机。使用持续性的控制和数据审计流程将原先内控人员定期手工进行的系统复核工作转变成使用内审系统对ERP系统的配置数据、主数据和交易数据进行持续监控的过程，大大方便了内控和内审的工作，降低了作业成本。,DHL 内控案例,eGRC Reporting and Dashboard Architecture,GRC Reporting Engine,Offline Data Loader,BW Extractor,ALV,Crystal Reports Viewer,Business Warehouse,eGRC 10.0Solution Components, running on Netweaver 7.02,Crystal Reports Designer,GRC software component,NetWeaver software component,Optional software component,SAP-delivered content,Key,Dashboard tables,Xcelcius,Data flow directly in response to user request for a report,Other reporting data flows,权责分离(SOD)管理 是IT 与 ERP审计的内容之一,美国萨班斯法案审计主要发现点,缺失正常的申请和复核流程：23%,职责分离问题：19%,流程或文档缺失：34%,无缺陷：8%,其余：16%,Source: Jefferson Wells International & The Institute of Auditors,企业应用系统权限管理普遍存在的问题,应用系统帐号和角色众多，管理复杂，权限过大的情况时有发生，手工维护极易出错，给企业应用系统安全带来隐患,审计人员无法通过人工方式有效的检测所有用户帐号和权限分配的合规性以及合理性，对超级用户的审计取证困难,企业IT部门每天花费大量的时间和人力维护应用系统中的用户帐号和权限，进行密码重置等繁琐的工作,企业业务部门在权限审批过程中没有审批依据，业务部门和IT部门在权限管理的过程中沟通不畅,企业员工从入职到离职的帐号管理通常通过手工完成，容易出错且管理效率较低,1,2,3,4,5,某企业ERP生产系统风险发现实例,SAP GRC访问控制功能模块,SAP GRC Risk Analysis and Remediation 风险分析和修复访问与授权控制，进行风险分析，检查并清除风险,SAP GRC Enterprise Role Management 企业角色管理角色定义与管理,SAP GRC Super User Privilege Management超级用户访问控制,SAP GRC Compliant User Provisioning合规用户自动化开通用户权限管理,保持合规,完成合规,风险分析与修复,企业角色管理,超级用户特权管理,合规用户提供,SAP GRC访问控制风险分析与修复,SAP GRC访问控制预定义规则库133600+详细职责分离检测规则,SAP GRC访问控制与HR集成特性一（访问请求自动化触发）,SAP HRPeopleSoft HR,SAP GRC访问控制,AC通过后台作业定期自动检查HR系统中的相应变更，例如“新员工”、“员工换岗”、“员工离职”等,AC抓取到HR系统中相应员工变化信息,AC根据其自身所设置的判断规则自动触发相应的请求，例如：HR系统新员工创建 AC新员工帐号请求HR系统员工换岗 AC员工帐号变更请求HR系统员工离职 AC员工帐号锁定/删除请求,1,2,3,SAP GRC访问控制与HR集成特性一（访问请求自动化触发）,SAP GRC访问控制与HR集成特性二（ERP系统密码自助）,SAP GRC访问控制,ERP用户在AC系统中提交相应密码自助服务请求，并输入所需验证信息（如身份证号码）。,1,2,AC根据所设置的HR系统信息类型进行身份验证匹配。,3,HR系统返回以下结果：身份验证匹配成功与否用户相应ERP系统帐号用户电子邮件信息,若匹配成功则进行ERP系统密码重置若匹配不成功，则返回出错信息,4,5,通过电子邮件通知用户新密码,SAP HR,无HR系统支持下的密码自助服务,GRC AC 和IDM 无缝集成应用实现完整的合规身份管理,HR应用系统,新入职 / 职位变更,创建用户分配角色,异构系统架构,分配,创建用户分配授权,HR,创建用户分配角色,创建用户分配角色,访问控制和身份识别系统集成应用示例: 岗位变更,Sun ONE,MicrosoftActive Directory,MicrosoftExchange,Portal,CRM,ERP,HCM,统一权控平台优化提升权限的集中申请和合规性管理,通过权限管控平台的技术功能，将控制环节固化在系统工作流中，并在工作流中明晰各部门在不同环节中的职责：,承担更多的职责，增强权限管控的主动性：通过系统工作流的固化，使得控制环节在权限维护流程中是业务部门必需执行的步骤。,减轻手工维护权限工作量：利用管控平台权限自动配置功能，将IT部门从繁重的手工维护权限工作中解放出来，从而关注于技术支持、系统维护等IT职能。,强化监督管理的功能：通过管控平台提供的实时管理报表，实时监督控制执行情况、管理权限风险。,合规部门,业务部门,IT部门,访问权限管控平台,2015某著名大型石油央企访问控制系统架构,集中部署统一的权限管理应用系统，实现权限的集中申请和合规性管理。,某著名大型石油央企GRC 访问控制项目后期展望,2015上汽延锋 GRC 访问控制案例,SAP GRC访问控制实施方法,基于最佳实践经验的实施方法,SAP GRC访问控制实施方法,基于最佳实践经验的实施方法,需求分析定义职责冲突风险点及业务规则定义超级用户权限，使用及监控流程定义用户帐号及权限申请/变更流程定义企业角色管理流程（包括命名规范、审核流程等）功能培训最终用户功能培训项目组关键成员培训,关键产出职责冲突风险控制矩阵职责冲突风险控制业务规则超级用户定义、使用及监控流程用户帐号及权限申请流程角色管理流程,SAP GRC访问控制实施方法,基于最佳实践经验的实施方法,系统配置职责冲突分离规则导入超级用户权限定义，使用人、监控人、审核人配置用户帐号及权限申请流程系统配置角色创建命名规则、创建流程配置单元测试确认系统功能正确有效确认导入数据完整正确,关键产出职责冲突分离业务规则配置文档（GRC 4大模块）单元测试计划（GRC 4大模块）单元测试报告（GRC 4大模块）,SAP GRC访问控制实施方法,基于最佳实践经验的实施方法,用户测试（UAT）系统现有帐号及角色职责分离冲突风险分析根据上述分析结果进行权限清理和整改超级用户权限测试及使用监控流程测试和确认用户帐号及权限申请流程测试和确认角色创建及审批流程测试和确认补偿性控制识别与设计识别企业现有的补偿性控制措施为企业设计补偿性控制的测试步骤,关键产出用户接受测试计划用户接受测试报告职责冲突后续跟踪流程补偿性控制管理流程超级用户使用及监控流程,系统管理及运营流程如何正确处理系统报告的职责冲突风险如何正确的识别并定义补偿性控制如何对超级用户的使用进行审批和监控最终用户培训最终用户熟悉系统功能和特性,SAP GRC访问控制实施方法,关键产出GRC系统变更及维护流程GRC系统内部审计方法,上线后系统支持系统现场支持系统维护流程如何进行GRC系统变更如何进行GRC系统内部审核,风险分析与修复,使用者权限管理,业务角色管理,访问权限复核,超级使用者权限管理,高效管理超级账号权限及审计,定期访问权限与职责分离复核,统一角色管理平台在源头防控风险,自动化访问权限分配,识别和修复SOD以及敏感权限违规,访问控制功能特性,Legacy,实时分析能力，即时制止风险隐患提供SAP, 非SAP系统以及跨系统细颗粒度准确分析能力，拒绝风险误报自动化执行，降低企业合规成本 模拟工具避免权限违规，第一时间发现权限问题所在,标准化权限申请开通流程提升权限申请效率实时权限分析报告帮助审批人审批权限时有据可依，预防违规情况发生自动化权限分配流程，避免人为错误的情况发生，提高IT效率集成HR系统事件（入职、换岗、离职等），进行权限变更, 实现全生命周期的合规管理方案,超级账号申请、审批、使用、和监控的全生命周期管理流程访问限制,规避大权限账号带来的安全隐患有效期控制详细全面日志降低审计时间成本，解决审计难题,角色创建时嵌入风险分析，从源头避免权限风险角色挖掘分析报告和批量处理提升质量与效率强制执行角色维护最佳实践，减少错误发生,定期触发权限分配复核，持续合规定期触发SOD违规复核，持续合规降低审计时间和成本,访问控制方案价值,GRC 访问控制系统投资回报(ROI)测算指标,具有潜在SOD风险的不当分配的角色,减少的风险,角色设计和管理$XXX-$XXX K,审计合规$XXX-$XXX M,节省的IT 支持成本$XXX-$XXX K,不当用户授权,不当角色分配和管理,未被监控的特权管理,来源： 实际客户的认定评测指标,节省的应用系统接口开发和维护成本$XXX-$XXX K,澳大利亚邮政风险管理,SAP Running SAP GRCProject HARMONY Continuous Control Monitoring SAP Process Map,1 Define, Operationalize, and Track Strategy,2 Business Development, partner management and M&A,3 Idea-to-Market,4 Demand-to-Cash,5 Service & Support Delivery,7 Attract , Develop, and Retain Workforce,8 Workplace & Infrastructure Provisioning,10 Corporate Finance and Operational Compliance,11 Shareholder & Stakeholder Management,Core,Support,6 Manage Customer Relationship,9 Procure-to-Pay,Management,Version 2.3.0 as of January 2nd, 2013,Project HARMONY - Continuous Control MonitoringControl Overview HR and P2P,Priority High- P2P Controls,P2P Controls (28) HR Controls (8),Priority High- HR Controls,市场地位,作为市场领先的解决方案，我们服务于各个行业，各个地区，不同规模的企业全球超过5400家客户,以风险为导向的SAP“风险管理+内部控制”联动体系,