企业治理、风险与合规管理方案介绍课件

1、企业治理、风险与合规管理方案介绍,企业治理、风险与合规管理方案介绍,SAP GRC 企业治理、风险与合规管理,SAP 访问控制,SAP 内部控制,SAP 风险管理,SAP 全球贸易服务,SAP 巴西电子票据,第二道防线,第三道防线,全球贸易,系统安全,SAP 身份识别管理,SAP 单点登录,SAP 企业威胁检测,SAP 审计管理,SAP 舞弊管理,SAP 访问控制,企业治理、风险与合规管理方案介绍,对于审计信息化，刘家义审计长在全国审计工作会议上作过精辟论述：中国审计的出路关键在于信息化，信息化的关键在于数字化。大数据和信息化时代的到来，将会给企业内部审计带来质的飞跃。 信息化审计主要是对信息

2、化内部控制和信息系统进行审计，2014 年1 月1 日施行的中国内部审计准则将“ 信息系统审计”定义为内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动,企业治理、风险与合规管理方案介绍,某企业ERP生产系统风险发现实例,企业治理、风险与合规管理方案介绍,某著名大型石油央企ERP用户权限管理的问题案例发现,企业治理、风险与合规管理方案介绍,什么是SAP 访问控制,获取实时洞察力 自动化处理并追踪记录紧急情况下临时特权用户的访问 实时报告提高了系统访问风险分析的精确性 全面掌控测试和审计报告结果,获取 实时 洞察力,SAP 访问控制方案为企业的业务部

3、门、IT安全和内控内审部门提供了良好地的访问控制管理和覆盖企业欺诈预防管理的协同管控平台。它帮助企业优化了权责分离管理、关键访问风险、用户访问合规分配流程并节省了审计时间、降低了审计成本,企业治理、风险与合规管理方案介绍,方案价值,企业治理、风险与合规管理方案介绍,风险分析 与修复,使用者权限 管理,业务角色 管理,访问权限 复核,超级使用者 权限管理,高效管理超级账号权限及审计,定期访问权限与职责分离复核,统一角色管理平台在源头防控风险,自动化访问权限分配,识别和修复SOD以及敏感权限违规,产品功能特性,Legacy,实时分析能力，即时制止风险隐患 提供SAP, 非SAP系统以及跨系统细颗粒

4、度准确分析能力，拒绝风险误报 自动化执行，降低企业合规成本 模拟工具避免权限违规，第一时间发现权限问题所在,标准化权限申请开通流程提升权限申请效率 实时权限分析报告帮助审批人审批权限时有据可依，预防违规情况发生 自动化权限分配流程，避免人为错误的情况发生，提高IT效率 集成HR系统事件（入职、换岗、离职等），进行权限变更, 实现全生命周期的合规管理方案,超级账号申请、审批、使用、和监控的全生命周期管理流程 访问限制,规避大权限账号带来的安全隐患 有效期控制 详细全面日志降低审计时间成本，解决审计难题,角色创建时嵌入风险分析，从源头避免权限风险 角色挖掘分析报告和批量处理提升质量与效率 强制执行

5、角色维护最佳实践，减少错误发生,定期触发权限分配复核，持续合规 定期触发SOD违规复核，持续合规 降低审计时间和成本,企业治理、风险与合规管理方案介绍,某著名大型石油央企访问控制系统架构,集中部署统一的权限管理应用系统，实现权限的集中申请和合规性管理,企业治理、风险与合规管理方案介绍,某著名大型石油央企GRC 访问控制项目后期展望,企业治理、风险与合规管理方案介绍,2015上汽延锋与江臣座椅 GRC 访问控制上线案例,企业治理、风险与合规管理方案介绍,2015上汽延锋 GRC 访问控制上线案例,12,客户背景,项目背景,项目解决方案,项目收益,公司是中国最大汽车零部件制造企业，其母公司是中国A

6、股上市公司，总部上海，在全球拥有140多个生产研发基地，业务覆盖汽车内饰、外饰、座椅、电子和安全系统，2014年公司销售超过600亿元，出口超过8亿美元,公司集团与内饰事业部首先启动整体SAP应用系统群实施项目代替原有QAD系统，平行同时实施系统包括SAP ERP，SAP SRM，SRM Portal，SAP EWM和SAP SNC和SAP GRC AC等。 通过SAP GRC AC访问控制系统的并行实施，需解决：如何保证众多SAP应用系统实施之初就满足安全与控制方面的最佳实践，包括系统角色授权标准架构及设计内容；系统Basis安全参数；如何保证众多SAP应用系统上线后能满足外部监管特别是中国

7、上市公司内控基本规范的要求；如何保证现有基于QAD的安全管控要求在SAP系统中固化落地,协助公司建立集团层面的访问控制管理流程和技术标准（包括职责分离，敏感访问）以风险为导向在SAP ERP，SRM，Portal，EWM，SNC系统中识别超过200个访问控制风险点(个别系统及跨系统）； 实施SAP GRC 访问控制当时最新的10.1版本，包括完整的4个子模块，ARM用户授权管理；BRM角色管理；EAM紧急访问管理和ARA访问风险分析，此次实施是中国完整实施GRC AC四个子模块的第一个案例； 统一设计公司层面SAP应用系统内授权管理架构，特别是角色设计架构（3层架构）及具体设计规范与原则，并宣

8、贯给各SAP应用系统实施小组并强制要求遵循,建立集团层面统一的系统访问控制管理流程和管理技术标准； 完整部署SAP GRC AC访问系统有效管理SAP ERP，SRM等各个应用系统，这些应用系统未来的用户管理、授权管理、角色管理、紧急访问管理、访问控制风险管理完全都通过GRC AC电子化方式实现； 通过SAP应用系统统一授权架构的提出，帮助公司规范、标准化各系统的授权管理，简化管理模式与方式，实现完全集中管理； 通过SAP GRC AC固化管理技术标准（职责分离和敏感访问）完整评估各系统创建的用户和角色，确保系统上线时系统内都不存在访问控制风险，帮助公司满足外部合规要求,企业治理、风险与合规管

9、理方案介绍,2015上汽江臣座椅 GRC 访问控制上线案例,企业治理、风险与合规管理方案介绍,SAP GRC访问控制实施方法,基于最佳实践经验的实施方法,企业治理、风险与合规管理方案介绍,SAP GRC访问控制实施方法,基于最佳实践经验的实施方法,需求分析 定义职责冲突风险点及业务规则 定义超级用户权限，使用及监控流程 定义用户帐号及权限申请/变更流程 定义企业角色管理流程（包括命名规范、审核流程等） 功能培训 最终用户功能培训 项目组关键成员培训,关键产出 职责冲突风险控制矩阵 职责冲突风险控制业务规则 超级用户定义、使用及监控流程 用户帐号及权限申请流程 角色管理流程,企业治理、风险与合规

10、管理方案介绍,SAP GRC访问控制实施方法,基于最佳实践经验的实施方法,系统配置 职责冲突分离规则导入 超级用户权限定义，使用人、监控人、审核人配置 用户帐号及权限申请流程系统配置 角色创建命名规则、创建流程配置 单元测试 确认系统功能正确有效 确认导入数据完整正确,关键产出 职责冲突分离业务规则 配置文档（GRC 4大模块） 单元测试计划（GRC 4大模块） 单元测试报告（GRC 4大模块,企业治理、风险与合规管理方案介绍,SAP GRC访问控制实施方法,基于最佳实践经验的实施方法,用户测试（UAT） 系统现有帐号及角色职责分离冲突风险分析 根据上述分析结果进行权限清理和整改 超级用户权限

11、测试及使用监控流程测试和确认 用户帐号及权限申请流程测试和确认 角色创建及审批流程测试和确认 补偿性控制识别与设计 识别企业现有的补偿性控制措施 为企业设计补偿性控制的测试步骤,关键产出 用户接受测试计划 用户接受测试报告 职责冲突后续跟踪流程 补偿性控制管理流程 超级用户使用及监控流程,系统管理及运营流程 如何正确处理系统报告的职责冲突风险 如何正确的识别并定义补偿性控制 如何对超级用户的使用进行审批和监控 最终用户培训 最终用户熟悉系统功能和特性,企业治理、风险与合规管理方案介绍,SAP GRC访问控制实施方法,关键产出 GRC系统变更及维护流程 GRC系统内部审计方法,上线后系统支持 系

12、统现场支持 系统维护流程 如何进行GRC系统变更 如何进行GRC系统内部审核,企业治理、风险与合规管理方案介绍,GRC 访问控制系统投资回报(ROI)测算指标,具有潜在SOD风险的不当分配的角色,减少的风险,角色设计和管理 $XXX-$XXX K,审计合规 $XXX-$XXX M,节省的IT 支持成本 $XXX-$XXX K,不当用户授权,不当角色分配和管理,未被监控的特权管理,来源： 实际客户的认定评测指标,节省的应用系统接口开发和维护成本 $XXX-$XXX K,企业治理、风险与合规管理方案介绍,外企与民营企业中内部违规与舞弊事件普遍存在,企业治理、风险与合规管理方案介绍,舞弊的分类,企业

13、治理、风险与合规管理方案介绍,英国某大型电信公司: 差旅与招待费用违规案例,行业 通讯运营商 员工人数 93000 (2014) 收入 598亿欧元 (2014) 用户 4.34 亿 (2014,两年内实现目标： 业务收益#1: 防范了15万欧元的损失 期望目标: 每年不仅发现了15万欧元的欺诈性质报销而且正面地影响了员工行为 业务收益#2: 从抽样检查到全面稽查之前只是手工方式对10%的报销进行检查 业务收益#3: 财务/合规调查能力提升 业务部门的终端用户可以不需要 IT部门就可以优化稽查规则,全球第三大移动通讯公司 在21个国家拥有和运营网络(合作伙伴网络遍布其他40多个国家) 每年有2

14、75,000 笔费用报销 寻求强大的分析方案对违规进行全方面实时监测，包括工作流、告警、审计追踪与报告等功能。 由外及内的商业案例: 自上而下(基于企业营收): 1.6M 6.03 M 每年 自下而上(基于费用报销): 275,000 每年 后续应用案例实施范围: 采购舞弊 增值税交易,企业治理、风险与合规管理方案介绍,英国某大型电信公司应用案例违规造成的损失(基于收入采用自上而下的方法,收入,60 B,来源: 1 Association of Certified Fraud Examiners2 National Fraud Authority,企业治理、风险与合规管理方案介绍,大型电信公司

15、应用案例违规造成的损失(基于报销申请采用自下而上的方法,费用报销,275,000,来源: 1 National Fraud Authority,企业治理、风险与合规管理方案介绍,大型电信公司应用案例: 采购环节舞弊P2P 舞弊管理规则,企业治理、风险与合规管理方案介绍,大型电信公司应用案例: 采购环节舞弊P2P 舞弊管理规则,样本数据:一年一家子公司,数据总量一百一十万行项目,检查预警发现1 秒,企业治理、风险与合规管理方案介绍,BOSCH 家电: 检查高风险交易,公司 博世西门子 行业 制造业 员工 50,000 收入 105 亿欧元 其他信息80 家公司 遍布47个国家,关注真实的舞弊 业

16、务收益 #1: 100%的高风险付款的合规性检查 业务收益 #2: 流程自动化和优化极大提升了原有的手工操作流程: 自动化数据收集(支持的文档/凭证), 减少了处理时间 安全集中的内部和外部记录 业务收益 #3: 云部署 4个月项目上线快速启动，独立于 企业内部架构,1欧洲最大 #3 世界第三大家电企业 品牌 业务应用： 法规: 发洗钱法、FATF、外部贸易与付款法案、欧盟贸易禁运条例,博世西门子实现了100% 的付款交易合规性检查,企业治理、风险与合规管理方案介绍,BOSCH 家电: 检查高风险交易高风险交易(HRT)的定义,28,对客户/供应商/服务商 支票/现金交易(Prio 1) 手工

17、付款 (2) 凑整数额 x.000 (2) 周末和节假日付款 (2) 以上规则 + 11 条其他规则,对客户/供应商/服务商 洗黑钱 (1) 现金收据和支票支付 (1) 经常变更银行数据(2) 银行国家 所在国家 (3) 以上规则 + 8 条其他规则,应收,应付,企业治理、风险与合规管理方案介绍,示例：差旅报销违规分析,企业治理、风险与合规管理方案介绍,示例：采购违规分析,企业治理、风险与合规管理方案介绍,如何侦查违规与舞弊,专家知识,数据库,检查方法,检查策略,业务流程,预测模型 创建和培训,建立规则,已知模型,未知模型,通过 SAP HANA Studio 或者 SAP 预测分析工具,Op

18、tional,企业治理、风险与合规管理方案介绍,SAP 预测分析技术探知未来的舞弊与违规风险,企业收益 大量的预测分析模型与算法 直观的设计和可视化的预测模型设计 预测分析通过仪表盘, 告警和移动终端为企业所有人提供了舞弊事件即时报告,企业治理、风险与合规管理方案介绍,舞弊风险防范管理与SAP 审计管理与内控管理结合应用,预测,预防,完善内部控制与内部审计体系 加强舞弊风险防范,内部审计,舞弊事件,内部控制,SAP 审计管理,SAP 内部控制,企业治理、风险与合规管理方案介绍,系统演示,企业治理、风险与合规管理方案介绍,SAP 舞弊风险管理方案架构,SAP HANA,SAP ERP,R,Tables, Views, Procedures,Non,SAP,A