SAP-GRC流程控制介绍

200610SAPGRC流程控制统一法规遵从管理与控制监控Cisco-©SAPGRC2006SAPGRC?SAPGRCSAPGRC:©SAPGRC2006����()�������()��()©SAPGRC2006复杂性不断提高，风险加大，资源减少:萨班斯.奥克斯利法案OMBA-123:Bill198:联合准则:KingII报告:上市协议条款49:CLERP9:JSOX:KonTraGesetz:Tabaksblat:LoideSecuriteFinanciere:企业监管条例•••信息来源:AMRResearch,2006信息来源:ComplianceWeek,2006SOX信息来源:Lord&Benoit,200627%25.7%5.7%04050405040533%©SAPGRC2006���©SAPGRC2006:(302,,…)---ITHasproductionbeenimprovedwiththeinstallationandimplementationofSAP?SURVEYYesNo1134569101112151617181978131422232425262021293027282���©SAPGRC2006$1.5M-$4.4M年度总收益$0.2M80-100%80-100%1.5FTE满负荷成本$125,0001降低上报成本实时跟踪违规与异常，自动生成报表$6.0M-$9.0M10-15%30-45%$60M2降低遵从SOX规定的成本减少人工控制检测，减少定制控制的工作量，实现自动化流程控制$0.7M70-80%20-30%$1M降低系统维护成本端对端法规遵从系统，不必维护4-5种离散系统及利基解决方案7种不同实例20-30%基准%$2.1M-$2.8M15-20%$14.2M降低审计及相关审计费用集中存档，易于访问检测结果和证据，减少人工报表制备量，单点录入便于数据登录并保证数据一致性实际成效%收益(百万美元)基线价值源泉切实效益–抽样价值工程调查条件1假定当前环境下0.5FTE专门从事违规和异常跟踪工作2成本需进一步分解；3个FTE参与建立控制，5-8个FTE从事控制检测Cisco-©SAPGRC20062006信息来源:AMRResearch,2006©SAPGRC2006信息来源:Gartner,20052005MagicQuadrant13.6%12.3%4.3%3.9%3.5%3.3%2.8%46.9%1.2%1.5%1.8%2.3%2.6%PaisleyConsultingOpenPagesSAPORACLEIBMMovarisStellentCertusHandysoftAxentisBwiseQumasOthers2005-Cisco©SAPGRC2006•全球热图按地点查明存在的高风险控制违规•支持全球法规遵从的平台•自动端对端法规遵从管理系统•下拉列表规范证明流程SAPGRC流程控制提供：•直观地全面掌握企业控制状态为证明提供支持•查明存在的违规并评估可以采取的最佳措施•确信控制有效，财务报表准确要求：•管理机构、投资者、公众对企业监管和法规遵从审查的详细程度更加严格根源：•避免因控制不力或不善导致出现财务重述和/或重要控制弱点披露问题•问题=公众质疑，资本成本上升，市价总值损失等。为避免坐牢，人们不得不疲于应付•降低法规遵从成本并“恢复业务常态”•避免繁琐的法规遵从工作影响员工士气主要问题：CEO,CFO,企业主计长职务：©SAPGRC2006PMO•控制文档输入中央信息库利用现有投资•通过实体和业务流程直观地分层检查控制环境•以工作流的形式控制检测审批和纠正流程•由单一法规遵从系统建立人工和自动化控制•预置自动控制库•支持监控及专门生成定制控制SAPGRC流程控制提供：•易于建立整个企业导航/可视化控制环境•易于随时间维护控制结构•能够将责任领域指定给业务流程责任人•由人工控制检测转变为自动控制监控要求：•不清楚404条款规定平等对待所有控制，导致控制结构臃肿不当根源：在不影响法规遵从的情况下降低成本。需要：•合理化需要检测的控制数量减轻工作量•透视直接资源的控制状态快速检测/纠正高风险领域主要问题：法规遵从项目组长，网络管理员，内部审计员，首席内部控制执行官职务：©SAPGRC2006•尽可能实现更多流程控制的自动控制检测•通知人工控制检测任务•附加检测说明•检查审批人工检测的工作流•实时监控人工和自动控制违规产生的风险•自动生成并执行纠正问题的工作流•源系统纠正问题的下拉列表SAPGRC流程控制提供：•监控自己业务流程持续控制的有效性•通知违规•纠正工作流和审批要求：•控制文档创建/维护和检测责任往往落在业务流程责任人及其工作人员身上根源：最大限度减少控制要求对日常运营的影响。需要：•保证控制功能的“自动化能力”和“适当规范”，避免增加有限人力资源的工作负担•迅速解决控制违规，避免出现重要控制弱点主要问题：部门管理者，应收账管理员，应付账管理员，财务报告总监职务：©SAPGRC2006•通过电子邮件发送控制检测说明并附相关参考文档和模板•可在检测说明中附上完成的控制工作/证明供相应管理人员检查SAPGRC流程控制提供：•易用，非插入型接口•有关执行控制检测的详细说明和参考资料传送至他们的收件箱•对控制检测的疑问/说明做出响应并附证据•不需要成为“法规遵从专家”，也不必掌握新系统要求：•经常负责执行自己部门的控制活动或另一部门的“对口检查”根源：没有法规遵从专家，但又要执行控制检测主要问题：总账会计，应付助理会计，应收专家，采购专家，履约会计职务：Cisco-©SAPGRC2006-快速通报财务状况或运营中重要变化的最新情况，包括走势和量化信息，以保护投资者和公众利益409管理层应在年报中报告财务上报内部控制的有效性�控制设计与有效性检测文件�披露存在的任何重要控制弱点�外部审计机构出具证明注:302条款规定了定期披露的详细要求404�管理财务上报、操作和法规遵从有效披露控制与制度方面的责任�向审计委员会和外部审计机构披露内部控制重大缺陷�CEO和CFO证明提交证券交易所（SEC）的报告内容302要求条款©SAPGRC2006302404要求自由格式文本，包括确定使用框架的说明，用于评估上报定期证明要求首席执行官和首席财务官签字提交股票交易所外部审计机构参与，并且必须出具管理层评估结果的证明报告作用有限外部审计机构作用包括在每年的年报中大型美国企业按季度上报；小型美国企业和跨国企业（无论规模大小）按年上报期限控制财务上报，以及不相关但影响财务上报的某些控制（操作与法规遵从方面）披露控制与制度，包括控制财务上报、操作有效性和法规遵从范围404条款302条款©SAPGRC2006COSO:::/::©SAPGRC2006COSO–控制目标的类别边缘是边缘萨班斯-奥克斯利404条款相关性是是是萨班斯-奥克斯利302条款相关性纳税环境健康安全完整性准确性有效性受限访问有效性效率控制目标法规遵从与监管财务运营©SAPGRC2006COBIT:IT重点域质量与符合控制要求的评估流程监控与评估提供所需服务：安全、连续性、培训、应用控制、支持…交付与支持确定并实施解决方案，与业务流程和管理变更集成购置与实施管理战略意图保证IT实现业务目标计划与组织©SAPGRC2006COBIT*:ITGovernanceInstitute©SAPGRC2006COBITCOSO*:ITGovernanceInstitute:ITControlObjectivesforSarbanes-OxleyCisco-©SAPGRC2006SAPGRC融合法规遵从流程管理与持续控制监控����(302,,…)---ITHasproductionbeenimprovedwiththeinstallationandimplementationofSAP?SURVEYYesNo1134569101112151617181978131422232425262021293027282©SAPGRC2006�管理条例与内部法规遵从策略相结合证明遵从法规�GRC共生系组成集中的内容知识库2�实现多种框架的合理化控制GRC(COBIT,JSOX,…)(,)©SAPGRC2006(/)///(n-)//声明声明签交流程结构定义©SAPGRC2006����(302,,…)---ITHasproductionbeenimprovedwiththeinstallationandimplementationofSAP?SURVEYYesNo1134569101112151617181978131422232425262021293027282SAPGRC融合法规遵从流程管理与持续控制监控©SAPGRC2006为什么存档和检测一个日常人工控制要进行30到50次，而采用自动控制，在完善的安全控制和程序变更控制支持下可能只需要检测几次?信息来源:ITGovernanceInstituteITControlObjectivesforSarbanes-Oxley工作量10s100s©SAPGRC2006��SOD��IT©SAPGRC2006????©SAPGRC2006����(302,,…)---ITHasproductionbeenimprovedwiththeinstallationandimplementationofSAP?SURVEYYesNo1134569101112151617181978131422232425262021293027282SAPGRC融合法规遵从流程管理与持续控制监控©SAPGRC2006!?????????©SAPGRC2006!?Sendoutpaper-baseddocumentationsurveysforcompletionSavedocumentsandspreadsheetstolocalfileserversCreatetestplanReceivetestinstructionsviaemailPerformmanualtestsbasedonverbalinstructionsConsolidateresultsfrommultiples??Whatdoweneedtotest?Whoshouldperformthetest?WhatamIsupposedtodo?Whyisthisimportant?Wheredowestand?Howcanweimprove?•••©SAPGRC2006���©SAPGRC2006SAPGRC融合法规遵从流程管理与持续控制监控����(302,,…)---ITHasproductionbeenimprovedwiththeinstallationandimplementationofSAP?SURVEYYesNo1134569101112151617181978131422232425262021293027282©SAPGRC2006���©SAPGRC2006IT•••YesNo©SAPGRC2006SAPGRC融合法规遵从流程管理与持续控制监控����(302,,…)---ITHasproductionbeenimprovedwiththeinstallationandimplementationofSAP?SURVEYYesNo1134569101112151617181978131422232425262021293027282©SAPGRC2006ARUSUSCEO/CFO123456CEO/CFOAR�302��Cisco©SAPGRC2006调查并证明集成式全球风险仪表板人工与自动控制提示异常纠正案例管理集成式可配置流程控制文档集成人工与自动控制自动控制监控即开即用实时自动控制信息库实时创建并运行定制自动控制人工控制检测SAPGRC©SAPGRC2006Approva:BizRightsPlatform平台支持洞察•授权