Embed Size (px)
Citation preview
SAP 企业风险和内控管理方案概要方案概要
SAP 中国
2010.05
主要内容
一 SAP 对企业风险管控的理解. SAP 对企业风险管控的理解
二. 解决方案介绍
三. 系统架构
四. 案例
当前企业风控及内审所面临的问题
1. 风险内控及内审系统多止步于OA系统建设和手工测试控制,缺乏自动化控制手段风险内控及内审系统多 步于 系统建设和手 测试控制,缺乏自动化控制手段对后台ERP等应用系统进行自动化、连续性的监控,造成风险事件发现与报告不及时,内部控制隐患的处置效率较低、内部审计团队工作量大;
2. 缺乏统一的风险管控平台与自动化风险预警机制的完美结合,风险预警的报告、应对多采用人工方式进行分散管理;
3. 由于企业业务形态和业务流程的扩张,内审部门所需进行的审计范围不断扩大,较难确定一个合适的审计范围,人力资源无法满足;
4. IT应用系统的广泛使用导致权限合理性矛盾突出,业务用户的权限分配不当和分配错误构成很大的风险隐患。传统的内审使用手工方式检查权限分配不当问题效率较低 成本较高;而企业对类似于SAP ALL等超级用户缺乏好的自动管控方法 给低,成本较高;而企业对类似于SAP_ALL等超级用户缺乏好的自动管控方法,给信息安全带来隐患;
5 企业的风控和内审体系与企业战略和绩效管理有所脱节,风险评估及内控管理结果5. 企业的风控和内审体系与企业战略和绩效管理有所脱节,风险评估及内控管理结果不与绩效指标联动管理;
6. ……6. ……
当前企业风控及内审所面临的问题建议解决途径建议解决途径
建立统一的风险管控平台,企业风险管控与企业战略目标相对应,实现KPI建立统 的风险管控平台,企业风险管控与企业战略目标相对应,实现KPI与KRI的联动机制和自动化风险预警
建立统一的内审管理平台 在解决手工测试的同时 实现自动控制的持续建立统 的内审管理平台,在解决手工测试的同时,实现自动控制的持续性监控
引入以风险为导向的内部审计体系引入以风险为导向的内部审计体系
建立电子化的用户访问权限授权体系,防范因权限过大而带来的访问权限风险,避免舞弊事件的发生
通过电子化手段加强对超级用户的管控力度,避免超级用户帐号滥用情况通过电子化手段加强对超级用户的管控力度,避免超级用户帐号滥用情况的发生
SAP帮助企业风控及内审人员建立统一的管理体系和管理平台,实现工作效率的 优化。
© SAP AG 2009. All rights reserved. / Page 4
持续性风险监控机制
SAP利用关键风险指标与内/外部系统的结合,实现持续性的风险监控和预警SAP利用关键风险指标与内/外部系统的结合,实现持续性的风险监控和预警
关键风险指标KRI定义
关键风险指标是指代表某一风险领域变化情况并可定期监控的统计指标。关键风险指标可用于监测可能造成损失事件的各项风险及控制措施,并作为反映风险变化情况的早期预警指标 具体指标例如 每亿元资产损失率 超过 定期险变化情况的早期预警指标。具体指标例如:每亿元资产损失率、超过一定期限尚未确认的交易数量、失败交易占总交易数量的比例、员工流动率、客户投诉次数、错误和遗漏的频率以及严重程度等。诉次数、错误和遗漏的频率以及严重程度等。
持续性风险监控有着传统的风险管理流程无法比拟的优势
持续性风险监控能够保证企业将关键的控制资源运用在 关键的风险点上
持续性风险监控帮助企业识别新发生的或即将发生的风险,并运用相应的手段对其持续性风险 控帮助 识别新发 的或即将发 的风险,并运用相应的手段对其进行应对
识别已知风险点等级的突然变化,在第一时间引起管理层和内审人员的关注别 知 点 级 , 起 和 员
SAP GRC风险控制产品特点概述
1. 完整记录企业各业务和经营环节的风险点、流程控制点,实现同一的风险管理和内完 录 各 务和 营环节的风险点、流程控制点,实现同 的风险管 和内部控制平台平台
2. 实现自动采集ERP系统业务数据的功能(PC自动控制,KRI)( , )
3. 实现通过企业内部控制方式自动应对企业风险,并将内部控制测试结果直接反应至风险等级的高低
4. 全面支持企业内控和内审环节的测试评估工作,实现远程化、平台化的管理,并充分的进行知识转移
5. 建立基于角色的用户界面,提供高管视图、中层视图
丰富报表功能以实现给领导和部门管理者的风险管理决策支持6. 丰富报表功能以实现给领导和部门管理者的风险管理决策支持
© SAP 2009 / Page 6
国际权威市场研究公司Garter的2010年3月份发布持续控制监控评估报告控制监控评估报告
GRC 应用深度和资本市场反应紧密关联
”萨班斯法令”的内部控制规则合规程度投资人愿意为治理良好的亚洲额外投资的平均比例
萨班斯法令 的内部控制规则合规程度对公司股价的影响比例
27%25.7%
%
%
%
04和05年的 内控劣势
%
%
%
下降 5.7%
04 年有内控劣势,但 05 年没有
04 或 05 年无 内控劣势
%
%下降 5.7%
资料来源:华尔街日报,2006%
%
资料来源:McKinsey & Co. Global Investor Survey, 2005
GRC 发展路线图
浑然不知阶段浑然不知阶段 响应、孤立实施阶段响应、孤立实施阶段 整合阶段整合阶段 卓越运作阶段卓越运作阶段
成熟度
执行持续流程改进
Board and audit committeeEvidence for decisions and
directives
Board and audit committeeEvidence for decisions and
directives
Executives and managersIncreased confidence in business results
Executives and managersIncreased confidence in business results
SALARIESSALARIESSALARIES
创建 GRC 活动的知识库 开始采用统一的 GRC
态度Supply chain Customers and channel
Compliance and risk office
Integrated risk analysis
Compliance and risk office
Integrated risk analysis
bus ess esu tsbus ess esu ts
IT operationsSecure IT infrastructure
IT operationsSecure IT infrastructure
ProcurementAntiterrorist
trade practices
ProcurementAntiterrorist
trade practices
Finance Global financial reporting compliance
Finance Global financial reporting compliance
Human resources Environment, health, and safety compliance
Human resources Environment, health, and safety compliance
Sales and serviceBalancedcredit profile
Sales and serviceBalancedcredit profile
态度
迫切完成一些项目,对法定要求做 应
继续进行某些必须完成的活动
时间
做出反应
资料来源:SAP 调研
GRC 各个发展阶段的成本
与合规性相关的成本分配示意图2.17 成本单位
总合规失败损失
23.1%1.83 成本单位
总合规失败损失
30.8%27.3%
审计员费用
45.5%1 成本单位
外部费用
7.7% 33.3%
内部费用
38.5%27.2%
50.0%
卓越运作整合响应
内部费用
16.7%
响应
资料来源:SAP 在 2005/06 对 50 家公司的分析
SAP GRC 合作伙伴体系
SAP GRC 方案 SAP GRC 生态系统2
SAP GRC方案得益于和SAP的合作伙伴共同构筑的生态系统的共同努力
SAP GRC 方案 SAP GRC 生态系统2
侦测并消除风险
部署并监控内控监控内控 …
治理并提高绩效
© SAP 2007 / Page 11
提高绩效
主要内容
一 SAP 对企业风险管控的理解. SAP 对企业风险管控的理解
二. 解决方案介绍
三. 系统架构
四. 案例
SAP GRC风险管理方案
5.风险监控4.风险应对2.风险识别 3.风险分析1.风险计划
设定战略目标 识别风险和机会 回顾历史损失 建立预防风险以及 监控关键风险指标设定战略目标
战略目标与组织架构相关联
风险分类管理
识别风险和机会
辨识风险的动因和影响
分配KRI到流程/系
回顾历史损失
利用定量和定性的方法分析风险
建立风险情景并考
建立预防风险以及快速恢复的机制以及文档手册
明确风险的责任人
监控关键风险指标
监控风险应对的有效性和完整性
基于风险暴露报告更风险分类管理
定义风险活动(流程、项目、资产等)
分配KRI到流程/系统
记录风险之间
建立风险情景并考虑风险披露情况
支持进行蒙特卡罗法的模拟
明 风险 责任以及响应的活动
执行控制评估和测试
基于风险暴露报告更新战略目标
记录风险事件和损失
的联系 法的模拟
评估基于有效反馈响应的损失评估
计划再评估和批准循环
跟踪风险应对成本跟踪风险应对成本
SAP企业风险模型举例
SAP下游市场和物流管理
业务流程 关键绩效指标 (KPIs)延迟大于10%的货物数量平均空闲时间长度
驱动因素 风险时间 影响
进口/出口海关限制
无效的需求预测和排期
货物延迟或限制
财务-支出(延长港口滞留时间导致费用增加(滞期费))
客户满意度(延迟交货导致客户不满)制 不满)
财务-支出(货运费用增加(现金流和流动资金))
恶劣天气
预防性应对措施减少风险事 恢复性应对措施降低风险
关键风险指标:所出售单位货物的运送成本百分比所运输的受限制货品数量(出口/进口规则限制)
预防性应对措施减少风险事件发生的几率
恢复性应对措施降低风险事件的影响
所运输的受限制货品数量(出口/进口规则限制)天气趋势和航线要求
应对方案
• 增加维护• 增加排期预留时间• 选择安全的航线/港口(TSW)
• 监控取消/重新发货的情况,以标识经修正的报关资料要求,例如美国10+2申报(ISF)要求(流程控制)
• 保险
控制转移 接受防范减轻
选择安全的航线/港口(TSW) (流程控制)• 仅有航运经理能够批准货运服务订单(访问控制)
SAP企业风险模型举例(续)
法规合规 (S39)业务流程
基于贡献量、顾问费用和各种费用对海外机构的相应付款数
关键绩效指标 (KPIs)
风险事件驱动因素
量
财务影响 支出影响
员工/代理商被卷入非法约定或交易
(FCPA)
在海外高风险市场经营业务
通过第三方合作伙伴代表运营海外业务
财务影响-支出(因违反证券交易委员会(SEC)和律政处(DOJ)的相关规定而遭到罚款和处罚,企
业需要执行相应补救措施)
财务影响-收入(丧失与海外公司进行生意往来的相应资
质)(FCPA)
与海外国有公司进行生意往来
质)
声誉(公开披露,司法调查,法律诉讼,业务
督查等)
关键风险指标 (KRI)对海外业务合作伙伴和第三方代表所进
预防性应对措施减少风险事件发生的几率
恢复性应对措施降低风险事件的影响
对海外业务合作伙伴和第三方代表所进行的勤勉尽责调查(Due Diligence)数量(手工)有海外机构联系人并进行过FCPA培训的员工百分比(SAP-HCM)负责全球客户的销售代表的总体福利占
应对方案
控制转移 接收防范减轻
总支出的百分比(SAP-Payroll)
• 制定相应的行为准则和FCPA或反腐败政策
• 进行反腐败培训• 举报热线
• 职责分离-分开供应商维护和发票审核的职责权限(访问控制)
• 监控职业道德和FCPA培训过期的员工(流程控制)
• 避免在高风险和不正之风泛滥的市场进行业务经营活动
• 预留遭遇法律诉讼和处罚的准备资金
• 与业务代表签订保护性合同
举报热线 制)• 对可疑的付款性质进行监控,例如循环付款、一次性供应商等(流程控制)
营活动
对于产生风险与风险指标信息的自动和手工来源
SAP 风险管理
SAP 战略管理内部:财务管理系统
内部:IT系统内部 系统
SAP 权责分离管理和流程外部:财税 法规 竞争 风险(企业内控)管理外部:财税、法规、竞争 风险负责人、流程负责人
内置自动化风险监控 - KRI 内容
风险 KRI 阀值样例
客户投诉 比三个月平均值超过10%
部分预置可与ERP 等业务系统自动集成的KRI 指标
质量
客户投诉 比三个月平均值超过10%
逾期未通知 所有通知中的5%
产品检验 比三个月平均值超过10%.
自动集成的KRI 指标
风险指标的内容可以按照企业需求定制/更新
产品退货 比三个月平均值超过10%.
可靠性 整体设备效能 比三个月平均值超过10%.
记录损伤 每月5次求定制/更新健康 & 安全
记录损伤 每月5次
安全未遂事故 比三个月平均值超过10%
预期订单 预期1周
环境空气,水及废物-许可证限额 每月3次
危险废物排放 达到法规限制的90%
财务控制失败的控制 占所有控制的5%
财务控制权限分配错误 23 次违规
供应和需求的差异存货 (天数) 超过 大 超过 大10%
存货 (天数) 低于 小 低于 小5%
预报精度 比三个月平均值低10%.
采购风险单一来源 5%属于单一来源的原材料
服务水平 比三个月平均值低5%.服务水平 比三个月平均值低
物流中断 交货时间 比标准增加了的时间15%
风险管理-(系统默认)我的主页
© SAP 2007 / Page 18
风险结构:组织、活动层次、风险分类、机会、和风险管理目标及策略结构理目标及策略结构
© SAP 2007 / Page 19
KRI三种类型:SAP 查询、BW查询和Web 服务
SAP 查询示例
SAP 标准查询 ISQ_ME6H
业务流程 运营
系统源 SAP ERP 物料管理 (MM)物 管 ( )
组件 MM
BI 源/技术名称 NABI 源/技术名称
表 S013
信息集 /KYK/IS ME6H信息集 /KYK/IS_ME6H
建议数据字段/内容 质量可靠性、按时到货、符合运输要求、服务质量、服务实效性
KRI 单位 数值
评述 信息集名称 供应商评估分析
© SAP 2007 / Page 20
评述 信息集名称:供应商评估分析
部署KRI,选择风险脚本、连接器和类型
© SAP 2007 / Page 21
© SAP 2007 / Page 22
调查表
© SAP 2007 / Page 23
蒙特卡罗法
© SAP 2007 / Page 24
风险评估
© SAP 2007 / Page 25
风险报告和分析
© SAP 2007 / Page 26
什么是SAP GRC流程控制?
SAP GRC流程控SAP GRC流程控制:SAP GRC流程控制是企业法规遵从与控制管理解决方案,
从编制业务流程和识别风险,到部署正确控制措施并加以检测,直至为管理层提供确信的验证签字,解决方案
制:加以检测,直至为管理层提供确信的验证签字,解决方案
整合了端对端财务法规遵从的全部活动。
GRC法规遵从流程图一览
法规遵从小组
定义控制环境 记录公司实体,业务流程,子流程,目标,风险,控制,账户
法规遵从小组与流程责任人
建立分层结构
定义人工控制检测指令
定义自动控制检测 (流程控制)
控制检测员接收检测指令并执行控制检测(由人员执行)
以电子数据表的形式出具有效执行控制的分析结果及其他证
执行控制活动
与内部审计以电子数据表的形式出具有效执行控制的分析结果及其他证据
自动检测流程控制(由系统执行)
经理与业务流程责任人
监控控制活动并细分职责
识别违规
通过人工和自动化控制检测识别并解决违规问题
识别违规
分配并审批纠正工作
高层主管与外部审计机构
报告财务结果
审计控制与财务账户
证明控制的有效性
上报监管机构
财务法规遵从的发展趋势与面临的挑战复杂性不断提高,风险加大,资源减少
丹麦:
全球财务法规条例越来越复杂
遵从SOX规定的公司股价表现
风险加大并已证明对企业利润水平产生影响
美国: 萨班斯 . 奥克斯利
法案
加拿大: Bill 198 英国:
联合准则
印度:
德国:KonTraGesetz
Tabaksblat
法国: Loi de Securite
香港:企业监管条例
遵从SOX规定的公司股价表现
27%25.7%
据报告04和0533% 变量
法案OMB A-123
南非: Ki II报告
印度: 上市协议条款49
澳大利亚:CLERP 9
日本:JSOX
Financiere
5.7%04存在内部控制弱点,但05消除
04或05无内部控制
弱点
据报告04和05存在内部控制弱点
King II报告
逐步强制面向流程的改进和自动化努力查明合格资源,法规遵从流程及财务系统
信息来源: Lord & Benoit, 2006
一年 两年 三年以上
• 可以任何成本满足遵从要求
• 重点降低成本并实现控制合
理化
• 实现自动化减轻负担
信息来源: AMR Research, 2006
信息来源: Compliance Week, 2006
零散技术造成的问题:成本高,可视性不全面,集成问题
复杂的法规遵从管理
控制监控控制文档
工作流
供应系统
报告
大量定制集成点造成成本负担
缺少适应不断出台规定的灵活性和审计能力
透明度有限 – 系统及交接手续过多
GRC流程控制提供端到端, 跨越企业的业务流程控制
通过有效的控制和修补减轻风险通过有效的控制和修补减轻风险
提高欺诈防范,通过连续监控来及时检测
通过全面的报表和仪表盘来监控控制活动
高效地解决例外问题 基于工作流驱动的问题识别和
证明 ü
üüüü
üü
üüüü
证明并签交(302, 404,…)
高效地解决例外问题,基于工作流驱动的问题识别和纠正
降低成本和提高合规监控
纠正问题监控例外
自动控制测试,通过“开箱即用”的规则库来监控跨越SAP系统和非 SAP系统的问题
缩短审计时间,通过优化的合规活动执行评估
测试自动控制
测试手工控制
无缝连接手工评估,问题识别和纠正,通过自动化的任务提示
通过企业级的控制管理来提高决策层的信心
评估自动控制 手工控制
测试
业务流程
…通过企业级的控制管理来提高决策层的信心
提供实时的可视化能力,关于控制有效性和问题纠正
统一控制管理,通过一个单一系统的记录IT基础架构
增强责任心,通过跨越组织的流程的检查,认证和签交
文档 控制环境:
流程-控制-目标-风险
持续性控制和数据审计
企业大规模的使用ERP系统取代原先的手工流程给企业的内部审计提出了新的要求,规模的使用 系统取代原先的手 流程给 的内部审计提出 新的要求,也同时为内审人员带来了新的契机。使用持续性的控制和数据审计流程将原先内审人员定期手工进行的系统复核工作转变成使用内审系统对ERP系统的配置数据、主数据和交易数据进行持续监控的过程 大大方便了审计人员的工作 降低了审计成本。和交易数据进行持续监控的过程,大大方便了审计人员的工作,降低了审计成本。
传统的控制审计 持续性的控制审计
• 审计频率通常为半年一次,间隔时间较长;
• 持续性控制审计的监控频率可达每天一次;
• 审计师检查系统配置信息和主数据信息仅能够反应当时点的情况,而通常
• 持续性控制审计可以通过持续监控系统配置的变化,捕捉任何可以的系统
很难对历史进行追溯;
• 审计师对系统交易数据的审计通常采
变更;
• 持续性控制审计可以对系统中的所有取抽样方式,覆盖面较小。 交易数据进行全面而完整的分析,将
所有的可疑数据展现在审计师面前。
© SAP 2008 / Page 32
采购到付款流程控制示意
企业应用 采购到付款业务流程
采购采购产品/服务
建立政策和规章 收货服务 管理库存库存
应付帐款
控制类型 控制示例
管理发票 管理应付帐款
控制类型 控制示例
配置 监控只获批准供应商采购
分析付款过帐和凭证变更规则
监控实际库存调整的允许范围
监控过量发货的收货允值
评估采购订单和发票的阀值变化
交易评估采购订单在规定的数额
评估没有采购订单收货 分析价格变化
辨识没有收货单
辨识供货商重复
变更规则的允许范围 变化
交易 在规定的数额进行交易
采购订单收货 分析价格变化对库存的影响
收货单发票
供货商重复付款
监控供货商 评估对库存 分析付款条款监控供应商主数据 创建和变更
评估对库存帐户的变化
分析付款条款监控供应商收货状态 分析收货单
库存管理控制点示意
控制点 控制点类型
企业制定了业务行为守则 公司层面控制
公司要求新入职员工均签署已经理解业务行为守则的声明,并将签署记录记载在HR系统中
公司层面控制录记载在HR系统中
公司要求所有员工每年签署业务行为守则,并将该签署记录记载在HR系统中
公司层面控制
员工招聘流程包括背景检查均在HR系统中进行记录 公司层面控制
仅有特定人员才能够进入成品库,这些人员必须有明确的业务需要 业务流程控制
成品库由物理门锁控制,由保安监控,并配备监控录像系统 业务流程控制
盘点过后 ERP系统仓库模块提供盘点差异报告 每 份报告均需要明 业务流程控制盘点过后,ERP系统仓库模块提供盘点差异报告。每一份报告均需要明示每个系统的库存、盘点数和差异数
业务流程控制
只有仓库经理能够批准库存调整凭证的过帐操作(例如冲销盘点数量等) 业务流程控制只有仓库经理能够批准库存调整凭证的过帐操作(例如冲销盘点数量等) 业务流程控制
所有库存相关程序变更均需由仓储经理在变更控制系统中进行审批 IT一般性控制
© SAP 2008 / Page 34
自动控制
日志变化检查 – 对控制期间进行配置和主数据变化检查例子:
供应商数据关键字段变化 例如 付款条件– 主数据: 供应商数据关键字段变化 (例如:付款条件)– 配置 : PO允值设定变化 (例如:发票校验.)
数值检查 - 对主数据、配置和交易中特定数值进行检查例子例子:– 主数据: 供应商付款条款超过30天– 配置: 监控超出PO数量10%的PO发票允值设定– 交易: 监控超过$1M 的PO( 例如:需要额外批准申请)
系统预置大量流程风险监控规则支持实时监控
利用预置查询和报告实时监控流程控制风险点
订单到收款 订单录入 订单实现 计费和退还 收入确认 23
采购到付款 需求计划 运营采购
调账到报告 预算规划 子账交易 财务结账
存货管理 应付款管理
合并报表
28
18预算规划 子账交易 财务结账
IT Basis 应用实施 变更控制
合并报表 18
18应用安全 网络支持
人力资源 人力资源计划 录用 15佣金 员工关系
资金管理 现金管理 风险管理 1
固定资产 资产购置 资产折旧 5
组合管理 公司间财务
资产处理 资产管理资产购置 资产折旧 资产处理 资产管理
自动控制实际节省费用
缩小审计范围,同时保证法规遵从的稳定状态
为什么存档和检测一个日常人工控制要进行30到50次,而采
自动控制
控制要进行 到 次,而采
用自动控制,在完善的安全控制和程序变更控制支持下可能
只需要检测几次?人工控制
信息来源: IT Governance InstituteIT Control Objectives for Sarbanes-Oxley
工作量
以风险导向的内部控制
水晶报表 Xcelsius 风险应对和控制有效性测试应用扩展 场景风险计划
累计风险分析
风险管理 流程控制
选择/发起控制
控制有效性
快速部署 预定义KRI支持对不同应用流程和风险分类的持续监控风险曝露
控制有效性
战略管理
业务部门使用嵌入Xcelsius 和水晶报表W bd 展现
关键风险指标 (KRI)
SAP BWSAPERP
业务部门使用 Webdynpro展现定制和ADOBE互动表单支持的离线分析调研非SAP系统
流程控制-风险管理集成应用
风险管理给一个风险分配一个现有的流程控制有的流程控制
风险管理采用流程控制中的控制作为风险响应
流程控制 风险管理
控制测试设计评估验证
风险识别风险评估风险分级验证
多法规合规划定范围
风险分级场景计划KRI
流程控制控制设计评估结果将在风险管理中更新风险响应完整性
流程控制控制测试结果将在风险管流程控制控制测试结果将在风险管理中更新风险响应有效性
GRC 风险管理和流程控制补充应用于企业管控
功能特点 风险管理 流程控制
风险偏好和风险容忍
风险辨识
风险评估和调查表
风险仪表盘
关键风险指标KRI
风险补偿控制
自动化和手工控制
控制测试和完善
控制完成和验证
主要内容
一 SAP 对企业风险管控的理解. SAP 对企业风险管控的理解
二. 解决方案介绍
三. 系统架构
四. 案例
全面风险管理系统架构
绩效考核 统计分析 风险报告
体
审审 计计 跟跟 踪踪
目标设定
风险识别 风险评估 风险测算 风险应对
体系改进
信息收集 动态风险矩阵 蒙特卡罗模拟风 风信息收集
风险疏理
风险动因与影响
风险之间关系
动态风险矩阵
固有风险评分
剩余风险评分
蒙特卡罗模拟
情景分析转移回避承担降低
重大风险管理危机管理
内部控制
组织层次
流程
风险计划
风险监控
KRI分配危机管理流程
活动控
系统管理 风险体系 项目管理 信息库
流程控制 3.0方案技术架构
报告分析用户界面层浏览器SAP
SAP GUI浏览器
(SAP企业门户)RTA
SAPBI Query
SAPQuery
RFC
流程控制功能层R 水晶报表
BI Query Query
SAPBFC
Risk ScopingCAPA问题处理
自动控制框架 计划器 测试与评估 事件监控
签署与审核R
eal-time R
ep 水晶易表
(BOE)BFC
SAPAC RAR 5.3
流程控制 共享模块层
多合规框架 合规结构SoD
porting
水晶易表
驾驶舱
CISCO Serv
ices
流程控制 & RM共享模块层
件抽取接
报表
法规与政策要求 活动 流程 组织 风险
DataPrivacy
BW报表SONA
Web
数据、事件口 表
数据收集
可配置工作流
文档查询 问题 调查问卷基于实体
和用户凭据的授权体系
GreenlightMQT
SAP 企业门户
企业组织管理 工作流 事件管理
TREX企业级搜
Adobe文档服务
技术层
SAP NetWeaver 7.0 EHP1
PeopleSoftRTA
OracleRTA
SAP NetWeaver 7.0 EHP1
门户 理 企业级搜索
文档服务
风险管理 3.0 方案技术架构
报表分析用户界面层浏览器KRI抽取 SAP GUI 浏览器
(SAP企业门户)
SAPKRI
SAP BWKRI
RFC
风险管理功能层
KRI抽取
R 水晶报表
KRI KRI
OtherKRI
机会管理模拟情景分析
风险分析 应对处理 风险聚合 KRI
事故管理和损失事件数据库
Real-tim
e Rep 水晶易表
(BOE)KRI
流程控制 共享模块层
主数据设置 KRI框架
风险分析 应对处理 风险聚合业务规则
porting
水晶易表
仪表盘
Serv
ices
流程控制 & RM共享模块层
Report
Collectio与EPM方案集 件
抽取接
法规与政策要求 活动 流程 组织 风险 报
表BW报表W
eb ting D
ataon &
Cons
SAP SAP
成的风险场景
数据、事件口
可配置工作流
文档查询 问题 调查问卷基于实体
和用户凭据的授权体系
表数据收集
技术层SAP
花费分析
SAPSCPM
SAPB流程控
SAP战略管理
SAP 企业门户
企业组织管理 工作流 事件管理
TREX企业级搜
Adobe文档服务
SAP NetWeaver 7.0 EHP1SAP NetWeaver 7.0 EHP1
SCPM B流程控制
门户 理 企业级搜索
文档服务
主要内容
一 SAP 对企业风险管控的理解. SAP 对企业风险管控的理解
二. 解决方案介绍
三. 系统架构
四. 案例
内部控制测试-线下 Adobe 互动表单应用
挑战和机不愿改变控制结构
选择SAP的原因把业务流程和业务目标实现了关联的
QUICK FACTS不愿改变控制结构需要线下测试的功能
项目目标在2009年4月之前启动全球推广
把业务流程和业务目标实现了关联的合规应用方案全面的合规测试和监控管理具备报告和监控能力能够在流程控制系统里增加线下表单
地点:美国行业:石油天然气产品和服务:勘探、开采和制造、销售和运输 在2009年4月之前启动全球推广
替换现有的 RCTS 系统而不改变原有的控制结构小的变更管理
能够在流程控制系统里增加线下表单的能力
收益
销售和运输收入: US >$200 billion员工: >50,000
在2010年重点推行自动化控制
实施亮点参加了SAP® Ramp-Up 项目 得到专有技
收益用户接受程度高替换了德勤的 RCTS 系统使用线下表单解决了网络连接不佳地参加了SAP® Ramp-Up 项目,得到专有技
术支持有3000测试人员使用客户化开发的线下Adobe i互动测试表单所有 400关键控制都在系统里记录
区的用户参与测试的问题按时地在预算之内将方案递交给用户
GRC SOLUTION DETAIL所有 400关键控制都在系统里记录在全球19个地方对300人进行了SOX内部控制高级用户培训SAP 流程控制 2.5
项目完成时间项目完成时间:2008
下游企业- 替换原有内控工具,实现风控管理所有者转移到的业务部门进行测试
挑战和机遇需要全面的方案支持合规测试管理和监控
选择SAP的原因?完善的记录和审计持续控制监控
QUICK FACTS控企业内部的流程和控制文档一级控制测试存在缺陷不能有效支持SOX大量的手工签核
持续控制监控自动化控制问题/修复管理
下游企业地点:美国行业:石油
目标在2009年4月之前迁移到流程控制环境执行年度SOX相关测试从内部审计测试迁移到业务单元测试
收益/预期收益访问所有文档和测试结果集中化的控制创建和定时执行
产品服务:石油炼化和石化产品收入: US>$50 billion员工: >12,000
从内部审计测试迁移到业务单元测试提高自动化测试为公司302,404管理推广自动化工具和内容验证活动
持续控制监控报表自动化生成标准化/减少文档记录
实施亮点关注手工控制,控制目标在企业内部有1 000个
GRC SOLUTION DETAIL
1,000个在2010推广实现自动化控制PWC作为实施咨询服务商
GRC流程控制2.5
访问控制5.2
CenterPoint Energy 企业风险管理项目企业风险管理项目
挑战和机遇需要更加自动化的风险管理数据库/系统
为什么选择SAP?集中的风险和合规管理平台
QUICK FACTS需要更加自动化的风险管 数据库系统和更少的技术/工具需要对风险状态更加实时的掌握需要更加透明的风险监控风险建模和创建“what if” 情景风险
集中的风险和合规管 平台持续风险和控制监控充分利用已投资的现有其他SAP 方案
CenterPoint Energy地点:休斯顿/德克萨斯州行业: 电力产品和服务: 电力和天然气 风险建模和创建“what-if” 情景风险
目标部署一套集成的ERM系统通过风险所有者实现强化风险管理环节
项目收益提供了更多的数据库支持更好的分析和预警。风险透明化为风控管理者提供了更好的
收入: US $8,281 million员工: 8,800Web Site: www.CenterPointEnergy.comNYSE: CNP 通过风险所有者实现强化风险管理环节
通过风险事件发生能够对风险“曝光程度”有更好的理解,从而形成更强有力的管控通过衡量KRI提供告警
风险透明化为风控管理者提供了更好的风险管理工具简化了风险评估文档的录入提供更多的及时报告
GRC SOLUTION DETAIL
SAP 风险管理3.0
通过衡量KRI提供告警
实施亮点SAP 风险管理 3.0在五个战略单元选择 个试点快速部
SAP 流程控制3.0o 在五个战略单元选择一个试点快速部署、快速见效,随后推广。
o 采用KRI 实现持续风险监控
澳大利亚邮政SAP ERM 风险管理项目
澳大利亚邮政选择 SAP GRC Risk Management 3.0 实现了董事会要求的全面风险管澳 利 邮政 择 g 实现 事会要求的 面风险管理框架,覆盖了重要的业务风险。管控流程与澳大利亚风险管理标准 (AS/NZS 4360)保持一致
澳大利亚邮政选择 SAP GRC 风险管理的主要动因如下:
风险相关信息的收集、分析、监控和响应自动化管理
预期之外风险辨识和管理
风险关键因素的充分规划为战略规划提供了更强大的基础风险关键因素的充分规划为战略规划提供了更强大的基础
决策和持续管理流程公开和透明度提升(将组织架构和相关风控流程/目标/策略嵌入风险架构明确了风控体系所有者及相关职责)入风险架构明确了风控体系所有者及相关职责)
更好地支持后续内审/外审的流程,并产生正面的结果
在整个企业范围汇集集团和部门风险,建立一个实时的集团风险动态管理平台
Th k !Thank you!
© SAP AG 2009. All rights reserved. / Page 50
