www.pwc.ru/riskassurance Ключевые факторы успешности внедрения Юрий Горин, PwC Геннадий Чинский, PwC 26 ноября 2013 г. «Доверие хорошо, а контроль – лучше». В.И. Ленин PwC Содержание 1. Введение 2. Ключевые проблемы при внедрении SAP GRC Access Control 3. Интеграция SAP GRC Access Control и Process Control 4. Выводы Ключевые факторы успешности внедрения PwC Ноябрь 2013 3 Что такое SAP GRC? Система, которая обеспечивает управление рисками и контроль над ними Ключевые факторы успешности внедрения PwC 1 Risk management 2 Access Control 3 Process Control Ноябрь 2013 4 Модули Access Control 1 2 3 4 5 Ключевые факторы успешности внедрения PwC Access Requests (ARQ) Access Risk Analysis (ARA) Periodic Reviews of User Access and Segregation of Duties (SoD) Business Role Management (BRM) Emergency Access Management (EAM) Ноябрь 2013 5 Основные преимущества SAP GRC Access Control Эффективное администрирование Снижение стоимости владения Снижение затрат на аудит Ключевые факторы успешности внедрения PwC Снижение рисков мошенничества Прозрачность и унификация системы внутреннего контроля Ноябрь 2013 6 Единое понимание целей и результатов Проблема: • Отсутствие достаточного понимания целей и результатов у всех участников проекта Примеры целей: Решение: • Снижение уровня мошенничества и ошибок • • Минимизация полномочий у пользователей • Создание единой системы администрирования Ключевые факторы успешности внедрения PwC Сбор бизнес требований • Эффективная коммуникация целей и результатов • Выполнение пилотного проекта Ноябрь 2013 7 Вовлечение бизнеса в проект Проблема: • Отсутствие владельцев бизнес-процессов • Отсутствие согласующих лиц • Недостаточное вовлечение в проект бизнес пользователей Решение: • Эффективное проектное управление • Определение владельцев данных/процессов • Вовлечение бизнес пользователей, не только ИТ Ключевые факторы успешности внедрения PwC Ноябрь 2013 8 Организационные изменения Проблема: • Компания находится в процессе реорганизации • Бизнес-процессы часто меняются Решение: • Определение целевой модели реорганизации • Сбор бизнес требований целевой модели • Сдвиг отдельных этапов проекта на более поздний срок Ключевые факторы успешности внедрения PwC Ноябрь 2013 9 Оценка рисков Проблема: • Недостаточное понимание и описание рисков разделения полномочий Решение: • Определение рисков • Оценка влияния на бизнес в случае реализации рисков • Классификация рисков • Детальное описание рисков с учетом специфики бизнес-процессов Ключевые факторы успешности внедрения PwC Ноябрь 2013 10 Техническая реализация правил рисков разделения полномочий Проблема: • Отсутствие информации о разработках Решение: • Обновление технической документации • Трассировка программ и транзакций • Анализ ABAP кода Ключевые факторы успешности внедрения PwC Ноябрь 2013 11 Техническая реализация правил рисков разделения полномочий Проблема: • Учет особенностей бизнес-процессов и системы (на примере HR) Решение: • Настройка объектов авторизации HCM • Методы мониторинга защиты персональных данных • Интеграция с порталом • Интеграция модулей ОМ и PA (возможность редактирования данных PA через ОМ и наоборот) Ключевые факторы успешности внедрения PwC Ноябрь 2013 12 Построение гибкой ролевой структуры Проблема: • Ограничения системы по присвоению полномочий пользователям • Негибкая ролевая структура • Дополнительные издержки по поддержке большого количества ролей Решение: • Использование организационных уровней • Повышение уровня деривации ролей • Сбор и анализ статистики использования транзакций (ERP) и инфотипов (HCM) для удаления излишних полномочий у пользователей • Построение гибкой системы предоставления / изменения доступа (использование шаблонных запросов GRC Access Control) Ключевые факторы успешности внедрения PwC Ноябрь 2013 13 Поддержка Проблемы: • Матрица разделения полномочий не обновляется • Предоставление полномочий в обход SAP GRC Access Control • Анализ бизнес ролей у пользователей в SAP GRC Access Control Решение: • Построение процесса управления изменениями матрицы разделения полномочий • Закрытие доступа на ведение полномочий в SAP ERP / HCM • Дополнительная разработка отчетов Ключевые факторы успешности внедрения PwC Ноябрь 2013 14 Разрешение конфликтов Проблемы: • Наличие Единых Центров Обслуживания (ЕЦО) • Баланс ручных и автоматических контрольных процедур • Выявление излишних полномочий у пользователей Решение: • Построение гибкой ролевой структуры • Сбор и анализ статистики использования транзакций (ERP) и инфо-типов (HCM) для удаления излишних полномочий у пользователей • Увеличение количества автоматических контрольных процедур вместо ручных Ключевые факторы успешности внедрения PwC Ноябрь 2013 15 Ключевая функциональность SAP GRC Proсess Control Автоматизация тестирования и непрерывный мониторинг Автоматизированный процесс слежения за изменениями системы Единая платформа по управлению тестированием Централизованная библиотека рисков и контролей Единая платформа по управлению мероприятиями по снижению рисков Ключевые факторы успешности внедрения PwC Ноябрь 2013 16 Интеграция GRC Access Control и Process Control Ключевые общие справочные данные: • Контроли • Организационная структура • Бизнес-процессы • Под-процессы Сценарий А: Сценарий В: • Контрольные процедуры, созданные в SAP GRC PC, будут автоматически видны в библиотеке компенсирующих контролей SAP GRC AC • Компенсирующие контрольные процедуры, созданные в SAP GRC AC, будут автоматически видны в SAP GRC PC в соответствующей орг. структуре Ключевые факторы успешности внедрения PwC Ноябрь 2013 17 Мониторинг SAP GRC Process Control Конфигурация Транзакции Мониторинг Справочные данные Доступ Ключевые факторы успешности внедрения PwC Ноябрь 2013 18 Акселераторы внедрения SAP GRC Process Control 1. Библиотека автоматизированных контрольных процедур 2. Шаблоны для автоматической загрузки справочных данных 3. Блок схемы с описанием стандартных процессов SAP GRC PC (workflow) 4. Детальный план проекта 5. Детальные инструкции по настройке системы 6. Обучающие материалы Ключевые факторы успешности внедрения PwC Ноябрь 2013 19 Выводы 1. Внедрение SAP GRC Access Control и Process Control - это сложный процесс, сопряженный как техническими и организационными трудностями 2. Успешное внедрение систем класса GRC возможно 3. Использование «акселераторов» повышает эффективность внедрения и его качество 4. Использование интеграции Access Control и Process Control даёт дополнительные выгоды Ключевые факторы успешности внедрения PwC Ноябрь 2013 20 Спасибо за внимание! Юрий Горин Геннадий Чинский Директор Менеджер Tel.: +7 (495) 967 6000 Fax: +7 (495) 967 6001 E-mail: yuri.gorin@ru.pwc.com Tel.: +7 (495) 967 6000 Fax: +7 (495) 967 6001 E-mail: gennady.chinsky@ru.pwc.com Цель данной презентации - дать общее представление о рассматриваемых в нём вопросах, презентация не является профессиональной консультацией. Не следует предпринимать каких-либо действий на основании информации, содержащейся в этой презентации, без предварительного обращения к профессиональным консультантам. В отношении точности или полноты информации, содержащейся в настоящей презентации, не дается никаких заверений или ручательств (явно выраженных или подразумеваемых), и в той степени, в какой это допустимо законодательством, фирма PwC, её участники, сотрудники и представители не берут на себя никакой ответственности и снимают с себя всякую ответственность за последствия ваших или чьих бы то ни было действий или бездействия исходя из достоверности содержащейся в настоящей презентации информации и за любое основывающееся на ней решение © 2013 «ПрайсвотерхаусКуперс Лигал СНГ Б.В» Все права защищены. Под "PwC" понимается компания ПрайсвотерхаусКуперс Лигал СНГ Б.В. или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом.