www.pwc.ru/riskassurance Эффективные средства и методы внутреннего контроля с использованием решений SAP GRC Октябрь 2012 Divide et impera Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 2 Содержание 1. Роль SAP GRC в Системе Внутренних Контролей 2. Риски отсутствия Разделения Полномочий 3. Основные преимущества, выгоды для бизнеса 4. Основные ошибки при внедрении GRC Access Control 5. Заключение 6. Оптимизация СВК с помощью GRC Process Control 7. Вопросы Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 3 Роль SAP GRC в Системе Внутренних Контролей Компоненты Системы Внутреннего Контроля • Управленческая и надзорная деятельность. • Внутренний аудит Информация и коммуникации • Необходимая информация выявляется, регистрируется и доводится до заинтересованных лиц своевременно. • Доступ к информации, полученной из внутренних и внешних источников. • Наличие потоков информации, позволяющих осуществлять эффективный контроль Контрольные процедуры Оценка рисков Среда контроля Среда контроля • Отражает общую атмосферу в организации, влияющую на понимание и исполнение процедур контроля ее сотрудниками. • Основными факторами являются честность, этические принципы, компетентность, авторитет и ответственность персонала. Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia ДЕЯТЕЛЬНОСТЬ 2 Информация и Коммуникация Контрольные процедуры ДЕЯТЕЛЬНОСТЬ 1 • Сочетание постоянной и периодической оценок. Мониторинг ПОДРАЗДЕЛЕНИЕ 2 • Оценка эффективности функционирования системы внутреннего контроля. ПОДРАЗДЕЛЕНИЕ 1 Мониторинг Е Я Ь И ВА СТ ТВ М ИИ О С О Ц Т А С Н ТН ВЕ ОН РА А Т Е Е О ЗАК ИН Ч ОП СО Ф ОТ • Наличие политик и процедур, обеспечивающих выполнение указаний руководства. • Контрольные процедуры включают в себя: подтверждение, авторизацию, проверку, рекомендации, анализ результатов деятельности, обеспечение безопасности активов и разделение полномочий. Оценка рисков Оценка рисков – процесс выявления и анализ рисков, которые влияют на достижение Корпорацией своих целей. Оценка рисков является основой для создания контрольных процедур. Октябрь 2012 5 Что такое SAP GRC? Access Control Система, которая обеспечивает управление рисками и контроль над ними. Risk Management Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Process Control Октябрь 2012 6 Monitor Monitor exceptions Test Automated Controls Test Ключевые пользователи: • Внутренние аудиторы • Владельцы бизнеспроцессов и владельцев • Организационные контролеры Certify and Sign Off (302, 404,…) Remediate Issues Test Manual Controls Perform Assessments Business Processes SU RV EY Yes N o … IT Infrastructure Document Позволяет: документировать риски и внутренние контроли, а также оценивать их эффективность и выполнять мониторинг. Certify Основные компоненты SAP GRC: Risk Management + Process Control Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Control Environment: Process-Control-Objective-Risk Октябрь 2012 7 Основные компоненты SAP GRC: Access Control Документооборот SoD Документооборот SoD Enterprise Role Management™ Compliant User Provisioning™ Risk Analysis & Remediation ™ Superuser Privilege Management™ Аварийный доступ Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia SoD Risk Terminator™ Октябрь 2012 8 Риски отсутствия Разделения Полномочий Что такое Разделение Полномочий? Разграничение полномочий – наличие двух или более людей для выполнения одного процесса с целью снизить вероятность совершения ошибки или мошенничества. Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 10 Риски отсутствия SoD Мошенничество Порча данных Утечка информации Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 11 Риски отсутствия SoD Неэффективность СВК Увеличение затрат Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 12 Основные преимущества / выгоды для бизнеса Основные преимущества 1 Эффективное администрирование Единая система управления рисками и 2 контролями 3 Снижение стоимости владения и унификация системы 4 Прозрачность внутреннего контроля 5 Снижение затрат на аудит Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 14 Основные задачи при внедрении SAP GRC Access Control Основные задачи при внедрении Access Control Проектное управление Управление изменениями Оценка рисков 1 Бизнес правила Правила системы 2 3 Настройка 4 Go-Live, поддержка 5 Проектное управление и управление изменениями • Использование методологии внедрения и управления проектом • Привлечение опытного интегратора • Осуществление независимого контроля качества Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 16 Основные задачи при внедрении Access Control Проектное управление Управление изменениями Оценка рисков 1 Бизнес правила Правила системы 2 Настройка 3 4 Go-Live, поддержка 5 Оценка рисков • Определение владельцев данных/процессов • Определение участников проекта - бизнес пользователи, не только ИТ • Необходимо детальное описание бизнес процессов • Использование библиотек рисков Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 17 Основные задачи при внедрении Access Control Проектное управление Управление изменениями Оценка рисков 1 Бизнес правила Правила системы 2 3 Настройка 4 Go-Live, поддержка 5 Определение бизнес правил • Определение бизнес функций на основании анализа рисков и процессов Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 18 Основные задачи при внедрении Access Control Проектное управление Управление изменениями Оценка рисков 1 Бизнес правила Правила системы 2 3 Настройка 4 Go-Live, поддержка 5 Определение правил разделения полномочий в SAP • Проверка полноты и корректности выбора кодов транзакций и объектов полномочий • Включение доработанного функционала (z-транзакции), а также программы, таблицы, запросы Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 19 Структура полномочий в SAP Ведение заказа на закупку Бизнес правило SoD правило Уровень Бизнес функции Уровень Системной функции Уровень Объектов Системы Уровень Значений полей Одобрение заказа на закупку Функция 1 Создать PO Транзакция ME21 Объект 1 M_BEST_BSA Транзакция ME21N Объект 1 M_BEST_EKG Поле 1 EKGO * - все орг. Функция 2 Разблок. PO Транзакция ME25 Транзакция ME28 Объект 1 M_BEST_EKO Поле 1 ACTVT 01 - создание Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Транзакция ME29N Октябрь 2012 20 Основные задачи при внедрении Access Control Проектное управление Управление изменениями Оценка рисков 1 Бизнес правила Правила системы 2 Настройка 3 4 Go-Live, поддержка 5 Реализация • Создание ролей • Организация приемочного тестирования • Определение компенсирующих контролей • Использование библиотек контрольных процедур Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 21 Основные задачи при внедрении Access Control Проектное управление Управление изменениями Оценка рисков Бизнес правила 1 Правила системы 2 Настройка 3 4 Go-Live, поддержка 5 Продуктивная эксплуатация и поддержка • Подготовка политик и процедур • Периодичный пересмотр прав доступа • Организация тренинга Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 22 Memento… На что обратить внимание… 1. Оценка рисков 2. Привязка объектов системы к бизнес функциям 3. Анализ нестандартного функционала 4. Компенсирующие контроли 5. Управление изменениями Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 24 Оптимизация СВК с помощью GRC Process Control Оптимизация внутренних контролей SAP GRC Process Control SAP GRC Process Control Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 26 Оптимизация внутренних контролей Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 27 Оптимизация внутренних контролей SAP GRC Process Control 1. “As-Is” • Ручные контроли • Транзакционная обработка данных • Трудоемкость • Отсутствие мониторинга 2. “Переход” Обеспечение и контроль миграции новых процессов и систем 3. “To-Be” • • • • Авто контроли Аналитические процедуры Эффективность Простой способ мониторинга Автоматизация Унификация Централизация Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 28 Оптимизация внутренних контролей Инструменты 1. Методология внедрения 2. Детальный план проекта 3. Библиотеки рисков и контролей 4. Internal Controls Optimization Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 29 Оптимизация внутренних контролей Инструменты Internal Controls Optimization Diagnostic Tool Эффективные средства и методы внутреннего контроля с использованием SAP GRC PwC Russia Октябрь 2012 30 Контакты Юрий Горин Старший Менеджер +7 903 961 26 89 yuri.gorin@ru.pwc.com Геннадий Чинский Младший Менеджер +7 906 789 56 89 gennady.chinsky@ru.pwc.com Настоящая презентация является конфиденциальной и предназначена для использования только ее получателями. Презентация подготовлена исключительно в качестве общей информации и не относится к услугам профессионального консультирования. Пользователи презентации не должны предпринимать какие-либо действия на ее основе без обращения к профессиональным консультантам. Презентация подготовлена на основании общедоступной информации, документов и мнений различных экспертов, в отношении которых в презентации не дается никаких заверений или ручательств (явно выраженных или подразумеваемых). Перевод отдельных терминов, которые приводятся в презентации, не может считаться официальной интерпретацией этих терминов. Любое использование информации, приведенной в презентации, осуществляется пользователями на свой страх и риск.© © 2012 «ПрайсвотерхаусКуперс Раша Б.В.». Все права защищены. Под "PwC" понимается «ПрайсвотерхаусКуперс Раша Б.В.» или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть компаний PricewaterhouseCoopers International Limited, каждая из которых является самостоятельным юридическим лицом.