企业治理、风险与合规管理方案介绍.pptx

《企业治理、风险与合规管理方案介绍.pptx》由会员分享，可在线阅读，更多相关《企业治理、风险与合规管理方案介绍.pptx（36页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、企业治理、风险与合规管理方案介绍2SAP GRC 企业治理、风险与合规管理SAP 访问控制访问控制SAP 内部控制内部控制SAP 风险管理风险管理SAP 全球贸易服务全球贸易服务 SAP 巴西电子票据巴西电子票据第二道防第二道防第二道防第二道防线线第三道防第三道防第三道防第三道防线线全球全球全球全球贸贸易易易易系系系系统统安全安全安全安全SAP 身份识别管理身份识别管理SAP 单点登录单点登录SAP 企业威胁检测企业威胁检测SAP 审计管理审计管理SAP 舞弊管理舞弊管理SAP 访问控制访问控制3对对于于审计审计信息化，刘家信息化，刘家义审计长义审计长在全国在全国审计审计工作会工作会议议上作上

2、作过过精辟精辟论论述：中国述：中国审计审计的出的出路关路关键键在于信息化，信息化的关在于信息化，信息化的关键键在于数字化。大数据和信息化在于数字化。大数据和信息化时时代的到来，将会代的到来，将会给给企企业业内部内部审计带审计带来来质质的的飞跃飞跃。信息化信息化审计审计主要是主要是对对信息化内部控制和信息系信息化内部控制和信息系统进统进行行审计审计，2014 年年1 月月1 日施行的日施行的中国内部中国内部审计审计准准则则将将“信息系信息系统审计统审计”定定义为义为内部内部审计审计机构和内部机构和内部审计审计人人员对组员对组织织的信息系的信息系统统及其相关的信息技及其相关的信息技术术内部控制和流

3、程所内部控制和流程所进进行的行的审查审查与与评评价活价活动动。4 某企业ERP生产系统风险发现实例5某著名大型石油央企ERP用户权限管理的问题案例发现6什么是什么是SAP 访问控制控制?获取实时洞察力获取实时洞察力n自动化处理并追踪记录紧急情况下临时特权用户的访问n实时报告提高了系统访问风险分析的精确性n全面掌控测试和审计报告结果优化合规流程优化合规流程 n促进业务用户理解技术访问风险n将合规管理嵌入角色设计和用户开通流程n实现用户访问审核自动化和访问风险异常管理优化合规流程优化合规流程降低企业各个系统的访问风险降低企业各个系统的访问风险n源自最佳实践的规则集支持SOD规则灵活定制n支持跨系统

4、的访问风险分析和辨识n简化风险补救流程并确保主动式风险应对修复降低企业各个系统的访问风险降低企业各个系统的访问风险获取获取实时实时洞察力洞察力SAP 访问控制方案为企业的业务部门、IT安全和内控内审部门提供了良好地的访问控制管理和覆盖企业欺诈预防管理的协同管控平台。它帮助企业优化了权责分离管理、关键访问风险、用户访问合规分配流程并节省了审计时间、降低了审计成本。7方案价方案价值值企业访问权限风险的企业访问权限风险的“风向标风向标”完整展现企业信息系统的潜在职责冲突风险提供全面的管理层、内审及内控视角企业访问权限风险的企业访问权限风险的“防火墙防火墙”预防职责分离冲突风险的发生，保护企业核心ER

5、P系统的访问安全支持定期用户权限复核工作，保障用户权限分配的准确性、合理性访问权限管理访问权限管理“自动化自动化”、“自助化自助化”，解放，解放IT维维护资源护资源自动化用户帐号申请、审批工作流自动化用户帐号创建、权限分配和角色维护密码自助服务严控严控“超级用户帐号超级用户帐号”，有效防止越权操作，有效防止越权操作“超级用户帐号”集中申请、分配、监督和管控自动提供“超级用户帐号”实时登录报告和使用情况报告解决“第一号”审计难题：对SAP_ALL的审计跨企业、跨集团的访问控制解决方案跨企业、跨集团的访问控制解决方案支持多个业务系统的并存的访问控制管理跨流程、跨应用、跨系统的职责分离冲突风险分析基

6、于风险控制的企业身份管理方案业务部门与业务部门与IT部门协同工作部门协同工作,共同防范访问风险共同防范访问风险访问权限风险不仅仅是IT风险，而是与业务密切相关的风险业务部门作为应对访问权限风险的责任部门IT部门为业务部门的决策提供强有力的IT支持8高效管理超高效管理超级账号号权限及限及审计定期定期访问权限与限与职责分离复核分离复核统一角色管理平台在源一角色管理平台在源头防控防控风险自自动化化访问权限分配限分配识别和修复和修复SOD以及敏感以及敏感权限限违规产品功能特性品功能特性SAP_ALLXLegacy实时分析能力，即时制止风险隐患提供SAP,非SAP系统以及跨系统细颗粒度准确分析能力，拒绝

7、风险误报自动化执行，降低企业合规成本 模拟工具避免权限违规，第一时间发现权限问题所在标准化权限申请开通流程提升权限申请效率实时权限分析报告帮助审批人审批权限时有据可依，预防违规情况发生自动化权限分配流程，避免人为错误的情况发生，提高IT效率集成HR系统事件（入职、换岗、离职等），进行权限变更,实现全生命周期的合规管理方案超级账号申请、审批、使用、和监控的全生命周期管理流程访问限制,规避大权限账号带来的安全隐患有效期控制详细全面日志降低审计时间成本，解决审计难题角色创建时嵌入风险分析，从源头避免权限风险角色挖掘分析报告和批量处理提升质量与效率强制执行角色维护最佳实践，减少错误发生定期触发权限分配

8、复核，持续合规定期触发SOD违规复核，持续合规降低审计时间和成本9某著名大型石油央企某著名大型石油央企访问控制系控制系统架构架构集中部署统一的权限管理应用系统，实现权限的集中申请和合规性管理。报表和表单应用平台权限管理应用 用户平台系统关键用户审核人内控部门权限管理员展示门户GRC权限管理应用核心功能系统入口应用平台ERP系统平台信息管理部服务总线平台数据映射管理接口配置合规性规则库 用户授权库 各企事业单位内部支持队伍外部审计各平台权限申请流程管理上市ERP未上市ERP海外ERP人力资源决策支持平台集成平台（BPM）自主开发应用ERP系统权限合规性检查ERP系统应急账号管理用户平台待办集成报

9、表和表单数据分级管理用户认证管理日志管理10某著名大型石油央企某著名大型石油央企GRC 访问控制控制项目后期展望目后期展望流程可控权限管理应用实现用户权限从申请到审批的各级流程电子化，同时可根据实际需要对标准工作流程进行定制修改，ERP权限日常运维从根本上得到了控制。风险可控权限管理应用将通过实时权限互斥风险的预警，进行用户权限潜在风险的统计分析。角色可控提供基于岗位职能的权限申请功能，通过将岗位与角色在系统中进行关联以及角色基本属性的提炼，方便用户的权限申请。表单可控梳理ERP权限运维相关表单，对于目前的表单提出修改建议，完善表单体系，通过权限线上的申请审批流程，实现表单的电子化管理。合规可

10、控权限管理应用将固化ERP系统权限测试依据及标准，以全面的权限测试（互斥、敏感、冗余）、严格的多级审批等手段确保ERP系统权限的全过程实时管控。112015上汽延上汽延锋锋与江臣座椅与江臣座椅 GRC 访问访问控制上控制上线线案例案例国内领先的汽车零部件集团国内领先的汽车零部件集团国内领先的汽车零部件企业国内领先的汽车零部件企业项目背景(原因)企业自身是中国上市公司子公司，满足内控规范对信息系统安全与控制的明确要求；内审在实施SAP之前对旧ERP系统已经有系统职责分离的要求；IT关心SAP ERP系统上线后系统角色、临时、紧急情况下的超级用户如何有效管控防范风险；企业中外方股东方都是上市公司，

11、需满内控规范对信息系统安全与控制的明确要求；内审在实施SAP之前对旧ERP系统已经有系统职责分离的要求；IT关心SAP ERP系统上线后系统角色、临时、紧急情况下的超级用户如何有效管控防范风险；实施策略SAP ERP、SRM等系统实施时同步实施SAP GRC访问控制；确保SAP ERP等系统上线时“干净”不存在任何访问控制缺陷SAP ERP系统上线1年半后再实施SAP GRC访问控制，发现现有系统问题并整改，确保GRC上线后未来不会产生新的访问控制缺陷；实施内容帮助企业优化SAP系统访问控制管理流程（用户授权、角色管理、紧急访问、风险监控）、建立SAP系统职责分离和敏感访问技术标准、配置与实施

12、SAP GRC访问控制系统固化咨询成果；“管理咨询”+“系统实施”二合一！项目价值“高起点”：SAP ERP等系统“零”缺陷上线；“好手段”：SAP GRC系统导入保证系统未来运维过程没有新缺陷、提升业务满意度、提供IT日常授权管理效率。“大扫除”：清理历史遗留问题；“好手段”：SAP GRC系统导入保证系统未来运维过程没有新缺陷、提升业务满意度、提供IT日常授权管理效率。122015上上汽延汽延锋锋 GRC 访问控制上控制上线案例案例 12客户背景项目背景项目解决方案项目收益公司是中国最大汽车零部件制造企业，其母公司是中国A股上市公司，总部上海，在全球拥有140多个生产研发基地，业务覆盖汽车

13、内饰、外饰、座椅、电子和安全系统，2014年公司销售超过600亿元，出口超过8亿美元。公司集团与内饰事业部首先启动整体SAP应用系统群实施项目代替原有QAD系统，平行同时实施系统包括SAP ERP，SAP SRM，SRM Portal，SAP EWM和SAP SNC和SAP GRC AC等。通过SAP GRC AC访问控制系统的并行实施，需解决：如何保证众多SAP应用系统实施之初就满足安全与控制方面的最佳实践，包括系统角色授权标准架构及设计内容；系统Basis安全参数；如何保证众多SAP应用系统上线后能满足外部监管特别是中国上市公司内控基本规范的要求；如何保证现有基于QAD的安全管控要求在SA

14、P系统中固化落地。协助公司建立集团层面的访问控制管理流程和技术标准（包括职责分离，敏感访问）以风险为导向在SAP ERP，SRM，Portal，EWM，SNC系统中识别超过200个访问控制风险点(个别系统及跨系统）；实施SAP GRC 访问控制当时最新的10.1版本，包括完整的4个子模块，ARM用户授权管理；BRM角色管理；EAM紧急访问管理和ARA访问风险分析，此次实施是中国完整实施GRC AC四个子模块的第一个案例；统一设计公司层面SAP应用系统内授权管理架构，特别是角色设计架构（3层架构）及具体设计规范与原则，并宣贯给各SAP应用系统实施小组并强制要求遵循；建立集团层面统一的系统访问控制

15、管理流程和管理技术标准；完整部署SAP GRC AC访问系统有效管理SAP ERP，SRM等各个应用系统，这些应用系统未来的用户管理、授权管理、角色管理、紧急访问管理、访问控制风险管理完全都通过GRC AC电子化方式实现；通过SAP应用系统统一授权架构的提出，帮助公司规范、标准化各系统的授权管理，简化管理模式与方式，实现完全集中管理；通过SAP GRC AC固化管理技术标准（职责分离和敏感访问）完整评估各系统创建的用户和角色，确保系统上线时系统内都不存在访问控制风险，帮助公司满足外部合规要求。132015上汽江臣座椅上汽江臣座椅 GRC 访问控制上控制上线案例案例 客户背景项目背景项目解决方案

16、项目收益公司是中国汽车座椅行业的领导者；为所有中国主要整车制造商服务；公司是中国本土汽车零部件集团公司（中国上市）与美国著名的跨国公司（美国上市）合资建立公司已经实施较多SAP应用系统，包括SAP ERP，SRM及Portal；SAP BPC；SAP Solution Manager，这些系统的日常用户与授权管理目前都依赖手工线下表单操作，由不同系统管理人员负责，维护工作量大且容易出错；公司虽建立访问控制管理标准例如职责不相容矩阵，但矩阵未定义到系统层面，缺乏工具目前都通过手工方式对系统SOD进行评估，效果不佳；公司SAP系统正在全国各地工厂进行推广实施，但每家工厂实施上线时授权配置特别是系统

17、角色配置完全靠手工创建，维护工作量大；帮助公司优化已有职责分离管理标准，并以风险为导向在SAP ERP，SRM，Portal，BPC等系统中识别访问控制风险点(个别系统及跨系统）实施SAP GRC 访问控制10.1版本，包括完整的4个子模块，ARM用户授权管理；BRM角色管理；EAM紧急访问管理和ARA访问风险分析；其中ARM用户授权管理与公司已有Workflow系统实现集成，系统账号与授权管理完全基于电子化方式在线申请、审批、评估和自动化配置；和Windows域集成实现账号自动禁用和密码自助更新；帮助公司建立新上线工厂的授权配置自动化方案，包括角色批量创建，角色组织授权数据批量更新，账号批量

18、创建等方案；完整部署SAP GRC AC访问系统管理SAP ERP，SRM等各个应用系统，这些应用系统未来的用户管理、授权管理、角色管理、紧急访问管理、访问控制风险管理完全都通过GRC AC电子化方式实现，标准化管理方式流程、节约人工，提升流程效率与效果通过SAP GRC AC固化管理技术标准（职责分离和敏感访问）评估各系统创建的用户和角色，确保系统内不存在访问控制风险，帮助公司满足外部合规要求；14SAP GRC访问控制控制实施方法施方法蓝图阶段蓝图阶段配置阶段配置阶段接纳阶段接纳阶段维护阶段维护阶段基于最佳实践经验的实施方法15SAP GRC访问控制控制实施方法施方法基于最佳实践经验的实施

19、方法需求分析需求分析需求分析需求分析定义职责冲突风险点及业务规则定义超级用户权限，使用及监控流程定义用户帐号及权限申请/变更流程定义企业角色管理流程（包括命名规范、审核流程等）功能培训功能培训功能培训功能培训最终用户功能培训项目组关键成员培训关键产出关键产出关键产出关键产出职责冲突风险控制矩阵职责冲突风险控制业务规则超级用户定义、使用及监控流程用户帐号及权限申请流程角色管理流程蓝图阶段蓝图阶段配置阶段接纳阶段维护阶段16SAP GRC访问控制控制实施方法施方法基于最佳实践经验的实施方法蓝图阶段配置阶段配置阶段接纳阶段维护阶段系统配置系统配置系统配置系统配置职责冲突分离规则导入超级用户权限定义，

20、使用人、监控人、审核人配置用户帐号及权限申请流程系统配置角色创建命名规则、创建流程配置单元测试单元测试单元测试单元测试确认系统功能正确有效确认导入数据完整正确关键产出关键产出关键产出关键产出职责冲突分离业务规则配置文档（GRC 4大模块）单元测试计划（GRC 4大模块）单元测试报告（GRC 4大模块）17SAP GRC访问控制控制实施方法施方法基于最佳实践经验的实施方法蓝图阶段配置阶段接纳阶段接纳阶段维护阶段用户测试（用户测试（用户测试（用户测试（UATUATUATUAT）系统现有帐号及角色职责分离冲突风险分析根据上述分析结果进行权限清理和整改超级用户权限测试及使用监控流程测试和确认用户帐号及

21、权限申请流程测试和确认角色创建及审批流程测试和确认补偿性控制识别与设计补偿性控制识别与设计补偿性控制识别与设计补偿性控制识别与设计识别企业现有的补偿性控制措施为企业设计补偿性控制的测试步骤关键产出关键产出关键产出关键产出用户接受测试计划用户接受测试报告职责冲突后续跟踪流程补偿性控制管理流程超级用户使用及监控流程系统管理及运营流程系统管理及运营流程系统管理及运营流程系统管理及运营流程如何正确处理系统报告的职责冲突风险如何正确的识别并定义补偿性控制如何对超级用户的使用进行审批和监控最终用户培训最终用户培训最终用户培训最终用户培训最终用户熟悉系统功能和特性18SAP GRC访问控制控制实施方法施方法

22、蓝图阶段配置阶段接纳阶段维护阶段维护阶段关键产出关键产出关键产出关键产出GRC系统变更及维护流程GRC系统内部审计方法上线后系统支持上线后系统支持上线后系统支持上线后系统支持系统现场支持系统维护流程系统维护流程系统维护流程系统维护流程如何进行GRC系统变更如何进行GRC系统内部审核19GRC 访问控制系控制系统投投资回回报(ROI)测算指算指标减少检查用户账号申请的时间75-85%减少账户创建和变更的时间75-85%优化的业务用户账号申请和审批流程70-80%优化了用户权限关闭的流程75-85%自动化创建SOD报告80-90%改进了SOD 报告的审查和分析 80-90%更快地解决处理SOD问题

23、80-90%改进了特权用户的创建80-90%改进了对特权用户访问的检查80-90%用用户管理管理员$XXX-$XXX M职责分离管理分离管理$XXX-$XXX M特特权用用户访问和管理和管理$XXX-$XXX K具有潜在SOD风险的不当分配的角色减少的减少的风险角色角色设计和管理和管理$XXX-$XXX K审计合合规$XXX-$XXX M节省的省的IT 支持成本支持成本$XXX-$XXX K改进角色定义80-90%改进角色维护80-90%减少IT审计费用20-25%提高审计周期效率50-60%减少了定制报告创建-开发人员100%减少了报告维护工作-开发人员20-50%不当用户授权不当角色分配和

24、管理未被监控的特权管理来源：实际客户的认定评测指标节省的省的应用系用系统接口开接口开发和和维护成本成本$XXX-$XXX K减少了与SAP ERP/HR人力资源/BW报表接口开发成本和后期维护成本100%减少了与非SAP系统/IDM身份识别系统的接口开发和运维成本60-70%减少控制测试和变更跟踪时间20-50%提高审计报告生成速度60-80%20外外企与民企与民营企企业中内部中内部违规与舞弊与舞弊事件普遍存在事件普遍存在21舞弊的分类22英国某大型英国某大型电电信公司信公司:差旅与招待差旅与招待费用用违规案例案例行行业通讯运营商员工人数93000 (2014)收入收入598亿欧元(2014)

25、用户4.34 亿(2014)两年内实现目标：业务收益#1:防范了15万欧元的损失期望目标:每年不仅发现了15万欧元的欺诈性质报销而且正面地影响了员工行为业务收益#2:从抽样检查到全面稽查之前只是手工方式对10%的报销进行检查业务收益#3:财务/合规调查能力提升业务部门的终端用户可以不需要IT部门就可以优化稽查规则全球第三大移动通讯公司在21个国家拥有和运营网络(合作伙伴网络遍布其他40多个国家)每年有275,000 笔费用报销 寻求强大的分析方案对违规进行全方面实时监测，包括工作流、告警、审计追踪与报告等功能。由外及内的商业案例:自上而下(基于企业营收):1.6M 6.03 M 每年自下而上(

26、基于费用报销):275,000 每年后续应用案例实施范围:采购舞弊增值税交易23英国某大型电信公司应用案例违规造成的损失(基于收入采用自上而下的方法)收入60 B违规=1,4%1-5%2 of Revenue 0,8-3 B0,2%T&E21.6 M-6M7,2%P2P1 58M-216 M来源:1 Association of Certified Fraud Examiners2 National Fraud Authority 24大型电信公司应用案例违规造成的损失(基于报销申请采用自下而上的方法)费用报销275,000虚假报销10%127,500来源:1 National Fraud A

27、uthority 每笔报销平均包含虚假报销的数额101275,00025大型电信公司应用案例:采购环节舞弊P2P 舞弊管理规则检查策略检查方法参数设定检查结果不正常的付款行为手工付款给供应商提前付款发票金额的凑整-发票金额 1,000%凑整的发票/供应商 10%1.9%付款存在问题采购订单不规范开票 收货采购订单合作方来自高风险国家采购过度支付-允许值 50 天阈值数额 200阈值百分比 3%10 天24%付款是过早支付开票 收货开票 收货阈值:已交货与开票数量差异 10%1%开票超出了实际收货多次修改采购订单多次修改采购订单限定改动次数 1,000%凑整的发票/供应商 10%10 1%发票没

28、有采购订单供应商参照重开发票供应商参照与发票重复-5%发票有重复的外部参照凭证的问题样本数据:一年一家子公司数据总量一百一十万行项目检查预警发现 x.000(2)周末和周末和节假日付款假日付款(2)以上以上规则+11 条其他条其他规则对客客户/供供应商商/服服务商商洗黑洗黑钱(1)现金收据和支票支付金收据和支票支付(1)经常常变更更银行数据行数据(2)银行国家行国家 所在国家所在国家(3)以上以上规则+8 条其他条其他规则应收收应付付29示例示例：差旅差旅报销违规分析分析30示例示例：采采购违规分析分析31如何侦查违规与舞弊专家知识数据库检查方法检查策略业务流程预测模型创建和培训建立规则已知模

29、型未知模型通过 SAP HANA Studio 或者 SAP 预测分析工具Optional32SAP 预测预测分析技分析技术术探知探知未来未来的的舞弊与舞弊与违规风险违规风险企企业业收益收益大量的预测分析模型与算法直观的设计和可视化的预测模型设计 预测分析通过仪表盘,告警和移动终端为企业所有人提供了舞弊事件即时报告33舞弊舞弊风险风险防范防范管理管理与与SAP 审计管理与内控管理管理与内控管理结合合应用用完善内部控制与内部审计体系加强舞弊风险防范内部审计内部审计舞弊事件内部控制内部控制SAP 审计管理SAP 内部控制34系系统演示演示35SAP 舞弊风险管理方案架构SAP HANA SAP E

30、RPRTables,Views,ProceduresNon-SAPApplication Server ABAPFraud ManagementMobileNative iPad AppBrowserDesktop UIRROData via SUPRRBOBJ Data ServicesSAP LT ReplicatorEnterpriseServicesSAP Process ControlSAP Risk Management36市市场地位地位n作作为市市场领先的解决方案，先的解决方案，我我们服服务于各个行于各个行业，各个地区，不同，各个地区，不同规模模的企的企业n全球超全球超过5400家客家客户Gartner对于于SAP GRC 软件的件的评价价大量大量的的访问控制客控制客户群体群体权威威调研和研和专业机构的机构的评价价审计及风控 领先者两项审计及风控创新技术SAP GRC 荣荣获VENTANA技技术创新新奖