Solutions for Governance, Risk and ComplianceРешение для регулирования бизнеса, управления рисками и обеспечения соответствия нормам и требованиям презентация

и обеспечения соответствия нормам и требованиям

SAP Access Control – для разграничения прав доступа
SAP Process Control – для внутреннего контроля
SAP Risk Management – для управления рисками

Ольга Петрусенко

менеджер отдела экспертизы новых решений
САП Украина

07.06.2008

и законодательным требованиям

Модель COSO

Управление рисками в компании

Управление полномочиями и доступом к информации

Внутренний контроль бизнес процессов

компанией в США. Инвесторы потеряли $ 60 миллиардов
WorldCom – одна из телекоммуникационных компаний (85.000 сотрудников) в США
$ 2 триллиона в благосостояние акционеров были потеряны 15 телеком компаниями
Andersen (85.000 сотрудников в 84 странах, $ 9 миллиардов) была устранена
EM-TV вынуждены были объявить потерю DM 2,8 миллиардов вместо прогнозируемой прибыли в DM 616 миллионов, активы упали на 90 %

Значительные убытки инвесторов, персонала компаний, кредиторов!

биржи)

Кредиторы (Банки, Инвесторы)

Аналитики и Рейтинговые агентства

Нормы и положения
US-GAAP
IAS
other GAAPs (e.g. HGB)
Basel II
Country-specific tax regulations
Corporate Governance Codex
Sarbanes-Oxley Act
COSO
COSO II
KonTraG (Germany)
LSF (France)
...

Акционеры

в 2002 году.

Новая парадигма корпоративной отчетности.
Четко определены ответственности аудиторского комитета, руководителя корпорации (CEO) финансового директора (CFO).

Внутренний контроль обязателен законодательством
Оказывает влияние на все дочерние компании и процессы группы

Title I Public Company Accounting Oversight Board
Title II Auditor Independence
Title III Corporate Responsibility
Title IV Enhanced Financial Disclosures
Title V Analyst Conflicts of Interest
Title VI Commission Resources and Authority
Title VII Studies and Reports
Title VIII Corporate and Criminal Fraud Accountability
Title IX White Collar Crime Penalty Enhancements
Title X Corporate Tax Returns
Title XI Corporate Fraud and Accountability

План вступления в силу
Компании, котирующиеся на бирже с совокупной рыночной стоимостью более чем $75 Млн., с фискальным годом, заканчивающимся в Ноябре 15, 2004 или позже, должны соответствовать в этом фискальном году.
Компании, котирующиеся на бирже с совокупной рыночной стоимостью менее чем $75 Млн., с фискальным годом, заканчивающимся в Апреле 15, 2005 или позже, должны соответствовать в этом фискальном году.
Иностранные частные эмитенты с финансовым годом, заканчивающимся в Апреле 15, 2005 или позже, должны соответствовать в этом фискальном году.

система внутренних контролей

Современная информационная система

Квалифицированный менеджмент

Оперативная система отчетности

Предсказуемые денежные потоки

Оптимальная структура капитала

План повышения и реализации стоимости должен учитывать всю совокупность факторов, влияющих на стоимость

Значимость каждого из этих факторов различна для разных типов инвесторов

Эффективное корпоративное управление

Оптимальная структура затрат

между

целями, которые организация стремится достичь,
компонентами процесса управления рисками организации, представляющими собой действия, необходимые для достижения целей,
всеми подразделениями компании


Данная взаимосвязь представлена в виде трехмерной матрицы, имеющей форму куба, т.н. куб COSO

The Committee of Sponsoring Organizations of the Treadway Commission – COSO

документ «Концептуальные основы внутреннего контроля» - 1992 год
документ «Концептуальные основы управления рисками организаций» - 2001 год

разумная (достаточная) гарантия
достижения целей достоверности отчетности и соответствия нормативным актам

Субъективные факторы
производственный потенциал, производительность труда, величины издержек, организация процессов, …

Внутренний контроль - это процесс, осуществляемый Советом Директоров, руководством и персоналом организации, призванный обеспечить достаточную уверенность в том,
что организация достигнет цели в трех областях:
эффективности операционной деятельности, надежности составления финансовой отчетности, соответствия законодательным и регулятивным нормам и требованиям.
Эти цели присущи всем бизнес-процессам и подразделениям компании.

условиях
неопределенности

Риск

Возможность

Цель управления рисками — это повышение устойчивости развития компании, снижение вероятности потери части или всей стоимости компании.

потеря части или всей стоимости компании

Философия управления рисками представляет собой комплекс убеждений и установок, единых для организации, характеризующих то, как она оценивает риск во всех видах своей деятельности, начиная от разработки стратегии до повседневных операций

инфляция, конкуренция, налоговая система, политический кризис, курсы валют, таможенные пошлины, …

Управление рисками – это разумная (достаточная) гарантия
своевременной информированности руководства о степени продвижения компании к достижению ее операционных и стратегических целей

Субъективные факторы
производственный потенциал, производительность труда, величины издержек, организация процессов, …

Стратегические цели

Операционные цели

Цели подготовки отчетности

Цели соответствия требованиям

риска и контроля рассматриваются и учитываются сотрудниками организации..

Постановка целей. Цели должны быть определены до того, как руководство выявит события, потенциально влияющие на достижение целей..

Определение событий. События, которые могут оказать какое-либо влияние на организацию, должны определяться заранее.

Оценка рисков. Выявленные риски анализируются с целью определения действий, которые следует предпринять.

Реагирование на риски. Персонал организации определяет и оценивает возможные виды реагирования на риски

Средства контроля. Разработаны и функционируют политики и процедуры, обеспечивающие «разумную» гарантию эффективного исполнения выбранных действий по реагированию на риск

Информация и коммуникации. Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности.

Мониторинг. Весь процесс управления рисками организации периодически проверяется и по необходимости корректируется.

Гос. органы

Управление финансами

Свой вклад в бизнес со стороны службы CFO

Финансовое управление

Задачи

Внутренний аудит
Соответствие требованиям
Внутренние контроли

Обработка операций

Расчеты с заказчиками
Расчеты с поставщиками
Расчеты с персоналом
Управление договорами

Признание доходов и расходов
Подготовка отчетности (BS, P&L)
Внешняя отчетность

Сохранение существующей стоимости

Оперативная деятельность

Учет и отчетность

Соответствие нормативным требованиям

Управление бизнесом

Планирование&бюджетирование
Анализ
Контроль показателей
Управление рисками

Слияния&поглощения
Диверсификация/реструктуризация
Разработка стратегии

Создание новой стоимости

Управление стратегией

Корпоративное управление

Задачи и сферы ответственности CFO

Взаимодействие с участниками

процессами в финансах

Оптимизация оперативных процессов

Управление эффективностью

Управление рисками и соответствие нормативным требованиям

Управление стратегией
Планирование и бюджетирование
Консолидированная отчетность
Карты сбалансированных показателей
Аналитика, моделирование и прогнозирование

Управление рисками
Риски несанкционированного доступа
Контроль внутренних процессов

Новые возможности ГК
Поддержка международных стандартов отчетности
Решение для казначейства
Финансовые цепочки: счета, платежи, сбор задолженности
Управление недвижимым имуществом

Финансы

Services
Оптимизация и обеспечение безопасности внешнеторговых операций

EH&S
Безопасность жизнедеятельности и охрана окружающей среды

Material

Контроль внутренних процессов компании

Solutions for GRC– регулирование, управления рисками и обеспечения соответствия требованиям

Функции и Роли

CEO / CFO / Ответственные за орг.единицы

Менеджер по управлению рисками

Ответственный за показатель риска

Ответственный за мероприятия

Подтверждающий

Внутренний и внешний аудит

Отслеживать риски и эффективность мероприятий по снижению

Определить методы управления рисками для направлений деятельности и проектов

Выявить риски по направлениям деятельности и проектам до возникновения проблем

Определить меры по снижению рисков

Ответственный за оценку рисков

Определение рисков

Контроль рисков

Мероприятия по снижению

Идентификация и анализ

управления по орг.единицам, операциям, категориям рисков
Иерархия орг.единиц
Настройка уровней и приоритета рисков
Определение пользователей и ролей
Каталог операций
Каталог рисков

Документирование рисков, присвоение ответственных
Проведение опросов по оценке рисков
Автоматические предупреждения
Качественные методы оценки
Количественные методы оценки
Расчет уровня риска и ожидаемых потерь в зависимости от орг.единиц

Документирование мероприятий по снижению риска
Контроль статуса и анализ

Документооборот повторной оценки
Обзор и утверждение оценок
Сводная отчетность
Отслеживание происшествий и потерь

Определение рисков

Контроль рисков

Мероприятия по снижению

Идентификация и анализ

Замечание: серым цветом выделены задачи, не рассматриваемые в приложении

2

Категория риска

Риск 1

Последствия
(влияние)

Событие

Мероприятие

Предотвращающие воздействия

Действия по возмещению потерь

Риски и мероприятия по их снижению

Back

риском произойдет”
Вводится в процентах от 0% до 99%
Связано с настроенными категориями (количество категорий указывается при настройке)

Значимость (влияние):
Шкала значимости воздействия в зависимости от бизнес единицы
Вводится как “уровень” или номер
Возможно ведение значимости в “наилучшем” и “наихудшем” случае
Ссылка на настроенные категории (количество категорий указывается при настройке)

Горизонт времени:
Период времени, в течении которого необходимы мероприятия по снижению риска
Задаются как границы периода (длительный, средний, короткий)
Ссылка на настроенные горизонты (количество горизонтов указывается при настройке)

Вероятность * Значимость,

Введенная пользователем вероятность, Минимальные потери, Средние потери, Максимальные потери
Весовые коэффициенты – вопрос к обсуждению на совещании по управлению рисками
Суммарные потери = x*Минимальные потери+ y*Средние потери + z*Максимальные потери, где x,y,z – вводимые коэффициенты
Ожидаемые потери = Вероятность * Суммарные потери

Анализ по рангам

Стандартный метод

каждого мероприятия по снижению риска :

Тип: Страховка, Изучение, Ресурсы, и т.д. (настраиваемый список)
Оценка Затрат на проведение
Статус: проект, в процессе, и.т.д.

Оценка риска
(До проведения мероприятия)

Мера 1:
Страховка

Мера 2:
Изучение

Оценка риска
(после проведения мероприятия)

Мера 3:
Доп.ресурсы

Вероятность
Значимость = $1 М
Вр.горизонт = 3 мес.

Вероятность = 20%
Значимость = $500,000
Вр.горизонт = 3 мес.

Back

риска

снижение

Ожид.
потери

100,000 €

150,000 €

30 %

10 %

30,000 €

15,000 €

2

3

250,000 €

45,000 €

70,000 €

35,000 €

320,000 €

80,000 €

…

…

…

…

800,000 €

230,000 €

65,000 €

…

…

20,000 €

10,000 €

6,000 €

4,000 €

10,000 €

ОКР

300,000 €

100,000 €

30,000 €

…

Риск2: уход
Проектн.команды

Риск1: срыв сроков

Проект: Новый
объект

рисками и контролями в компании

Access Control
Предупреждение рисков несанкционированного доступа

Global Trade Services
Оптимизация и обеспечение безопасности внешнеторговых операций

EH&S
Безопасность жизнедеятельности и охрана окружающей среды

Material

Контроль внутренних процессов компании

Solutions for GRC– регулирование, управления рисками и обеспечения соответствия требованиям

не даете мне выполнять мой обязанности?

Мне нужен доступ к информации сейчас!

Так много нарушений?
Это недопустимо …

Почему вы не можете получать документы одновременно?

Пользователь

Аудиторы

Руководство

функции информационной безопасности

прав доступа по всему информационному ландшафту предприятия
Дорогостоящие, ручные процедуры выявления и корректировки нарушения регламентированных прав доступа
Выявление риска: “предупреждение или исправление”
Бесконтрольное предоставление полномочий
Избыточные полномочия для отдельных категорий пользователей
Неэффективная и недостаточно контролируемая подготовка профиля полномочий пользователя

Авторизация: Ведение основных данных поставщиков

Авторизация: Оплата счетов поставщиков

Compliance Calibrator контроль соответствия корпоративным требованиям

функций

Бизнес





Принятие решений

ИТ





Исполнение решений

Управление правами доступа – ключевой процесс, оказывающий существенное влияние на построение всех бизнес-процессов компании
Бизнесу необходим переход от ручных процедур к автоматизированным системам управления полномочиями
ИТ заинтересован в передаче ответственности за управление правами доступа владельцам бизнес процессов

снижение рисков несанкционированного доступа, возникновения конфликтных ситуаций, управление полномочиями сотрудников

Role Expert

Определение,
управление ролями
пользователей

Firefighter
Решение для управления расширенными полномочиями

Access Enforcer
Согласование процессов предоставления полномочий

оперативный этап (поддержка процедур)

этап формирования (упорядочивание процедур)

Обеспечение непрерывного процесса согласования прав доступа

Управление расширенными полномочиями

Предотвращение

всего периода работы сотрудника
Обеспечение аудиторского следа для контроля

за выполнение процедур внутреннего контроля, внутренние аудиторы

Формирование среды внутреннего контроля

Исполнительный совет, контролеры, менеджеры, аудиторы

Принятие решений по выявленным исключениям

Выполнение ручных и автоматических процедур

Документирование

Проведение проверок

Корректировка

Анализ

Оптимизация

Отчеты, финансовые результаты

Группа разработки процедур внутреннего контроля и владельцы бизнес процессов

РИСК

Оптимизация контрольных процедур

Группа разработки процедур внутреннего контроля и владельцы бизнес процессов

Группа разработки процедур внутреннего контроля и владельцы бизнес процессов

система для целостного управления процедурами внутреннего контроля
Средства контроля на основе управления по рискам

Автоматическое управление процедурами внутреннего контроля в различных функциональных приложениях предприятия

Выявление глобальных рисков, корректирующие действия согласно приоритетам

Проведение опросов

Выполнение процедур автоматического контроля

Выполнение ручных процедур контроля

Документирование

Выполнение процедур

Контроль

Утверждение

Многоуровневые процедуры утверждения

процедуры контроля, цели, риски

ИТ структура

Бизнес процессы

…

Обзор исключений

Исправление выявленных отклонений

что компании, подлежащие нормативному регулированию будут контролировать возможные нарушения на непрерывной основе, и 60% компаний будут использовать автоматизированные процедуры 1
R 2010 году рынок GRC продуктов расширится, и контроль за распределением полномочий (SoD) будет предлагаться, в основном, как встроенные возможности GRC продуктов 1
Владельцы бизнес процессов заинтересованы в том, чтобы упростить процедуры контроля и снизить затраты на обеспечение соответствия нормам. 2
Расходы на безопасность, распределение полномочий (SoD), и другие решения, поддерживающие мониторинг и автоматизацию контрольных функций будут возрастать. 2

1 Gartner - MarketScope for Segregation of Duties Controls Within ERP, 2007

2 Gartner – The 2006 Planning Guidance for Compliance: Risk-Orientation, Standardization, and Automation, April 2006

license
agreement or any other agreement with SAP. This document contains only
intended strategies, developments, and functionalities of the SAP®product
and is not intended to be binding upon SAP to any particular course of
business, product strategy, and/or development. Please note that this
document is subject to change and may be changed by SAP at any time
without notice. SAP assumes no responsibility for errors or omissions in this
document

Ваши вопросы?