Solutions for Governance, Risk and Compliance
advertisement
Solutions for Governance, Risk and Compliance Решение для регулирования бизнеса, управления рисками и обеспечения соответствия нормам и требованиям SAP Access Control – для разграничения прав доступа SAP Process Control – для внутреннего контроля SAP Risk Management – для управления рисками Ольга Петрусенко менеджер отдела экспертизы новых решений САП Украина 07.06.2008 Содержание Формирование потребности в управлении рисками и обеспечении соответствия ведения бизнеса нормам и законодательным требованиям Модель COSO Управление рисками в компании Управление полномочиями и доступом к Внутренний контроль бизнес процессов информации Ряд корпоративных скандалов и банкротств, получивших широкую огласку … Enron была 7 компанией в США. Инвесторы потеряли $ 60 миллиардов WorldCom – одна из телекоммуникационных компаний (85.000 сотрудников) в США $ 2 триллиона в благосостояние акционеров были потеряны 15 телеком компаниями Andersen (85.000 сотрудников в 84 странах, $ 9 миллиардов) была устранена EM-TV вынуждены были объявить потерю DM 2,8 миллиардов вместо прогнозируемой прибыли в DM 616 миллионов, активы упали на 90 % Значительные убытки инвесторов, персонала компаний, кредиторов! Корпоративное управление – соблюдение интересов акционеров Акционеры Нормы и положения US-GAAP Аудиторы IAS other GAAPs (e.g. HGB) Финансовы й директор Органы Государственной Власти (Налоговая инспекция, фондовые биржи) Basel II Country-specific tax regulations Corporate Governance Codex Sarbanes-Oxley Act Кредиторы (Банки, Инвесторы) COSO COSO II KonTraG (Germany) LSF (France) Аналитики и Рейтинговые агентства ... The Sarbanes-Oxley Act (SOA) в США Последствия The Sarbanes-Oxley Act вступил в силу в 2002 году. Новая парадигма корпоративной отчетности. Четко определены ответственности аудиторского комитета, руководителя корпорации (CEO) финансового директора (CFO). Title I Title II Title III Title IV Title V Title VI Title VII Title VIII Title IX Title X Title XI Public Company Accounting Oversight Board Auditor Independence Corporate Responsibility Enhanced Financial Disclosures Analyst Conflicts of Interest Commission Resources and Authority Studies and Reports Corporate and Criminal Fraud Accountability White Collar Crime Penalty Enhancements Corporate Tax Returns Corporate Fraud and Accountability Внутренний контроль обязателен законодательством Оказывает влияние на все дочерние компании и процессы группы План вступления в силу Компании, котирующиеся на бирже с совокупной рыночной стоимостью более чем $75 Млн., с фискальным годом, заканчивающимся в Ноябре 15, 2004 или позже, должны соответствовать в этом фискальном году. Компании, котирующиеся на бирже с совокупной рыночной стоимостью менее чем $75 Млн., с фискальным годом, заканчивающимся в Апреле 15, 2005 или позже, должны соответствовать в этом фискальном году. Иностранные частные эмитенты с финансовым годом, заканчивающимся в Апреле 15, 2005 или позже, должны соответствовать в этом фискальном году. Факторы, воздействующие на стоимость компании Качественные факторы Понятность Количественные факторы План повышения и реализации стоимости должен учитывать всю совокупность факторов, влияющих на стоимость Эффективное корпоративное управление Современная система внутренних контролей Операционная эффективность Стоимость Квалифицированный менеджмент Предсказуемые денежные потоки Оптимальная структура капитала Эффективные системы и бизнес-процессы Современная информационная система Привлекательность Значимость каждого из этих факторов различна для разных типов инвесторов Оптимальная структура затрат Оперативная система отчетности Что ожидает Инвестор от Компании, которая хочет стать публичной Уверенность Команда Риски •Уверенность в уровне достоверности предоставляемой финансовой информации; •Уверенность в скорости предоставления необходимой информации. •Наличие профессиональной команды менеджеров, способной внедрять изменения в Компании; •Мотивация менеджмента к постоянному росту и развитию. •Снижение рисков несоответствия уровню корпоративного управления; •Возможность внедрении эффективной системы управления рисками; •Своевременное информирование о негативных событиях и адекватное реагирование. Что должна сделать Компания, чтобы получить статус публичной Единая система СВК Прозрачность •Обработку всех транзакций, ведение финансового, налогового и управленческого учетов для группы компаний в единой системе. •Консолидацию данных, востребованных менеджментом, в режиме реального времени •Внедрение современной системы внутреннего контроля (СВК), • автоматизацию контролей, как современного инструмента СВК. •Прозрачность и достоверность данных производственного процесса; •Прозрачность информационных потоков Компании; •Использование современного документооборота. Взаимосвязь между целями организации и компонентами процесса управления рисками Существует прямая взаимосвязь между целями, которые организация стремится достичь, компонентами процесса управления рисками организации, представляющими собой действия, необходимые для достижения целей, всеми подразделениями компании Данная взаимосвязь представлена в виде трехмерной матрицы, имеющей форму куба, т.н. куб COSO The Committee of Sponsoring Organizations of the Treadway Commission – COSO документ «Концептуальные основы внутреннего контроля» - 1992 год документ «Концептуальные основы управления рисками организаций» - 2001 год Система внутреннего контроля - разумная гарантия в достижении целей Внутренний контроль - это процесс, осуществляемый Советом Директоров, руководством и персоналом организации, призванный обеспечить достаточную уверенность в том, что организация достигнет цели в трех областях: эффективности операционной деятельности, надежности составления финансовой отчетности, соответствия законодательным и регулятивным нормам и требованиям. Эти цели присущи всем бизнес-процессам и подразделениям компании. Субъективные факторы производственный потенциал, производительность труда, величины издержек, организация процессов, … СВК – это разумная (достаточная) гарантия •достижения целей достоверности отчетности и соответствия нормативным актам Цель и философия управления рисками Философия управления рисками представляет собой комплекс убеждений и установок, единых для организации, характеризующих то, как она оценивает риск во всех видах своей деятельности, начиная от разработки стратегии до повседневных операций Цель менеджмента – повышение стоимости компании Возможность Событие в условиях неопределенности Цель управления рисками — это повышение устойчивости развития компании, снижение вероятности потери части или всей стоимости компании. Риск потеря части или всей стоимости компании Управление рисками - разумная гарантия в достижении целей Стратегические цели Операционные цели Цели подготовки отчетности Цели соответствия требованиям Объективные факторы инфляция, конкуренция, налоговая система, политический кризис, курсы валют, таможенные пошлины, … Субъективные факторы производственный потенциал, производительность труда, величины издержек, организация процессов, … Управление рисками – это разумная (достаточная) гарантия своевременной информированности руководства о степени продвижения компании к достижению ее операционных и стратегических целей Компоненты процесса управления рисками организации Внутренняя среда определяет то, каким образом вопросы риска и контроля рассматриваются и учитываются сотрудниками организации.. Постановка целей. Цели должны быть определены до того, как руководство выявит события, потенциально влияющие на достижение целей.. Определение событий. События, которые могут оказать какое-либо влияние на организацию, должны определяться заранее. Оценка рисков. Выявленные риски анализируются с целью определения действий, которые следует предпринять. Реагирование на риски. Персонал организации определяет и оценивает возможные виды реагирования на риски Средства контроля. Разработаны и функционируют политики и процедуры, обеспечивающие «разумную» гарантию эффективного исполнения выбранных действий по реагированию на риск Информация и коммуникации. Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Мониторинг. Весь процесс управления рисками организации периодически проверяется и по необходимости корректируется. Управлять бизнесом – значит управлять рисками ... Совет директоров Обоснованность решений Управление рисками Интегрированный анализ рисков ИТ подразделения Безопасная информационная структура Исполнительная дирекция Уверенное управление Финансы Соответствие стандартам отчетности Персонал Обеспечение безопасности труда Сбыт Сбалансирован ная кредитная стратегия Закупки Надежные поставщики Цепочка поставщиков Покупатели и каналы сбыта Задачи и сферы ответственности CFO Элементы роли CFO Сферы ответственности Обработка операций Задачи Оперативная деятельность Учет и отчетность Управление стратегией Соответствие нормативным требованиям Корпоративное управление Управление бизнесом Финансовое управление Взаимодействие с участниками Управление финансами Расчеты с заказчиками Расчеты с поставщиками Расчеты с персоналом Управление договорами Признание доходов и расходов Подготовка отчетности (BS, P&L) Внешняя отчетность Внутренний аудит Соответствие требованиям Внутренние контроли Слияния&поглощения Диверсификация/реструктуризация Разработка стратегии Планирование&бюджетирование Анализ Контроль показателей Управление рисками Инвесторы Управляющий совет Гос. органы Казначейство Структура капитала Финансовые риски Приобретение активов Сохранение существующей стоимости Создание новой стоимости Свой вклад в бизнес со стороны службы CFO Решение SAP для офиса CFO - единая платформа для управления всеми процессами в финансах Управление стратегией Управление рисками Планирование и бюджетирование Консолидированная отчетность Риски несанкционированного доступа Карты сбалансированных показателей Контроль внутренних процессов Аналитика, моделирование и прогнозирование Управление эффективностью Финансы Управление рисками и соответствие нормативным требованиям Оптимизация оперативных процессов Новые возможности ГК Поддержка международных стандартов отчетности Решение для казначейства Финансовые цепочки: счета, платежи, сбор задолженности Управление недвижимым имуществом Solutions for GRC– регулирование, управления рисками и обеспечения соответствия требованиям GRC Risk Management Общая картина по управлению рисками и контролями в компании Access Control Process Control Предупреждение рисков несанкционированного доступа Система внутренних контролей Global Trade Services Оптимизация и обеспечение безопасности внешнеторговых операций EH&S Безопасность жизнедеятельности и охрана окружающей среды Material Employee Work Area Контроль внутренних процессов компании Решение GRC Risk Management Функции и Роли Выявить риски по направлениям деятельности и проектам до возникновения проблем Определение рисков Идентификация и анализ Отслеживать риски и эффективность мероприятий по снижению Мероприятия по снижению Приложение GRC Risk Management Определить методы управления рисками для направлений деятельности и проектов Определить меры по снижению рисков CEO / CFO / Ответственные за орг.единицы Менеджер по управлению рисками Ответственный за оценку рисков Ответственный за показатель риска Ответственный за мероприятия Подтверждающий Внутренний и внешний аудит Контроль рисков Компоненты процесса управления рисками Определение рисков Идентификац ия и анализ Мероприятия по снижению Контроль рисков SAP GRC Risk Management Политика управления рисками Определение объема управления по орг.единицам, операциям, категориям рисков Иерархия орг.единиц Настройка уровней и приоритета рисков Определение пользователей и ролей Каталог операций Каталог рисков Документирование рисков, присвоение ответственных Проведение опросов по оценке рисков Автоматические предупреждения Качественные методы оценки Количественные Документировани е мероприятий по снижению риска Контроль статуса и анализ Документооборот повторной оценки Обзор и утверждение оценок Сводная отчетность Отслеживание происшествий и потерь методы оценки Расчет уровня риска и ожидаемых потерь в зависимости от орг.единиц Замечание: серым цветом выделены задачи, не рассматриваемые в приложении GRC RM структура основных данных Цели Структурные подразделения Компания Подразделение A Цели Категория операций Подразделение B Операция 2 Бизнес операции Операция1 Категория риска Риск 2 Событие Предотвращающие воздействия Риск 1 Мероприятие Последствия (влияние) Риски и мероприятия по их снижению Действия по возмещению потерь Back Основные данные для оценки рисков Вероятность: От % До % Уровень вероятности 0 20 незначительный 21 40 низкий 41 60 вероятно 61 80 высокий 81 99 Очень высокий Значимость (влияние): Категории значимости 1 несущественный 2 легкий 20.000 € 3 умеренный 50.000 € 4 существенный 150.000 € 5 опасный >500.000 € 0 Горизонт времени от до короткий 0 мес. 3 мес. средний 3 мес. 6 мес. дальний > 6 мес. Горизонт времени Период времени, в течении которого необходимы мероприятия по снижению риска Задаются как границы периода (длительный, средний, короткий) Ссылка на настроенные горизонты (количество горизонтов указывается при настройке) Значимость для огр.единиц урове нь Значимость Горизонт времени: примеры Шкала значимости воздействия в зависимости от бизнес единицы Вводится как “уровень” или номер Возможно ведение значимости в “наилучшем” и “наихудшем” случае Ссылка на настроенные категории (количество категорий указывается при настройке) Вероятность “Вероятность того, что воздействие, связанное с риском произойдет” Вводится в процентах от 0% до 99% Связано с настроенными категориями (количество категорий указывается при настройке) Оценка рисков: расчет ожидаемых потерь Стандартный метод Анализ по рангам ■ Введенная пользователем Вероятность и Значимость ■ Ожидаемые потери = Вероятность * Значимость, ■ Введенная пользователем вероятность, Минимальные потери, Средние потери, Максимальные потери ■ Весовые коэффициенты – вопрос к обсуждению на совещании по управлению рисками ■ Суммарные потери = x*Минимальные потери+ y*Средние потери + z*Максимальные потери, где x,y,z – вводимые коэффициенты ■ Ожидаемые потери = Вероятность * Суммарные потери Вид реагирования на риски - мероприятия по снижению рисков Мера 1: Страховка Оценка риска (До проведения мероприятия) Мера 2: Изучение Вероятность Значимость = $1 М Вр.горизонт = 3 мес. Оценка риска (после проведения мероприятия) Вероятность = 20% Мера 3: Доп.ресурсы Значимость = $500,000 Вр.горизонт = 3 мес. Данные вводимые для каждого мероприятия по снижению риска : Тип: Страховка, Изучение, Ресурсы, и т.д. (настраиваемый список) Оценка Затрат на проведение Статус: проект, в процессе, и.т.д. Back Управление рисками в разрезе организационных единиц, бизнес операций: Присвоение и оценка риска GRC Risk Management: мониторинг Итого потери Компания Продажи Европа Америка Проект: Новый объект Вероят- Ожид. ность потери Затраты Ур. на риска снижение 800,000 € 230,000 € 65,000 € … … … … … … 320,000 € 80,000 € 20,000 € 250,000 € 45,000 € 10,000 € Риск1: срыв сроков 100,000 € 30 % 30,000 € 2 6,000 € Риск2: уход Проектн.команды 150,000 € 10 % 15,000 € 3 4,000 € Процесс: Обработка счетов 70,000 € 35,000 € 10,000 € 300,000 € 100,000 € 30,000 € Риск 3 Риск n ОКР … Solutions for GRC– регулирование, управления рисками и обеспечения соответствия требованиям GRC Risk Management Общая картина по управлению рисками и контролями в компании Access Control Process Control Предупреждение рисков несанкционированного доступа Система внутренних контролей Global Trade Services Оптимизация и обеспечение безопасности внешнеторговых операций EH&S Безопасность жизнедеятельности и охрана окружающей среды Material Employee Work Area Контроль внутренних процессов компании Соответствие нормам, разграничения полномочий, контроль – замкнутый круг? Пользователь функции информационной безопасности Мне нужен SAP_ALL Почему вы не даете мне выполнять мой обязанности? Мне нужен доступ к информации сейчас! Аудиторы Так много нарушений? Это недопустимо … Руководство Почему вы не можете получать документы одновременно? Проблемы и риски управления распределением полномочий в сложном информационном ландшафте Управление распределением прав доступа по всему информационному ландшафту предприятия Дорогостоящие, ручные процедуры выявления и корректировки нарушения регламентированных прав доступа Выявление риска: “предупреждение или исправление” Бесконтрольное предоставление полномочий Избыточные полномочия для отдельных категорий пользователей Неэффективная и недостаточно контролируемая подготовка профиля полномочий пользователя Авторизация: Ведение основных данных поставщиков Compliance Calibrator контроль соответствия корпоративным требованиям ! риск Авторизация: Оплата счетов поставщиков Бизнес и ИТ: Передать бизнес-пользователям полномочия управления правами доступа на уровне функций Бизнес ИТ Управление правами доступа – ключевой процесс, оказывающий существенное влияние на построение всех бизнес-процессов компании Бизнесу необходим переход от ручных процедур к автоматизированным системам управления полномочиями ИТ заинтересован в передаче ответственности за управление правами доступа владельцам бизнес процессов Принятие решений Исполнение решений Solutions for GRC Access Control: Управление распределением полномочий Обеспечение непрерывного процесса согласования прав доступа этап формирования оперативный этап (поддержка процедур) (упорядочивание процедур) Определение и снижение риска Управление ролями Управление расширенными полномочиями Предотвращение Role Expert Firefighter Access Enforcer Определение, управление ролями пользователей Решение для управления расширенными полномочиями Согласование процессов предоставления полномочий Compliance Calibrator Определение, анализ, снижение рисков несанкционированного доступа, возникновения конфликтных ситуаций, управление полномочиями сотрудников Обеспечение управления профилем полномочий в соответствии с корпоративными требованиями на протяжении всего периода работы сотрудника Обеспечение аудиторского следа для контроля Solutions for GRC Process Control целостный внутренний контроль бизнес процессов Документирова ние Проведение проверок Корректировка Анализ Оптимизация РИСК Формирование среды внутреннего контроля Группа разработки процедур внутреннего контроля и владельцы бизнес процессов Выполнение ручных и автоматичес ких процедур Ответственные за выполнение процедур внутреннего контроля, внутренние аудиторы Принятие решений по выявленным исключениям Группа разработки процедур внутреннего контроля и владельцы бизнес процессов Отчеты, финансовые результаты Исполнительный совет, контролеры, менеджеры, аудиторы Оптимизация контрольных процедур Группа разработки процедур внутреннего контроля и владельцы бизнес процессов Рабочее место – проведение проверок Документиро вание Выполнение процедур Контроль Утверждение SAP Solutions for GRC Process Control Управление процедурами внутреннего контроля Многоуровневые процедуры утверждения Бизнес процессы Выполнение ручных процедур контроля … 6 13 20 ИТ структура Единая система для целостного управления процедурами внутреннего контроля Средства контроля на основе управления по рискам Автоматическое управление процедурами внутреннего контроля в различных функциональных приложениях предприятия Выявление глобальных рисков, корректирующие действия согласно приоритетам Исправление выявленных отклонений Обзор исключений Выполнение процедур автоматического контроля 27 Проведение опросов 5 4 3 12 1 2 10 11 1 9 19 18 8 17 26 16 25 24 23 22 21 30 29 28 7 14 15 процедуры контроля, цели, риски Основные тенденции Gartner’s 2007 Planning Guidance for Compliance К 2010 году ожидается, что компании, подлежащие нормативному регулированию будут контролировать возможные нарушения на непрерывной основе, и 60% компаний будут использовать автоматизированные процедуры 1 R 2010 году рынок GRC продуктов расширится, и контроль за распределением полномочий (SoD) будет предлагаться, в основном, как встроенные возможности GRC продуктов 1 Владельцы бизнес процессов заинтересованы в том, чтобы упростить процедуры контроля и снизить затраты на обеспечение соответствия нормам. 2 Расходы на безопасность, распределение полномочий (SoD), и другие решения, поддерживающие мониторинг и автоматизацию контрольных функций будут возрастать. 2 1 Gartner - MarketScope for Segregation of Duties Controls Within ERP, 2007 2 Gartner – The 2006 Planning Guidance for Compliance: Risk-Orientation, Standardization, and Automation, April 2006 Ваши вопросы? This presentation is a preliminary version and not subject to your license agreement or any other agreement with SAP. This document contains only intended strategies, developments, and functionalities of the SAP®product and is not intended to be binding upon SAP to any particular course of business, product strategy, and/or development. Please note that this document is subject to change and may be changed by SAP at any time without notice. SAP assumes no responsibility for errors or omissions in this document
