grc – handlungsebenen im unter -...
Post on 18-Sep-2018
216 Views
Preview:
TRANSCRIPT
BIT.Group GmbH · www.bitgroup.de
SEITE 1 Klassifizierung: Öffentlich | Autor: Henry Flack | Version: 1.5 | Datum: 17. Januar 2014
GRC – HANDLUNGSEBENEN IM UNTER-NEHMEN REVISIONSSICHER VERWALTEN
Beratung. Support. Ganzheitliche Lösungen. Results in time.
BIT.Group GmbH · www.bitgroup.de
SEITE 2
EINFÜHRUNG HERAUSFORDERUNGEN HANDLUNGSEBENEN UNTERSTÜTZUNG DURCH IT: SAP-GRC IMPLEMENTIERUNGSPROZESS ERFOLGREICHE PROJEKT REALISIERUNG FRAGEN UND ANTWORTEN
Inhalt
Agenda
GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 3
Einführung GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Gemeinsamkeiten
Das Unternehmen: Organisationseinheit (Menschen!!) Wertschöpfung (Geschäfts-Prozesse) Öffentlich, private, Branchen Ziele: Gewinn (-Maximierung) Verlustminimierung Nachhaltigkeit
Verantwortung Anforderung(en) an die Unternehmensführung
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 4
Einführung GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Einflussfaktoren auf Unternehmen: Allgemeine Marktsituation Interessen gesetzliche und andere regulative
Rahmenbedingungen Menschen
Herausforderungen & Risiken
Strategien Prozesse Technologien
(Bild: Schweizerische Eidgenossenschaft)
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 5
Herausforderungen GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Risiken im Unternehmen:
Risiko Zulieferer „Black List“…
Risiko Kunde Kreditfähigkeit,…
Risiko Produktion Material, Qualität, Produktionsvorlagen..
Risiko Mensch Fehler, Sensibilisierung, Unwissenheit…
Risiko IT-Prozesse Datenschutz, Datensicherheit Angriffe, Diebstahl
Risiko Governance Fehlentscheidungen, kein Gesetzes- oder Regel-konformes Verhalten
Risiko Einkauf/Verkauf Betrug, Manipulation, Versteuerung ..
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 6
Herausforderungen GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Unterschätzte Bedrohung: Jedes DRITTE Unternehmen in Deutschland war in den letzten zwei Jahren Opfer wirtschaftskrimineller Handlungen, bei den großen Unternehmen sogar jedes ZWEITE. (KPMG)
Sozialkassen 2015: >1 Mrd. Pflegedienste
Telekom 2015: >1 Mio.. Online-Banking
Umsetzung von Präventionsmaßnahmen i.d.R. wesentlich kostengünstiger als ein durchschnittlicher Betrugsfall.
Deutsche Bank 2015: ~500 Mio.. „externer Betrug“
Siemens 2007: ~200 Mio.. Schmiergeld-Skandal
NRW seit Ende 2015: ~30 Mio. „Enkeltrick“
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 7
Handlungsebenen GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
integriert
holistisch
Organisationsweit
Strategie
Menschen
Technologie
Prozesse
Interne Vorgaben
Risikoappetit externe Vorgaben
Governance
Risk Management Compliance
Heraus-forderungen
meistern
Methoden und Instrumente einer verantwortungsvollen Unternehmensführung
Erfüllung und Einhaltung relevanter Vorschriften (Gesetzes- bzw. Regel-konformes Verhalten)
vorausschauender Umgang eines Unternehmens mit Risiken jeglicher Art
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 8
Handlungsebenen GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Unternehmensführung braucht Risikomanagement und Compliance-Prüfung: Verstehen (Re)Agieren Informationsbereitstellung Nachweisbarkeit Ziele erreichen Risiken erkennen Grenzen einhalten Werte schützen
Governance
Risk Management
Compliance
GRC zur Bewältigung der Herausforderungen!
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 9
Unterstützung durch IT: SAP-GRC GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
flexibel,
Skalierbar
adaptierbar
SAP-Lösungen für GRC:
SAP Risk Management
SAP Process Control
SAP Access Control
SAP Identity Analytics
SAP Fraud Management
SAP Audit Management
SAP Global Trade Services
SAP Nota Fiscal Electronica
SAP Access Violation Management by
Greenlight Technologies
SAP Regulation Management by
Greenlight Technologies
SAP Dynamic Authorization
Management by NextLabs
SAP Technical Data Export Compliance by
NextLabs
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 10
SEITE 10
Unterstützung durch IT: SAP-GRC GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Zugriffssteuerung: SAP GRC Access Control SoD: Durchsetzen von Entwurfsrichtlinien SoD: Vermeiden von Verletzungen zur Laufzeit Notfallsituationen managen Audits unterstützen Integrationsmöglichkeiten Beseitigen von
Zugriffsrisiken Sicherheit effektiv managen Kosten sparen
Unternehmensweites Best Practice SoD-Regelwerk
BEREINIGEN
Risikoanalyse, Schwachstellenbehebung und Vorbeugung
Compliance-Ziele erreichen
„Compliant“ bleiben Effektives Reporten
KONTROLLIEREN STEUERN
BRM Business Role Management
ARM Access Request Management
EAM Emergency Access Management
Review & Audit
ARA Access Risk Analysis
SAP Access Control
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 11
Unterstützung durch IT: SAP-GRC GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Unternehmensweites Risikomanagement: SAP GRC Risk Man. Kompletter Risiko-Managementprozess abgedeckt Dokumentieren (incl. KRI zw. Autom.) Bewerten, Verluste überprüfen Maßnahmen ergreifen (z.B. Kontrollen)
Negativen Einfluss verringern Aufwand reduzieren Integrationsmöglichkeiten
Risiko-Planung
Risiko-Identifizierung
Risiko-Analysen
Risiko-Maßnahmen
Risiko-Überwachung
SAP Risk Management
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 12
Unterstützung durch IT: SAP-GRC GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Compliance-Management: SAP GRC Process Control Lösung für das Management des internen Kontrollsystems Funktionalitäten:
Kontrollumgebung Kontrollauswertung Zertifizierung Abzeichnungsvorgang zur Unterstützung ges. Vorgaben
Berichterstattung und Analyse Wichtig(st)e Geschäftsprozesse transparent machen Zuverlässigkeit der Abschlussberichterstattung erhöhen Zeit & Kosten im Audit-Prozess sparen
SAP Process Control
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 13
Unterstützung durch IT: SAP-GRC GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Compliance-Management: SAP GRC Audit Management Unterstützung des kompletten
Lebenszyklus Zeit & Kosten im Audit-Prozess sparen Vertrauen erhöhen
Audit-Planung
Audit-Vorbereitung
Audit-Ausführung
Audit-Reporting
Audit-Follow Ups
SAP Audit Management
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 14
Unterstützung durch IT: SAP-GRC GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Betrug effektiver bekämpfen: SAP GRC Fraud Management Vermeiden von internem & externem Betrug Versicherung, öffentl. Dienst, Kreditwesen,
Gesundheitswesen, Versorger, High Tech Adaptierbar: Ansprüche, Rechnungen,
Zahlungen SAP, non-SAP Ertragsschutz: Verluste verringern SAP-HANA: Echtzeit-Erkennung
SAP Fraud Management Design
Set-Up
Detect
Investigate
Performance
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 15
SEITE 15
Unterstützung durch IT: SAP-GRC GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Nutzenmaximierung durch Integration:
Risk
Audit
Process
Access Fraud
HR
Identity Management
SAP Process Control
SAP Risk Management
SAP Audit Management
SAP Project System SAP Plant Maintenance
SAP Environmental Health & Safety
SAP Issue Management
SAP Policy Management
SAP Process Control
Process Integration
Segregation of Duties
Crystal reports, TREX, BI/BW, LDAP, etc.
Benutzerstammdaten & Berechtigungsrollen Stamm-, Bewegungs- und Steuerungsdaten, Logs
SAP
Process
Control
flexibel,
Skalierbar
adaptierbar
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 16
Management
Governance
Implementierungsprozess GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Blue Printing mit der BIT:
Widerspiegelung der IST-Situation Ziel-Definition Handlungsanweisungen Roadmap
BIT Assessment (Invest: 3 Tage)
Unternehmensziele IT-Ziele
Prozess-Ziele
IT ist der Schlüssel zum Erfolg
Evaluate
Direct Monitor
Plan (APO)
Build (BAI)
Run (DSS)
Monitor (MEA)
Geschäftsanforderungen
Management-Feedback
(Bild: COBIT)
Anforderungen
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 17
SEITE 17
Implementierungsprozess GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Perfektes User-Management
Geschäftsprozess-Risiken und
Echtzeit-Compliance-Check Entdeckung kritischer
Rollenkombinationen Funktionstrennung
GRC ACCESS CONTROL
Synchrone Daten in heterogenen
Systemlandschaften Admin-, Manager- und Enduser-
Interface
IDENTITY MANAGEMENT
BUSINESS RISK MANAGEMENT TECHNICAL RISK MANAGEMENT
SoD
IT ist der Schlüssel zum Erfolg
CRM HCM
ERP
Portal 3rd
Party
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 18
Implementierungsprozess GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Schritt für Schritt mehr Sicherheit:
SICHER BLEIBEN
1. Workshop mit Analyse der
Berechtigungen und Zuordnungen
2. Überarbeitung des Berechtigungskonzepts nach
Korrekturempfehlungen
3. Re-Design des Berechtigungskonzepts mit
vorgefertigten Funktionsbausteinen
4. Rollenzuordnung zu Stellen /
Organisationseinheiten
5. Zentrale Benutzerverwaltung mit
Antragsverfahren (Genehmigung)
6. Qualitätssicherung der Rollen / Benutzer
mit Risiko-Management
Planen Realisieren BIT
ACCESS MANAGEMENT IDENTITY MANAGEMENT RISK MANAGEMENT
PRÜFEN SICHER WERDEN
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 19
GO LIVE
Implementierungsprozess GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE
Lösungs-Integration von der Idee bis zum operativen Betrieb:
Abgleich
Anforderungen Definition
Blueprint Risikomatrix /
Mitigation Matrix
BLUEPRINT
Durchführung
Konfigurations-Vorbereitung Konfiguration
Entwicklungs-System Konfiguration
Produktiv-System
KONFIGURA-TION
Validierung
AC Install. u. Konfiguration Funktionale
Integrations-Tests User-
Akzeptanz-Tests Review
INTEGRATIONS-TEST
Validierung
Installation Pre-
/Installation (AC) Backend
Installation (RTA)
INSTALLATION
Trainings-
Plan (End- /Admin-Benutzer) Betriebs-
konzept Kommunika-
tionsplan
PRE-GO LIVE- AKTIVITÄTEN
Planen Realisieren BIT
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 20
GOVERNANCE, RISK MANAGEMENT AND COMPLIANCE Erfolgreiche Projektrealisierung
Klassifizierung: Kunden
BIT.Group GmbH · www.bitgroup.de
SEITE 21
© 2016 - Alle Rechte vorbehalten
BIT.Group GmbH Preuschwitzer Str. 20 02625 Bautzen T +49 3591 5253-0 F +49 3591 5253-9999 info@bitgroup.de
Ihr Ansprechpartner Robert Jakob T +49 3591 5253-1278 Robert.jakob@bitgroup.de
VIELEN DANK FÜR IHRE AUFMERKSAMKEIT.
contact
top related