Solutions for Governance, Risk and Compliance Решение для регулирования бизнеса, управления рисками и обеспечения соответствия нормам и требованиям SAP Access Control – для разграничения прав доступа SAP Process Control – для внутреннего контроля SAP Risk Management – для управления рисками Ольга Петрусенко менеджер отдела экспертизы новых решений САП Украина

Содержание Формирование потребности в управлении рисками и обеспечении соответствия ведения бизнеса нормам и законодательным требованиям Формирование потребности в управлении рисками и обеспечении соответствия ведения бизнеса нормам и законодательным требованиям Модель COSO Модель COSO Управление рисками в компании Управление полномочиями и доступом к информации Управление полномочиями и доступом к информации Внутренний контроль бизнес процессов

Ряд корпоративных скандалов и банкротств, получивших широкую огласку … Enron была 7 компанией в США. Инвесторы потеряли $ 60 миллиардов WorldCom – одна из телекоммуникационных компаний ( сотрудников) в США $ 2 триллиона в благосостояние акционеров были потеряны 15 телеком компаниями Andersen ( сотрудников в 84 странах, $ 9 миллиардов) была устранена EM-TV вынуждены были объявить потерю DM 2,8 миллиардов вместо прогнозируемой прибыли в DM 616 миллионов, активы упали на 90 % Значительные убытки инвесторов, персонала компаний, кредиторов!

Корпоративное управление – соблюдение интересов акционеров Финансовы й директор Аудиторы Органы Государственной Власти (Налоговая инспекция, фондовые биржи) Кредиторы (Банки, Инвесторы) Аналитики и Рейтинговые агентства Нормы и положения US-GAAP IAS other GAAPs (e.g. HGB) Basel II Country-specific tax regulations Corporate Governance Codex Sarbanes-Oxley Act COSO COSO II KonTraG (Germany) LSF (France)... Акционеры

The Sarbanes-Oxley Act (SOA) в США Последствия The Sarbanes-Oxley Act вступил в силу в 2002 году. Новая парадигма корпоративной отчетности. Четко определены ответственности аудиторского комитета, руководителя корпорации (CEO) финансового директора (CFO). Внутренний контроль обязателен законодательством Оказывает влияние на все дочерние компании и процессы группы Title I Public Company Accounting Oversight Board Title II Auditor Independence Title III Corporate Responsibility Title IV Enhanced Financial Disclosures Title V Analyst Conflicts of Interest Title VI Commission Resources and Authority Title VII Studies and Reports Title VIII Corporate and Criminal Fraud Accountability Title IX White Collar Crime Penalty Enhancements Title X Corporate Tax Returns Title XI Corporate Fraud and Accountability План вступления в силу Компании, котирующиеся на бирже с совокупной рыночной стоимостью более чем $75 Млн., с фискальным годом, заканчивающимся в Ноябре 15, 2004 или позже, должны соответствовать в этом фискальном году. Компании, котирующиеся на бирже с совокупной рыночной стоимостью менее чем $75 Млн., с фискальным годом, заканчивающимся в Апреле 15, 2005 или позже, должны соответствовать в этом фискальном году. Иностранные частные эмитенты с финансовым годом, заканчивающимся в Апреле 15, 2005 или позже, должны соответствовать в этом фискальном году.

Факторы, воздействующие на стоимость компании Стоимость Эффективные системы и бизнес-процессы Качественные факторыКоличественные факторы Привлекательность Операционная эффективность Понятность Современная система внутренних контролей Современная информационная система Квалифицированный менеджмент Оперативная система отчетности Предсказуемые денежные потоки Оптимальная структура капитала План повышения и реализации стоимости должен учитывать всю совокупность факторов, влияющих на стоимость Значимость каждого из этих факторов различна для разных типов инвесторов Эффективное корпоративное управление Оптимальная структура затрат

Что ожидает Инвестор от Компании, которая хочет стать публичной Уверенность в уровне достоверности предоставляемой финансовой информации; Уверенность в скорости предоставления необходимой информации. Уверенность в уровне достоверности предоставляемой финансовой информации; Уверенность в скорости предоставления необходимой информации. Уверенность Наличие профессиональной команды менеджеров, способной внедрять изменения в Компании; Мотивация менеджмента к постоянному росту и развитию. Наличие профессиональной команды менеджеров, способной внедрять изменения в Компании; Мотивация менеджмента к постоянному росту и развитию. Команда Снижение рисков несоответствия уровню корпоративного управления; Возможность внедрении эффективной системы управления рисками; Своевременное информирование о негативных событиях и адекватное реагирование. Снижение рисков несоответствия уровню корпоративного управления; Возможность внедрении эффективной системы управления рисками; Своевременное информирование о негативных событиях и адекватное реагирование. Риски

Что должна сделать Компания, чтобы получить статус публичной Обработку всех транзакций, ведение финансового, налогового и управленческого учетов для группы компаний в единой системе. Консолидацию данных, востребованных менеджментом, в режиме реального времени Обработку всех транзакций, ведение финансового, налогового и управленческого учетов для группы компаний в единой системе. Консолидацию данных, востребованных менеджментом, в режиме реального времени Единая система Внедрение современной системы внутреннего контроля (СВК), автоматизацию контролей, как современного инструмента СВК. Внедрение современной системы внутреннего контроля (СВК), автоматизацию контролей, как современного инструмента СВК. СВК Прозрачность и достоверность данных производственного процесса; Прозрачность информационных потоков Компании; Использование современного документооборота. Прозрачность и достоверность данных производственного процесса; Прозрачность информационных потоков Компании; Использование современного документооборота. Прозрачность

Взаимосвязь между целями организации и компонентами процесса управления рисками Существует прямая взаимосвязь между целями, которые организация стремится достичь, компонентами процесса управления рисками организации, представляющими собой действия, необходимые для достижения целей, всеми подразделениями компании Данная взаимосвязь представлена в виде трехмерной матрицы, имеющей форму куба, т.н. куб COSO The Committee of Sponsoring Organizations of the Treadway Commission – COSO документ «Концептуальные основы внутреннего контроля» год документ «Концептуальные основы управления рисками организаций» год

Система внутреннего контроля - разумная гарантия в достижении целей СВК – это разумная (достаточная) гарантия достижения целей достоверности отчетности и соответствия нормативным актам Субъективные факторы производственный потенциал, производительность труда, величины издержек, организация процессов, … Внутренний контроль - это процесс, осуществляемый Советом Директоров, руководством и персоналом организации, призванный обеспечить достаточную уверенность в том, что организация достигнет цели в трех областях: эффективности операционной деятельности, надежности составления финансовой отчетности, соответствия законодательным и регулятивным нормам и требованиям. Эти цели присущи всем бизнес-процессам и подразделениям компании.

Цель и философия управления рисками Цель менеджмента – повышение стоимости компании Событие в условиях неопределенности Риск Возможность Цель управления рисками это повышение устойчивости развития компании, снижение вероятности потери части или всей стоимости компании. потеря части или всей стоимости компании Философия управления рисками представляет собой комплекс убеждений и установок, единых для организации, характеризующих то, как она оценивает риск во всех видах своей деятельности, начиная от разработки стратегии до повседневных операций

Управление рисками - разумная гарантия в достижении целей Объективные факторы инфляция, конкуренция, налоговая система, политический кризис, курсы валют, таможенные пошлины, … Управление рисками – это разумная (достаточная) гарантия своевременной информированности руководства о степени продвижения компании к достижению ее операционных и стратегических целей Субъективные факторы производственный потенциал, производительность труда, величины издержек, организация процессов, … Стратегические цели Операционные цели Цели подготовки отчетности Цели соответствия требованиям

Компоненты процесса управления рисками организации Внутренняя среда определяет то, каким образом вопросы риска и контроля рассматриваются и учитываются сотрудниками организации.. Постановка целей. Цели должны быть определены до того, как руководство выявит события, потенциально влияющие на достижение целей.. Определение событий. События, которые могут оказать какое-либо влияние на организацию, должны определяться заранее. Оценка рисков. Выявленные риски анализируются с целью определения действий, которые следует предпринять. Реагирование на риски. Персонал организации определяет и оценивает возможные виды реагирования на риски Средства контроля. Разработаны и функционируют политики и процедуры, обеспечивающие «разумную» гарантию эффективного исполнения выбранных действий по реагированию на риск Информация и коммуникации. Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Мониторинг. Весь процесс управления рисками организации периодически проверяется и по необходимости корректируется.

Цепочка поставщиков Покупатели и каналы сбыта Совет директоров Обоснованность решений Управление рисками Интегрированный анализ рисков Исполнительная дирекция Уверенное управление ИТ подразделения Безопасная информационная структура Закупки Надежные поставщики Финансы Соответствие стандартам отчетности Персонал Обеспечение безопасности труда Сбыт Сбалансирован ная кредитная стратегия SALARIES Управлять бизнесом – значит управлять рисками...

Сферы ответственности Элементы роли CFO Казначейство Структура капитала Финансовые риски Приобретение активов Инвесторы Управляющий совет Гос. органы Управление финансами Свой вклад в бизнес со стороны службы CFO Финансовое управление Задачи Внутренний аудит Соответствие требованиям Внутренние контроли Обработка операций Расчеты с заказчиками Расчеты с поставщиками Расчеты с персоналом Управление договорами Признание доходов и расходов Подготовка отчетности (BS, P&L) Внешняя отчетность Сохранение существующей стоимости Оперативная деятельность Учет и отчетность Соответствие нормативным требованиям Управление бизнесом Планирование&бюджетирование Анализ Контроль показателей Управление рисками Слияния&поглощения Диверсификация/реструктуризация Разработка стратегии Создание новой стоимости Управление стратегией Корпоративное управление Задачи и сферы ответственности CFO Взаимодействие с участниками

Решение SAP для офиса CFO - единая платформа для управления всеми процессами в финансах Оптимизация оперативных процессов Управление эффективностью Управление рисками и соответствие нормативным требованиям Управление стратегией Планирование и бюджетирование Консолидированная отчетность Карты сбалансированных показателей Аналитика, моделирование и прогнозирование Управление рисками Риски несанкционированного доступа Контроль внутренних процессов Новые возможности ГК Поддержка международных стандартов отчетности Решение для казначейства Финансовые цепочки: счета, платежи, сбор задолженности Управление недвижимым имуществом Финансы

Process Control Система внутренних контролей GRC Risk Management Общая картина по управлению рисками и контролями в компании Access Control Предупреждение рисков несанкционированного доступа Global Trade Services Оптимизация и обеспечение безопасности внешнеторговых операций EH&S Безопасность жизнедеятельности и охрана окружающей среды Employee Work Area Material Контроль внутренних процессов компании Solutions for GRC– регулирование, управления рисками и обеспечения соответствия требованиям

Приложение GRC Risk Management Решение GRC Risk Management Функции и Роли CEO / CFO / Ответственные за орг.единицы Менеджер по управлению рисками Ответственный за показатель риска Ответственный за мероприятия Подтверждающий Внутренний и внешний аудит Отслеживать риски и эффективность мероприятий по снижению Определить методы управления рисками для направлений деятельности и проектов Выявить риски по направлениям деятельности и проектам до возникновения проблем Определить меры по снижению рисков Ответственный за оценку рисков Определение рисков Контроль рисков Мероприятия по снижению Идентификация и анализ

SAP GRC Risk Management Компоненты процесса управления рисками Политика управления рисками Определение объема управления по орг.единицам, операциям, категориям рисков Иерархия орг.единиц Настройка уровней и приоритета рисков Определение пользователей и ролей Каталог операций Каталог рисков Документирование рисков, присвоение ответственных Проведение опросов по оценке рисков Автоматические предупреждения Качественные методы оценки Количественные методы оценки Расчет уровня риска и ожидаемых потерь в зависимости от орг.единиц Документировани е мероприятий по снижению риска Контроль статуса и анализ Документооборот повторной оценки Обзор и утверждение оценок Сводная отчетность Отслеживание происшествий и потерь Определение рисков Контроль рисков Мероприятия по снижению Идентификац ия и анализ Замечание: серым цветом выделены задачи, не рассматриваемые в приложении

Операция1 Операция 2 Категория операций Бизнес - операции GRC RM структура основных данных Компания Подразделение A Подразделение B Цели Структурные подразделения Риск 2 Категория риска Риск 1 Последствия (влияние) Событие Мероприятие Предотвращающие воздействия Действия по возмещению потерь Риски и мероприятия по их снижению Back

примеры Основные данные для оценки рисков Вероятность: Вероятность того, что воздействие, связанное с риском произойдет Вводится в процентах от 0% до 99% Связано с настроенными категориями (количество категорий указывается при настройке) Значимость (влияние): Шкала значимости воздействия в зависимости от бизнес единицы Вводится как уровень или номер Возможно ведение значимости в наилучшем инаихудшем случае Ссылка на настроенные категории (количество категорий указывается при настройке) Горизонт времени: Период времени, в течении которого необходимы мероприятия по снижению риска Задаются как границы периода (длительный, средний, короткий) Ссылка на настроенные горизонты (количество горизонтов указывается при настройке) Горизонт времени отдо Горизонт времени короткий0 мес.3 мес. средний3 мес.6 мес. дальний> 6 мес. урове нь Категории значимости Значимость для огр.единиц Значимость 1несущественный 0 2легкий умеренный существенный опасный > От %До %Уровень вероятности Вероятность 020незначительный 2140низкий 4160вероятно 6180высокий 8199Очень высокий

Оценка рисков: расчет ожидаемых потерь Введенная пользователем Вероятность и Значимость Ожидаемые потери = Вероятность * Значимость, Введенная пользователем вероятность, Минимальные потери, Средние потери, Максимальные потери Весовые коэффициенты – вопрос к обсуждению на совещании по управлению рисками Суммарные потери = x*Минимальные потери+ y*Средние потери + z*Максимальные потери, где x,y,z – вводимые коэффициенты Ожидаемые потери = Вероятность * Суммарные потери Анализ по рангам Стандартный метод

Вид реагирования на риски - мероприятия по снижению рисков Данные вводимые для каждого мероприятия по снижению риска : Тип: Страховка, Изучение, Ресурсы, и т.д. (настраиваемый список) Оценка Затрат на проведение Статус: проект, в процессе, и.т.д. Оценка риска (До проведения мероприятия) Мера 1: Страховка Мера 2: Изучение Оценка риска (после проведения мероприятия) Мера 3: Доп.ресурсы Вероятность Значимость = $1 М Вр.горизонт = 3 мес. Вероятность = 20% Значимость = $500,000 Вр.горизонт = 3 мес. Back

Управление рисками в разрезе организационных единиц, бизнес операций: Присвоение и оценка риска

GRC Risk Management: мониторинг Риск 3 Процесс: Обработка счетов Риск n Компания Продажи Европа Америка Итого потери Вероят- ность Ур. риска Затраты на снижение Ожид. потери 100, , % 10 % 30,000 15, ,000 45,000 70,000 35, ,000 80,000 …… …… 800, ,000 65,000 … … 20,000 10,000 6,000 4,000 10,000 ОКР 300, ,000 30,000 … Риск2:уход Проектн.команды Риск1: срыв сроков Проект: Новый объект

Process Control Система внутренних контролей GRC Risk Management Общая картина по управлению рисками и контролями в компании Access Control Предупреждение рисков несанкционированного доступа Global Trade Services Оптимизация и обеспечение безопасности внешнеторговых операций EH&S Безопасность жизнедеятельности и охрана окружающей среды Employee Work Area Material Контроль внутренних процессов компании Solutions for GRC– регулирование, управления рисками и обеспечения соответствия требованиям

Соответствие нормам, разграничения полномочий, контроль – замкнутый круг? Мне нужен SAP_ALL Почему вы не даете мне выполнять мой обязанности? Мне нужен доступ к информации сейчас! Так много нарушений? Это недопустимо … Почему вы не можете получать документы одновременно? Пользователь Аудиторы Руководство функции информационной безопасности

Проблемы и риски управления распределением полномочий в сложном информационном ландшафте Управление распределением прав доступа по всему информационному ландшафту предприятия Дорогостоящие, ручные процедуры выявления и корректировки нарушения регламентированных прав доступа Выявление риска: предупреждение или исправление Бесконтрольное предоставление полномочий Избыточные полномочия для отдельных категорий пользователей Неэффективная и недостаточно контролируемая подготовка профиля полномочий пользователя Авторизация: Ведение основных данных поставщиков Авторизация: Оплата счетов поставщиков ! риск Compliance Calibrator контроль соответствия корпоративным требованиям

Бизнес и ИТ: Передать бизнес-пользователям полномочия управления правами доступа на уровне функций Бизнес Принятие решений ИТ Исполнение решений Управление правами доступа – ключевой процесс, оказывающий существенное влияние на построение всех бизнес-процессов компании Бизнесу необходим переход от ручных процедур к автоматизированным системам управления полномочиями ИТ заинтересован в передаче ответственности за управление правами доступа владельцам бизнес процессов

Solutions for GRC Access Control: Управление распределением полномочий Compliance Calibrator Определение, анализ, снижение рисков несанкционированного доступа, возникновения конфликтных ситуаций, управление полномочиями сотрудников Compliance Calibrator Определение, анализ, снижение рисков несанкционированного доступа, возникновения конфликтных ситуаций, управление полномочиями сотрудников Role Expert Определение, управление ролями пользователей Role Expert Определение, управление ролями пользователей Firefighter Решение для управления расширенными полномочиями Firefighter Решение для управления расширенными полномочиями Access Enforcer Согласование процессов предоставления полномочий Access Enforcer Согласование процессов предоставления полномочий оперативный этап (поддержка процедур) этап формирования (упорядочивание процедур) Обеспечение непрерывного процесса согласования прав доступа Определение и снижение риска Управление ролями Управление расширенными полномочиями Предотвращение

Обеспечение управления профилем полномочий в соответствии с корпоративными требованиями на протяжении всего периода работы сотрудника Обеспечение аудиторского следа для контроля

Solutions for GRC Process Control - целостный внутренний контроль бизнес процессов Ответственные за выполнение процедур внутреннего контроля, внутренние аудиторы Формирование среды внутреннего контроля Исполнительный совет, контролеры, менеджеры, аудиторы Принятие решений по выявленным исключениям Выполнение ручных и автоматичес ких процедур Документирова ние Проведение проверок КорректировкаАнализОптимизация Отчеты, финансовые результаты Группа разработки процедур внутреннего контроля и владельцы бизнес процессов РИСК Оптимизация контрольных процедур Группа разработки процедур внутреннего контроля и владельцы бизнес процессов

Рабочее место – проведение проверок

SAP Solutions for GRC Process Control - Управление процедурами внутреннего контроля Единая система для целостного управления процедурами внутреннего контроля Средства контроля на основе управления по рискам Автоматическое управление процедурами внутреннего контроля в различных функциональных приложениях предприятия Выявление глобальных рисков, корректирующие действия согласно приоритетам Проведение опросов Выполнение процедур автоматического контроля Выполнение ручных процедур контроля Документиро вание Выполнение процедур Контроль Утверждение Многоуровневые процедуры утверждения процедуры контроля, цели, риски ИТ структура Бизнес процессы … Обзор исключений Исправление выявленных отклонений Has production been improved with the installation and implementation of SAP? S U R V E Y Yes No

Основные тенденции Gartners 2007 Planning Guidance for Compliance К 2010 году ожидается, что компании, подлежащие нормативному регулированию будут контролировать возможные нарушения на непрерывной основе, и 60% компаний будут использовать автоматизированные процедуры 1 R 2010 году рынок GRC продуктов расширится, и контроль за распределением полномочий (SoD) будет предлагаться, в основном, как встроенные возможности GRC продуктов 1 Владельцы бизнес процессов заинтересованы в том, чтобы упростить процедуры контроля и снизить затраты на обеспечение соответствия нормам. 2 Расходы на безопасность, распределение полномочий (SoD), и другие решения, поддерживающие мониторинг и автоматизацию контрольных функций будут возрастать. 2 1 Gartner - MarketScope for Segregation of Duties Controls Within ERP, Gartner – The 2006 Planning Guidance for Compliance: Risk-Orientation, Standardization, and Automation, April 2006

This presentation is a preliminary version and not subject to your license agreement or any other agreement with SAP. This document contains only intended strategies, developments, and functionalities of the SAP®product and is not intended to be binding upon SAP to any particular course of business, product strategy, and/or development. Please note that this document is subject to change and may be changed by SAP at any time without notice. SAP assumes no responsibility for errors or omissions in this document Ваши вопросы?