SAP RISK MANAGEMENT. SAP-Forum für Finanzmanagement und GRC April 2016

Transkript

1 SAP RISK MANAGEMENT SAP-Forum für Finanzmanagement und GRC 2016 April 2016

2 WER WIR SIND Protiviti ( ist ein globale Beratungs- und Internal Audit Gesellschaft, die auf Unternehmenssteuerung und überwachung in allen relevanten Geschäfts- und IT-Prozessen spezialisiert ist. Unsere Mitarbeiter an über 70 Standorten weltweit sind hochqualifiziert, ergebnisorientiert und unterstützen unsere Kunden bei der Lösung einer Vielzahl komplexer Fragestellungen. In Deutschland sind wir mit Büros in Frankfurt am Main und in München vertreten. Protiviti ist ein eigenständiges Beratungsunternehmen von Robert Half (NYSE: RHI) Unser Umsatz: mehr als $740 Mil. in 2015 Über 20 Länder in Europa, Amerika the Mittlerer Osten und Asia-Pazifik 70+ Büros 4,000 Mitarbeiter 2

3 AGENDA 1. Einführung in das Risikomanagement a.regulatorischer Hintergrund b.aufbau- und Ablauforganisation Definitionen Organisatorische Einbindung Risikomanagementprozess c. Unser Implementierungsansatz 2. Praktische Umsetzung in SAP GRC a.rahmenbedingungen festlegen: Aufbauorganisation, Risikokategorien, Risikoanalysemethodik, Risikomatrix b.risikoidentifikation c.risikobewertung/ -analyse d.risikobewältigung e.risikoüberwachung und Reporting

4 AGENDA 1. Einführung in das Risikomanagement a.regulatorischer Hintergrund b.aufbau- und Ablauforganisation Definitionen Organisatorische Einbindung Risikomanagementprozess c. Unser Implementierungsansatz 2. Praktische Umsetzung in SAP GRC a.rahmenbedingungen festlegen: Aufbauorganisation, Risikokategorien, Risikoanalysemethodik, Risikomatrix b.risikoidentifikation c.risikobewertung/ -analyse d.risikobewältigung e.risikoüberwachung und Reporting

5 1. EINFÜHRUNG IN DAS RISIKOMANAGEMENT BERÜHMTE LETZTE WORTE Quelle Grafik: Wikimedia Commons 5

6 Communication and consultation (5.2) Monitoring and review (5.6) 1.A REGULATORISCHER HINTERGRUND ISO DER NEUE RISIKOMANAGEMENTSTANDARD ISO versteht sich als international abgestützter, vielseitig anwendbarer, umfassender und offener Risikomanagement-Standard für alle Industriebereiche. Principles (Clause 3) Framework (Clause 4) Process (Clause 5) ISO ist eine generische Norm und regelt nur die Grundsätze und die generellen Anforderungen an den Risikomanagement-prozess Die ISO-Norm berücksichtigt keine branchenspezifischen Anforderungen an Risikomanagement-Systeme a) Creates value b) Integral part of organizational processes c) Part of decision making d) Explicitly addresses uncertainty e) Systematic, structured and timely f) Based on the best available information g) Tailored h) Takes human and cultural factors into account i) Transparent and inclusive Mandate and commitment (4.2) Design of Design framework of framework for managing for managing risk (4.3.) risk (4.3) Implementing risk Management (4.4) Establishing the context (5.3) Risk assessment (5.4) Risk identification (5.4.2) Risk analysis (5.4.3) j) Dynamic, iterative and responsible to change Risk evaluation (5.4.4) k) Facilitates continual improvement and enhancement of the organization Continual improvement of the Framework (4.6) Monitoring and review of the Framework (4.5) Risk treatment(5.5) Quelle Grafik: INTERNATIONAL ISO STANDARD First edition

7 1.A REGULATORISCHER HINTERGRUND ISO RISIKOMANAGEMENT-FRAMEWORK 4.3. Design of framework for managing risk Understanding the organization and its context Risk management policy Integration into organizational processes Accountability Resources Establishing internal communication and reporting mechanisms Establishing external communication and reporting mechanisms Design of framework for managing risk (4.3) Mandate and commitment (4.2) 4.4 Implementing risk management Implementing the framework for managing risk Implementing the risk management process Implementing risk Management (4.4) Das Risikomanagement-Framework stellt den Auftrag und die Verpflichtung des Managements an den Anfang. Die Gestaltung des Risikomanagement- Frameworks umfasst die Risikomanagement- Politik, die Integration in die Prozesse, die Verantwortlichkeiten, die Ressourcen, die interne und externe Kommunikation und das Reporting. 4.6 Continual improvement of the framework Continual improvement of the Framework (4.6) Monitoring and review of the Framework (4.5) 4.5 Monitoring and review of the framework Der Umsetzung folgen die Überwachung und Bewertung und die kontinuierliche Verbesserung des Risikomanagement-Frameworks Quelle Grafik: INTERNATIONAL ISO STANDARD First edition

8 Communication and consultation (5.2) Monitoring and review (5.6) 1.A REGULATORISCHER HINTERGRUND ISO RISIKOMANAGEMENT-PROZESS Die Kommunikation und der Informationsaustausch betonen die Wichtigkeit, den Risikomanagement-Prozess mit den internen und externen Stakeholdern abzustimmen. Der Kernprozess des Risikomanagements beginnt mit dem Erstellen des Zusammenhangs. Dazu gehört die Erarbeitung der Risikokriterien, an denen das Risiko eingestuft und bewertet wird. Die Risikobeurteilung umfasst die Identifikation der Risiken (mit Ursachen und Auswirkungen), die Risikoanalyse (Verständnis der Risiken), die Risikobewertung (Tragbarkeit von Risiken) und die Risikobewältigung. Die Überwachung und Überprüfung der Risiken stellen sicher, dass das Risikomanagement wirksam ist. Mandate und Design Implement Establishing the context (5.3) Commitment Risk assessment (5.4) Risk identification (5.4.2) Risk Management Framework Risk analysis (5.4.3) Improve Monitor und Review Risk evaluation (5.4.4) Risk treatment(5.5) 8

9 1.B AUFBAU- UND ABLAUFORGANISATION DEFINITIONEN RISIKO Risiko ist die Möglichkeit einer negativen Abweichung des tatsächlichen Ergebnisses vom erwarteten Ergebnis (Unternehmensziel). Hierbei besteht die Gefahr, dass unerwünschte Ergebnisse eintreten (z.b. Hygieneverstoß) oder die Gefahr, dass erwünschte Ereignisse nicht eintreten (verpasste Chancen). Interne Ereignisse Externe Ereignisse Abweichung von Unternehmenszielen Eintritt eines unerwünschten Ereignis Nicht-Eintritt eines erwünschten Ereignis (verpasste Chance) Erwünschtes Ereignis beeinträchtigt andere Ziele (Abhängigkeiten) 9

10 Auswirkung Risiko Level 1.B AUFBAU- UND ABLAUFORGANISATION DEFINITIONEN INHÄRENTES VS. RESIDUALRISIKO Bei der Beurteilung der Risiken wird zwischen inhärentem und Restrisiko unterschieden. Das inhärente Risiko stellt das Risikopotential dar, das ohne Berücksichtigung der bereits wirksamen Maßnahmen in der Natur des Geschäfts liegt. Das aktuelle Restrisiko zieht dagegen die bereits wirksamen Maßnahmen in Betracht (Prozesse, interne Kontrollen, Versicherungen usw.). Inhärentes Risiko Maßnahmen/Interne Kontrollen Restrisiko 10

11 1.B AUFBAU- UND ABLAUFORGANISATION ORGANISATORISCHE EINBINDUNG Strategisch Aufsichtsorgan Geschäftsleitung Vorstand Risikomanagementteam: Verantwortlich für das übergeordnete Risiko Management (RM) Definiert die Risikostrategie Legt die Aufbau- und Ablauforganisation des Risikomanagments fest Überwacht das Risikoprofil (z.b. anhand einer Heat Map) 1. Strategische Risiken 2. Finanzielle Risiken 3. Operationelle Risiken Taktisch - Risikomanagement 2nd line of defense Risiko-/Chancenmanagement Qualität Compliance Legal RM-Team - Risikoverantwortliche: Verantwortlich für die Entwicklung und Implementierung von Risikomanagementmaßnahmen in Einklang mit den strategischen Vorgaben Überwacht und stellt die Effektivität und Effizienz der Risikomanagementmaßnahmen sicher Verbessert und erweitert das Risikomanagementsystem/ IKS Operativ - IKS 1st line of defense Maßnahmen & IKS Kontrollen Prozessverantwortliche Maßnahm en & IKS Kontrollen Prozesse Maßnahm en & IKS Kontrollen Maßnahme n & IKS Kontrollen Dezentrale RM-Beauftragte weitere Beschäftigte: Setzten Risikomanagementmaßnahmen um Führen die in dem IKS definierten Kontrollen durch Meldet alle identifizierten Risiken auf Prozessebene 11

12 Process Control Risk Management 1.B AUFBAU- UND ABLAUFORGANISATION RISIKOMANAGEMENTPROZESS RISIKOBEWERTUNG (BOW-TIE-KONZEPT) Treiber Mitarbeiter RISIKO-EREIGNIS Auswirkung System Extern SCHLECHTE PRODUKT QUALITÄT Regulatorisch gegenstände Prozesse RISIKOMANAGEMENTSTRATEGIE Reduzieren Vermeiden Transferieren Akzeptieren Mitarbeitertraining Kürzere Wartungsintervalle Überwachung & Controlling der Zulieferer Produktlinien mit schlechter Produktqualität einstellen Versicherung für Qualitätsmängel Rückstellungen bilden Auf das Beste hoffen 12

13 1.B AUFBAU- UND ABLAUFORGANISATION RISIKOMANAGEMENTPROZESS MANAGEMENTINTEGRATION UMWELT RISIKO APPETIT...definiert...ist in Einklang mit Inhärentes Risiko Akzeptieren Restrisiko Inhärentes Risiko Reduzieren Restrisiko Inhärentes Risiko Transferieren Restrisiko Inhärentes Risiko Vermeiden Inhärentes Risiko = Risikostrategie + Restrisiko 13

14 1.C UNSER IMPLEMENTIERUNGSANSATZ PRAGMATISCHER ANSATZ, DER BEI VIELEN KUNDEN ZUM EINSATZ KAM Installation Blue Print Konfiguration & Customizing Test & Training Roll-out & Go-Live Beratung hinsichtlich der Systeminstallation (Sizing, Tiering) Installation von SAP GRC Add-on auf bereits vorbereiteten SAP NetWeaver Servern (2- od. 3-tier Umgebung) Post-Konfiguration von SAP GRC RM. Durchführung von Unit Tests zur Sicherstellung der Funktionen im Standard. Dokumentation der Installation Gemeinsame Erarbeitung der fachlichen Anforderungen in Bezug auf Stammdatenobjekte Workflows Benutzerinterface Reporting Berechtigungsmanagement in Workshops Dokumentation der Anforderungen in einem Blue Print Umsetzung der Anforderungen im SAP GRC System mittels Konfiguration und Customizing. Konfiguration der Rollen und Berechtigungen (PFCG) Anpassung der Benutzeroberflächen Dokumentation des Customizings und Konfiguration in einem Konfigurationshandbuch Durchführung von Unit Tests Planung und Unterstützung des Benutzerakzeptanztests (SAP PC Funktionen/ Rollenkonzept) Festlegung des Trainingskonzepts Erstellung von Schulungsunterlagen und eines Benutzerhandbuchs Administratorenschulu ng: Training und Wissenstransfer für Systemadministratoren Endanwenderschulung en oder Train-the- Trainer für die verwendeten Funktionen in SAP GRC Roll-out Planung für SAP RM Vorbereitung des Produktivsystems Datenmigration Durchführung eines Piloten. Erhöhte Bereitschaft zur Behebung von Benutzeranfragen. Knowledge Transfer zu 1st und 2nd Level Support Change Management Unterstützung bei SAP OSS Meldungen 14

15 AGENDA 1. Einführung in das Risikomanagement a.regulatorischer Hintergrund b.aufbau- und Ablauforganisation Definitionen Organisatorische Einbindung Risikomanagementprozess c. Unser Implementierungsansatz 2. Praktische Umsetzung in SAP GRC a.rahmenbedingungen festlegen: Aufbauorganisation, Risikokategorien, Risikoanalysemethodik, Risikomatrix b.risikoidentifikation c.risikobewertung/ -analyse d.risikobewältigung e.risikoüberwachung und Reporting

16 2.A RAHMENBEDINGUNGEN FESTLEGEN AUFBAUORGANISATION - ORGANISATIONSKATALOG 16

17 2.A RAHMENBEDINGUNGEN FESTLEGEN DEFINITION DER RISIKOKATEGORIEN 17

18 2.A RAHMENBEDINGUNGEN FESTLEGEN DEFINITION DER RISIKOANALYSEMETHODIK & RISIKOMATRIX 18

19 2.B RISIKOIDENTIFIKATION RISIKOÜBERSICHT/ RISIKOINVENTAR 19

20 2.B RISIKOIDENTIFIKATION DOKUMENTIEREN EINES RISIKOS MIT STAMMDATEN, TREIBERN (URSACHEN) & SCHÄDEN (AUSWIRKUNGEN) Erfassung der Risikostammdaten: Name und Beschreibung, Organisationseinheit und Risikokategorie. sowie der Treiber (Ursachen) und der Schäden (Auswirkungen). 20

21 2.B RISIKOIDENTIFIKATION DOKUMENTIEREN EINES RISIKOS - GRAPHISCH 21

22 2.C RISIKOBEWERTUNG/ -ANALYSE EINGABE DER BRUTTOBEWERTUNG Erfassung der Eintrittswahrscheinlichkeit Erfassung der Schäden (Auswirkungen) pro Kategorie Berechnung der Risikostufe basierend auf EW Stufe & Schadenstufe 22

23 2.C RISIKOBEWERTUNG/ -ANALYSE EINGABE DER BRUTTOBEWERTUNG - GRAPHISCH 23

24 2.D RISIKOBEWÄLTIGUNG ERFASSUNG VON GEGENMAßNAHMEN ZUR MINDERUNG DES RISIKOS Erfassung & Zuordnung von Maßnahmen und Kontrollen Angabe der Wirksamkeit der Maßnahme Angabe der Reduktion/ Minderung des Risikos auf EW und/ oder Schäden. 24

25 2.D RISIKOBEWÄLTIGUNG NETTOBETRACHTUNG: RISIKO NACH MAßNAHMEN/ KONTROLLEN Bruttobewertung des Risikos Nettobewertung des Risikos, d.h. basierend auf den Angaben für die wirksamen Maßnahmen berechnet das System die EW, Schadensstufe und Risikostufe. = Restrisiko Geplantes Nettorisiko gibt die EW, Schadensstufe und Risikostufe an, die erreicht werden kann, wenn alle Maßnahmen wirksam wären. 25

26 2.D RISIKOBEWÄLTIGUNG RISIKODARSTELLUNG GRAPHISCH 26

27 2.E RISIKOÜBERWACHUNG & REPORTING DASHBOARD REPORT HEATMAP/ RISIKOMATRIX 27

28 2.E RISIKOÜBERWACHUNG & REPORTING TABELLARISCHER REPORT RISIKOÜBERSICHT 28

29 2.E RISIKOÜBERWACHUNG & REPORTING CRYSTAL REPORT RISIKODETAILBERICHT 29

30 Ihre Ansprechpartner Marco Geisenberger Associate Director/ SAP GRC Solution Protiviti GmbH, Rosental München Powerful Insights. Proven Delivery. Tel:

31