Continuous Controls Monitoring in MAN Group s GRC Framework

Transkript

1 Continuous Controls Monitoring in MAN Group s GRC Framework Governance, Risk & Compliance Jan Schreiner München März 2017

2 MAN Gruppe Unternehmensstruktur im Überblick MAN SE Geschäftsfelder Commercial Vehicles Power Engineering MAN Truck & Bus MAN Latin America MAN Diesel & Turbo Renk (76 %) Umsatz 2016: Mio Umsatz 2016: 861 Mio Umsatz 2016: Mio Umsatz 2016: 496 Mio Bereiche Beteiligungen Sinotruk (25 % + 1 Aktie), Scania (17,37 % Stimmrechte) MAN SE Governance, Risk & Compliance März 2017 > 2

3 Organisation Die GRC Organisation der MAN Gruppe GRC-Organisation etabliert im Januar 2016 durch Zusammenführung mehrerer Abteilungen Corporate GRC Office in Personalunion zuständig für MAN SE und VW Truck & Bus GmbH Alle Mitarbeiter der GRC Organisation disziplinarisch dem Head of GRC / CCO zugeordnet GRC Board: Oberstes GRC Gremium (exkl. Compliance) CFOs der MAN Holding und Teilkonzerne Beschäftigt sich mit Risiko- und Kontrollthemen sowie Richtlinienmanagement MAN SE Governance, Risk & Compliance März 2017 > 3

4 Framework Risk & Control Framework Zentrales Risikomanagementsystem der MAN Gruppe Überblick der Risikolage des Unternehmens Akute Geschäftsrisiken mit konkreter Auswirkung auf Budgets und Ziele Grundlage für Top-5 Risikomeldung an VW Risiko- & Chancenmanagement GRC Regelprozess Jährlicher VW-Prozess Fokus auf systemische Risiken und Kontrollen Sicherstellung klarer Governance- Strukturen (Zuständigkeiten, Richtlinien ) Spezialisierte Risikomanagementprozesse in der Verantwortung von Fachbereichen (z.b. Finanzen, Qualität, F&E ) Funktionales Risikomanagement Internes Kontrollsystem/ CCM Prozessorientierte Beschreibung und Evaluierung interner Kontrollen Kontrollautomatisierung durch Continuous Controls Monitoring (CCM) Ereignisrisiken (Budgets, Vorschau, Marktentwicklungen ) Risk & Control Framework Systemische Risiken (Prozesse, Kontrollen, Richtlinien ) MAN SE Governance, Risk & Compliance März 2017 > 4

5 CCM bei MAN CCM bei MAN eine kleine Zeitreise Timeline: 1 st PTP Go-Live 1 st ITGC Go-Live 1 st AML Go-Live Concept Tender Contract IT Rollout PtP AML Rollout ITGC Next Generation CCM Ursprüngliche Ziele Umsetzung des sog. Compliance Master Plan Prüfung der Einhaltung von MAN Richtlinien IKS Kontrollautomatisierung (Effizienz) Härtung von Geschäftsprozessen Erfolge und Herausforderungen Rollout in rund 50 Einheiten, die SAP nutzen Umfassendes Kontrollset in den Bereichen PTP, ITGC and AML Stabiles, gut geführtes System Sehr hohe Alarm-Zahlen bei einigen Kontrollen Technische Limitationen Benefits nur teilweise realisiert PTP: Purchase-to-pay, ITGC: IT general controls, AML: anti-money laundering Wesentliche Treiber des sog. Next Generation CCM Effizienz MAN SE Governance, Risk & Compliance März 2017 > 5 VW Neuausschreibung Risikoorientierung Prozess/ IKS Verbesserung Sharepoint Upgrade

6 CCM Architektur Schematischer Aufbau des CCM CCM Alerts ERP System Extractors Analytics Cockpit CCM Reports CCM Extractors Software-Schnittstellen zur Extraktion relevanter Daten aus den SAP-Systemen auf täglicher Basis CCM Analytics Definierte Kontroll-Routinen analysieren den täglichen Daten- Download im Hinblick auf die Einhaltung relevanter Richtlinien Im Falle von Richtlinien- Verstößen wird ein Alarm generiert, der zur Prüfung an das CCM Cockpit übergeben wird CCM Cockpit Frontend des Systems zur Alarm-Bearbeitung durch definierte Workflow-User Verschiedene Workflows werden im CCM Cockpit durchgeführt (Alert Handling, Exceptions ) Verschiedene Standard- Reports verfügbar zur Analyse der Alarme MAN SE Governance, Risk & Compliance März 2017 > 6

7 CCM Kontrollkatalog 10 Mega-Kontrollen mit 39 Kontrollvarianten im Purchase-to-Pay Cycle Owner Finance Procurement Finance Process Steps Master Data Management Purchase Requisition Purchase Order Goods received Invoice received Payment processing CCM Mega Controls C1 Mega Control C1 Access to master database is restricted to employees not involved in payment process. C7 Mega Control C7 Purchase order is approved according to four-eyesprinciple and according to amount limits. C14 Mega Control C14 C16 Mega Control C16 C23 Two-way validation of purchase order and goods received. separation of responsibility of booking and release of invoice. Mega Control C23 Validation of payables against MAN Disapproved List before payment. Approval is documented and archived. C8 Mega Control C8 Verification of binding order and if potential vendor is listed in so-called MAN Disapproved List. C19 Mega Control C19 Three-way validation of purchase order, goods received and invoice received. Prices and amount of goods are within defined tolerances. C24 Mega Control C24 Validation for conspicuous pattern in advance of payment: (e.g. payment in high risks country, ). C20 Mega Control C20 Invoices with no reference are blocked and investigated. Defined tolerances are considered. C12 Mega Control C12 Report for usage of the CPD (one-time) accounts is generated and regularly checked. CPD = Conto pro Diverse MAN SE Governance, Risk & Compliance März 2017 > 7

8 CCM Alert Handling Transaktionales Vorgehen Standard-Prozess zur Alarm-Bearbeitung Alarm Ein CCM-Alarm bezieht sich auf einen Geschäftsvorgang, der im Hinblick auf Richtlinienkonformität zu prüfen ist. Measure Owner prüft den Vorgang und wählt den passenden Workflow zur Alarm- Bearbeitung. Standard Workflow Bearbeitung/ Remediation" Exception Workflow Vorschlag für Ausnahme- Sachverhalt Control Owner validiert die Alarm- Bearbeitung und schließt den Vorgang. Approval Verification Process Owner genehmigt sog. Exceptions. Alarm geschlossen Approval Alarm geschlossen (Exception genehmigt) MAN SE Governance, Risk & Compliance März 2017 > 8

9 CCM Reporting Analytisches Vorgehen Typology von Alarm-Trends C20* (beispielhaft) *Kontrolle C20 identifiziert Rechnungen ohne SAP Bestellbezug Einheit A Jahresend-Krankheit Einheit B Chronisch krank In guter Form Einheit C Einheit D Rückfall? Einheit E Gesundet Einheit F Einmaliger Schluckauf Unterschiedliche Ursachen benötigen individuelle Antworten auf lokaler Ebene MAN SE Governance, Risk & Compliance März 2017 > 9

10 Jan Schreiner Vice President Governance, Risk & Compliance VW Truck & Bus GmbH / MAN SE jan.schreiner@man.eu