Mehr als Compliance: Mit SAP GRC- Lösungen souverän die Risiken meistern, Vertrauen festigen und besser entscheiden Axel Egger Head of GRC MEE April 2015 SAP IT Summit 2015, 21. & 22. April, Salzburg Congress
Rechtliche Hinweise Die in dieser Präsentation enthaltenen Informationen sind vertraulich und Eigentum der SAP und dürfen nicht ohne vorherige schriftliche Einwilligung von SAP weitergegeben werden. Diese Präsentation unterliegt weder Ihrem Lizenzvertrag noch einer anderen Servicevereinbarung oder einem Abonnementvertrag mit SAP. SAP ist in keiner Weise verpflichtet, in dieser Publikation oder einer zugehörigen Präsentation dargestellte Geschäftsabläufe zu verfolgen oder hierin wiedergegebene Funktionalitäten zu entwickeln oder zu veröffentlichen. Dieses Dokument oder eine zugehörige Präsentation, die SAP-Strategie und etwaige künftige Entwicklungen, Produkte und/oder Plattformen können von SAP jederzeit und ohne Angabe von Gründen unangekündigt geändert werden. Die in dieser Publikation enthaltenen Informationen stellen keine Zusage, kein Versprechen und keine rechtliche Verpflichtung zur Lieferung von Material, Code oder Funktionen dar. Diese Publikation wird ohne jegliche Gewähr, weder ausdrücklich noch stillschweigend, bereitgestellt. Dies gilt insbesondere in Bezug auf implizierte Gewährleistungen zur Marktgängigkeit und Eignung für einen bestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts. Diese Publikation dient nur der Information und darf nicht als Bestandteil in einen Vertrag aufgenommen werden. SAP übernimmt keine Verantwortung für Fehler oder Unvollständigkeiten in diesem Dokument, es sei denn, solche Schäden wurden von SAP vorsätzlich oder grob fahrlässig verursacht. Alle vorausschauenden Aussagen hängen von verschiedenen Risiken und Unsicherheiten ab, die dazu führen können, dass die tatsächlichen Ergebnisse wesentlich von den Erwartungen abweichen. Die Leser sollten diesen zukunftsgerichteten Aussagen aber nicht übermäßig viel Bedeutung beimessen, denn sie basieren auf der Faktenlage am jeweiligen Datum, und sie sollten sie nicht als Grundlage für eine Kaufentscheidung heranziehen. 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 2
Systematik gesetzlicher Anforderungen an ein wirksames internes Kontroll- und Risikomanagementsystem Corporate Governance Aufsichtsrat / Verwaltungsrat Vorstand / Geschäftsführung Sicherstellung der Ordnungsmässigkeit (Compliance) Risiko Management Internes Kontrollsystem Ziele festlegen Risiken beurteilen Maßnahmen umsetzen System überwachen Interne Revision 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 3
Mit SAP GRC-Lösungen souverän die Risiken meistern, Vertrauen festigen und besser entscheiden. Klarheit welchen Risiken die Organisation gegenüber steht! über die bestehenden Anforderungen an die Prozesse! auf welche Systeme die Mitarbeiter zugreifen können und was sie auf den Systemen machen dürfen! Sicherheit und Transparenz aus den IST-Daten, wie sich die Risiken entwickeln! durch die kontinuierliche Überwachung der internen Kontrollen! bei der Berechtigungsvergabe durch zeitgleiche Konflikt-Checks! Richtige Entscheidungen auf Basis valider und konsistenter Daten und Prozesse! 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 4
Spesen kontrollieren mit SAP Fraud Management 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 5
SAP Solutions for Governance, Risk and Compliance SAP Business Intelligence Reporting Enterprise Risk Management Controls and Compliance Management Access Governance Security Fraud Management Audit Management International Trade Management SAP Risk Management SAP Process Control SAP Regulation Management by Greenlight SAP Access Control SAP Access Violation Mgmt. by Greenlight SAP Dynamic Authorization Mgt by NextLabs SAP Identity Analytics SAP Identity Management SAP Single Sign On SAP Enterprise Threat Detection Cloud Identity Management SAP Fraud Management SAP Audit Management SAP Global Trade Services (5+ products) SAP Nota Fiscal Electronica SAP Technical Data Export Compliance by NextLabs Business Partner Compliance Mgt (future) SAP HANA Any Application Cloud Big Data 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 6
Schlüsselfragen für ein wirksames Risikomanagementsystem Wissen Sie, worin die größten Risiken in Ihrer Organisation liegen? welche Prozesse in Ihrer Organisation den größten Risiken ausgesetzt sind? ob allen relevanten Risiken nachgegangen wird? wer für welche Risiken verantwortlich ist? wie gut die Risikobewältigung funktioniert? 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 7
Klassisches Risikomanagement Losgelöste und nachgelagerte Risikoerfassung und -dokumentation Risikostrategie definieren Risiken identifizieren und analysieren Risiken überwachen Maßnahmen einleiten Dokumentation bereits bekannter Sachverhalte stellt kein wirksames Risikomanagement dar! 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 8
SAP Risk Management SAP-ERP/HANA- Daten und IST-Daten aus Drittsystemen Wirksames integriertes Risikomanagementsystem Erst die Integration der IST-Daten ermöglicht eine wirksame Risikoüberwachung Risikostrategie definieren Risiken identifizieren und analysieren Risiken überwachen Maßnahmen einleiten 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 9
SAP Risk Management Unternehmenswerte erhalten und steigern Überwachen der Schwellwerte und der Effektivität von Gegenmaßnahmen Aufbau des Risikomanagements ausgerichtet an den Unternehmenswerten Reagieren auf Risiken nach Abwägung von Kosten und Nutzen Verknüpfen von Risiken, Risiko-Treibern, Risikoindikatoren, Auswirkungen und Gegenmaßnahmen Analysieren der Risiken mit Hilfe von Szenarien, Modellierungen und weiteren Instrumenten um den Risikoerwartungswert zu erfassen 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 10
Schlüsselfragen für ein wirksames Internes Kontrollsystem Wissen Sie, welchen Anforderungen Ihre Prozesse gerecht werden müssen? welche Kontrollen in welchen Prozessen installiert sind? ob und wie die Kontrollen eingehalten werden? welche Konsistenz- und Plausibilitäts-Schwächen die IST-Daten beinhalten? was Ihnen die IST-Daten darüber hinaus offenbaren könnten? 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 11
Klassisches Internes Kontrollsystem Ohne IST-Daten-Analysen bleibt das IKS intransparent Kontrollen definieren Prozessverbesserungmaßnahmen Kontroll- Einhaltung prüfen Schwachstellen / Abweichungen analysieren Eine Verfahrensanweisung sagt nichts über die tatsächliche Prozessgüte aus! 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 12
SAP Process Control SAP-ERP/HANA- Daten und IST-Daten aus Drittsystemen Wirksames Internes Kontrollsystem Wirksamkeit nur durch kontinuierliche IST-Datenanalysen möglich Kontrollen definieren Prozessverbesserungsmassnahmen vornehmen Kontrolleinhaltung prüfen Schwachstellen / Abweichungen analysieren 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 13
Kontrollmöglichkeiten in Geschäftsprozessen mit SAP Process Control Prozesskontrollen aus dem IKS können nun automatisiert in Process Control geprüft werden Lieferant, Artikel freigegeben Konditionen eingehalten Anschrift / Firma korrekt Bankverbindung korrekt Angebot Bestellung Lieferschein Rechnung Buchungsbeleg Zahlungsliste Zahlungsbeleg Bestellanforderung Angebotsprüfung Bestellung Auftragserteilung Bestellüberwachung Wareneingang Rechnungsprüfung Buchungserfassung Zahlungsvorschlag Zahlungsausgang Bestellungsmenge = Liefermenge Wareneingang = Rechnung Buchung = Rechnung Buchung = Rechnung = Zahlung 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 14
SAP Process Control Sicherstellen wirksamer Kontrollen und dauerhafter Compliance Unterstützung von Entscheidungen und Verbesserung der Ordnungsmäßigkeit mit aussagekräftigen Analysen und Freigabe-Prozessen Kontrollen und Richtlinien zentral dokumentieren; Zuordnen zu den wichtigsten Regelungen und betroffenen Organisationen Automatisierte Überwachung der Kontrolleinhaltung in den ERP-Systemen und workflowgestützte Meldungen der Abweichungen Ausführen regelmäßiger Risikobewertungen um Prüfungsstrategie und Prüfungsumfang zu bestimmen Bewerten von Kontrolldesign und - wirksamkeit; Identifizieren und Kompensieren von Kontrollschwächen 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 15
Welches sind sensitive Daten in Ihren IT-Systemen? Allgemeine IT-Sicherheits-Prinzipien: Vertraulichkeit Zugang zu Daten nur durch authorisierte Nutzer Korrektheit und Konsistenz Veränderung von Daten nur in korrekter Weise Verfügbarkeit der Systeme Beispiele für besonders schützenswerte Daten: Vertrauliche Geschäftsunterlagen Persönliche bzw. private Daten (HR) Klassifizierte Informationen Fragen, die sich daraus stellen: Wer kann HR-Daten (Gehalt, Performance) einsehen? Wer pflegt sensitive Lieferanten-Stammdaten (Bankverbindung)? Wer ist für die User-Pflege verantwortlich? Inwieweit werden vergebene Rollen und Rechte auf Plausibiltät kontrolliert? 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 16
Automatisierte Berechtigungsvergabe mit SAP AC Automatisierte, sofortige Risikoerkennung bei der Vergabe von Berechtigungen 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 17
SAP Lösungen für Governance, Risk und Compliance Effizient managen, effektiv schützen 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 18
Kontrollmöglichkeiten im Geschäftsprozess mit SAP AC Automatisierte, sofortige Risikoerkennung bei der Vergabe von Berechtigungen Lieferantenstammdaten Lieferantenstammdaten anlegen Bankdaten des Lieferanten anlegen Pflegen des Lieferantenstamms Pflegen der Bestellung Pflegen der Bestellung Bearbeitung der Lieferantenrechnung Bankverbindung Bestellanforderung Angebotsprüfung Bestellung Auftragserteilung Bestellüberwachung Wareneingang Rechnungsprüfung Buchungserfassung Zahlungsvorschlag Zahlungsausgang Bestellung buchen Wareneingang buchen Bestellung buchen Zahlung Anweisen 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 19
SAP Access Control Zugangsrisiken managen und Betrug vermeiden Überwachung von Notfallusern und Transaktionsnutzung X SAP_ALL Suchen, Auffinden und Beseitigung von Zugriffskonfliketen und kritischen Zugangsverstössen Kontrolle und Zertifizierung der bestehenden Zugangsberechtigungen Automatisierung der Zugangsautorisierung über SAP und nicht-sap-syteme hinweg Legacy Definition und Wartung von Rollen in verständlicher Sprache 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 20
Zusammenfassung Souverän die Risiken meistern, Vertrauen festigen und besser entscheiden gelingt nur durch adäquate Integration mit IST-Daten, die durch eine harmonisierte Systemlandschaft in Echtzeit verarbeitet werden.
Vielen Dank! Axel Egger EMBA Head of GRC MEE SAP (Schweiz) AG Althardstrasse 80 8105 Regensdorf M +41 79 660 19 56 a.egger@sap.com and: AxelEgger 2015 SAP AG or an SAP affiliate company. All rights reserved.
HINWEIS - SAP Infotage für Finanz 2015 http://events.sap.com/at/infotage-fuer-finanz-2015/de/home 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 23
Fragen?
SAP Links GRC auf sap.com www.sap.com/grc www.sap.com/fraud SAP Community Network GRC Lösungsseiten: https://scn.sap.com/community/grc E-Learning: http://scn.sap.com/community/grc/content GRC Blog: http://scn.sap.com/community/grc/blog Hilfe für SAP Governance Risk and Compliance Lösungen: http://help.sap.com Analytics Governance, Risk and Compliance * Requires login credentials to the SAP Service Marketplace 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 25
SAP Lösungen für Governance, Risk und Compliance Effizient managen, effektiv schützen SAP Fraud Management* SAP Audit Management* Verminderung finanzieller Schäden durch frühere Erkennung sowie bessere effektive Verhinderung von Betrug und Korruption Powered by SAP HANA, DIE real-time und in-memory Plattform Unterstützung der Ermittler durch intuitive Benutzerführung Aufdecken versteckter Trends und Verhaltensweisen in grossen Datenmengen, um Betrug in nahezu real-time zu erkennen Verminderung falscher Alarme und Steigerung der Produktivität mit weitreichenden Simulationsmöglichkeiten Schnelle Anpassung an neue Betrugsverhaltensweisen und Vermeidung von Betrug durch verbesserte Betrugserkennungsstrategien Verringerung des Betrugsrisikos durch neueste analytische Möglichkeiten und grössere Transparenz durch Visualisierungen Effizientes und effektives Arbeiten für die interne Revision durch einfaches Erstellen von Revisionsplänen, Vorbereitung der Revisionen, Analyse relevanter Informationen, Dokumentation und Kommunikation der Ergebnisse und Monitoring der Fortschritte und Folgeaktivitäten Unterstützung diverser mobiler Geräte und Plattformen Flexibles Audit Universe als zentrale Datenquelle und globales Monitoring der Revisionstätigkeiten Mächtiges Dokumentenmanagement Leistungsstarke Suchfunktion Klare und intuitive Benutzerführung Risikobasierte Revisionsplanung durch Import von Risiken aus SAP Risk Management Analyse grosser Datenmengen durch Integration mit SAP Fraud Management * SAP HANA notwendig 2015 SAP SE or an SAP affiliate company. All rights reserved. Customer 28