le evoluzioni dele piattaforme grc

Le evoluzioni delle

piattaforme GRC

Ottobre 2012

1 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG

International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.

Indice

■ Principali aree di applicazione

■ Le piattaforme presenti sul mercato internazionale

■ Evoluzione e tendenze

■ I driver normativi

■ Dalla Compliance al monitoraggio continuo

■ Livelli di maturità

■ Approccio ad un progetto

■ Implementazione di un modello

■ Selezione degli strumenti di GRC

■ Esemplificazione di una analisi comparativa

■ Casi pratici di soluzioni GRC

– Case study su SAP GRC

– Case study su SharePoint



■ Normative di settore e Provvedimenti authority

■ Prevenzione Frodi

■ Modelli e Analisi dei dati

■ Politiche, procedure aziendali

■ Gestione degli incidenti

■ Analisi e valutazione di fornitori

■ Workflow e Remediation

■ Dashboard

■ Monitoraggio Continuo

■ Compliance al reporting finanziario SOX e L. 262/05,

■ Responsabilità delle imprese (D.Lgs. 231/01), Sicurezza del personale, Ambiente, Antiriciclaggio

■ Segregazione delle funzioni SOD e controlli di accesso

■ Compliance a normative

■ Corporate governance

■ Enterprise Risk Management (ERM)

■ Rischi Operativi

■ Processi di Internal Audit

Principali aree di applicazione



Le piattaforme presenti sul mercato internazionale

Principali Piattaforme Governance, Risk & Compliance (GRC)

presenti sul mercato internazionale

Tra le piattaforme indicate da Gartner nel 'magic quadrant' vi sono diverse piattaforme

in Cloud; in Italia la tendenza prevalente delle piattaforme in cloud è verso il private

Cloud con focalizzazione nell’area IT.

Source: Forrester Research, Inc. (Dec 2011)



Piattaforme integrate e in Cloud

Il mercato offre ora una buona scelta

di piattaforme GRC e le aziende

stanno sempre più adottando

piattaforme integrate.

Evoluzione e tendenze

La gestione della governance del risk magagement e della Compliance, sta evolvendo

da un 'approccio per progetto' ad un 'approccio integrato' spinta dalle nouve tecnologie

e dall’offerta di mercato sempre più competitiva.

Piattaforme dedicate

Le piattaforme principali nascono

storicamente dedicate ad una

specifica funzionalità e evolvono

nuove funzionalità. BPM e Integrazione nei processi

L’evoluzione delle domanda va verso

l’integrazione nei processi con

soluzioni integrate di BPM, di

collaboration e mobility.



L’attenzione sul tema della Governance, Risk e Compliance (GRC) è fortemente cresciuto spinto dalla

necessità di adeguamento sia a normative quali:

■ D. Lgs. 231/01 - Corporate Governance Italiana: 'Responsabilità amministrativa delle persone giuridiche,

società e delle associazioni anche prive di personalità giuridica' . Disposizione per prevenire i reati

commessi all’interno della propria organizzazione nei rapporti con la pubblica amministrazione e con i

privati; una particolare rilevanza è data ai reati informatici;

■ L. 262/05 - Tutela del Risparmio: Disposizioni a cui devono ottemperare le società quotate per la tutela

del risparmio e la disciplina dei mercati finanziari;

■ D. Lgs. 196 del 30/06/2003 - Privacy: Normative in materia di protezione dei dati personal e sensibili

■ Normative di Settore: Requisiti richiesti da Enti/Funzioni di controllo (Banca d’Italia, ISVAP, …) o da altre

leggi ;

sia

■ Le best practice di governance: ai fini, tra gli obiettivi principali, della corretta ed accurata gestione dei

dati contabili e bilancistici.

'Queste necessità, spesso correlate tra loro, richiedono il rafforzamento del Sistema di Controllo

Interno ai fini di salvaguardare sia la correttezza e la trasparenza nella gestione delle aziende, sia

quella dei soggetti deputati e/o coinvolti nella loro governance‘.

La crescita e la complessità delle applicazioni informatiche a supporto delle operatività business, richiede di

considerare la necessità di soluzioni automatizzate tali da rendere la review, il monitoring ed il mantenimento

dei controlli applicativi e la gestione dei rischi più efficienti ed efficaci.

I driver normativi



Il cambiamento di prospettiva rispetto all’audit e al monitoraggio dei

controlli tradizionale

L’approccio tradizionale di internal auditing e di controllo da parte del

management prevede:

■ un testing periodico attraverso interventi ciclici su processi, funzioni o società

previsti nella pianificazione basata sull’analisi dei rischi;

■ l’efficacia dei controlli può essere incrementata solo successivamente

all’intervento di audit quando i piani d’azione saranno stati implementati;

■ l’efficacia dell’intervento, dal momento della sua conclusione

all’implementazione dei piani d’azione, può diminuire a causa di cambiamenti

organizzativi, del personale o di altre condizioni esterne;

■ sono necessarie attività di follow-up per verificare l’implementazione dei piani

d’azione;

■ sono necessarie dispendiose attività di raccolta di informazioni ogni volta che

deve essere rieseguita l’attività di audit.

L’approccio del Continuous Auditing/ Monitoring, invece, prevede:

■ un testing ricorrente e focalizzato: i controlli e le transazioni sono verificate in

tempo reale;

■ i fallimenti dei controlli sono identificati dall’Internal Audit immediatamente e

questo rappresenta un’opportunità per il management per minimizzare il

perdurare dell’inefficienza o del rischio rilevati;

■ nuovi controlli possono essere identificati e monitorati consentendo all’Internal

Audit di adattare le proprie attività alle nuove esigenze, restando focalizzato sui

controlli più rilevanti;

■ l’efficacia dei controlli è assicurata nel tempo e monitorata nel continuo;

■ il continuo allineamento con l’esigenze del business;

■ le attività di audit possono essere pianificate sulla base di informazioni

qualificate sulle anomalie rilevate.

Impact on controls : Conventional Audit

-

10

20

30

40

50

60

70

80

90

1 2 3 4 5 6 7 8 9 10 11 12

Contr

ol eff

ectiveness Expectation

Actual

Trend

AUDIT

Impact on controls : Continuous Audit

-

10

20

30

40

50

60

70

80

90

1 2 3 4 5 6 7 8 9 10 11 12

Contr

ol eff

ectiveness

Expectation

Actual

Trend

AUDIT

AUDIT

Impact on controls: traditional approach

Impact on controls: Continuous

approach



Livelli di maturità

I modelli GRC sono ancora 'progetto-centrici'. Non esiste un

programma di valutazione dei rischi esteso a tutta l’organizzazione

(ERM). Il Management non è consapevole del lavoro di Compliance

svolto all’interno dell’azienda. Framework sui controlli non sono stati

ben definiti e non ci sono supporti informatici disponibili per gestire le

attività GRC

I modelli GRC sono 'programmi-centrici'. Sono implementati i programmi di Compliance e

sono stati definiti framework sui controlli. Non sono utilizzati framework sulla Compliance

integrata e vengono installati GRC tool stand-alone che gestiscono solo una parte dei

processi di GRC o solo una normativa specifica (ad esempio 'tool di verifica degli profili, della

SoD', oppure un tool che gestisce la 262, un altro che gestisce la 231/01, ecc.)

I modelli GRC sono 'processo-centrici'. Ad esempio è implementata la

Compliance integrata sia come contenuti che come tecnologie abilitanti.

Vengono utilizzati tool di supporto che gestiscono più normative e più

attività di Compliance contemporaneamente. I sistemi GRC iniziano a

gestire parti integrate di processo/sistemi

I modelli GRC sono 'cultura-centrici'. GRC è parte

integrante dei processi di business e della tecnologia

aziendale. Il management effettua un monitoraggio

continuo sui controlli e processi e GRC non è solo un

processo rivolto ai rischi e ai controlli, ma è un driver che

identifica opportunità di miglioramento nel business. Tool

GRC sono ampiamente implementati e integrati ai processi

e sistemi

Ogni società dovrebbe

identificare il proprio stato di

maturità in tema GRC e

dovrebbe definire una

propria 'road map' per

giungere al livello

desiderato.



Guiding Principles and

GRC Holistic Model

■ Comprendere lo

stato attuale dei

modelli GRC

■ Determinare lo

stato desiderato

delle aree GRC

(framework,

ERM, ecc.).

■ Effettuare Gap

Analysis rispetto

org./pcs As-Is

Change Management

Communication Project

Management

GRC Technology

Framework

■ Disegnare il nuovo

Modello GRC

■ Determinare

approccio, tempi e

priorità

■ Definire

un’architettura IT

che supporti il

processo GRC

1 Assessment 2 Design & Build

■ Decidere se

implementare a

step o tutto

■ Partire con un

pilot

■ Gestire le

modifiche

organizzative e

sui processi

3 Implement 4 Sustain

■ Stabilire un

processo di

supporto continuo

al GRC

Strategy, Governance Culture Pain Points

Reporting & Data Pain Points

Process & Systems Pain Points

Approccio GRC

Guiding

principles

(7.) Communication (1.) Accountability

(6.) Integrity (2.) Responsibility

(3.) Discipline(5.) Independence

(4.) Transparency

6© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.

GRC Guiding Principles

2. Responsibility

1. Management formulates a plan to operationalize governance, risk and compliance.

2. Thresholds on the GRC Scorecard are built in to operating performance targets.

3. The company’s Delegation of Authority policy document includes all GRC scorecard elements

and all GRC accountabilities.

4. The board ensures that management implements an effective compliance framework.

5. GRC responsibilities and scorecard objectives are incorporated into reward structures.

6. Change techniques are used to instill awareness of and support for GRC interventions.

7. The roles and responsibilities for GRC are formalized in a clearly defined structure.

8. The CEO nominates a GRC Officer to ensure enterprise-wide consistency.

9. Management emphasizes solutions to GRC challenges.

10. Management is responsible for stress-testing, risk simulations and challenging assumptions.



3. Discipline

1. Business processes balance performance with the board’s defined materiality value.

2. Management decisions consider the company’s defined materiality value.

3. Management quantif ies all material risks in monetary terms.

4. Improvement of risk mitigations is driven by a system of continuous improvement.

5. All of the key components of GRC are applied to the company’s top mission-crit ical

processes.

6. GRC interventions are drafted into the company’s operating policies and procedures.

7. Financial contingencies are designed and arranged in line w ith the company’s materiality

value.

8. Data, artefacts and research are used to update management on changes to the risk profile.

9. The cost of non-conformance is understood and actively managed.

10. Changes to the risk and regulatory environment are captured in GRC processes.



4. Transparency

1. An enterprise-w ide view of governance, risk and compliance information is applied.

2. The degree of risk being taken in pursuit of returns is understood and made known.

3. Unwanted GRC events do not take stakeholders by surprise.

4. Staff are adequately trained in and have ready access to all GRC policies, procedures and

guidelines.

5. The board discloses how it has satisfied itself that risk, control and compliance interventions

work.

6. Securitization arrangements, off-balance sheet liabilities and contingent liabilities are

disclosed.

7. Compensation policies are consistent with the risk appetite and long term performance of

the company and consistent with reasonable stakeholder expectations.



5. Independence

1. All governance, risk and compliance interventions must be intrusive.

2. Key controls and corrective actions are independently validated.

3. The right levels of material regulatory compliance are understood and independently

validated.

4. The Audit Committee approves an internal audit plan that is based on risk assessment

outputs.

5. An integrated assurance plan provides independent monitoring across the GRC spectrum.

6. The integrity of financial reporting is independently validated.

7. There is independent monitoring of management ’s GRC interventions.

8. Rules of independence for the GRC structures are documented.

9. Independent challenge of management assertions and assumptions is applied.

10. A well-defined structure for internal assurance is established.



6. Integrity

1. The company does not invest in GRC processes for the sake of appearances.

2. The board and CEO understand the personal risk associated with “ tick the box” governance.

3. The potential impact of GRC failures upon stakeholder parties is understood.

4. GRC reports to stakeholders are honest and transparent.

5. Management forums to address GRC matters are credible and effect ive.

6. Management enforcement of GRC policies and responsibilities is evident.

7. The CEO provides ethical leadership and creates an ethical climate.

8. Ethics are practiced in governance processes.

9. Values are defined and form part of monitoring and assurance act ivities.

10. The means with which to enforce and monitor ethics are implement ed.

11. The board is the company’s conscience and ensures the ethical tone is tested and reports

made available to the board.



1. Accountability

1. The board approves the company’s materiality value.

2. The board appoints, develops and fosters effective audit, risk, remuneration and nomination

sub-committees.

3. The company has visible executive leadership for GRC expectations and requirements.

4. The performance of GRC committees is independently reviewed per terms of reference.

5. Review mechanisms are applied to sustain GRC accountabilities.

6. The CEO monitors GRC performance in the context of the board’s strategic imperatives.

7. The CEO ensures that the (company complies w ith all relevant law s and regulations) and that

the company’s compliance system is robust and effective.

8. The CEO leads the adoption of the GRC plan.

9. The board through the leadership of the chairman establishes the ethical tone of the

company.

10. The board assigns central oversight of GRC to the CEO.



7. Communication

1. A common vocabulary for GRC processes and activities is documented.

2. Management is fully informed about the status of the GRC scorecard.

3. The board is fully informed about the company’s risk status viz. materiality values.

4. An early-warning system rapidly informs executives and the board of any impending

concerns.

5. Integrated and harmonised GRC reporting is submitted to executive management and the

board.

6. The company makes transparent and t imely disclosure of material matters to stakeholders.

7. GRC stakeholder reporting is relevant, understandable and comparable.

8. The company practices equitable treatment of shareholders.

9. The board promotes mutual respect between the company and its st akeholders.

10. An information management system enables efficient GRC data access.

Guiding

principles

(7.) Communication (1.) Accountability

(6.) Integrity (2.) Responsibility

(3.) Discipline(5.) Independence

(4.) Transparency



2. Responsibility

1. Management formulates a plan to operationalize governance, risk and compliance.

2. Thresholds on the GRC Scorecard are built in to operating performance targets.

3. The company’s Delegation of Authority policy document includes all GRC scorecard elements

and all GRC accountabilities.

4. The board ensures that management implements an effective compliance framework.

5. GRC responsibilities and scorecard objectives are incorporated into reward structures.

6. Change techniques are used to instill awareness of and support for GRC interventions.

7. The roles and responsibilities for GRC are formalized in a clearly defined structure.

8. The CEO nominates a GRC Officer to ensure enterprise-wide consistency.

9. Management emphasizes solutions to GRC challenges.

10. Management is responsible for stress-testing, risk simulations and challenging assumptions.



3. Discipline

1. Business processes balance performance with the board’s defined materiality value.

2. Management decisions consider the company’s defined materiality value.

3. Management quantif ies all material risks in monetary terms.

4. Improvement of risk mitigations is driven by a system of continuous improvement.

5. All of the key components of GRC are applied to the company’s top mission-crit ical

processes.

6. GRC interventions are drafted into the company’s operating policies and procedures.

7. Financial contingencies are designed and arranged in line w ith the company’s materiality

value.

8. Data, artefacts and research are used to update management on changes to the risk profile.

9. The cost of non-conformance is understood and actively managed.

10. Changes to the risk and regulatory environment are captured in GRC processes.



4. Transparency

1. An enterprise-w ide view of governance, risk and compliance information is applied.

2. The degree of risk being taken in pursuit of returns is understood and made known.

3. Unwanted GRC events do not take stakeholders by surprise.

4. Staff are adequately trained in and have ready access to all GRC policies, procedures and

guidelines.

5. The board discloses how it has satisfied itself that risk, control and compliance interventions

work.

6. Securitization arrangements, off-balance sheet liabilities and contingent liabilities are

disclosed.

7. Compensation policies are consistent with the risk appetite and long term performance of

the company and consistent with reasonable stakeholder expectations.



5. Independence

1. All governance, risk and compliance interventions must be intrusive.

2. Key controls and corrective actions are independently validated.

3. The right levels of material regulatory compliance are understood and independently

validated.

4. The Audit Committee approves an internal audit plan that is based on risk assessment

outputs.

5. An integrated assurance plan provides independent monitoring across the GRC spectrum.

6. The integrity of financial reporting is independently validated.

7. There is independent monitoring of management ’s GRC interventions.

8. Rules of independence for the GRC structures are documented.

9. Independent challenge of management assertions and assumptions is applied.

10. A well-defined structure for internal assurance is established.



6. Integrity

1. The company does not invest in GRC processes for the sake of appearances.

2. The board and CEO understand the personal risk associated with “ tick the box” governance.

3. The potential impact of GRC failures upon stakeholder parties is understood.

4. GRC reports to stakeholders are honest and transparent.

5. Management forums to address GRC matters are credible and effect ive.

6. Management enforcement of GRC policies and responsibilities is evident.

7. The CEO provides ethical leadership and creates an ethical climate.

8. Ethics are practiced in governance processes.

9. Values are defined and form part of monitoring and assurance act ivities.

10. The means with which to enforce and monitor ethics are implement ed.

11. The board is the company’s conscience and ensures the ethical tone is tested and reports

made available to the board.



1. Accountability

1. The board approves the company’s materiality value.

2. The board appoints, develops and fosters effective audit, risk, remuneration and nomination

sub-committees.

3. The company has visible executive leadership for GRC expectations and requirements.

4. The performance of GRC committees is independently reviewed per terms of reference.

5. Review mechanisms are applied to sustain GRC accountabilities.

6. The CEO monitors GRC performance in the context of the board’s strategic imperatives.

7. The CEO ensures that the (company complies w ith all relevant law s and regulations) and that

the company’s compliance system is robust and effective.

8. The CEO leads the adoption of the GRC plan.

9. The board through the leadership of the chairman establishes the ethical tone of the

company.

10. The board assigns central oversight of GRC to the CEO.



7. Communication

1. A common vocabulary for GRC processes and activities is documented.

2. Management is fully informed about the status of the GRC scorecard.

3. The board is fully informed about the company’s risk status viz. materiality values.

4. An early-warning system rapidly informs executives and the board of any impending

concerns.

5. Integrated and harmonised GRC reporting is submitted to executive management and the

board.

6. The company makes transparent and t imely disclosure of material matters to stakeholders.

7. GRC stakeholder reporting is relevant, understandable and comparable.

8. The company practices equitable treatment of shareholders.

9. The board promotes mutual respect between the company and its st akeholders.

10. An information management system enables efficient GRC data access.

Approccio ad un progetto



Il modello illustra i requisiti necessari per un’efficace gestione di GRC tramite processi automatizzati (come i

workflow), un reporting integrato sui rischi e controlli e processi operativi sui sistemi/processi.

■ Gestione dell’archiviazione di dati e documenti

■ Visualizzazione dei risultati di test operativi svolti

■ Invio automatico di alert

■ Continuous Auditing e Monitoring (KPI, KRI, controlli, ecc.)

■ Gestione degli accessi e segregazione ai dati

■ Interfacce con sistemi esterni per analisi automatiche su

transazioni, dati, riduzione controlli manuali detective a favore

di controlli automatici preventivi

■ Gestione processi autorizzativi (tipici di tutte le Compliance)

■ Mappatura rischi e controlli a livello di attività, processo, ecc.

■ Gestione processi di review del management (es. 262/05)

■ Gestione flussi informativi verso il management deputato a funzioni di

controllo (es: 231/01)

Implementazione di un modello

■ Reporting integrato sui Rischi

■ Dashboards sui Controlli

■ Reporting Integrato sulla Compliance (RCM per normativa)



Selezione degli strumenti di GRC

■ La selezione o definizione di un sistema GRC, può configurarsi in diverse maniere:

– Sistemi GRC sul mercato

– Sistemi di BPM workflow, collaboration e sistemi documentali

– L’utilizzo delle funzionalità già presenti negli ERP

– Strumenti di BI per eseguire il reporting e dashboard

– Strumenti di Continuous Auditing e Continuous Monitoring

Controlli/Test

Processi

Strategico ME7 Step i2.0

ME7 Step 2 Design & plan

ME7 Step 4 Analyze & Evaluate

ME7 Step 3 Construction

Supportive

From Improve Plant

DMG PRJ 2 Engineering ontwerp & plan

DMG PRJ 3 Uitvoeren project

DMG PRJ 4 Analyseren project

DMG PRJ Project uitvoering & monitoring

DMG PRJ Project settlement

DMG PRJ CATS Tijd schrijven

DMG PRJ i2.0 Overdracht IP naar Projects

Purchasing Warehouse

management Manufacturing

Sales &

Distribution



Esemplificazione di una analisi comparativa

Operational Tactical Strategic Overall

Access

Control/

SoD

Continuous

Monitoring

Process Controls

IT Controls

Policy & Proc Mgmt.

Risk Mgmt.

Comp. Mgmt.

Audit Mgmt.

Risk Profiling

Reporting/ Dashboard

Broad GRC Capabilities

Geography Ease of Use

Enterprise GRC Analisi

Software A

Software B

Software C

Software D

Software E

Software F

Software G

Software H

Obiettivo raggiunto:

Completo

Gran parte

Limitato

Nessuno

Parziale

L'analisi illustrata, è indicativa dell’approccio, si può basare sulle informazioni raccolte

da varie fonti, quali i fornitori di software, esperienze maturate su clienti, e report di

analisti. Questo tipo di analisi è puntuale e può essere soggetta a modifica in base a

aggiornamenti sull’evoluzione del software.

SAP GRC

Case study

Process Control



Background SAP ha iniziato ad acquistare tool nel corso del 2007 per integrare la suite di base GRC. I tool principali

integrati sono stati Virsa (per l’analisi dei profili e segregation of duties) e Business Objects (analisi e

reporting dei dati). I principali moduli della suite GRC:

■ GRC Risk Management: gestisce processi di Assessment e Reporting sui rischi (sia rischi di

Compliance, finanziari che rischi operativi);

■ GRC Process Control (vecchio modulo MIC): documenta processi e i controlli con relativo Reporting (è

integrato con gli altri due moduli);

■ GRC Access Controls (vecchio Virsa): gestisce la sicurezza delle utenze e i relativi ruoli e profili. Ha

interfacce automatiche con modulo Sicurezza SAP.

Risk

Compliance & Controls

SAP GRC Risk Management

SAP GRC

Access Control

Risk Analysis Remediation

Enterprise Role Management

Superuser Management

Compliance User Provisioning

SAP GRC

Process Control

Process Control

SAP GRC

Overview SAP GRC V.10



Process control

■ Creazione della struttura

organizzativa

■ Creazione dei processi, rischi,

controlli, test, issue, remediation

■ Archiviazione documentale

■ Workflow approvativi

■ Reporting

Funzionalità

Perform Assessments

Test Automated Controls

Test Manual

Controls

Do

cu

me

nt

Eva

lua

te

Mo

nit

or

Ce

rtif

y

Certify and Sign Off (302, 404, …)

Remediate Issues

System of Internal Controls: Process-Control-Objective-Risk

Monitor Exceptions

IT Infrastructure

Business Processes

…

Source: SAP



Fasi progettuali

■ Materiale del Training

■ Manuale utente

Obiettivi Deliverable KPMG Implementation

Methodology

■ Piano di lavoro di dettaglio

■ Manuale di progetto

■ Manuale di gestione della

configurazione

■ Manuale del collaudo

■ Presentazione del Kick-off

■ Requisiti Utente

■ BPML Business Process Master List

■ Business BluePrint

■ Analisi tecniche

■ Manuale del customizing

■ Giornale della configurazione

■ Registro di configurazione

■ Documenti di collaudo

■ Giornale delle anomalie

Project

Preparation

Business

Blueprint

Realization

Final

Preparation

Go-live and

Support

■ Definizione dello scope di progetto

e del ‘planning’ con milestones e

deliverables da rilasciare

■ Analisi dell’attuale Modello di

Compliance 262

■ Mappatura dei requisiti utente

■ Definizione del 'Modello To-Be'

■ Progettazione dei requisiti per la

software selection

■ Approvazione Business BluePrint

■ Configurazione del modulo SAP GRC-

PC-RM

■ Svolgimento unit test ed integration

test

■ Prototipi/Workshop

■ Formazione ai Key-users

■ Migrazione dei dati

■ Avvio del sistema in produzione

■ Supporto agli utenti



Architettura generale implementata

Risk / Controls Matrix

Audit Management

Risk Management

Compliance Management

Remediation Management

Policy Management

Cert

ific

ati

on

Co

llab

ora

tio

n a

nd

Wo

rkfl

ow

Po

licy M

ap

pin

g

Preventive

Detective

Corrective

Enterprise GRC Platform

An

aly

tics

Self

-assessm

en

t

Vis

ualizati

on

Rep

ort

ing

Business

Intelligence

Business

Application

Specialized GRC

Applications

Enterprise

Content

Management

Control

Automation and

Monitoring

Risk

Management

and Compliance

professionals

Process Owners

Executives

Auditors Board

Inte

gra

tio

n -

au

tom

ati

on

GRC Process

Technology

Components

Users Services

Future Steps C

on

ten

t M

an

ag

em

en

t

Meta

data

Man

ag

em

en

t

Dev

elo

pm

en

t

Modello GRC

sulla piattaforma

SharePoint

Case Study



Gestione della Compliance: il modello integrato

Progetti

SOX

Piattaforma tecnologica integrata di supporto

Assessment Planning Design Implementation Review &

Improvement

Progetti

262

Progetti

231 Altri Progetti

Gestione integrata della Compliance

Rischi

Processi

Controlli

Realizzazione e gestione di progetti

integrati di Compliance, con un’unica piattaforma tecnologica di supporto



Modello GRC sulla piattaforma SharePoint di KPMG

Modulo di gestione delle Compliance e risk management

La capacità di 'aggregazione' del dato è alla

base della funzionalità strategica del Modello

Esistono differenti report:

■ reportistica di dettaglio per singola normativa;

■ reportistica 'aggregata' per tutte le normative;

■ in relazione alle necessità, è possibile

'customizzare' il modello per ottenere ulteriori

rappresentazioni grafiche.

Esempio: cruscotto riassuntivo di Compliance per

tutte le normative

Il cruscotto è costituito da un insieme di report grafici che

'riassumono' i dati relativi ai rischi, controlli e valutazioni.

In particolare:

■ tabella riassuntiva dello stato delle valutazioni per

ciascuna normativa;

■ grafici SAL di sintesi dello stato di esecuzione dei

lavori.



Remote

Function

SAP/

Altri

Sistemi

1° liv

ello

Import ed Analisi in

SQL - Office 2° liv

ello

n° liv

ello

■ Alert

■ WF

■ Registrazioni

esiti eccezioni

■ Alert

■ WF

■ Registrazioni

esiti eccezioni

Modello GRC sulla Piattaforma SharePoint di KPMG

Modulo di gestione del Continuous Auditing e Monitoring



Lo strumento di Continuous Audit e Continuous Monitoring di KPGM Italia offre la possibilità di accedere alle

funzionalità ed alle informazioni presenti in SAP e BW attraverso:

■ Query

■ BW Cube

■ BAPI

■ BW Loader

■ Report

■ Tabelle

■ Procedure ABAP (function, …)

Attraverso questi strumenti è possibile

disporre di una soluzione robusta, flessibile

e adattabile nell’automatizzare i controlli

richiesti sui dati di business.

■ E’ alimentata direttamente da SAP;

■ E’ possibile pianificare e schedulare le estrazioni;

■ Utilizzo di strumenti di reporting standard basati su Office e Sharepoint;

■ Uso semplice e intuitivo attraverso reporting realizzati per rispondere alle esigenze dell’utente finale .

Modello GRC sulla Piattaforma SharePoint di KPMG

Modulo di gestione del Continuous Auditing e Monitoring



Modello GRC sulla Piattaforma SharePoint di KPMG (Case Study)

Legge 262/05, D.Lgs. 231/01, ERM

Il modello di gestione della Compliance integrata è un modello 'controllo-centrico', che individua a partire dalla

Risk Control Matrix la gestione integrata di controlli, test, issue, piani di remediation.

Il modello Integrato implementato presso il cliente ha compreso:

1. Modello 262/05

2. Modello 231/01

3. Modello ERM (Enterprise Risk Management)

4. Piani di Audit Risk Control Matrix

ID

Controllo

Processo

262

ID

CdV

Audit

Universe

BdV

Scoping 262

231

Risk Assessment

ReatiAttività

sensibili

ID

ControlloID GAP

ID

Follow

Attività

sensibili

Testing

ID

Controllo

ID

Test

ID

Test

GAP

ID

Controllo

ID

GAP

Follow Up

ID

Controllo

ID

Follow

ID

GAP

ID

Follow

Tipi di reato

Reato

WF

WF

WF

ID

Test

ID

GAP

ID

Test

Società

Processi 262

Sotto-processi

Aree-direzioni

BU-funzioni

Tipi di reato

Esempi di reato

Sistemi IT

Anagrafiche

Conto Processo

ID

Test

Audit

Universe

Attività

sensibili

ID

GAP

ID

Follow

WF

Scoping 262

Scoping 231

Gestione Compliance

Integrata



Modello GRC sulla Piattaforma SharePoint di KPMG (Case Study)

Gestione dei flussi informativi della Compliance integrata

E’ stato disegnato un modello che permette la gestione in GRC delle seguenti fasi:

■ Identificazione scoping;

■ Individuazione dei controlli;

■ Svolgimento dei test;

■ Gestione GAP e successivi Follow-Up.

Flussi

Scoping 262 Scoping 231

controlli

Testing

GAP

remediation

Control Owner 262

e/o Soggetto Apicale

Compliance Officer 262/231 OdV Flussi

Gestione dei flussi

Il modello permette la

gestione centralizzata dei

flussi da e verso i Control

Owner.

I flussi informativi sono

valevoli sia per più

Compliance sia per singola

Compliance essendoci una

gestione integrata dei control

owner 262/soggetti apicali.

Grazie

Contatti

Davide Grassano

Partner

KPMG Advisory S.p.A.

02-67632417 - 348 3080188

[email protected]

www.kpmg.com/it

© 2012 KPMG Advisory S.p.A. è una società per

azioni di diritto italiano e fa parte del network KPMG di

entità indipendenti affiliate a KPMG International

Cooperative ('KPMG International'), entità di diritto

svizzero. Tutti i diritti riservati.

Denominazione e logo KPMG e 'cutting through

complexity' sono marchi registrati di KPMG

International Cooperative ('KPMG International').

le evoluzioni dele piattaforme grc

Documents