le evoluzioni dele piattaforme grc
TRANSCRIPT
Le evoluzioni delle
piattaforme GRC
Ottobre 2012
1 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Indice
■ Principali aree di applicazione
■ Le piattaforme presenti sul mercato internazionale
■ Evoluzione e tendenze
■ I driver normativi
■ Dalla Compliance al monitoraggio continuo
■ Livelli di maturità
■ Approccio ad un progetto
■ Implementazione di un modello
■ Selezione degli strumenti di GRC
■ Esemplificazione di una analisi comparativa
■ Casi pratici di soluzioni GRC
– Case study su SAP GRC
– Case study su SharePoint
2 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
■ Normative di settore e Provvedimenti authority
■ Prevenzione Frodi
■ Modelli e Analisi dei dati
■ Politiche, procedure aziendali
■ Gestione degli incidenti
■ Analisi e valutazione di fornitori
■ Workflow e Remediation
■ Dashboard
■ Monitoraggio Continuo
■ Compliance al reporting finanziario SOX e L. 262/05,
■ Responsabilità delle imprese (D.Lgs. 231/01), Sicurezza del personale, Ambiente, Antiriciclaggio
■ Segregazione delle funzioni SOD e controlli di accesso
■ Compliance a normative
■ Corporate governance
■ Enterprise Risk Management (ERM)
■ Rischi Operativi
■ Processi di Internal Audit
Principali aree di applicazione
3 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Le piattaforme presenti sul mercato internazionale
Principali Piattaforme Governance, Risk & Compliance (GRC)
presenti sul mercato internazionale
Tra le piattaforme indicate da Gartner nel 'magic quadrant' vi sono diverse piattaforme
in Cloud; in Italia la tendenza prevalente delle piattaforme in cloud è verso il private
Cloud con focalizzazione nell’area IT.
Source: Forrester Research, Inc. (Dec 2011)
4 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Piattaforme integrate e in Cloud
Il mercato offre ora una buona scelta
di piattaforme GRC e le aziende
stanno sempre più adottando
piattaforme integrate.
Evoluzione e tendenze
La gestione della governance del risk magagement e della Compliance, sta evolvendo
da un 'approccio per progetto' ad un 'approccio integrato' spinta dalle nouve tecnologie
e dall’offerta di mercato sempre più competitiva.
Piattaforme dedicate
Le piattaforme principali nascono
storicamente dedicate ad una
specifica funzionalità e evolvono
nuove funzionalità. BPM e Integrazione nei processi
L’evoluzione delle domanda va verso
l’integrazione nei processi con
soluzioni integrate di BPM, di
collaboration e mobility.
5 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
L’attenzione sul tema della Governance, Risk e Compliance (GRC) è fortemente cresciuto spinto dalla
necessità di adeguamento sia a normative quali:
■ D. Lgs. 231/01 - Corporate Governance Italiana: 'Responsabilità amministrativa delle persone giuridiche,
società e delle associazioni anche prive di personalità giuridica' . Disposizione per prevenire i reati
commessi all’interno della propria organizzazione nei rapporti con la pubblica amministrazione e con i
privati; una particolare rilevanza è data ai reati informatici;
■ L. 262/05 - Tutela del Risparmio: Disposizioni a cui devono ottemperare le società quotate per la tutela
del risparmio e la disciplina dei mercati finanziari;
■ D. Lgs. 196 del 30/06/2003 - Privacy: Normative in materia di protezione dei dati personal e sensibili
■ Normative di Settore: Requisiti richiesti da Enti/Funzioni di controllo (Banca d’Italia, ISVAP, …) o da altre
leggi ;
sia
■ Le best practice di governance: ai fini, tra gli obiettivi principali, della corretta ed accurata gestione dei
dati contabili e bilancistici.
'Queste necessità, spesso correlate tra loro, richiedono il rafforzamento del Sistema di Controllo
Interno ai fini di salvaguardare sia la correttezza e la trasparenza nella gestione delle aziende, sia
quella dei soggetti deputati e/o coinvolti nella loro governance‘.
La crescita e la complessità delle applicazioni informatiche a supporto delle operatività business, richiede di
considerare la necessità di soluzioni automatizzate tali da rendere la review, il monitoring ed il mantenimento
dei controlli applicativi e la gestione dei rischi più efficienti ed efficaci.
I driver normativi
6 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Il cambiamento di prospettiva rispetto all’audit e al monitoraggio dei
controlli tradizionale
L’approccio tradizionale di internal auditing e di controllo da parte del
management prevede:
■ un testing periodico attraverso interventi ciclici su processi, funzioni o società
previsti nella pianificazione basata sull’analisi dei rischi;
■ l’efficacia dei controlli può essere incrementata solo successivamente
all’intervento di audit quando i piani d’azione saranno stati implementati;
■ l’efficacia dell’intervento, dal momento della sua conclusione
all’implementazione dei piani d’azione, può diminuire a causa di cambiamenti
organizzativi, del personale o di altre condizioni esterne;
■ sono necessarie attività di follow-up per verificare l’implementazione dei piani
d’azione;
■ sono necessarie dispendiose attività di raccolta di informazioni ogni volta che
deve essere rieseguita l’attività di audit.
L’approccio del Continuous Auditing/ Monitoring, invece, prevede:
■ un testing ricorrente e focalizzato: i controlli e le transazioni sono verificate in
tempo reale;
■ i fallimenti dei controlli sono identificati dall’Internal Audit immediatamente e
questo rappresenta un’opportunità per il management per minimizzare il
perdurare dell’inefficienza o del rischio rilevati;
■ nuovi controlli possono essere identificati e monitorati consentendo all’Internal
Audit di adattare le proprie attività alle nuove esigenze, restando focalizzato sui
controlli più rilevanti;
■ l’efficacia dei controlli è assicurata nel tempo e monitorata nel continuo;
■ il continuo allineamento con l’esigenze del business;
■ le attività di audit possono essere pianificate sulla base di informazioni
qualificate sulle anomalie rilevate.
Impact on controls : Conventional Audit
-
10
20
30
40
50
60
70
80
90
1 2 3 4 5 6 7 8 9 10 11 12
Contr
ol eff
ectiveness Expectation
Actual
Trend
AUDIT
Impact on controls : Continuous Audit
-
10
20
30
40
50
60
70
80
90
1 2 3 4 5 6 7 8 9 10 11 12
Contr
ol eff
ectiveness
Expectation
Actual
Trend
AUDIT
AUDIT
Impact on controls: traditional approach
Impact on controls: Continuous
approach
7 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Livelli di maturità
I modelli GRC sono ancora 'progetto-centrici'. Non esiste un
programma di valutazione dei rischi esteso a tutta l’organizzazione
(ERM). Il Management non è consapevole del lavoro di Compliance
svolto all’interno dell’azienda. Framework sui controlli non sono stati
ben definiti e non ci sono supporti informatici disponibili per gestire le
attività GRC
I modelli GRC sono 'programmi-centrici'. Sono implementati i programmi di Compliance e
sono stati definiti framework sui controlli. Non sono utilizzati framework sulla Compliance
integrata e vengono installati GRC tool stand-alone che gestiscono solo una parte dei
processi di GRC o solo una normativa specifica (ad esempio 'tool di verifica degli profili, della
SoD', oppure un tool che gestisce la 262, un altro che gestisce la 231/01, ecc.)
I modelli GRC sono 'processo-centrici'. Ad esempio è implementata la
Compliance integrata sia come contenuti che come tecnologie abilitanti.
Vengono utilizzati tool di supporto che gestiscono più normative e più
attività di Compliance contemporaneamente. I sistemi GRC iniziano a
gestire parti integrate di processo/sistemi
I modelli GRC sono 'cultura-centrici'. GRC è parte
integrante dei processi di business e della tecnologia
aziendale. Il management effettua un monitoraggio
continuo sui controlli e processi e GRC non è solo un
processo rivolto ai rischi e ai controlli, ma è un driver che
identifica opportunità di miglioramento nel business. Tool
GRC sono ampiamente implementati e integrati ai processi
e sistemi
Ogni società dovrebbe
identificare il proprio stato di
maturità in tema GRC e
dovrebbe definire una
propria 'road map' per
giungere al livello
desiderato.
8 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Guiding Principles and
GRC Holistic Model
■ Comprendere lo
stato attuale dei
modelli GRC
■ Determinare lo
stato desiderato
delle aree GRC
(framework,
ERM, ecc.).
■ Effettuare Gap
Analysis rispetto
org./pcs As-Is
Change Management
Communication Project
Management
GRC Technology
Framework
■ Disegnare il nuovo
Modello GRC
■ Determinare
approccio, tempi e
priorità
■ Definire
un’architettura IT
che supporti il
processo GRC
1 Assessment 2 Design & Build
■ Decidere se
implementare a
step o tutto
■ Partire con un
pilot
■ Gestire le
modifiche
organizzative e
sui processi
3 Implement 4 Sustain
■ Stabilire un
processo di
supporto continuo
al GRC
Strategy, Governance Culture Pain Points
Reporting & Data Pain Points
Process & Systems Pain Points
Approccio GRC
Guiding
principles
(7.) Communication (1.) Accountability
(6.) Integrity (2.) Responsibility
(3.) Discipline(5.) Independence
(4.) Transparency
6© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
2. Responsibility
1. Management formulates a plan to operationalize governance, risk and compliance.
2. Thresholds on the GRC Scorecard are built in to operating performance targets.
3. The company’s Delegation of Authority policy document includes all GRC scorecard elements
and all GRC accountabilities.
4. The board ensures that management implements an effective compliance framework.
5. GRC responsibilities and scorecard objectives are incorporated into reward structures.
6. Change techniques are used to instill awareness of and support for GRC interventions.
7. The roles and responsibilities for GRC are formalized in a clearly defined structure.
8. The CEO nominates a GRC Officer to ensure enterprise-wide consistency.
9. Management emphasizes solutions to GRC challenges.
10. Management is responsible for stress-testing, risk simulations and challenging assumptions.
7© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
3. Discipline
1. Business processes balance performance with the board’s defined materiality value.
2. Management decisions consider the company’s defined materiality value.
3. Management quantif ies all material risks in monetary terms.
4. Improvement of risk mitigations is driven by a system of continuous improvement.
5. All of the key components of GRC are applied to the company’s top mission-crit ical
processes.
6. GRC interventions are drafted into the company’s operating policies and procedures.
7. Financial contingencies are designed and arranged in line w ith the company’s materiality
value.
8. Data, artefacts and research are used to update management on changes to the risk profile.
9. The cost of non-conformance is understood and actively managed.
10. Changes to the risk and regulatory environment are captured in GRC processes.
8© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
4. Transparency
1. An enterprise-w ide view of governance, risk and compliance information is applied.
2. The degree of risk being taken in pursuit of returns is understood and made known.
3. Unwanted GRC events do not take stakeholders by surprise.
4. Staff are adequately trained in and have ready access to all GRC policies, procedures and
guidelines.
5. The board discloses how it has satisfied itself that risk, control and compliance interventions
work.
6. Securitization arrangements, off-balance sheet liabilities and contingent liabilities are
disclosed.
7. Compensation policies are consistent with the risk appetite and long term performance of
the company and consistent with reasonable stakeholder expectations.
9© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
5. Independence
1. All governance, risk and compliance interventions must be intrusive.
2. Key controls and corrective actions are independently validated.
3. The right levels of material regulatory compliance are understood and independently
validated.
4. The Audit Committee approves an internal audit plan that is based on risk assessment
outputs.
5. An integrated assurance plan provides independent monitoring across the GRC spectrum.
6. The integrity of financial reporting is independently validated.
7. There is independent monitoring of management ’s GRC interventions.
8. Rules of independence for the GRC structures are documented.
9. Independent challenge of management assertions and assumptions is applied.
10. A well-defined structure for internal assurance is established.
10© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
6. Integrity
1. The company does not invest in GRC processes for the sake of appearances.
2. The board and CEO understand the personal risk associated with “ tick the box” governance.
3. The potential impact of GRC failures upon stakeholder parties is understood.
4. GRC reports to stakeholders are honest and transparent.
5. Management forums to address GRC matters are credible and effect ive.
6. Management enforcement of GRC policies and responsibilities is evident.
7. The CEO provides ethical leadership and creates an ethical climate.
8. Ethics are practiced in governance processes.
9. Values are defined and form part of monitoring and assurance act ivities.
10. The means with which to enforce and monitor ethics are implement ed.
11. The board is the company’s conscience and ensures the ethical tone is tested and reports
made available to the board.
5© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
1. Accountability
1. The board approves the company’s materiality value.
2. The board appoints, develops and fosters effective audit, risk, remuneration and nomination
sub-committees.
3. The company has visible executive leadership for GRC expectations and requirements.
4. The performance of GRC committees is independently reviewed per terms of reference.
5. Review mechanisms are applied to sustain GRC accountabilities.
6. The CEO monitors GRC performance in the context of the board’s strategic imperatives.
7. The CEO ensures that the (company complies w ith all relevant law s and regulations) and that
the company’s compliance system is robust and effective.
8. The CEO leads the adoption of the GRC plan.
9. The board through the leadership of the chairman establishes the ethical tone of the
company.
10. The board assigns central oversight of GRC to the CEO.
11© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
7. Communication
1. A common vocabulary for GRC processes and activities is documented.
2. Management is fully informed about the status of the GRC scorecard.
3. The board is fully informed about the company’s risk status viz. materiality values.
4. An early-warning system rapidly informs executives and the board of any impending
concerns.
5. Integrated and harmonised GRC reporting is submitted to executive management and the
board.
6. The company makes transparent and t imely disclosure of material matters to stakeholders.
7. GRC stakeholder reporting is relevant, understandable and comparable.
8. The company practices equitable treatment of shareholders.
9. The board promotes mutual respect between the company and its st akeholders.
10. An information management system enables efficient GRC data access.
Guiding
principles
(7.) Communication (1.) Accountability
(6.) Integrity (2.) Responsibility
(3.) Discipline(5.) Independence
(4.) Transparency
6© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
2. Responsibility
1. Management formulates a plan to operationalize governance, risk and compliance.
2. Thresholds on the GRC Scorecard are built in to operating performance targets.
3. The company’s Delegation of Authority policy document includes all GRC scorecard elements
and all GRC accountabilities.
4. The board ensures that management implements an effective compliance framework.
5. GRC responsibilities and scorecard objectives are incorporated into reward structures.
6. Change techniques are used to instill awareness of and support for GRC interventions.
7. The roles and responsibilities for GRC are formalized in a clearly defined structure.
8. The CEO nominates a GRC Officer to ensure enterprise-wide consistency.
9. Management emphasizes solutions to GRC challenges.
10. Management is responsible for stress-testing, risk simulations and challenging assumptions.
7© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
3. Discipline
1. Business processes balance performance with the board’s defined materiality value.
2. Management decisions consider the company’s defined materiality value.
3. Management quantif ies all material risks in monetary terms.
4. Improvement of risk mitigations is driven by a system of continuous improvement.
5. All of the key components of GRC are applied to the company’s top mission-crit ical
processes.
6. GRC interventions are drafted into the company’s operating policies and procedures.
7. Financial contingencies are designed and arranged in line w ith the company’s materiality
value.
8. Data, artefacts and research are used to update management on changes to the risk profile.
9. The cost of non-conformance is understood and actively managed.
10. Changes to the risk and regulatory environment are captured in GRC processes.
8© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
4. Transparency
1. An enterprise-w ide view of governance, risk and compliance information is applied.
2. The degree of risk being taken in pursuit of returns is understood and made known.
3. Unwanted GRC events do not take stakeholders by surprise.
4. Staff are adequately trained in and have ready access to all GRC policies, procedures and
guidelines.
5. The board discloses how it has satisfied itself that risk, control and compliance interventions
work.
6. Securitization arrangements, off-balance sheet liabilities and contingent liabilities are
disclosed.
7. Compensation policies are consistent with the risk appetite and long term performance of
the company and consistent with reasonable stakeholder expectations.
9© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
5. Independence
1. All governance, risk and compliance interventions must be intrusive.
2. Key controls and corrective actions are independently validated.
3. The right levels of material regulatory compliance are understood and independently
validated.
4. The Audit Committee approves an internal audit plan that is based on risk assessment
outputs.
5. An integrated assurance plan provides independent monitoring across the GRC spectrum.
6. The integrity of financial reporting is independently validated.
7. There is independent monitoring of management ’s GRC interventions.
8. Rules of independence for the GRC structures are documented.
9. Independent challenge of management assertions and assumptions is applied.
10. A well-defined structure for internal assurance is established.
10© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
6. Integrity
1. The company does not invest in GRC processes for the sake of appearances.
2. The board and CEO understand the personal risk associated with “ tick the box” governance.
3. The potential impact of GRC failures upon stakeholder parties is understood.
4. GRC reports to stakeholders are honest and transparent.
5. Management forums to address GRC matters are credible and effect ive.
6. Management enforcement of GRC policies and responsibilities is evident.
7. The CEO provides ethical leadership and creates an ethical climate.
8. Ethics are practiced in governance processes.
9. Values are defined and form part of monitoring and assurance act ivities.
10. The means with which to enforce and monitor ethics are implement ed.
11. The board is the company’s conscience and ensures the ethical tone is tested and reports
made available to the board.
5© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
1. Accountability
1. The board approves the company’s materiality value.
2. The board appoints, develops and fosters effective audit, risk, remuneration and nomination
sub-committees.
3. The company has visible executive leadership for GRC expectations and requirements.
4. The performance of GRC committees is independently reviewed per terms of reference.
5. Review mechanisms are applied to sustain GRC accountabilities.
6. The CEO monitors GRC performance in the context of the board’s strategic imperatives.
7. The CEO ensures that the (company complies w ith all relevant law s and regulations) and that
the company’s compliance system is robust and effective.
8. The CEO leads the adoption of the GRC plan.
9. The board through the leadership of the chairman establishes the ethical tone of the
company.
10. The board assigns central oversight of GRC to the CEO.
11© 2009 KPMG International is a Swiss cooperative. Member firms of the KPMG network of independent firms are affiliated w ith KPMG International.
GRC Guiding Principles
7. Communication
1. A common vocabulary for GRC processes and activities is documented.
2. Management is fully informed about the status of the GRC scorecard.
3. The board is fully informed about the company’s risk status viz. materiality values.
4. An early-warning system rapidly informs executives and the board of any impending
concerns.
5. Integrated and harmonised GRC reporting is submitted to executive management and the
board.
6. The company makes transparent and t imely disclosure of material matters to stakeholders.
7. GRC stakeholder reporting is relevant, understandable and comparable.
8. The company practices equitable treatment of shareholders.
9. The board promotes mutual respect between the company and its st akeholders.
10. An information management system enables efficient GRC data access.
Approccio ad un progetto
9 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Il modello illustra i requisiti necessari per un’efficace gestione di GRC tramite processi automatizzati (come i
workflow), un reporting integrato sui rischi e controlli e processi operativi sui sistemi/processi.
■ Gestione dell’archiviazione di dati e documenti
■ Visualizzazione dei risultati di test operativi svolti
■ Invio automatico di alert
■ Continuous Auditing e Monitoring (KPI, KRI, controlli, ecc.)
■ Gestione degli accessi e segregazione ai dati
■ Interfacce con sistemi esterni per analisi automatiche su
transazioni, dati, riduzione controlli manuali detective a favore
di controlli automatici preventivi
■ Gestione processi autorizzativi (tipici di tutte le Compliance)
■ Mappatura rischi e controlli a livello di attività, processo, ecc.
■ Gestione processi di review del management (es. 262/05)
■ Gestione flussi informativi verso il management deputato a funzioni di
controllo (es: 231/01)
Implementazione di un modello
■ Reporting integrato sui Rischi
■ Dashboards sui Controlli
■ Reporting Integrato sulla Compliance (RCM per normativa)
10 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Selezione degli strumenti di GRC
■ La selezione o definizione di un sistema GRC, può configurarsi in diverse maniere:
– Sistemi GRC sul mercato
– Sistemi di BPM workflow, collaboration e sistemi documentali
– L’utilizzo delle funzionalità già presenti negli ERP
– Strumenti di BI per eseguire il reporting e dashboard
– Strumenti di Continuous Auditing e Continuous Monitoring
Controlli/Test
Processi
Strategico ME7 Step i2.0
ME7 Step 2 Design & plan
ME7 Step 4 Analyze & Evaluate
ME7 Step 3 Construction
Supportive
From Improve Plant
DMG PRJ 2 Engineering ontwerp & plan
DMG PRJ 3 Uitvoeren project
DMG PRJ 4 Analyseren project
DMG PRJ Project uitvoering & monitoring
DMG PRJ Project settlement
DMG PRJ CATS Tijd schrijven
DMG PRJ i2.0 Overdracht IP naar Projects
Purchasing Warehouse
management Manufacturing
Sales &
Distribution
11 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Esemplificazione di una analisi comparativa
Operational Tactical Strategic Overall
Access
Control/
SoD
Continuous
Monitoring
Process Controls
IT Controls
Policy & Proc Mgmt.
Risk Mgmt.
Comp. Mgmt.
Audit Mgmt.
Risk Profiling
Reporting/ Dashboard
Broad GRC Capabilities
Geography Ease of Use
Enterprise GRC Analisi
Software A
Software B
Software C
Software D
Software E
Software F
Software G
Software H
Obiettivo raggiunto:
Completo
Gran parte
Limitato
Nessuno
Parziale
L'analisi illustrata, è indicativa dell’approccio, si può basare sulle informazioni raccolte
da varie fonti, quali i fornitori di software, esperienze maturate su clienti, e report di
analisti. Questo tipo di analisi è puntuale e può essere soggetta a modifica in base a
aggiornamenti sull’evoluzione del software.
SAP GRC
Case study
Process Control
13 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Background SAP ha iniziato ad acquistare tool nel corso del 2007 per integrare la suite di base GRC. I tool principali
integrati sono stati Virsa (per l’analisi dei profili e segregation of duties) e Business Objects (analisi e
reporting dei dati). I principali moduli della suite GRC:
■ GRC Risk Management: gestisce processi di Assessment e Reporting sui rischi (sia rischi di
Compliance, finanziari che rischi operativi);
■ GRC Process Control (vecchio modulo MIC): documenta processi e i controlli con relativo Reporting (è
integrato con gli altri due moduli);
■ GRC Access Controls (vecchio Virsa): gestisce la sicurezza delle utenze e i relativi ruoli e profili. Ha
interfacce automatiche con modulo Sicurezza SAP.
Risk
Compliance & Controls
SAP GRC Risk Management
SAP GRC
Access Control
Risk Analysis Remediation
Enterprise Role Management
Superuser Management
Compliance User Provisioning
SAP GRC
Process Control
Process Control
SAP GRC
Overview SAP GRC V.10
14 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Process control
■ Creazione della struttura
organizzativa
■ Creazione dei processi, rischi,
controlli, test, issue, remediation
■ Archiviazione documentale
■ Workflow approvativi
■ Reporting
Funzionalità
Perform Assessments
Test Automated Controls
Test Manual
Controls
Do
cu
me
nt
Eva
lua
te
Mo
nit
or
Ce
rtif
y
Certify and Sign Off (302, 404, …)
Remediate Issues
System of Internal Controls: Process-Control-Objective-Risk
Monitor Exceptions
IT Infrastructure
Business Processes
…
Source: SAP
15 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Fasi progettuali
■ Materiale del Training
■ Manuale utente
Obiettivi Deliverable KPMG Implementation
Methodology
■ Piano di lavoro di dettaglio
■ Manuale di progetto
■ Manuale di gestione della
configurazione
■ Manuale del collaudo
■ Presentazione del Kick-off
■ Requisiti Utente
■ BPML Business Process Master List
■ Business BluePrint
■ Analisi tecniche
■ Manuale del customizing
■ Giornale della configurazione
■ Registro di configurazione
■ Documenti di collaudo
■ Giornale delle anomalie
Project
Preparation
Business
Blueprint
Realization
Final
Preparation
Go-live and
Support
■ Definizione dello scope di progetto
e del ‘planning’ con milestones e
deliverables da rilasciare
■ Analisi dell’attuale Modello di
Compliance 262
■ Mappatura dei requisiti utente
■ Definizione del 'Modello To-Be'
■ Progettazione dei requisiti per la
software selection
■ Approvazione Business BluePrint
■ Configurazione del modulo SAP GRC-
PC-RM
■ Svolgimento unit test ed integration
test
■ Prototipi/Workshop
■ Formazione ai Key-users
■ Migrazione dei dati
■ Avvio del sistema in produzione
■ Supporto agli utenti
16 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Architettura generale implementata
Risk / Controls Matrix
Audit Management
Risk Management
Compliance Management
Remediation Management
Policy Management
Cert
ific
ati
on
Co
llab
ora
tio
n a
nd
Wo
rkfl
ow
Po
licy M
ap
pin
g
Preventive
Detective
Corrective
Enterprise GRC Platform
An
aly
tics
Self
-assessm
en
t
Vis
ualizati
on
Rep
ort
ing
Business
Intelligence
Business
Application
Specialized GRC
Applications
Enterprise
Content
Management
Control
Automation and
Monitoring
Risk
Management
and Compliance
professionals
Process Owners
Executives
Auditors Board
Inte
gra
tio
n -
au
tom
ati
on
GRC Process
Technology
Components
Users Services
Future Steps C
on
ten
t M
an
ag
em
en
t
Meta
data
Man
ag
em
en
t
Dev
elo
pm
en
t
Modello GRC
sulla piattaforma
SharePoint
Case Study
18 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Gestione della Compliance: il modello integrato
Progetti
SOX
Piattaforma tecnologica integrata di supporto
Assessment Planning Design Implementation Review &
Improvement
Progetti
262
Progetti
231 Altri Progetti
Gestione integrata della Compliance
Rischi
Processi
Controlli
Realizzazione e gestione di progetti
integrati di Compliance, con un’unica piattaforma tecnologica di supporto
19 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Modello GRC sulla piattaforma SharePoint di KPMG
Modulo di gestione delle Compliance e risk management
La capacità di 'aggregazione' del dato è alla
base della funzionalità strategica del Modello
Esistono differenti report:
■ reportistica di dettaglio per singola normativa;
■ reportistica 'aggregata' per tutte le normative;
■ in relazione alle necessità, è possibile
'customizzare' il modello per ottenere ulteriori
rappresentazioni grafiche.
Esempio: cruscotto riassuntivo di Compliance per
tutte le normative
Il cruscotto è costituito da un insieme di report grafici che
'riassumono' i dati relativi ai rischi, controlli e valutazioni.
In particolare:
■ tabella riassuntiva dello stato delle valutazioni per
ciascuna normativa;
■ grafici SAL di sintesi dello stato di esecuzione dei
lavori.
20 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Remote
Function
SAP/
Altri
Sistemi
1° liv
ello
Import ed Analisi in
SQL - Office 2° liv
ello
n° liv
ello
■ Alert
■ WF
■ Registrazioni
esiti eccezioni
■ Alert
■ WF
■ Registrazioni
esiti eccezioni
Modello GRC sulla Piattaforma SharePoint di KPMG
Modulo di gestione del Continuous Auditing e Monitoring
21 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Lo strumento di Continuous Audit e Continuous Monitoring di KPGM Italia offre la possibilità di accedere alle
funzionalità ed alle informazioni presenti in SAP e BW attraverso:
■ Query
■ BW Cube
■ BAPI
■ BW Loader
■ Report
■ Tabelle
■ Procedure ABAP (function, …)
Attraverso questi strumenti è possibile
disporre di una soluzione robusta, flessibile
e adattabile nell’automatizzare i controlli
richiesti sui dati di business.
■ E’ alimentata direttamente da SAP;
■ E’ possibile pianificare e schedulare le estrazioni;
■ Utilizzo di strumenti di reporting standard basati su Office e Sharepoint;
■ Uso semplice e intuitivo attraverso reporting realizzati per rispondere alle esigenze dell’utente finale .
Modello GRC sulla Piattaforma SharePoint di KPMG
Modulo di gestione del Continuous Auditing e Monitoring
22 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Modello GRC sulla Piattaforma SharePoint di KPMG (Case Study)
Legge 262/05, D.Lgs. 231/01, ERM
Il modello di gestione della Compliance integrata è un modello 'controllo-centrico', che individua a partire dalla
Risk Control Matrix la gestione integrata di controlli, test, issue, piani di remediation.
Il modello Integrato implementato presso il cliente ha compreso:
1. Modello 262/05
2. Modello 231/01
3. Modello ERM (Enterprise Risk Management)
4. Piani di Audit Risk Control Matrix
ID
Controllo
Processo
262
ID
CdV
Audit
Universe
BdV
Scoping 262
231
Risk Assessment
ReatiAttività
sensibili
ID
ControlloID GAP
ID
Follow
Attività
sensibili
Testing
ID
Controllo
ID
Test
ID
Test
GAP
ID
Controllo
ID
GAP
Follow Up
ID
Controllo
ID
Follow
ID
GAP
ID
Follow
Tipi di reato
Reato
WF
WF
WF
ID
Test
ID
GAP
ID
Test
Società
Processi 262
Sotto-processi
Aree-direzioni
BU-funzioni
Tipi di reato
Esempi di reato
Sistemi IT
Anagrafiche
Conto Processo
ID
Test
Audit
Universe
Attività
sensibili
ID
GAP
ID
Follow
WF
Scoping 262
Scoping 231
Gestione Compliance
Integrata
23 © 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG
International Cooperative ('KPMG International'), entità di diritto svizzero. Tutti i diritti riservati.
Modello GRC sulla Piattaforma SharePoint di KPMG (Case Study)
Gestione dei flussi informativi della Compliance integrata
E’ stato disegnato un modello che permette la gestione in GRC delle seguenti fasi:
■ Identificazione scoping;
■ Individuazione dei controlli;
■ Svolgimento dei test;
■ Gestione GAP e successivi Follow-Up.
Flussi
Scoping 262 Scoping 231
controlli
Testing
GAP
remediation
Control Owner 262
e/o Soggetto Apicale
Compliance Officer 262/231 OdV Flussi
Gestione dei flussi
Il modello permette la
gestione centralizzata dei
flussi da e verso i Control
Owner.
I flussi informativi sono
valevoli sia per più
Compliance sia per singola
Compliance essendoci una
gestione integrata dei control
owner 262/soggetti apicali.
Grazie
Contatti
Davide Grassano
Partner
KPMG Advisory S.p.A.
02-67632417 - 348 3080188
www.kpmg.com/it
© 2012 KPMG Advisory S.p.A. è una società per
azioni di diritto italiano e fa parte del network KPMG di
entità indipendenti affiliate a KPMG International
Cooperative ('KPMG International'), entità di diritto
svizzero. Tutti i diritti riservati.
Denominazione e logo KPMG e 'cutting through
complexity' sono marchi registrati di KPMG
International Cooperative ('KPMG International').