sap grc ac - sap finance day
TRANSCRIPT
Transformatie van de risico en controle omgeving... door implementatie van SAP GRC AC November 2012
www.pwc.nl
PwC
Introductie
2
Thomas R. Malthusstraat 5 Postbus 90351 1006 BJ Amsterdam T: 088 792 50 65 F:088 792 96 62 M: 06 20 60 76 00 [email protected] Duncan Rentenaar System & Process Assurance
http://nl.linkedin.com/pub/duncan-rentenaar/2/458/277
Transformatie van de risico en controle omgeving... november 2012
PwC
Transformatie van de risico en controle omgeving
Transformatie van de risico en controle omgeving...
3
november 2012
Tijdens de jaren 1990 en begin 2000 hebben organisaties grootschalige business transformatie trajecten uitgevoerd om te gaan naar enkelvoudige ERP systemen
In de komende 5 jaar streven organisaties naar verbetering van interne beheersing door het samenbrengen van risico’s, beheersmaatregelen en compliance activiteiten in één dynamisch en technologisch systeem…
… en reduceren daarmee de kosten van compliance en vergroten inzicht, zichtbaarheid en verantwoordelijkheden ten aanzien van risico’s en beheersing binnen de organisatie
PwC
Waarom stappen organisaties over op SAP GRC Access Controls?
1. Beheersen van risico’s/meer zekerheid • Opvolging van audit bevindingen • Fraudegevallen • Continu bewaken van risico’s door geven van inzicht in “Wie kan wat?” en “Wie
doet wat?” • Verbeterde rapportage/trendanalyse, registratie en opvolging van issues • Bewaken activiteiten van super users
2. Efficiënter beheer • Tijdsbesparing beheer rollen en gebruikers • Automatische SoD analyse vooraf beperkt handmatige analyses • Beperking handmatige acties door toepassing workflow • Minder tijd benodigd voor correctieve maatregelen
3. Ambitie • Kwaliteitsimpuls • Optimalisatie van processen • State-of-Art oplossing (Me-Too/ Me-First)
Transformatie van de risico en controle omgeving...
4
november 2012
PwC
Algemene aanpak
Transformatie van de risico en controle omgeving...
5
november 2012
Assess Design Construct Implement Operate and Review
Project preparation Business Blueprint Realisation Final Preparation Go-Live & Support
• Scope (AC modules)
• Business case • Team • Define
landscape & install tool and develop rapid start plan for implementation
• …
• Design target operating model
• Create business blueprint (per GRC AC module, rule set, workflow, etc)
• …
• Define master data and parameters
• Build and implement authorisation rules
• …
• Training • Perform
readiness check • Implement
processes • Monitoring • …
• Go-Live • Incident
management • Build
roadmap for continuous roadmap (Get Clean = remediation and Stay Clean
Strategic direction
Structure
Facillities
Process/ service
People & Organisation
GRC Technology
Change management
Program delivery
Gebruik van templates & accelerators om het project te versnellen
PwC
Het gebruik van Templates & Accelerators
Transformatie van de risico en controle omgeving...
6
november 2012
SAP GRC AC Implementation
PwC Accelerators
Project Preparation
Accelerate AC implementation program and methodology
Business Case, Benefits and KPIs
Demo material (PwC dedicated Sandbox environment)
GRC AC implementation hardware sizing guide
AC technical architecture template
Engagement Kick Off Deck
GRC and IDM Integration Discussion Deck
Common Problems and Issues (5.3)
AC 5.3 /10.0 Comparison, Enhancements and Key Benefits
Planning
Implementation approach for CUP, RAR, SPM, ERM
Option papers inc AC modules (CUP, RAR, SPM, ERM)
Project plans for each SAP GRC AC Module
Communication plan/ Status Update Template
Master Data
Rule Set Customization Presentation Template
Rule Set Workbook
AC 5.3 Ruleset converter (Rule Set design accelerator)
Mitigating Controls Documentation Template
Conflict Reporting and Remediation Strategy
Conflict Validation Template
Pre and post-migration validation procedures
User/Role/Security
Roles and responsibilities
Role Design workbook (role to authorisation matrix)
AC Security model
Process flow diagrams (role/tasks)
User & role maintenance processes
Configuration
Pre-Implementation Technical Validation Checklist
Configuration design guides and rationale for CUP, RAR, SPM
AC 5.3 security guide inc. permissions for back end & front end roles
Password Self-Service Design and Configuration Document:
Network and communications security guide
Post installation checklist document
Post implementation review guide
Workflow scenarios for CUP, RAR, SPM
CUP email templates
Testing/Go live
Testing strategy/approach documents for CUP, RAR, SPM
Go Live / End user communication template
AC testing scripts
Change Management Guideline
Post go live model and procedures
Standard Operating Procedures
Support model
Audit work programs for CUP, RAR, SPM
AC Policies and Procedure Document
Sample processes to ensure continuous compliance with the AC solution
SPM Monitoring guidelines
Training
End user training materials (functional)
End user training materials (technical)
How to guides / Quick Helps
Quick Reference Approver Guide
Job aids
PwC
De business Case - Kosten & Opbrengsten
Kosten
Tool kosten • Licenties • Onderhoud • Consultancy
IT gerelateerde kosten • Hardware • Installatie • Onderhoud
Implementatiekosten • PMO • Project team extern • Project team intern • GRC administratie
Opbrengsten
Tijd • Minder tijd benodigd voor beheer rollen en gebruikers • Automatische SoD controle beperkt handmatige analyse • Workflow reduceert handmatige acties • Minder tijd benodigd voor correctieve maatregelen
Monitoring • Continue monitoring van risico’s • Inzicht in: “Wie doet wat?” • Verbeterde rapportage/trendanalyse, registratie en
opvolging van issues
Toenemende mate van zekerheid • Verminderde kans op fraude
Externe accountant • Toenemende betrouwbaarheid voor externe accountant
waardoor mogelijk reductie van activiteiten
Transformatie van de risico en controle omgeving... november 2012
7
PwC
RAR, de basis voor Access Controls
Transformatie van de risico en controle omgeving...
8
november 2012
Aanpak voor een organisatie specifieke ruleset
PwC
Cliëntcases
• Toonaangevende organisatie in diervoeder industrie
• Marktleider in kunststof leidingen
• Leverancier van productiemachines halfgeleiderindustrie
9
november 2012 Transformatie van de risico en controle omgeving...
PwC
Cliënt: Diervoeder industrie (AC/PC)
Scope Access Controls
Risk Analysis & Remediation (RAR)
Superuser Privilege Management (SPM)
Compliant User Provisioning (CUP)
Enterprise Role Management (ERM)
Kenmerken
• CFO en Internal Audit als sponsoren
• Project naast SAP roll-out
• Training on the job
• Gezamenlijk project en verantwoordelijkheid
Problemen
• Geen eigen basis consultants
• Veel externe partijen
• Performance
10
november 2012 Transformatie van de risico en controle omgeving...
Fase 1 <25 dagen
Fase 2 <10 dagen
Fase 3 door cliënt met beperkte ondersteuning PwC
Wat heeft het opgeleverd
• Inzicht
• Betere beheersing bij Go-Live (roll-out)
• Verbetering van het autorisatie design
• Monitoring daadwerkelijk gebruik
• Reductie aantal risico’s
• Vereenvoudigd beheer
PwC
Cliënt: Marktleider kunststof leidingen (AC)
Scope Access Controls
Risk Analysis & Remediation (RAR)
Superuser Privilege Management (SPM)
Kenmerken
• CIO en controlling als sponsoren
• Technische installatie door eigen organisatie
• Betrokkenheid zeer ervaren autorisatiebeheerder
• Training on the job
• Naast inrichting tool ook meedenken over oplossen van issues
• Gezamenlijk project en verantwoordelijkheid
Problemen
• Geen
11
november 2012 Transformatie van de risico en controle omgeving...
Wat heeft het opgeleverd
• Inzicht
• Betere beheersing bij Go-Live (roll-out)
• Verbetering van het autorisatie design
• Reductie aantal risico’s
• Minder tijd benodigd voor beheer
Totaal <25 dagen
PwC
Cliënt: Leverancier productiemachines halfgeleiderindustrie (AC) Scope Access Controls
Risk Analysis & Remediation (RAR)
Superuser Privilege Management (SPM)
Kenmerken
• CIO en Internal Audit als sponsoren
• Implementatie gemanaged vanuit NL maar uitgevoerd in Singapore
• Technische installatie door eigen organisatie
• Training on the job
• Gezamenlijk project en verantwoordelijkheid
Wat heeft het opgeleverd
• Inzicht
• Verbetering van het autorisatie design
• Reductie aantal risico’s
• Monitoring daadwerkelijk gebruik
• Betere beheersing bij Go-Live (roll out)
12
november 2012 Transformatie van de risico en controle omgeving...
Totaal 25 dagen
Een beter begin...
© 2012 PwC. All rights reserved. Not for further distribution without the permission of PwC.
"PwC" refers to the network of member firms of PricewaterhouseCoopers International Limited
(PwCIL), or, as the context requires, individual member firms of the PwC network. Each
member firm is a separate legal entity and does not act as agent of PwCIL or any other
member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or
liable for the acts or omissions of any of its member firms nor can it control the exercise of their
professional judgment or bind them in any way. No member firm is responsible or liable for the
acts or omissions of any other member firm nor can it control the exercise of another member
firm's professional judgment or bind another member firm or PwCIL in any way.