IT-gestütztes Compliance-Management für SOX und Basel II Kosten
Transcrição
IT-gestütztes Compliance-Management für SOX und Basel II Kosten
IT-gestütztes Compliance-Management für SOX und Basel II Kosten und Qualitätsvorteile durch Ablaufstandardisierung Dr. Elmar Paul Selbach Inhalt 9 Überblick Beratungspektrum HCLT 9 Compliance Management 9 Kundenbeispiele 9 Basel II - Sarbanes Oxley Frameworks 9 Zusammenfassung Überblick HCLT Globaler IT Dienstleistungskonzern mit Niederlassungen in 15 Ländern 30.000 Mitarbeiter Hauptsitz der Holding: New Delhi Dienstleistungsportfolio: Software und Beratung Anwendungsentwicklung Consulting, Anwendungsentwicklung, Test, Implementierung, Data Warehousing, Packaged Services Consulting: SCM, CRM, B2B and ERP, BI, EAI Internet / E-commerce Dokumentenmgmt, Network Design, Imaging , Workflow, Infrastruktur Management IT Support Services Call Center Betrieb, technical help desks, Business Process Outsourcing (BPO) Technologieentwicklung ASIC, embedded, CAD, CAM and CAE, PDM/PLM, verification and validation, software and hardware product engineering, testing, Überblick Beratungsspektrum Business Consulting Services Process/ Application Consulting Risk Management Consulting Application Portfolio Optimization (APO) BPO Consulting Business Process Reengineering (BPR) Enterprise Architecture Planning Business Performance Consulting Corporate Performance Management (CPM) SOX Financial Controls IT Controls Enterprise Risk Management (ERM) Basel II Compliance Management Spannungsfeld Compliance Management Informations -technisch Ökonomisch Ethisch Juristisch ENRON Compliance Management HR Prozesse (Gewerkschaften, Gleichstellungsverordnung,...) (Markenrecht, lokale Gesetze, Informationssperren,...) Geographisch Regulatorisch (AS/NZS4360, Turnbull,...) Turnbull,...) (EU Richtlinien, GVo, GVo, ...) Technologisch (Umstellung IT von Mainframe auf Websysteme, Einfü Einführung BI...) Überblick Compliance Management Risikomanagement + Corporate Governance = Compliance Management € € € € € € € € € € € € Basel II Sarbanes Oxley Act KonTraG ISO Normen Globalisierung Offshore Outsourcing (BPO) MaRisk Umsatzsteuerkarussell Geldwäscheprävention Gruppenfreistellungsverordnung EU Regulierungen ..... Compliance betrifft die meisten Geschäftsprozesse…. Deshalb: Geschäftsprozessanalyse zuerst Die Regeln beziehen sich auf die Aufbauorganisation – die Umsetzung geschieht in der Ablauforganisation.... Vorgehensmodell Geschäftsprozesse analysieren + Geschäftsprozesse erneuern + Einführung von Werkzeugen + Business Process Re-Engineering + Validierung + Test ___________________________ Σ Kosten Workflow orientierte IT gestützte Umsetzung ______________ Σ Kostenreduzierung Ziel: Erfüllung der Vorgaben+Kosteneinsparungen Beispiele IT Implementierung Kunden •Global agierende Bank SAP ERP •Systems Integrator in Japan: ERP Software: Oracle •Consumer Services Firma (Bankautomaten, Kopierer etc.) Oracle ERP •Hersteller von Industriegasen in Europa, Amerika, Afrika und Asien. SAP ERP •United Technologies Corporation (Tochterfirma) •Retail Unternehmen ERP System JDEdwards Beispiele IT Implementierung: Basel II Überblick Basel II Enterprise-wide risk management Financial institutions to take a holistic view of various risks Policies and implementation strategies should be in place to identify, measure, analyze, manage and report enterprise-wide risk Implications and business requirements Measurement of risk components internally 2 years of past data at the time of implementation, 5 years of past data at the time of complete transition (3 years after implementation) Increased capital needs if accord is not implemented Banking Book exposures as well as Trading Book exposures should be covered Säule 1 und 3: Integration mit OpRiskShelter™ und Abbildung in der IT Basel II: Risikomanagment mit BPM Werkzeug •Abbildung des Workflows •Verteilung Task, Activities •Konzept für Dokumentation •Handlungsempfehlungen •Ergebnisumsetzung in BW/BI Systeme Basel II: Overview of OpRisk Shelter Created by bankers and techno bankers with Basel I implementation experience Framework and reusable components based approach to implementing OpRisk solution Flexible Open standards based architecture Advanced Scorecard model for computing capital requirement Flexibility to integrate proprietary analytical models Extensive reporting module with a large library of standard reports Well defined loss database structure for collecting loss information Open APIs for import and export of data Integrated with CxO dashboard for viewing KRIs at multiple levels with data mining facilities Extensive audit capabilities Robust, scalable integrated with other systems /data warehouses Integrates Dynamic Workflow Beispiele IT Implementierung: Sarbanes Oxley Grundlage: vorhandene Frameworks FINANCIAL CONTROLS (Payables, Receivables, Fixed Assets, Payroll, etc.) COSO Framework IT CONTROLS (General IT controls, Application controls) COBIT Framework SOX Compliance Implementierung FINANCIAL CONTROLS (Payables, Receivables, Fixed Assets, Payroll, etc.) IT CONTROLS (General IT controls, Application controls) Testing Compliance Ablaufplan Control Objectives Risk Assessment & Control Matrix Process Flow & Controls Report Gap Analysis & Remediation Plan Testing Strategy & Test Plans/Cases Test Reports & Remediation Plans SOX Compliance – Static Solution (Dashbord) •Documentation of current business processes •Mapping of control activities to business processes •Design of metrics Assessment of overall control environment •Periodicity of monitoring AS IS Process Documentation Compliance Gaps •Fulfill key control activities •Test effectiveness of controls through specific testing methodology •Identification of risks •Assessment of current control activities in place to mitigate identified risks • Identify control activities that are •Required but do not exist •Design corrective action plans to overcome •Deficient or nonexistent control activities •Identification of key control objectives Corrective Action Plans Implementation of Corrective Action Plans •Exist but are not adequate to mitigate identified risks • Blueprint for implementation of corrective action plans •Partner customer in implementation Testing •Design of metrics •Periodicity of monitoring Monitoring Dynamische Lösung •Roles, Tasks, Activities als Vorgaben •Veränderbar durch neue Zuordnung •Keine Neuprogrammierung erforderlich Compliance Management kann Kosten sparen und die Business Kultur verbessern… Kosten durch SOX Implementierung: durchschnittlich 3-4 Millionen US$ Einsparungen durch Verbesserung und Einführung von BPM Methoden und Tools: ca. 40% Aber: Änderungen in den zugrunde liegenden Regelwerken können die Einsparungen zunichte machen Dynamische Workflow Lösung kontert das Problem Zusätzlich: Gewinn durch vergrößerte Flexibilität der Ablauforganisation übersteigt Kosten Fazit: Durchdachte Umsetzung verbessert die Ablaufstrukturen Business Process Management wird deutlich vereinfacht, da man Strukturen hat, an denen man sich orientieren kann Mit den richtigen Werkzeugen ist CM eine Basis für verbesserte Business Performanz Backup Slides Beispiel: Flowchart – Payroll Process A CL III.1.2.1/ CL III.1.2.3 Start Li stCompl ete? Prepare Empl oyee T i mesheet 1 Input workhours/ payrol l adj ustments Input workhours CL III.1.2.1 CL III.1.2.3 CLIII.1.3 CLIII.4.1.1 Field Labour System Import Approve CL III.4.1. 2 Manager/ Supervi sor CL III.4.1. 1 CL III.1.3 CLIII. 4.3 File documents 6 T ransmi t fi l e 7 T ransmi ssi on Successful ? Paydata Summary Report CL III.2.1 T ake backup of payrol l data Sal ary/ Wage Rates ADP Reports Match? Yes CLIII. 4.4 2 Weekl y Payrol l InputReport Resol ve di screpanci es No Yes 3 No No Resol ve di screpanci es Yes 8 ADP Processi ng Pay stubs/ Deposi t sl i ps/ Reports Prepare batches 4 5 CLIII.4.. 2 Li st of Batches Downl oad Reports Setup new cycl e i n ADP 9 A B Workflow Transition: Dynamic Solution Testing Strategize Test Plans, Test Cases & Resources Test, Evaluate & Report Implement Remedial Plans Testing of Internal Controls • Developing Testing Strategy • Developing Test plans and Test Cases • Identifying Resources for Testing • Performing Testing of Controls • Documenting Test Results • Evaluating Test Results • Developing and Implementing Remedial plans