SAP Audit Management
Transcrição
SAP Audit Management
Soluções SAP para Governança, Riscos e Conformidade Pedro Falcão Consultor GRC SAP Brasil A Diferença SAP Alguns clientes referência mundiais de GRC © 2013 SAP AG. All rights reserved. 2 Soluções SAP para GRC Suite integrada e soluções de parceiro endossadas Endorsed Partner Solutions GRC for Industries and LoBs Reporting and Analytics SAP Solutions for GRC SAP Access Control* SAP Process Control* SAP GRC Access Approver (mobile) SAP GRC Policy Survey (mobile) SAP Global Trade Services SAP Sanctioned-Party List (mobile) SAP Fraud Management SAP Risk Management* (powered by SAP HANA) SAP Nota Fiscal Eletrónica Audit Management* GRC Shared Compliance Platform* Controls Hierarchies Policies Risk Response Product Updates User Experience NATIVE SAP ERP integration and integration to non-SAP ERP SAP © 2013 SAP AG. All rights reserved. Legacy Others 3 Criação Usuário E atribuição de Acessos Contratação Cálculo dos acesso Baseado em posições Verificação de SOD E remediação Workflow Sim Não HCM SAP NetWeaver Identity Management © 2013 SAP AG. All rights reserved. SAP BusinessObjects Access Control Gestor Landscape COM SSO 4 Gestão da Performance do Risco e Compliance SAP GRC KPI Redução do Custo de Compliance com um % da Receita Potencial de Melhoria 30-60% Redução de risco e violações de compliance 25-75% Maximiza o valor ao acionista 10-25% Descrição Racionalização das roles, redução de custos de compliance e de auditoria > # de multas, exposição a risco, penalidades de compliance, nível de regulatório e não compliace % de controles ineficazes < Taxa de sucesso em novas iniciativas estratégicas, aumento do apetite a risco, melhor fluxo de caixa Source: SAP Internal Value Engineering © 2013 SAP AG. All rights reserved. 5 GRC: Risk Management Monitorar proativamente os processos de negócio Existentes Identificar & Analizar Criar estratégias para a resolução de riscos que maximizam o capital disponível Identificar e avaliar todos os riscos chaves do negócio Planejar Responder Monitorar Gestão de Performace Corporativa Ajustada para Riscos Direcionar para os riscos de negócio, estratégicos e operacionais © 2013 SAP AG. All rights reserved. Automatiza e unifica o gerenciamento estratégico, financeiro, operacional e de conformidade. Protege o valor existente com monitoramento de riscos automaticos Cria um novo valor para a empresa incorporando riscos como oportunidades para o negócio 6 © 2013 SAP AG. All rights reserved. 7 Planejamento do Risco Det. Limiar de riscos © 2013 SAP AG. All rights reserved. 8 Planejamento do Risco Det. Limiar de riscos © 2013 SAP AG. All rights reserved. 9 Planejamento do Risco Det. Limiar de riscos © 2013 SAP AG. All rights reserved. 10 Planejamento do Risco Det. Limiar de riscos © 2013 SAP AG. All rights reserved. Identificação do Risco e Analise c/ Colaboração 11 Planejamento do Risco Det. Limiar de riscos © 2013 SAP AG. All rights reserved. Identificação do Risco e Analise c/ Colaboração 12 Planejamento do Risco Det. Limiar de riscos © 2013 SAP AG. All rights reserved. Identificação do Risco e Analise c/ Colaboração Resposta ao Risco c/ Balanceamento Risco X Oportunidades 13 Planejamento do Risco Det. Limiar de riscos Identificação do Risco e Analise c/ Colaboração Resposta ao Risco c/ Balanceamento Risco X Oportunidades Risk Dashboards “Out-of the box” online reports BW based reporting* Business Manager PDF print-out reports Monitoramento do Risco c/ Dashboards e Alertas Risk Manager Aggregation © 2013 SAP AG. All rights reserved. Flexibility 14 SAP Risk Management Funcionalidades Chave Benefícios Analise e Modelagem de Cenários Aumento da taxa de sucesso de iniciativas estratégicas Melhores Métodos de Avaliação Qualitativo e Quantitativo Integração com o Process Control Alocação de capital otimizada KRI’s monitorados a partir de sistemas fontes (ex: ERP, CRM, SCM, etc) Menos custo de gestão de risco suportado pela automação Integração com o SSM Simplificação dos esforços de gestão de riscos na cocorporação Questionarios off-line com Adobe forms Gestão de Incidentes Integrada Gestão de Oportunidades Integradas Crystal Reports e Xcelsius Analytic Dashboards embarcados © 2013 SAP AG. All rights reserved. Redução do número de enventos de perda 15 SAP GRC Process Control Monitorar Certificar Gestão de Controles de Processos e monitoramento contínuo Certificados e Finalização (302, Designs,…) • Suporta Revisar Exceções Problemas de Remediação controle empresarial “end-to-end” com uma única solução Reduz custos sem comprometer conformidade • Provê gestão centralizada para controles manuais e automatizados Teste de Controles Automáticos Teste de Controles Manuais Realizar Avaliações Processos de Negócio … Documentar Testar Aumenta a confiança na efetividade dos controles Gestão de Riscos para o Negócio Efetiva • Habilita gestão por exceção • Prioriza atividades de remediação • Provê visão gerencial no ambiente controlado IT Infrastructure Processo-Controle-Objetivo-Risco © 2013 SAP AG. All rights reserved. 16 Etapas Mapear os Controles © 2013 SAP AG. All rights reserved. Aval/Teste Analise & Remediação Relatórios 17 3 Maneiras de Monitorar Controles em Processos Críticos de Negócio Selecionar Re-uso Testes pré-entregues Testes customizados Testes são entregues previamente com regras e critérios para SAP e Oracle © 2013 SAP AG. All rights reserved. É possível anexar scripts já existentes de forma plug-and-play Construir Testes Ad-hoc Criação de controles de testes “on-the-fly” 18 Monitoramento Contínuo de Controles Entrega pacotes de Regras para acelerar o início do Monitoramento Procure to Pay Process Implem. De Acordos Estratégicos Execução Pagamento Identif. E Qual. Aval. De Fornec. Cotações As políticas de compras foram Seguidas Nos contratos fechados? Negoc. Contrato Vencedor Aplic. Aplic. Termos Criação de Regras de Dos acordos Ordem de Fornecimento E Condições Compra Liberação De Ordem de Compra p/ Fornecedor Receb. dos Materiais ou Inspeçõa dos Serviços Está alguma Ordem irregular? Pagamento Receb. De Do NFE Fornecedor Existe alguma ordem de compra Paga 2 vezes? Melhoria Contínua © 2013 SAP AG. All rights reserved. © SAP 2008 / Page 19 © SAP 2008 / Ajuste Analise de De Performance Contrator Os fornecedores Chave estão Entregando no tempo acordado? 19 Etapas Mapear os Controles © 2013 SAP AG. All rights reserved. © SAP 2009 / Aval/Teste Analise & Remediação Relatórios 20 Entrega Avaliações Flexíveis Criação de pesquisas flexíveis, agendamento e roteamento Administra Avaliações para desenho de processos, desenho de controles, “entitylevels”, etc. Informações de Referencia e guia de instruções para usuários eventuais. © 2013 SAP AG. All rights reserved. 21 Etapas Mapear os Controles © 2013 SAP AG. All rights reserved. © SAP 2009 / Aval/Teste Analise & Remediação Relatórios 22 Acelere o tempo de Resolução com a Gestão de casos de Remediação • Priorização Automatizada foca em recursos/exceções de alto impacto (ex: perda financeira, imagem e saúde ocupacional, etc...) • Roteamento automático e notificação assegura que nada falte perante um risco de fraude Deploy Automated Controls Business Processes Test Manual Controls Perform SelfAssessments • Discussão dirigida das atividades de resolução provê evidencias para auditores externos … IT Infrastructure © 2013 SAP AG. All rights reserved. 23 Relatórios Customizados © 2013 SAP AG. All rights reserved. 24 SAP Process Control Funcionalidades Chave Controles geridos em um ambiente centralizado Automatizar controles reduzindo falhas de processos Permitir a rápida adoção das melhores Práticas de controle de processos em aquisições Maior eficiência no controle de processos SAP e não SAP Oferecer “tracking” de informações com evidencias de conform. de SOX Maximizar a agilidade no processo de certificação © 2013 SAP AG. All rights reserved. Benefícios Sistema centralizado para controles Pontos de controle automatizados Scripts de controle do monitoramento automatizado pré-configurado Processamento automatizado de casos de remediação e geração de exceções Reutilização de controles e práticas existentes Monitoramento do processo de ponta a ponta Rastreamento de auditoria e geração de evidencias Processo de certificação baseado no workflow, assegurando a responsabilidade na organização 25 SAP Access Control Visão Geral da Solução As Rules são todas as combinações possíveis (n:n) entre transações conflitantes. Por ex. função AP99: FB05, FB1K possui conflito com função PR99: FK01, FK10. As rules seriam: FB05 x FK01, FB05 x FK10, FB1K x FK01 e FB1K x FK10 RELATÓRIOS EM TEMPO REAL PARA SISTEMAS SAP E NÃO-SAP © 2013 SAP AG. All rights reserved. 27 Simula alterações para prevenir violações adicionais Análise de ‘What-if’ para mudanças de usuários, funções, perfis e objetos de RH Benefícios Chave Ganhe visibilidade sobre como as mudanças nas funções/perfis impactam as autorizações existentes dos usuários ‘Fique limpo’ prevenindo novos riscos de serem introduzidos Reduza violações de conformidade © 2013 SAP AG. All rights reserved. 28 Gerencia o acesso emergencial Provê um gerenciamento do ciclo fechado do acesso emergencial para garantir e monitorar os acessos emergenciais Define Provision Monitor Benefícios Chaves Review 100% out-of-box, processo auditável Centralmente aprova e gerencia o acesso emergencial para todos os sistemas SAP Inconsistências de superusuário são resolvidas e acompanhadas online Reduz autorizações repetitivas, de fácil administração © 2013 SAP AG. All rights reserved. 29 Casos de Sucesso: SAP GRC Access Control KPI Benefício Cliente 91% Conflitos de Acesso Redução de Habilidade para resolver conflitos 80% a 90% mais rápido Habilidade para completar auditorias internas 75% mais rápido Nível de risco de segurança da informação Redução de Preparação de relatórios de auditoria 60% mais rápido Transações por perfis 30% menos 87% transações Fonte: Casos de Success SAP © 2013 SAP AG. All rights reserved. 30 SAP AUDIT MANAGEMENT SAP Audit Management Transform audit. Move beyond assurance Gerencia Monitora Monitora a disposição dos resultadaos reportados a gerencia Estabelece um plano baseado em risco, prioriza atividade e alinha com necessidades corporativas Planeja Comunica Desenvolve e documenta um plano para cada objetivo Comunica os objetivos, escopo, conclusões e recomendações Avalia Identifica, analiza e documenta informações relevantes © 2013 SAP AG. All rights reserved. 32 SAP Audit Management Key Benefits Simples e intuitivo Uma interface p/ todos dispositivos Autorizações baseada em papéis Usuários podem configurar e adicionar funcionalides no seu “home” a partir do menu inicial © 2013 SAP AG. All rights reserved. Suporte a customizações 33 SAP Audit Management 1.0 Gerencia a atividade de auditoria Estabelece um framework de investigação de riscos e priorização Comunica planos e os requerimentos de recursos Entrega e prepara os recursos Prove realatórios gerenciais a respeito da execução do plano de auditoria Back © 2013 SAP AG. All rights reserved. 34 SAP Fraud Management Detecta – Investiga – Previne – Melhora a Performance Detecta Fraudes em tempo real e online, durante os processos, via a analise de massas de dados Investiga transações fraudulentas eficientemente com a gestão de alertas e a ferramenta que analiza rede. Previne fraudes através de estratégias multi-papeis para calcular “scores” de risos e parar transações Melhora a Performance: A ferramenta de calibração e simulação, permite que em tempo que dados atuais e histórico otimizes as estratégias de detecção real Powered by SAP HANA – Solução Escalável de alta performance da SAP © 2013 SAP AG. All rights reserved. 35 Soluções SAP operando juntas LoB A SAP Process Control LoB B LoB C Business SubProcess 3 Business SubProcess 2 Internal controls and compliance management SAP Fraud Management Business SubProcess 4 Business SubProcess 1 Business SubProcess 5 Detection Investigation Business SubProcess 6 Performance Analysis Business Data SAP Predictive Analysis Alerts Algorithm s Advanced pattern analysis Rules & Models © 2013 SAP AG. All rights reserved. 36 Duvidas? [email protected] © 2014 SAP AG. All rights reserved. No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP AG. The information contained herein may be changed without prior notice. Some software products marketed by SAP AG and its distributors contain proprietary software components of other software vendors. Microsoft, Windows, Excel, Outlook, PowerPoint, Silverlight, and Visual Studio are registered trademarks of Microsoft Corporation. IBM, DB2, DB2 Universal Database, System i, System i5, System p, System p5, System x, System z, System z10, z10, z/VM, z/OS, OS/390, zEnterprise, PowerVM, Power Architecture, Power Systems, POWER7, POWER6+, POWER6, POWER, PowerHA, pureScale, PowerPC, BladeCenter, System Storage, Storwize, XIV, GPFS, HACMP, RETAIN, DB2 Connect, RACF, Redbooks, OS/2, AIX, Intelligent Miner, WebSphere, Tivoli, Informix, and Smarter Planet are trademarks or registered trademarks of IBM Corporation. Linux is the registered trademark of Linus Torvalds in the United States and other countries. Adobe, the Adobe logo, Acrobat, PostScript, and Reader are trademarks or registered trademarks of Adobe Systems Incorporated in the United States and other countries. Oracle and Java are registered trademarks of Oracle and its affiliates. UNIX, X/Open, OSF/1, and Motif are registered trademarks of the Open Group. Google App Engine, Google Apps, Google Checkout, Google Data API, Google Maps, Google Mobile Ads, Google Mobile Updater, Google Mobile, Google Store, Google Sync, Google Updater, Google Voice, Google Mail, Gmail, YouTube, Dalvik and Android are trademarks or registered trademarks of Google Inc. INTERMEC is a registered trademark of Intermec Technologies Corporation. Wi-Fi is a registered trademark of Wi-Fi Alliance. Bluetooth is a registered trademark of Bluetooth SIG Inc. Motorola is a registered trademark of Motorola Trademark Holdings LLC. Computop is a registered trademark of Computop Wirtschaftsinformatik GmbH. SAP, R/3, SAP NetWeaver, Duet, PartnerEdge, ByDesign, SAP BusinessObjects Explorer, StreamWork, SAP HANA, and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP AG in Germany and other countries. Business Objects and the Business Objects logo, BusinessObjects, Crystal Reports, Crystal Decisions, Web Intelligence, Xcelsius, and other Business Objects products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of Business Objects Software Ltd. Business Objects is an SAP company. Citrix, ICA, Program Neighborhood, MetaFrame, WinFrame, VideoFrame, and MultiWin are trademarks or registered trademarks of Citrix Systems Inc. Sybase and Adaptive Server, iAnywhere, Sybase 365, SQL Anywhere, and other Sybase products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of Sybase Inc. Sybase is an SAP company. HTML, XML, XHTML, and W3C are trademarks or registered trademarks of W3C®, World Wide Web Consortium, Massachusetts Institute of Technology. Crossgate, m@gic EDDY, B2B 360°, and B2B 360° Services are registered trademarks of Crossgate AG in Germany and other countries. Crossgate is an SAP company. Apple, App Store, iBooks, iPad, iPhone, iPhoto, iPod, iTunes, Multi-Touch, Objective-C, Retina, Safari, Siri, and Xcode are trademarks or registered trademarks of Apple Inc. All other product and service names mentioned are the trademarks of their respective companies. Data contained in this document serves informational purposes only. National product specifications may vary. IOS is a registered trademark of Cisco Systems Inc. RIM, BlackBerry, BBM, BlackBerry Curve, BlackBerry Bold, BlackBerry Pearl, BlackBerry Torch, BlackBerry Storm, BlackBerry Storm2, BlackBerry PlayBook, and BlackBerry App World are trademarks or registered trademarks of Research in Motion Limited. © 2013 SAP AG. All rights reserved. The information in this document is proprietary to SAP. No part of this document may be reproduced, copied, or transmitted in any form or for any purpose without the express prior written permission of SAP AG. 38 Thank You!