sap grc ac - sap finance day

13
Transformatie van de risico en controle omgeving... door implementatie van SAP GRC AC November 2012 www.pwc.nl

Upload: sap-nederland

Post on 20-Aug-2015

634 views

Category:

Economy & Finance


5 download

TRANSCRIPT

Page 1: SAP GRC AC - SAP Finance Day

Transformatie van de risico en controle omgeving... door implementatie van SAP GRC AC November 2012

www.pwc.nl

Page 2: SAP GRC AC - SAP Finance Day

PwC

Introductie

2

Thomas R. Malthusstraat 5 Postbus 90351 1006 BJ Amsterdam T: 088 792 50 65 F:088 792 96 62 M: 06 20 60 76 00 [email protected] Duncan Rentenaar System & Process Assurance

http://nl.linkedin.com/pub/duncan-rentenaar/2/458/277

Transformatie van de risico en controle omgeving... november 2012

Page 3: SAP GRC AC - SAP Finance Day

PwC

Transformatie van de risico en controle omgeving

Transformatie van de risico en controle omgeving...

3

november 2012

Tijdens de jaren 1990 en begin 2000 hebben organisaties grootschalige business transformatie trajecten uitgevoerd om te gaan naar enkelvoudige ERP systemen

In de komende 5 jaar streven organisaties naar verbetering van interne beheersing door het samenbrengen van risico’s, beheersmaatregelen en compliance activiteiten in één dynamisch en technologisch systeem…

… en reduceren daarmee de kosten van compliance en vergroten inzicht, zichtbaarheid en verantwoordelijkheden ten aanzien van risico’s en beheersing binnen de organisatie

Page 4: SAP GRC AC - SAP Finance Day

PwC

Waarom stappen organisaties over op SAP GRC Access Controls?

1. Beheersen van risico’s/meer zekerheid • Opvolging van audit bevindingen • Fraudegevallen • Continu bewaken van risico’s door geven van inzicht in “Wie kan wat?” en “Wie

doet wat?” • Verbeterde rapportage/trendanalyse, registratie en opvolging van issues • Bewaken activiteiten van super users

2. Efficiënter beheer • Tijdsbesparing beheer rollen en gebruikers • Automatische SoD analyse vooraf beperkt handmatige analyses • Beperking handmatige acties door toepassing workflow • Minder tijd benodigd voor correctieve maatregelen

3. Ambitie • Kwaliteitsimpuls • Optimalisatie van processen • State-of-Art oplossing (Me-Too/ Me-First)

Transformatie van de risico en controle omgeving...

4

november 2012

Page 5: SAP GRC AC - SAP Finance Day

PwC

Algemene aanpak

Transformatie van de risico en controle omgeving...

5

november 2012

Assess Design Construct Implement Operate and Review

Project preparation Business Blueprint Realisation Final Preparation Go-Live & Support

• Scope (AC modules)

• Business case • Team • Define

landscape & install tool and develop rapid start plan for implementation

• …

• Design target operating model

• Create business blueprint (per GRC AC module, rule set, workflow, etc)

• …

• Define master data and parameters

• Build and implement authorisation rules

• …

• Training • Perform

readiness check • Implement

processes • Monitoring • …

• Go-Live • Incident

management • Build

roadmap for continuous roadmap (Get Clean = remediation and Stay Clean

Strategic direction

Structure

Facillities

Process/ service

People & Organisation

GRC Technology

Change management

Program delivery

Gebruik van templates & accelerators om het project te versnellen

Page 6: SAP GRC AC - SAP Finance Day

PwC

Het gebruik van Templates & Accelerators

Transformatie van de risico en controle omgeving...

6

november 2012

SAP GRC AC Implementation

PwC Accelerators

Project Preparation

Accelerate AC implementation program and methodology

Business Case, Benefits and KPIs

Demo material (PwC dedicated Sandbox environment)

GRC AC implementation hardware sizing guide

AC technical architecture template

Engagement Kick Off Deck

GRC and IDM Integration Discussion Deck

Common Problems and Issues (5.3)

AC 5.3 /10.0 Comparison, Enhancements and Key Benefits

Planning

Implementation approach for CUP, RAR, SPM, ERM

Option papers inc AC modules (CUP, RAR, SPM, ERM)

Project plans for each SAP GRC AC Module

Communication plan/ Status Update Template

Master Data

Rule Set Customization Presentation Template

Rule Set Workbook

AC 5.3 Ruleset converter (Rule Set design accelerator)

Mitigating Controls Documentation Template

Conflict Reporting and Remediation Strategy

Conflict Validation Template

Pre and post-migration validation procedures

User/Role/Security

Roles and responsibilities

Role Design workbook (role to authorisation matrix)

AC Security model

Process flow diagrams (role/tasks)

User & role maintenance processes

Configuration

Pre-Implementation Technical Validation Checklist

Configuration design guides and rationale for CUP, RAR, SPM

AC 5.3 security guide inc. permissions for back end & front end roles

Password Self-Service Design and Configuration Document:

Network and communications security guide

Post installation checklist document

Post implementation review guide

Workflow scenarios for CUP, RAR, SPM

CUP email templates

Testing/Go live

Testing strategy/approach documents for CUP, RAR, SPM

Go Live / End user communication template

AC testing scripts

Change Management Guideline

Post go live model and procedures

Standard Operating Procedures

Support model

Audit work programs for CUP, RAR, SPM

AC Policies and Procedure Document

Sample processes to ensure continuous compliance with the AC solution

SPM Monitoring guidelines

Training

End user training materials (functional)

End user training materials (technical)

How to guides / Quick Helps

Quick Reference Approver Guide

Job aids

Page 7: SAP GRC AC - SAP Finance Day

PwC

De business Case - Kosten & Opbrengsten

Kosten

Tool kosten • Licenties • Onderhoud • Consultancy

IT gerelateerde kosten • Hardware • Installatie • Onderhoud

Implementatiekosten • PMO • Project team extern • Project team intern • GRC administratie

Opbrengsten

Tijd • Minder tijd benodigd voor beheer rollen en gebruikers • Automatische SoD controle beperkt handmatige analyse • Workflow reduceert handmatige acties • Minder tijd benodigd voor correctieve maatregelen

Monitoring • Continue monitoring van risico’s • Inzicht in: “Wie doet wat?” • Verbeterde rapportage/trendanalyse, registratie en

opvolging van issues

Toenemende mate van zekerheid • Verminderde kans op fraude

Externe accountant • Toenemende betrouwbaarheid voor externe accountant

waardoor mogelijk reductie van activiteiten

Transformatie van de risico en controle omgeving... november 2012

7

Page 8: SAP GRC AC - SAP Finance Day

PwC

RAR, de basis voor Access Controls

Transformatie van de risico en controle omgeving...

8

november 2012

Aanpak voor een organisatie specifieke ruleset

Page 9: SAP GRC AC - SAP Finance Day

PwC

Cliëntcases

• Toonaangevende organisatie in diervoeder industrie

• Marktleider in kunststof leidingen

• Leverancier van productiemachines halfgeleiderindustrie

9

november 2012 Transformatie van de risico en controle omgeving...

Page 10: SAP GRC AC - SAP Finance Day

PwC

Cliënt: Diervoeder industrie (AC/PC)

Scope Access Controls

Risk Analysis & Remediation (RAR)

Superuser Privilege Management (SPM)

Compliant User Provisioning (CUP)

Enterprise Role Management (ERM)

Kenmerken

• CFO en Internal Audit als sponsoren

• Project naast SAP roll-out

• Training on the job

• Gezamenlijk project en verantwoordelijkheid

Problemen

• Geen eigen basis consultants

• Veel externe partijen

• Performance

10

november 2012 Transformatie van de risico en controle omgeving...

Fase 1 <25 dagen

Fase 2 <10 dagen

Fase 3 door cliënt met beperkte ondersteuning PwC

Wat heeft het opgeleverd

• Inzicht

• Betere beheersing bij Go-Live (roll-out)

• Verbetering van het autorisatie design

• Monitoring daadwerkelijk gebruik

• Reductie aantal risico’s

• Vereenvoudigd beheer

Page 11: SAP GRC AC - SAP Finance Day

PwC

Cliënt: Marktleider kunststof leidingen (AC)

Scope Access Controls

Risk Analysis & Remediation (RAR)

Superuser Privilege Management (SPM)

Kenmerken

• CIO en controlling als sponsoren

• Technische installatie door eigen organisatie

• Betrokkenheid zeer ervaren autorisatiebeheerder

• Training on the job

• Naast inrichting tool ook meedenken over oplossen van issues

• Gezamenlijk project en verantwoordelijkheid

Problemen

• Geen

11

november 2012 Transformatie van de risico en controle omgeving...

Wat heeft het opgeleverd

• Inzicht

• Betere beheersing bij Go-Live (roll-out)

• Verbetering van het autorisatie design

• Reductie aantal risico’s

• Minder tijd benodigd voor beheer

Totaal <25 dagen

Page 12: SAP GRC AC - SAP Finance Day

PwC

Cliënt: Leverancier productiemachines halfgeleiderindustrie (AC) Scope Access Controls

Risk Analysis & Remediation (RAR)

Superuser Privilege Management (SPM)

Kenmerken

• CIO en Internal Audit als sponsoren

• Implementatie gemanaged vanuit NL maar uitgevoerd in Singapore

• Technische installatie door eigen organisatie

• Training on the job

• Gezamenlijk project en verantwoordelijkheid

Wat heeft het opgeleverd

• Inzicht

• Verbetering van het autorisatie design

• Reductie aantal risico’s

• Monitoring daadwerkelijk gebruik

• Betere beheersing bij Go-Live (roll out)

12

november 2012 Transformatie van de risico en controle omgeving...

Totaal 25 dagen

Page 13: SAP GRC AC - SAP Finance Day

Een beter begin...

© 2012 PwC. All rights reserved. Not for further distribution without the permission of PwC.

"PwC" refers to the network of member firms of PricewaterhouseCoopers International Limited

(PwCIL), or, as the context requires, individual member firms of the PwC network. Each

member firm is a separate legal entity and does not act as agent of PwCIL or any other

member firm. PwCIL does not provide any services to clients. PwCIL is not responsible or

liable for the acts or omissions of any of its member firms nor can it control the exercise of their

professional judgment or bind them in any way. No member firm is responsible or liable for the

acts or omissions of any other member firm nor can it control the exercise of another member

firm's professional judgment or bind another member firm or PwCIL in any way.