'

Solutions for Governance, Risk and Compliance Решение для регулирования бизнеса, управления рисками и обеспечения соответствия нормам и требованиям

Понравилась презентация – покажи это...





Слайд 0

Solutions for Governance, Risk and Compliance Решение для регулирования бизнеса, управления рисками и обеспечения соответствия нормам и требованиям SAP Access Control – для разграничения прав доступа SAP Process Control – для внутреннего контроля SAP Risk Management – для управления рисками Ольга Петрусенко менеджер отдела экспертизы новых решений САП Украина 07.06.2008


Слайд 1

Содержание Формирование потребности в управлении рисками и обеспечении соответствия ведения бизнеса нормам и законодательным требованиям Модель COSO Управление рисками в компании Управление полномочиями и доступом к информации Внутренний контроль бизнес процессов


Слайд 2

Ряд корпоративных скандалов и банкротств, получивших широкую огласку … Enron была 7 компанией в США. Инвесторы потеряли $ 60 миллиардов WorldCom – одна из телекоммуникационных компаний (85.000 сотрудников) в США $ 2 триллиона в благосостояние акционеров были потеряны 15 телеком компаниями Andersen (85.000 сотрудников в 84 странах, $ 9 миллиардов) была устранена EM-TV вынуждены были объявить потерю DM 2,8 миллиардов вместо прогнозируемой прибыли в DM 616 миллионов, активы упали на 90 % Значительные убытки инвесторов, персонала компаний, кредиторов!


Слайд 3

Корпоративное управление – соблюдение интересов акционеров Финансовый директор Аудиторы Органы Государственной Власти (Налоговая инспекция, фондовые биржи) Кредиторы (Банки, Инвесторы) Аналитики и Рейтинговые агентства Нормы и положения US-GAAP IAS other GAAPs (e.g. HGB) Basel II Country-specific tax regulations Corporate Governance Codex Sarbanes-Oxley Act COSO COSO II KonTraG (Germany) LSF (France) ... Акционеры


Слайд 4

The Sarbanes-Oxley Act (SOA) в США Последствия The Sarbanes-Oxley Act вступил в силу в 2002 году. Новая парадигма корпоративной отчетности. Четко определены ответственности аудиторского комитета, руководителя корпорации (CEO) финансового директора (CFO). Внутренний контроль обязателен законодательством Оказывает влияние на все дочерние компании и процессы группы Title I Public Company Accounting Oversight Board Title II Auditor Independence Title III Corporate Responsibility Title IV Enhanced Financial Disclosures Title V Analyst Conflicts of Interest Title VI Commission Resources and Authority Title VII Studies and Reports Title VIII Corporate and Criminal Fraud Accountability Title IX White Collar Crime Penalty Enhancements Title X Corporate Tax Returns Title XI Corporate Fraud and Accountability План вступления в силу Компании, котирующиеся на бирже с совокупной рыночной стоимостью более чем $75 Млн., с фискальным годом, заканчивающимся в Ноябре 15, 2004 или позже, должны соответствовать в этом фискальном году. Компании, котирующиеся на бирже с совокупной рыночной стоимостью менее чем $75 Млн., с фискальным годом, заканчивающимся в Апреле 15, 2005 или позже, должны соответствовать в этом фискальном году. Иностранные частные эмитенты с финансовым годом, заканчивающимся в Апреле 15, 2005 или позже, должны соответствовать в этом фискальном году.


Слайд 5

Факторы, воздействующие на стоимость компании Стоимость Эффективные системы и бизнес-процессы Качественные факторы Количественные факторы Привлекательность Операционная эффективность Понятность Современная система внутренних контролей Современная информационная система Квалифицированный менеджмент Оперативная система отчетности Предсказуемые денежные потоки Оптимальная структура капитала План повышения и реализации стоимости должен учитывать всю совокупность факторов, влияющих на стоимость Значимость каждого из этих факторов различна для разных типов инвесторов Эффективное корпоративное управление Оптимальная структура затрат


Слайд 6

Что ожидает Инвестор от Компании, которая хочет стать публичной


Слайд 7

Что должна сделать Компания, чтобы получить статус публичной


Слайд 8

Взаимосвязь между целями организации и компонентами процесса управления рисками Существует прямая взаимосвязь между целями, которые организация стремится достичь, компонентами процесса управления рисками организации, представляющими собой действия, необходимые для достижения целей, всеми подразделениями компании Данная взаимосвязь представлена в виде трехмерной матрицы, имеющей форму куба, т.н. куб COSO The Committee of Sponsoring Organizations of the Treadway Commission – COSO документ «Концептуальные основы внутреннего контроля» - 1992 год документ «Концептуальные основы управления рисками организаций» - 2001 год


Слайд 9

Система внутреннего контроля - разумная гарантия в достижении целей СВК – это разумная (достаточная) гарантия достижения целей достоверности отчетности и соответствия нормативным актам Субъективные факторы производственный потенциал, производительность труда, величины издержек, организация процессов, … Внутренний контроль - это процесс, осуществляемый Советом Директоров, руководством и персоналом организации, призванный обеспечить достаточную уверенность в том, что организация достигнет цели в трех областях: эффективности операционной деятельности, надежности составления финансовой отчетности, соответствия законодательным и регулятивным нормам и требованиям. Эти цели присущи всем бизнес-процессам и подразделениям компании.


Слайд 10

Цель и философия управления рисками  Цель менеджмента – повышение стоимости компании Событие в условиях неопределенности Риск Возможность Цель управления рисками — это повышение устойчивости развития компании, снижение вероятности потери части или всей стоимости компании. потеря части или всей стоимости компании Философия управления рисками представляет собой комплекс убеждений и установок, единых для организации, характеризующих то, как она оценивает риск во всех видах своей деятельности, начиная от разработки стратегии до повседневных операций


Слайд 11

Управление рисками - разумная гарантия в достижении целей Объективные факторы инфляция, конкуренция, налоговая система, политический кризис, курсы валют, таможенные пошлины, … Управление рисками – это разумная (достаточная) гарантия своевременной информированности руководства о степени продвижения компании к достижению ее операционных и стратегических целей Субъективные факторы производственный потенциал, производительность труда, величины издержек, организация процессов, … Стратегические цели Операционные цели Цели подготовки отчетности Цели соответствия требованиям


Слайд 12

Компоненты процесса управления рисками организации Внутренняя среда определяет то, каким образом вопросы риска и контроля рассматриваются и учитываются сотрудниками организации.. Постановка целей. Цели должны быть определены до того, как руководство выявит события, потенциально влияющие на достижение целей.. Определение событий. События, которые могут оказать какое-либо влияние на организацию, должны определяться заранее. Оценка рисков. Выявленные риски анализируются с целью определения действий, которые следует предпринять. Реагирование на риски. Персонал организации определяет и оценивает возможные виды реагирования на риски Средства контроля. Разработаны и функционируют политики и процедуры, обеспечивающие «разумную» гарантию эффективного исполнения выбранных действий по реагированию на риск Информация и коммуникации. Необходимая информация определяется, фиксируется и передается в такой форме и в такие сроки, которые позволяют сотрудникам выполнять их функциональные обязанности. Мониторинг. Весь процесс управления рисками организации периодически проверяется и по необходимости корректируется.


Слайд 13

Цепочка поставщиков Покупатели и каналы сбыта Управлять бизнесом – значит управлять рисками ...


Слайд 14

Сферы ответственности Элементы роли CFO Казначейство Структура капитала Финансовые риски Приобретение активов Инвесторы Управляющий совет Гос. органы Управление финансами Свой вклад в бизнес со стороны службы CFO Финансовое управление Задачи Внутренний аудит Соответствие требованиям Внутренние контроли Обработка операций Расчеты с заказчиками Расчеты с поставщиками Расчеты с персоналом Управление договорами Признание доходов и расходов Подготовка отчетности (BS, P&L) Внешняя отчетность Сохранение существующей стоимости Оперативная деятельность Учет и отчетность Соответствие нормативным требованиям Управление бизнесом Планирование&бюджетирование Анализ Контроль показателей Управление рисками Слияния&поглощения Диверсификация/реструктуризация Разработка стратегии Создание новой стоимости Управление стратегией Корпоративное управление Задачи и сферы ответственности CFO Взаимодействие с участниками


Слайд 15

Решение SAP для офиса CFO - единая платформа для управления всеми процессами в финансах Оптимизация оперативных процессов Управление эффективностью Управление рисками и соответствие нормативным требованиям Управление стратегией Планирование и бюджетирование Консолидированная отчетность Карты сбалансированных показателей Аналитика, моделирование и прогнозирование Управление рисками Риски несанкционированного доступа Контроль внутренних процессов Новые возможности ГК Поддержка международных стандартов отчетности Решение для казначейства Финансовые цепочки: счета, платежи, сбор задолженности Управление недвижимым имуществом Финансы


Слайд 16

Process Control Система внутренних контролей Access Control Предупреждение рисков несанкционированного доступа Global Trade Services Оптимизация и обеспечение безопасности внешнеторговых операций EH&S Безопасность жизнедеятельности и охрана окружающей среды Material Контроль внутренних процессов компании Solutions for GRC– регулирование, управления рисками и обеспечения соответствия требованиям


Слайд 17

Приложение GRC Risk Management Решение GRC Risk Management Функции и Роли CEO / CFO / Ответственные за орг.единицы Менеджер по управлению рисками Ответственный за показатель риска Ответственный за мероприятия Подтверждающий Внутренний и внешний аудит Отслеживать риски и эффективность мероприятий по снижению Определить методы управления рисками для направлений деятельности и проектов Выявить риски по направлениям деятельности и проектам до возникновения проблем Определить меры по снижению рисков Ответственный за оценку рисков Определение рисков Контроль рисков Мероприятия по снижению Идентификация и анализ


Слайд 18

SAP GRC Risk Management Компоненты процесса управления рисками  Политика управления рисками Определение объема управления по орг.единицам, операциям, категориям рисков Иерархия орг.единиц Настройка уровней и приоритета рисков Определение пользователей и ролей Каталог операций Каталог рисков Документирование рисков, присвоение ответственных Проведение опросов по оценке рисков Автоматические предупреждения Качественные методы оценки Количественные методы оценки Расчет уровня риска и ожидаемых потерь в зависимости от орг.единиц Документирование мероприятий по снижению риска Контроль статуса и анализ Документооборот повторной оценки Обзор и утверждение оценок Сводная отчетность Отслеживание происшествий и потерь Определение рисков Контроль рисков Мероприятия по снижению Идентификация и анализ Замечание: серым цветом выделены задачи, не рассматриваемые в приложении


Слайд 19

Операция1 Операция 2 Категория операций Бизнес -операции GRC RM структура основных данных Компания Подразделение A Подразделение B Цели Цели Структурные подразделения Риск 2 Категория риска Риск 1 Последствия (влияние) Событие Мероприятие Предотвращающие воздействия Действия по возмещению потерь Риски и мероприятия по их снижению Back


Слайд 20

примеры Основные данные для оценки рисков Вероятность: “Вероятность того, что воздействие, связанное с риском произойдет” Вводится в процентах от 0% до 99% Связано с настроенными категориями (количество категорий указывается при настройке) Значимость (влияние): Шкала значимости воздействия в зависимости от бизнес единицы Вводится как “уровень” или номер Возможно ведение значимости в “наилучшем” и “наихудшем” случае Ссылка на настроенные категории (количество категорий указывается при настройке) Горизонт времени: Период времени, в течении которого необходимы мероприятия по снижению риска Задаются как границы периода (длительный, средний, короткий) Ссылка на настроенные горизонты (количество горизонтов указывается при настройке)


Слайд 21

Оценка рисков: расчет ожидаемых потерь Введенная пользователем Вероятность и Значимость Ожидаемые потери = Вероятность * Значимость, Введенная пользователем вероятность, Минимальные потери, Средние потери, Максимальные потери Весовые коэффициенты – вопрос к обсуждению на совещании по управлению рисками Суммарные потери = x*Минимальные потери+ y*Средние потери + z*Максимальные потери, где x,y,z – вводимые коэффициенты Ожидаемые потери = Вероятность * Суммарные потери Анализ по рангам Стандартный метод


Слайд 22

Вид реагирования на риски - мероприятия по снижению рисков Данные вводимые для каждого мероприятия по снижению риска : Тип: Страховка, Изучение, Ресурсы, и т.д. (настраиваемый список) Оценка Затрат на проведение Статус: проект, в процессе, и.т.д. Оценка риска (До проведения мероприятия) Мера 1: Страховка Мера 2: Изучение Оценка риска (после проведения мероприятия) Мера 3: Доп.ресурсы Вероятность Значимость = $1 М Вр.горизонт = 3 мес. Вероятность = 20% Значимость = $500,000 Вр.горизонт = 3 мес. Back


Слайд 23

Управление рисками в разрезе организационных единиц, бизнес операций: Присвоение и оценка риска


Слайд 24

GRC Risk Management: мониторинг Риск 3 Процесс: Обработка счетов Риск n Компания Продажи Европа Америка Итого потери Вероят- ность Ур. риска Затраты на снижение Ожид. потери 100,000 € 150,000 € 30 % 10 % 30,000 € 15,000 € 2 3 250,000 € 45,000 € 70,000 € 35,000 € 320,000 € 80,000 € … … … … 800,000 € 230,000 € 65,000 € … … 20,000 € 10,000 € 6,000 € 4,000 € 10,000 € ОКР 300,000 € 100,000 € 30,000 € … Риск2: уход Проектн.команды Риск1: срыв сроков Проект: Новый объект


Слайд 25

Process Control Система внутренних контролей GRC Risk Management Общая картина по управлению рисками и контролями в компании Access Control Предупреждение рисков несанкционированного доступа Global Trade Services Оптимизация и обеспечение безопасности внешнеторговых операций EH&S Безопасность жизнедеятельности и охрана окружающей среды Material Контроль внутренних процессов компании Solutions for GRC– регулирование, управления рисками и обеспечения соответствия требованиям


Слайд 26

Соответствие нормам, разграничения полномочий, контроль – замкнутый круг? Мне нужен SAP_ALL Почему вы не даете мне выполнять мой обязанности? Мне нужен доступ к информации сейчас! Так много нарушений? Это недопустимо … Почему вы не можете получать документы одновременно? Пользователь Аудиторы Руководство функции информационной безопасности


Слайд 27

Проблемы и риски управления распределением полномочий в сложном информационном ландшафте Управление распределением прав доступа по всему информационному ландшафту предприятия Дорогостоящие, ручные процедуры выявления и корректировки нарушения регламентированных прав доступа Выявление риска: “предупреждение или исправление” Бесконтрольное предоставление полномочий Избыточные полномочия для отдельных категорий пользователей Неэффективная и недостаточно контролируемая подготовка профиля полномочий пользователя Авторизация: Ведение основных данных поставщиков Авторизация: Оплата счетов поставщиков Compliance Calibrator контроль соответствия корпоративным требованиям


Слайд 28

Бизнес и ИТ: Передать бизнес-пользователям полномочия управления правами доступа на уровне функций Бизнес Принятие решений ИТ Исполнение решений Управление правами доступа – ключевой процесс, оказывающий существенное влияние на построение всех бизнес-процессов компании Бизнесу необходим переход от ручных процедур к автоматизированным системам управления полномочиями ИТ заинтересован в передаче ответственности за управление правами доступа владельцам бизнес процессов


Слайд 29

Solutions for GRC Access Control: Управление распределением полномочий Compliance Calibrator Определение, анализ, снижение рисков несанкционированного доступа, возникновения конфликтных ситуаций, управление полномочиями сотрудников Role Expert Определение, управление ролями пользователей Firefighter Решение для управления расширенными полномочиями Access Enforcer Согласование процессов предоставления полномочий оперативный этап (поддержка процедур) этап формирования (упорядочивание процедур) Обеспечение непрерывного процесса согласования прав доступа Управление расширенными полномочиями Предотвращение


Слайд 30

Обеспечение управления профилем полномочий в соответствии с корпоративными требованиями на протяжении всего периода работы сотрудника Обеспечение аудиторского следа для контроля


Слайд 31

Solutions for GRC Process Control - целостный внутренний контроль бизнес процессов Ответственные за выполнение процедур внутреннего контроля, внутренние аудиторы Формирование среды внутреннего контроля Исполнительный совет, контролеры, менеджеры, аудиторы Принятие решений по выявленным исключениям Выполнение ручных и автоматических процедур Документирование Проведение проверок Корректировка Анализ Оптимизация Отчеты, финансовые результаты Группа разработки процедур внутреннего контроля и владельцы бизнес процессов РИСК Оптимизация контрольных процедур Группа разработки процедур внутреннего контроля и владельцы бизнес процессов Группа разработки процедур внутреннего контроля и владельцы бизнес процессов


Слайд 32

Рабочее место – проведение проверок


Слайд 33

SAP Solutions for GRC Process Control - Управление процедурами внутреннего контроля Единая система для целостного управления процедурами внутреннего контроля Средства контроля на основе управления по рискам Автоматическое управление процедурами внутреннего контроля в различных функциональных приложениях предприятия Выявление глобальных рисков, корректирующие действия согласно приоритетам Проведение опросов Выполнение процедур автоматического контроля Выполнение ручных процедур контроля Документирование Выполнение процедур Контроль Утверждение Многоуровневые процедуры утверждения процедуры контроля, цели, риски ИТ структура Бизнес процессы … Обзор исключений Исправление выявленных отклонений


Слайд 34

Основные тенденции Gartner’s 2007 Planning Guidance for Compliance К 2010 году ожидается, что компании, подлежащие нормативному регулированию будут контролировать возможные нарушения на непрерывной основе, и 60% компаний будут использовать автоматизированные процедуры 1 R 2010 году рынок GRC продуктов расширится, и контроль за распределением полномочий (SoD) будет предлагаться, в основном, как встроенные возможности GRC продуктов 1 Владельцы бизнес процессов заинтересованы в том, чтобы упростить процедуры контроля и снизить затраты на обеспечение соответствия нормам. 2 Расходы на безопасность, распределение полномочий (SoD), и другие решения, поддерживающие мониторинг и автоматизацию контрольных функций будут возрастать. 2 1 Gartner - MarketScope for Segregation of Duties Controls Within ERP, 2007 2 Gartner – The 2006 Planning Guidance for Compliance: Risk-Orientation, Standardization, and Automation, April 2006


Слайд 35

This presentation is a preliminary version and not subject to your license agreement or any other agreement with SAP. This document contains only intended strategies, developments, and functionalities of the SAP®product and is not intended to be binding upon SAP to any particular course of business, product strategy, and/or development. Please note that this document is subject to change and may be changed by SAP at any time without notice. SAP assumes no responsibility for errors or omissions in this document Ваши вопросы?


×

HTML:





Ссылка: