1、企業(yè)治理、風險與合規(guī)管理方案介紹,企業(yè)治理、風險與合規(guī)管理方案介紹,SAP GRC 企業(yè)治理、風險與合規(guī)管理,SAP 訪問控制,SAP 內(nèi)部控制,SAP 風險管理,SAP 全球貿(mào)易服務,SAP 巴西電子票據(jù),第二道防線,第三道防線,全球貿(mào)易,系統(tǒng)安全,SAP 身份識別管理,SAP 單點登錄,SAP 企業(yè)威脅檢測,SAP 審計管理,SAP 舞弊管理,SAP 訪問控制,企業(yè)治理、風險與合規(guī)管理方案介紹,對于審計信息化，劉家義審計長在全國審計工作會議上作過精辟論述：中國審計的出路關鍵在于信息化，信息化的關鍵在于數(shù)字化。大數(shù)據(jù)和信息化時代的到來，將會給企業(yè)內(nèi)部審計帶來質(zhì)的飛躍。 信息化審計主要是對信息

2、化內(nèi)部控制和信息系統(tǒng)進行審計，2014 年1 月1 日施行的中國內(nèi)部審計準則將“ 信息系統(tǒng)審計”定義為內(nèi)部審計機構和內(nèi)部審計人員對組織的信息系統(tǒng)及其相關的信息技術內(nèi)部控制和流程所進行的審查與評價活動,企業(yè)治理、風險與合規(guī)管理方案介紹,某企業(yè)ERP生產(chǎn)系統(tǒng)風險發(fā)現(xiàn)實例,企業(yè)治理、風險與合規(guī)管理方案介紹,某著名大型石油央企ERP用戶權限管理的問題案例發(fā)現(xiàn),企業(yè)治理、風險與合規(guī)管理方案介紹,什么是SAP 訪問控制,獲取實時洞察力 自動化處理并追蹤記錄緊急情況下臨時特權用戶的訪問 實時報告提高了系統(tǒng)訪問風險分析的精確性 全面掌控測試和審計報告結(jié)果,獲取 實時 洞察力,SAP 訪問控制方案為企業(yè)的業(yè)務部

3、門、IT安全和內(nèi)控內(nèi)審部門提供了良好地的訪問控制管理和覆蓋企業(yè)欺詐預防管理的協(xié)同管控平臺。它幫助企業(yè)優(yōu)化了權責分離管理、關鍵訪問風險、用戶訪問合規(guī)分配流程并節(jié)省了審計時間、降低了審計成本,企業(yè)治理、風險與合規(guī)管理方案介紹,方案價值,企業(yè)治理、風險與合規(guī)管理方案介紹,風險分析 與修復,使用者權限 管理,業(yè)務角色 管理,訪問權限 復核,超級使用者 權限管理,高效管理超級賬號權限及審計,定期訪問權限與職責分離復核,統(tǒng)一角色管理平臺在源頭防控風險,自動化訪問權限分配,識別和修復SOD以及敏感權限違規(guī),產(chǎn)品功能特性,Legacy,實時分析能力，即時制止風險隱患 提供SAP, 非SAP系統(tǒng)以及跨系統(tǒng)細顆粒

4、度準確分析能力，拒絕風險誤報 自動化執(zhí)行，降低企業(yè)合規(guī)成本 模擬工具避免權限違規(guī)，第一時間發(fā)現(xiàn)權限問題所在,標準化權限申請開通流程提升權限申請效率 實時權限分析報告幫助審批人審批權限時有據(jù)可依，預防違規(guī)情況發(fā)生 自動化權限分配流程，避免人為錯誤的情況發(fā)生，提高IT效率 集成HR系統(tǒng)事件（入職、換崗、離職等），進行權限變更, 實現(xiàn)全生命周期的合規(guī)管理方案,超級賬號申請、審批、使用、和監(jiān)控的全生命周期管理流程 訪問限制,規(guī)避大權限賬號帶來的安全隱患 有效期控制 詳細全面日志降低審計時間成本，解決審計難題,角色創(chuàng)建時嵌入風險分析，從源頭避免權限風險 角色挖掘分析報告和批量處理提升質(zhì)量與效率 強制執(zhí)行

5、角色維護最佳實踐，減少錯誤發(fā)生,定期觸發(fā)權限分配復核，持續(xù)合規(guī) 定期觸發(fā)SOD違規(guī)復核，持續(xù)合規(guī) 降低審計時間和成本,企業(yè)治理、風險與合規(guī)管理方案介紹,某著名大型石油央企訪問控制系統(tǒng)架構,集中部署統(tǒng)一的權限管理應用系統(tǒng)，實現(xiàn)權限的集中申請和合規(guī)性管理,企業(yè)治理、風險與合規(guī)管理方案介紹,某著名大型石油央企GRC 訪問控制項目后期展望,企業(yè)治理、風險與合規(guī)管理方案介紹,2015上汽延鋒與江臣座椅 GRC 訪問控制上線案例,企業(yè)治理、風險與合規(guī)管理方案介紹,2015上汽延鋒 GRC 訪問控制上線案例,12,客戶背景,項目背景,項目解決方案,項目收益,公司是中國最大汽車零部件制造企業(yè)，其母公司是中國A

6、股上市公司，總部上海，在全球擁有140多個生產(chǎn)研發(fā)基地，業(yè)務覆蓋汽車內(nèi)飾、外飾、座椅、電子和安全系統(tǒng)，2014年公司銷售超過600億元，出口超過8億美元,公司集團與內(nèi)飾事業(yè)部首先啟動整體SAP應用系統(tǒng)群實施項目代替原有QAD系統(tǒng)，平行同時實施系統(tǒng)包括SAP ERP，SAP SRM，SRM Portal，SAP EWM和SAP SNC和SAP GRC AC等。 通過SAP GRC AC訪問控制系統(tǒng)的并行實施，需解決：如何保證眾多SAP應用系統(tǒng)實施之初就滿足安全與控制方面的最佳實踐，包括系統(tǒng)角色授權標準架構及設計內(nèi)容；系統(tǒng)Basis安全參數(shù)；如何保證眾多SAP應用系統(tǒng)上線后能滿足外部監(jiān)管特別是中國

7、上市公司內(nèi)控基本規(guī)范的要求；如何保證現(xiàn)有基于QAD的安全管控要求在SAP系統(tǒng)中固化落地,協(xié)助公司建立集團層面的訪問控制管理流程和技術標準（包括職責分離，敏感訪問）以風險為導向在SAP ERP，SRM，Portal，EWM，SNC系統(tǒng)中識別超過200個訪問控制風險點(個別系統(tǒng)及跨系統(tǒng)）； 實施SAP GRC 訪問控制當時最新的10.1版本，包括完整的4個子模塊，ARM用戶授權管理；BRM角色管理；EAM緊急訪問管理和ARA訪問風險分析，此次實施是中國完整實施GRC AC四個子模塊的第一個案例； 統(tǒng)一設計公司層面SAP應用系統(tǒng)內(nèi)授權管理架構，特別是角色設計架構（3層架構）及具體設計規(guī)范與原則，并宣

8、貫給各SAP應用系統(tǒng)實施小組并強制要求遵循,建立集團層面統(tǒng)一的系統(tǒng)訪問控制管理流程和管理技術標準； 完整部署SAP GRC AC訪問系統(tǒng)有效管理SAP ERP，SRM等各個應用系統(tǒng)，這些應用系統(tǒng)未來的用戶管理、授權管理、角色管理、緊急訪問管理、訪問控制風險管理完全都通過GRC AC電子化方式實現(xiàn)； 通過SAP應用系統(tǒng)統(tǒng)一授權架構的提出，幫助公司規(guī)范、標準化各系統(tǒng)的授權管理，簡化管理模式與方式，實現(xiàn)完全集中管理； 通過SAP GRC AC固化管理技術標準（職責分離和敏感訪問）完整評估各系統(tǒng)創(chuàng)建的用戶和角色，確保系統(tǒng)上線時系統(tǒng)內(nèi)都不存在訪問控制風險，幫助公司滿足外部合規(guī)要求,企業(yè)治理、風險與合規(guī)管

9、理方案介紹,2015上汽江臣座椅 GRC 訪問控制上線案例,企業(yè)治理、風險與合規(guī)管理方案介紹,SAP GRC訪問控制實施方法,基于最佳實踐經(jīng)驗的實施方法,企業(yè)治理、風險與合規(guī)管理方案介紹,SAP GRC訪問控制實施方法,基于最佳實踐經(jīng)驗的實施方法,需求分析 定義職責沖突風險點及業(yè)務規(guī)則 定義超級用戶權限，使用及監(jiān)控流程 定義用戶帳號及權限申請/變更流程 定義企業(yè)角色管理流程（包括命名規(guī)范、審核流程等） 功能培訓 最終用戶功能培訓 項目組關鍵成員培訓,關鍵產(chǎn)出 職責沖突風險控制矩陣 職責沖突風險控制業(yè)務規(guī)則 超級用戶定義、使用及監(jiān)控流程 用戶帳號及權限申請流程 角色管理流程,企業(yè)治理、風險與合規(guī)

10、管理方案介紹,SAP GRC訪問控制實施方法,基于最佳實踐經(jīng)驗的實施方法,系統(tǒng)配置 職責沖突分離規(guī)則導入 超級用戶權限定義，使用人、監(jiān)控人、審核人配置 用戶帳號及權限申請流程系統(tǒng)配置 角色創(chuàng)建命名規(guī)則、創(chuàng)建流程配置 單元測試 確認系統(tǒng)功能正確有效 確認導入數(shù)據(jù)完整正確,關鍵產(chǎn)出 職責沖突分離業(yè)務規(guī)則 配置文檔（GRC 4大模塊） 單元測試計劃（GRC 4大模塊） 單元測試報告（GRC 4大模塊,企業(yè)治理、風險與合規(guī)管理方案介紹,SAP GRC訪問控制實施方法,基于最佳實踐經(jīng)驗的實施方法,用戶測試（UAT） 系統(tǒng)現(xiàn)有帳號及角色職責分離沖突風險分析 根據(jù)上述分析結(jié)果進行權限清理和整改 超級用戶權限

11、測試及使用監(jiān)控流程測試和確認 用戶帳號及權限申請流程測試和確認 角色創(chuàng)建及審批流程測試和確認 補償性控制識別與設計 識別企業(yè)現(xiàn)有的補償性控制措施 為企業(yè)設計補償性控制的測試步驟,關鍵產(chǎn)出 用戶接受測試計劃 用戶接受測試報告 職責沖突后續(xù)跟蹤流程 補償性控制管理流程 超級用戶使用及監(jiān)控流程,系統(tǒng)管理及運營流程 如何正確處理系統(tǒng)報告的職責沖突風險 如何正確的識別并定義補償性控制 如何對超級用戶的使用進行審批和監(jiān)控 最終用戶培訓 最終用戶熟悉系統(tǒng)功能和特性,企業(yè)治理、風險與合規(guī)管理方案介紹,SAP GRC訪問控制實施方法,關鍵產(chǎn)出 GRC系統(tǒng)變更及維護流程 GRC系統(tǒng)內(nèi)部審計方法,上線后系統(tǒng)支持 系

12、統(tǒng)現(xiàn)場支持 系統(tǒng)維護流程 如何進行GRC系統(tǒng)變更 如何進行GRC系統(tǒng)內(nèi)部審核,企業(yè)治理、風險與合規(guī)管理方案介紹,GRC 訪問控制系統(tǒng)投資回報(ROI)測算指標,具有潛在SOD風險的不當分配的角色,減少的風險,角色設計和管理 $XXX-$XXX K,審計合規(guī) $XXX-$XXX M,節(jié)省的IT 支持成本 $XXX-$XXX K,不當用戶授權,不當角色分配和管理,未被監(jiān)控的特權管理,來源： 實際客戶的認定評測指標,節(jié)省的應用系統(tǒng)接口開發(fā)和維護成本 $XXX-$XXX K,企業(yè)治理、風險與合規(guī)管理方案介紹,外企與民營企業(yè)中內(nèi)部違規(guī)與舞弊事件普遍存在,企業(yè)治理、風險與合規(guī)管理方案介紹,舞弊的分類,企業(yè)

13、治理、風險與合規(guī)管理方案介紹,英國某大型電信公司: 差旅與招待費用違規(guī)案例,行業(yè) 通訊運營商 員工人數(shù) 93000 (2014) 收入 598億歐元 (2014) 用戶 4.34 億 (2014,兩年內(nèi)實現(xiàn)目標： 業(yè)務收益#1: 防范了15萬歐元的損失 期望目標: 每年不僅發(fā)現(xiàn)了15萬歐元的欺詐性質(zhì)報銷而且正面地影響了員工行為 業(yè)務收益#2: 從抽樣檢查到全面稽查之前只是手工方式對10%的報銷進行檢查 業(yè)務收益#3: 財務/合規(guī)調(diào)查能力提升 業(yè)務部門的終端用戶可以不需要 IT部門就可以優(yōu)化稽查規(guī)則,全球第三大移動通訊公司 在21個國家擁有和運營網(wǎng)絡(合作伙伴網(wǎng)絡遍布其他40多個國家) 每年有2

14、75,000 筆費用報銷 尋求強大的分析方案對違規(guī)進行全方面實時監(jiān)測，包括工作流、告警、審計追蹤與報告等功能。 由外及內(nèi)的商業(yè)案例: 自上而下(基于企業(yè)營收): 1.6M 6.03 M 每年 自下而上(基于費用報銷): 275,000 每年 后續(xù)應用案例實施范圍: 采購舞弊 增值稅交易,企業(yè)治理、風險與合規(guī)管理方案介紹,英國某大型電信公司應用案例違規(guī)造成的損失(基于收入采用自上而下的方法,收入,60 B,來源: 1 Association of Certified Fraud Examiners2 National Fraud Authority,企業(yè)治理、風險與合規(guī)管理方案介紹,大型電信公司

15、應用案例違規(guī)造成的損失(基于報銷申請采用自下而上的方法,費用報銷,275,000,來源: 1 National Fraud Authority,企業(yè)治理、風險與合規(guī)管理方案介紹,大型電信公司應用案例: 采購環(huán)節(jié)舞弊P2P 舞弊管理規(guī)則,企業(yè)治理、風險與合規(guī)管理方案介紹,大型電信公司應用案例: 采購環(huán)節(jié)舞弊P2P 舞弊管理規(guī)則,樣本數(shù)據(jù):一年一家子公司,數(shù)據(jù)總量一百一十萬行項目,檢查預警發(fā)現(xiàn)1 秒,企業(yè)治理、風險與合規(guī)管理方案介紹,BOSCH 家電: 檢查高風險交易,公司 博世西門子 行業(yè) 制造業(yè) 員工 50,000 收入 105 億歐元 其他信息80 家公司 遍布47個國家,關注真實的舞弊 業(yè)

16、務收益 #1: 100%的高風險付款的合規(guī)性檢查 業(yè)務收益 #2: 流程自動化和優(yōu)化極大提升了原有的手工操作流程: 自動化數(shù)據(jù)收集(支持的文檔/憑證), 減少了處理時間 安全集中的內(nèi)部和外部記錄 業(yè)務收益 #3: 云部署 4個月項目上線快速啟動，獨立于 企業(yè)內(nèi)部架構,1歐洲最大 #3 世界第三大家電企業(yè) 品牌 業(yè)務應用： 法規(guī): 發(fā)洗錢法、FATF、外部貿(mào)易與付款法案、歐盟貿(mào)易禁運條例,博世西門子實現(xiàn)了100% 的付款交易合規(guī)性檢查,企業(yè)治理、風險與合規(guī)管理方案介紹,BOSCH 家電: 檢查高風險交易高風險交易(HRT)的定義,28,對客戶/供應商/服務商 支票/現(xiàn)金交易(Prio 1) 手工

17、付款 (2) 湊整數(shù)額 x.000 (2) 周末和節(jié)假日付款 (2) 以上規(guī)則 + 11 條其他規(guī)則,對客戶/供應商/服務商 洗黑錢 (1) 現(xiàn)金收據(jù)和支票支付 (1) 經(jīng)常變更銀行數(shù)據(jù)(2) 銀行國家 所在國家 (3) 以上規(guī)則 + 8 條其他規(guī)則,應收,應付,企業(yè)治理、風險與合規(guī)管理方案介紹,示例：差旅報銷違規(guī)分析,企業(yè)治理、風險與合規(guī)管理方案介紹,示例：采購違規(guī)分析,企業(yè)治理、風險與合規(guī)管理方案介紹,如何偵查違規(guī)與舞弊,專家知識,數(shù)據(jù)庫,檢查方法,檢查策略,業(yè)務流程,預測模型 創(chuàng)建和培訓,建立規(guī)則,已知模型,未知模型,通過 SAP HANA Studio 或者 SAP 預測分析工具,Op

18、tional,企業(yè)治理、風險與合規(guī)管理方案介紹,SAP 預測分析技術探知未來的舞弊與違規(guī)風險,企業(yè)收益 大量的預測分析模型與算法 直觀的設計和可視化的預測模型設計 預測分析通過儀表盤, 告警和移動終端為企業(yè)所有人提供了舞弊事件即時報告,企業(yè)治理、風險與合規(guī)管理方案介紹,舞弊風險防范管理與SAP 審計管理與內(nèi)控管理結(jié)合應用,預測,預防,完善內(nèi)部控制與內(nèi)部審計體系 加強舞弊風險防范,內(nèi)部審計,舞弊事件,內(nèi)部控制,SAP 審計管理,SAP 內(nèi)部控制,企業(yè)治理、風險與合規(guī)管理方案介紹,系統(tǒng)演示,企業(yè)治理、風險與合規(guī)管理方案介紹,SAP 舞弊風險管理方案架構,SAP HANA,SAP ERP,R,Tables, Views, Procedures,Non,SAP,A