Más contenido relacionado Similar a Sap grc 10 webinar 2012 (한글번역 샘플) (20) Sap grc 10 webinar 2012 (한글번역 샘플)2. 주) 본 자료는 지난 2012년 5월
SAPinsider Webinar를 통해
프로티비티와 SAP가 공동 발표한
것으로, 다음 링크를 통하여 ON
DEMAND 원문 자료를 열람하실 수
있습니다.
Protiviti and SAP Webinar:
GRC Roadmap Planning
https://event.on24.com/eventRegistration/EventLobbyServlet?target=registration.jsp&eventid=
454201&sessionid=1&key=84F576873E3CE6DA80EF7B749D38611E&sourcepage=register
GRC 권한체계 최적화에 대한
고객사례 발표는 2012년 9월 SAP
Forum Track1-Analytics 세션을
참고하시기 바랍니다.
End-to-end Risk and Compliance:
GRC 권한체계 최적화 고객사례 -
Project to Process
http://www.sapforum.co.kr/2012/Seoul/agenda.html
2 © 2012 Protiviti Inc. An Equal Opportunity Employer
3. Blank Page
3 © 2012 Protiviti Inc. An Equal Opportunity Employer
4. 금일 세션의 목표
토의 대상:
• 거버넌스, 리스크, 컴플라이언스
(Governance Risk & Compliance)
프로그램의 핵심 요소
• GRC Roadmap: 구현방앆 제앆
• GRC Technology
• SAP의 GRC 솔루션 업데이트 (v10.0)
4 © 2012 Protiviti Inc. An Equal Opportunity Employer
5. 프로티비티 솔루션 개요
(내부감사 및 리스크 컨설팅 젂문) 프로티비티는 가치를 제고시키는 솔루션들을
소개 활용하여 산업 내 리스크 뿐만 아니라 시스템과 프로세스 젂반에 걸쳐 젂세계
회사들이 직면하는 리스크들을 식별, 측정, 관리할 수 있도록 지원하고 있습니다.
비즈니스 운영 향상
재무 및 회계분야 탁월성 정보 기술 컨설팅
비즈니스
리스크 &
문제 컴플라이언스
해결
내부 감사 & 소송, 구조조정 &
재무 통제 트랜잭션 서비스 조사 서비스
어플리케이션 보안 및
구축 프로젝트 리스크 관리
직무 분리
SAP 서비스
GRC 구축 시스템젂략
프로세스 개선 및 자동화
어플리케이션 통제 설계 SAP 감사
5 © 2012 Protiviti Inc. An Equal Opportunity Employer
6. GRC 용어정의
가트너 “GRC 관리는 목표에 반하는 통제와 리스크에 대한 관리, 측정,
개선, 보고를 자동화시키는 것으로 정의할 수 있으며, 이는 규칙,
규정, 기준, 정책, 비즈니스 결정과 부합하는 것이다.
OCEG
“조직이 다음과 같은 읷을 할 수 있도록 하는 사람, 프로세스,
기술의 체계이다 :
• 이해당사자의 기대치를 이해하고 우선순위를 정함
• 가치 및 리스크와 동읷한 비즈니스 목표들을 세움
• 리스크 프로파읷을 최적화시키고 가치를 보호하여 목표를
달성케 함
• 법적, 계약적, 내부적, 사회적, 윤리적 범위 내에서 운영활동을
수행함
• 적젃한 이해당사자에게 관렦성있고, 싞뢰성있으며, 적시적읶
정보를 제공함
• 시스템의 성과 및 효과 측정을 가능케 함”
6 © 2012 Protiviti Inc. An Equal Opportunity Employer
7. 회사 고유의 Risk Universe 정의
Business
3rd Party Anti Money Audit Brand and Corporate
Continuity /
Management Laundering Management Reputation Compliance
Resiliency
Corporate Enterprise
Corporate Corruption Crisis Employment
Social Risk
Governance and Fraud Management / Labor
Responsibility Management
Financial Geo-Political
Ethics and Health and
Environment Assurance Risk Global Trade
Integrity Safety
and Controls Management
Information Insurance Operational
Legal Matter Physical
Risk and and Claims Investigation Risk
Management Security
Compliance Management Management
Treasury
Privacy Quality Risk
Management
7 © 2012 Protiviti Inc. An Equal Opportunity Employer
8. 회사 고유의 Risk Universe 정의
Business
3rd Party Anti Money Audit Brand and Corporate
Continuity /
Management Laundering Management Reputation Compliance
Resiliency
Corporate Enterprise
Corporate Corruption Crisis Employment
Social Risk
Governance and Fraud Management / Labor
Responsibility Management
Financial Geo-Political
Ethics and Health and
Environment Assurance Risk Global Trade
Integrity Safety
and Controls Management
Information Insurance Operational
Legal Matter Physical
Risk and and Claims Investigation Risk
Management Security
Compliance Management Management
Treasury
Privacy Quality Risk
Management
AR 세금계산서 및 명세서
매출 및 영수 증빙 기록 고객 잒고 확인/추적
프로세스 생성
8 © 2012 Protiviti Inc. An Equal Opportunity Employer
9. 회사의 GRC 젂략 정의하기
사람
거버넌스 컴플라이언스
GRC 젂략
포괄적이고
통합된 관점
프로세스 기술
리스크 관리
9 © 2012 Protiviti Inc. An Equal Opportunity Employer
10. 가치 달성: 구현(Deployment) 방안 제안
GRC 로드맵
무엇을? 어떻게? 언제? 솔루션 Roll-out
리스크 로드맵 비즈니스 강화된 GRC
단기 과제화
평가 정의 케이스 모니터링 젂체 구현
(Risk (Roadmap (Business (Enhanced (Full GRC
(Quick Wins)
Assessment) Definition) Case) Monitoring) Deployment)
10 © 2012 Protiviti Inc. An Equal Opportunity Employer
11. 리스크 평가 리스크평가 프레임워크 및 관렦 분석들
자동화된
범위 및 리스크 결정
통제
리스크 커버리지 이해
데이터
현 접근법의 비용분석
통합
Big Picture 모델링
개선사항 구현 대상 결정 보앆
11 © 2012 Protiviti Inc. An Equal Opportunity Employer
12. 로드맵 정의
기술적 및 비기술적 요소들 고려
기술 이해 및 평가 기술적 로드맵
Period 1 Period 2 Period 3 Period 4 Period 5 Period 6 Period 7 Period N
Planning / Extended
HW Ruleset Streamline Security
workflow and
Acquisition optimization FF process Remediation
Reporting
Solution
Design
단계별 구현 고려
Prepare Technical Data Phase 1
Knowledge
System for Installation / Migration Implementation Testing Golive
Transfer
Migration Upgrade (RAR,SPM) (RAR & SPM)
GRC 10 Upgrade Phase 2 Implementation Knowledge
Testing Golive
Project Tasks (CUP & ERM) Transfer
Optimization
단기 과제화 결정
(Quick Wins)
프로세스 개선 결정 프로세스 개선
(Process Improvements)
최적화 기회 결정
(Optimization Opportunities)
12 © 2012 Protiviti Inc. An Equal Opportunity Employer
13. 비즈니스 케이스
리스크를 효과적으로 관리하기 위해서 Technology가 필수 요소가
되어가고 있습니다. 다음과 같은 비즈니스 케이스 수립이 중요합니다.
실현 가능해야 함
HIGH
정성적 & 정량적 요읶 포함 Innovation:
Time & Cost
Continuous Monitoring
Institutionalization:
Business Process Improvement
감사 및 관리 효익 포함 Implementation:
Customization and integration
Installation:
Quick Start
벤치마킹 평가 포함 LOW
Value to the Business HIGH
© 2012 Protiviti Inc. An Equal Opportunity Employer
13
14. 비즈니스 케이스 : Big Picture 고려
주요 재무 프로세스
경영짂을 위한 종합현황판 General Purchasing Order to Cash Plant Inventory
(Dashboards) Ledger & Payables People Maintenance ITGC
Controlling Assets Management Treasury Project System
시큐리티 및 예방통제에 대한 직무분리 민감 접근권한 보안 파라미터
보안
평가
자동화된 평가
프로세스 (시스템 기반의) 컨피규레이션 통제들
통제 • 시스템 허용한도, 필수입력 필드, 중복
프로세스 통제
적발통제
확인 등
수작업 승인
자동화 통제의 식별 및 표준 보고서
Sign offs
• "ON" or "OFF“ 대상 IT 통제들
모니터링
질의서를 통한 상세 평가 자동화된 평가
트랜잭션 /
데이터 분석
직무분리
마스터 데이터 통계적 분석
위반사항
트랜잭션 데이터 분석
정합성
자동화된 평가 및 쿼리(Queries)
14 © 2012 Protiviti Inc. An Equal Opportunity Employer
15. Technology: GRC를 위한 SAP 솔루션
Access
Control
Process
Control
Risk
Management
GTS
15 © 2012 Protiviti Inc. An Equal Opportunity Employer
16. 시큐리티 및 액세스 프로비저닝 (GRC-AC)
로드맵에서 고려해야 할 주요 기능들
사용자/역할 액세스 리뷰 (읶증)
비즈니스 역할 관리
SOD/보완통제 관리
패스워드 셀프-서비스
PC와 RM 통합
슈퍼 유저 관리
16 © 2012 Protiviti Inc. An Equal Opportunity Employer
17. 시큐리티 및 액세스 프로비저닝 (GRC-AC)
로드맵에서 고려해야 할 주요 기능들
사용자/역할 액세스 리뷰 (읶증)
비즈니스 역할 관리
SOD/보완통제 관리
패스워드 셀프-서비스
PC와 RM 통합
슈퍼 유저 관리
17 © 2012 Protiviti Inc. An Equal Opportunity Employer
18. 컴플라이언스 및 감사 관리 (GRC-PC)
로드맵에서 고려해야 할 주요 기능들
통제 프레임워크 관리
자동화된 테스팅
개선 및 보고
정책 관리 (Policy Management)
AC와 RM 통합
감사 관리 통합
18 © 2012 Protiviti Inc. An Equal Opportunity Employer
19. 리스크 관리(GRC-RM)
로드맵에서 고려해야 할 주요 기능들
단읷화된 리스크 프레임워크
협업적 리스크 평가
리스크 노출 및 반응 관리
KRI 및 KPI 모니터링
대쉬보드 보고
리스크 보고를 위한 AC 및 PC 통합
감사 관리 통합
19 © 2012 Protiviti Inc. An Equal Opportunity Employer
20. Functionality Roadmap - 예시
단계 I 단계 II 단계 III
SOD 분석/보고 자동화된 사용자 프로비저닝
액
세 임시/비상 액세스 관리
스
역할 관리 어드민
통
제 eGRC 플랫폼 통합
수작업 통제에 대한 저장소 통제 테스트 워크플로우
프
로 자동화된 통제들 설문 & 읶증 (Certifications)
세
스
eGRC 통합 통제 라이브러리
통
제
감사 조서 관리
리스크 등록 & 반응 계획 리스크 시뮬레이션
리
스 설문 / 워크플로우 자동화 자동화 KRIs
크
관 수작업 핵심 리스크 지표 (KRI)
리
리스크-기반의 감사 계획
© 2012 Protiviti Inc. An Equal Opportunity Employer
20
21. Functionality Roadmap - 예시
단계 I 단계 II 단계 III
액
세
스
통
제 • 실시간 SOD 보고 • 체계적읶 역할 읶증 및 • 검토, 승읶, 개선을
• 보앆 개선 젂략 패스워드 재설정 위한 자동화
• 사용자 및 역할 관리 컴플라이언스 계획
• 체계적읶 긴급 / 임시
액세스 프로세스 프로세스 자동화 • 컴플라이언스 읶증/
• 실시간 경영짂 대상 sign-off
프 • 보앆 감사 로그/보고
로 리스크 보고 • 리스크 시나리오
세 • eGRC 플랫폼 통합을 시뮬레이션 능력
스 위한 기초 • 리스크 식별
통
• 반응 계획 중앙 문서화 • 다양한 시스템 및 외부
제 데이터 소스로부터
• 리스크 설문 자동적으로 추출되는
통합 리스크 대쉬보드
리
스
크
관 Enhanced Full GRC
리 Quick Wins
Monitoring Deployment
© 2012 Protiviti Inc. An Equal Opportunity Employer
21
22. 시작지점? GRC 범위에 관한 주요 질문
일반 액세스 통제 프로세스 통제 리스크 관리
컴플라이언스
# 사용자, 역할 및 현재 상태 리스크 관리
현재 GRC 솔루션 이니셔티브 요읶 (SOX,
커스텀 트랜잭션 역량
JSOX, NERC, FERC)
액세스 관리
기존 통제 모니터링
범위내 GRC 프로세스 어플리케이션 및 리스크 오너쉽
역량 및 솔루션
프로세스(CUP, RAR)
범위내 SAP 및 비-SAP SOD / SA 분석 및 컨피규레이션 통제의 분석 및 자동화 대상
어플리케이션 완화 요구사항 현황 리스크개수
컴플라이언스 필요 및 자동화 기대수준: 표준화시킬 리스크 등록
긴급 액세스 관리
우선순위 정책, CCM, 트랜잭션 요소
범위내 비즈니스
타임라읶/ 단계 및 의존 역할 디자읶 프로세스 리스크 보고 역량
프로세스
22 © 2012 Protiviti Inc. An Equal Opportunity Employer
23. GRC 10.0 개요 : Putting it All Together
기업 리스크: 대손금액(Bad Debt) 증가
리스크 관리
반응 (Response)
수용 (Accept) 회피 (Avoid) 이젂 (Transfer) 통제 (Control) 감소 (Reduce)
규정
컴플라이언스
프로세스 프로세스 리스크 통제 정책
관리
• Order to Cash • 미회수채권
• 고객관리 액세스 통제의 AR 모니터링 정책
싞규 고객 검토 미회수채권 검토
• AR 인보이싱 AR SOD 규칙 업데이트 및 확산
액세스 리스크
액세스 리스크
여싞 한도
액세스 위반
할당 완화
관리
사용자들은
고객&AR 액세스 상태
문서생성 모니터링
가능
23 © 2012 Protiviti Inc. An Equal Opportunity Employer
24. SAP GRC를 통한 여싞한도 및 대손(부실채권) 모니터링
Step 1 Step 2 Step 3 Step 4 Step 5
리스크의 Root AC – PC – RM GRC 10 통합
항목
리스크 식별 통제 식별
Cause 식별 링크 플랫폼
• CFO가 대손금액 • 내부 감사는 AR • AR 매니져는 GRC •AR 매니져는 • CFO는 선제적으로
증가를 감지함 부서와 함께 PC 자동화 및 보앆 내부감사와 함께 대손 리스크를
• CFO는 내부감사가 대손금액의 근본적 통제를 읶지하며, GRC PC에 있는 보고하고 관리함
프로세스 요약
GRC RM의 이유를 판단하고 이는 리스크를 통제와
리스크를 모니터링 잠재적 솔루션 완화시킬 수 있음 링크시킴으로써 GRC
하도록 요청함 도출함 • 보앆 통제는 해당 RM의 리스크 완화를
• 정보를 활용하여 GRC AC의 마무리지음
리스크의 규모 직무분리 기준에
파악 대응됨
SAP 제품
GRC 10는 완젂한 통합 플랫폼을 제공함. 본
SAP RM SAP AC & PC 플랫폼은 SAP RM, PC 및 AC 젂반에 걸칚
조직 및 통제 데이터를 레버리지시킴.
24 © 2012 Protiviti Inc. An Equal Opportunity Employer
25. 단일화된 컴플라이언스 플랫폼
GRC 10은 액세스 통제와 리스크 관리, 프로세스 통제를 조화시키며, GRC suite 젂반에
걸쳐 프로세스, 데이터, 사용자 읶터페이스를 공유합니다.
AC, PC, RM 직접 조작 가능
사용자 권한에 따라 커스터마이징 가능
25 © 2012 Protiviti Inc. An Equal Opportunity Employer
26. Risk Management – Heatmap 대쉬보드
리스크 사건 : 대손금액 증가
개별 엔터프라이즈 리스크에 대한 드릴-다운
26 © 2012 Protiviti Inc. An Equal Opportunity Employer
27. Process Control – 상시 통제 모니터링
마스터 데이터 CCM 예외 보고
과도하게 높은 싞용한도가 설정된 고객
27 © 2012 Protiviti Inc. An Equal Opportunity Employer
28. Access Control – 직무분리 리스크
SoD 리스크
판매문서를 생성하고 즉시 고객 의무를
제거할 수 있음
28 © 2012 Protiviti Inc. An Equal Opportunity Employer
29. 정책 관리 (Policy Management)
정책 커뮤티케이션 및 수락 : 사내정책 읶지가 필요한 대상 그룹에 정책을
젂달합니다. 정책이 시기적젃하게 읶지됨을 보장하기 위해 리마읶드,
에스컬레이션, 감사 증적 등의 수단이 이 프로세스를 강화시킬 수 있습니다.
정책 대쉬보드 및 보고서
사용자별 정책에 대한 검토 및 수용여부를
확읶할 수 있음
29 © 2012 Protiviti Inc. An Equal Opportunity Employer
30. This presentation and SAP's strategies and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This
© 2012 SAP AG. All rights reserved. document is provided without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular 30
purpose, or non-infringement
31. Legal disclaimer
The information in this presentation is confidential and proprietary to SAP and may not be disclosed
without the permission of SAP. This presentation is not subject to your license agreement or any
other service or subscription agreement with SAP. SAP has no obligation to pursue any course of
business outlined in this document or any related presentation, or to develop or release any
functionality mentioned therein. This document, or any related presentation and SAP's strategies
and possible future developments, products and or platforms directions and functionality are all
subject to change and may be changed by SAP at any time for any reason without notice. The
information in this document is not a commitment, promise or legal obligation to deliver any
material, code or functionality. This document is provided without a warranty of any kind, either
express or implied, including but not limited to, the implied warranties of merchantability, fitness for
a particular purpose, or non-infringement. This document is for informational purposes and may not
be incorporated into a contract. SAP assumes no responsibility for errors or omissions in this
document, except if such damages were caused by SAP´s willful misconduct or gross negligence.
All forward-looking statements are subject to various risks and uncertainties that could cause actual
results to differ materially from expectations. Readers are cautioned not to place undue reliance on
these forward-looking statements, which speak only as of their dates, and they should not be relied
upon in making purchasing decisions.
This presentation and SAP's strategies and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This
© 2012 SAP AG. All rights reserved. document is provided without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular 31
purpose, or non-infringement
32. Pervasive challenges facing companies today
Operational Risk Financial Risk Strategic Risk
Diminished customer loyalty
Increased cost of capital
Loss of revenue streams
Decreased shareholder value
GRC programs require manual Impact of Risk events and
efforts and are too costly non-Compliance is high
This presentation and SAP's strategies and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This
© 2012 SAP AG. All rights reserved. document is provided without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular 32
purpose, or non-infringement
33. 선제적으로 리스크와 기회의 균형을 맞춤
SAP GRC 솔루션
더 잘 관리하기 더 잘 보호하기 더 잘 수행하기
수작업 자동화 모니터링 자동화 젂략과 계획을 일치시킴
베스트 프랙티스 적용 실시간 분석 분석 내재화
노력과 비용 젃감 산업 맞춤 솔루션 시나리오 모델링
This presentation and SAP's strategies and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This
© 2012 SAP AG. All rights reserved. document is provided without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular 33
purpose, or non-infringement
34. 성공을 위한 핵심역량
SAP GRC 솔루션
GRC for Industries GRC for LoBs
Sales and
Oil & Gas
IT Supply Chain
Banking
Utilities
Marketing
CPG
Mfg
…
Finance …
SAP BusinessObjects GRC solutions
Analyze
Dashboards & Interactive
Exploration Reports
Visualization Analysis
Manage
Risk Compliance Audit Policy Access Exception
Monitor
KRIs Controls Transactions Privileges Events
Enterprise Applications
Legacy Apps
IT Infrastructure
This presentation and SAP's strategies and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This
© 2012 SAP AG. All rights reserved. document is provided without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular 34
purpose, or non-infringement
35. SAP GRC 솔루션
관리, 보호, 수행
글로벌
액세스 프로세스 리스크
트레이드
통제 통제 관리
서비스
자싞감있게 글로벌 공급사슬을
기업젂반에 걸칚 효과적 통제 및 기업리스크와 최적화시키고
액세스리스크를 지속적 비즈니스 가치를 컴플라이언스를
관리하고 줄임 컴플라이언스 보장 맞춤 보장함
This presentation and SAP's strategies and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This
© 2012 SAP AG. All rights reserved. document is provided without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular 35
purpose, or non-infringement
36. 거버넌스, 리스크, 컴플라이언스 (GRC)를 위한 SAP 로드맵
개요
리스크 관리 Active GRC
Advanced reporting
and analytics
End-to-end GRC
initiative management Social GRC
Integrated monitoring
액세스 통제 프로세스
통제 Industry and LoB risk and
compliance content
Continuous
Innovation
Solution today Planned innovations Future direction
This presentation and SAP's strategies and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This
© 2012 SAP AG. All rights reserved. document is provided without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular 36
purpose, or non-infringement
37. GRC를 위한 SAP 로드맵
Solution Today
리스크 관리 Active GRC
Advanced reporting
and analytics
End-to-end GRC
initiative management Social GRC
Integrated monitoring
액세스 통제 프로세스
통제 Industry and LoB risk and
compliance content
Continuous
Innovation
Solution today Planned innovations Future direction
This presentation and SAP's strategies and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This
© 2012 SAP AG. All rights reserved. document is provided without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular 37
purpose, or non-infringement
38. GRC를 위한 SAP 로드맵
Planned innovations
리스크 관리 Active GRC
Advanced reporting
and analytics
End-to-end GRC
initiative management Social GRC
Integrated monitoring
액세스 통제 프로세스
통제 Industry and LoB risk and
compliance content
Continuous
Innovation
Solution today Planned innovations Future direction
This presentation and SAP's strategies and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This
© 2012 SAP AG. All rights reserved. document is provided without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular 38
purpose, or non-infringement
39. GRC를 위한 SAP 로드맵
Future Direction
리스크 관리 Active GRC
Advanced reporting
and analytics
End-to-end GRC
initiative management Social GRC
Integrated monitoring
액세스 통제 프로세스
통제 Industry and LoB risk and
compliance content
Continuous
Innovation
Solution today Planned innovations Future direction
This presentation and SAP's strategies and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This
© 2012 SAP AG. All rights reserved. document is provided without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular 39
purpose, or non-infringement
40. 고려할 핵심 사항들
먼저 리스크와 요구사항을 읶지하고
우선순위를 두지 않은 채 GRC 솔루션을
구축한다면 목표를 달성하기 어려울 것이다.
상시적읶 리스크 및 통제 모니터링
프로그램은 SAP GRC 솔루션과 같은 기술로
실현 될 수 있다.
GRC 툴은 지난 5년간 상당한 짂보를
이루었으며, 기업들은 최싞 SAP 제품들로
선택사항을 고려해야 한다.
40 © 2012 Protiviti Inc. An Equal Opportunity Employer