Treading Water.
GRC - Governance, Risk Management And Compliance
Novembro 2008
GRC - Governance, Risk Management and ComplianceConceito
Governance Risk Management
Compliance• Processo para
• Estruturas, políticas, processos e controlos focados na gestão estratégica da Empresa, através da operação
Management• Processo sistemático
para identificar, medir, gerir e monitorizar os riscos existentes na Empresa
• Processo para demonstrar que os colaboradores e demais agentes aderem às políticas, normas e procedimentos, legislação existente eatravés da operação
eficiente e efectiva do negócio.
Empresa. legislação existente e demais regulação aplicável.
SOX
ISO27001Protecção dados OEA
Banco de PortugalBasileia
©2008 Deloitte & Associados, SROC, S.A.2
GRC - Governance, Risk Management and ComplianceOs drivers externos
• Na conjectura actual, os vários players são cada vez mais exigentes com as Empresas modernas:
“Estão a gerir o risco de forma consistente?”
“O meu local de trabalho é seguro?”
Investidores Colaboradores
“A Empresa está conforme com a legislação e
regulamentação existentes?”
“São suficientemente qualificados para fazer parte da cadeia de fornecimento?”
Empresa
Parceiros de negócio Governo e reguladoresParceiros de negócio Governo e reguladores
“É uma empresa“A Empresa vai continuar a operar no
©2008 Deloitte & Associados, SROC, S.A.3
Clientes Activistas
É uma empresa verde?”
continuar a operar no médio/longo prazo?”
GRC - Governance, Risk Management and ComplianceAmeaças e desafios
• Adicionalmente, as Empresas encontra-se sujeitas a um número cada vez maior de ameaças e desafios:
Ética e deontologia profissional
Crime organizado
Pessoas
Crime organizado
Globalização
Mobilidade
Ameaçase
Mobilidade
Velocidade de troca de
ProcessosTecnologia
edesafios
Velocidade de troca de informação
Regulamentação e compliance
I i tê i d t l
Reputação e imagem
Regulação e compliance
Inexistência de controlos
©2008 Deloitte & Associados, SROC, S.A.4
Inexistência de controlos
GRC - Governance, Risk Management and ComplianceAmeaças e desafios (cont.)
• Neste contexto, a auditoria interna desempenha um papel fundamental como agente activo na Gestão do Risco:
Alterações ao Quadro Legal
87% dos riscos não são financeiros: Ilustrativo
Catástrofes
Gestão de Financiamentos
Quadro Legal
R d i f
Operacionais; 13%
Legal & Compliance;
8%
Financeiros; 13%
Fraude
Cancelamento de contratos
Recessão
Catástrofes Naturais
Falhas de serviço
Di ibilid d
Reporte de informação a stakeholders
8%
Estratégia;
Ambiente e saúde; 17%
Compliance com standards ambientais
Qualidade do serviço
económica
Erro humano
Saúde e segurança
Disponibilidade dos SI Relacionamento
com o mercado
pact
oEstratégia;
32%Política/geografia;
17%
©2008 Deloitte & Associados, SROC, S.A.
Probabilidade
Imp
Fonte: IBM Global Business Services, The Global CFO Study 2008.
5
GRC - Governance, Risk Management and ComplianceTime to do different things, and do things differently
Utilização de – É necessário acabar com os silos
funcionais, processuais e tecnológicos;Gestão em silos pessoas como
middleware
Inexistência de
– O GRC possibilita um melhor reconhecimento, compreensão e prioritização dos riscos, factor crítico para um processo de tomada de decisão e gestão de performance mais
Abordagem reactivaalinhamento entre os activos de TI e as necessidades de GRC
decisão e gestão de performance mais efectivo.
Inexistência de integração com os processos core e decision making
Fraca qualidade da informação
©2008 Deloitte & Associados, SROC, S.A.6
GRC - Governance, Risk Management and ComplianceOs que tentaram foram bem sucedidos
A sua organização tentou melhorar e integrar os seus processos de GRC?
• OCEG Strategy Study (estudo patrocinado pela Deloitte, SAP e Cisco):
sua o ga ação te tou e o a e teg a os seus p ocessos de G C
Sim, e excedeu as expectativas 13%
?
Encontra-seSim
Não sei12%
Sim, e atingiu as expectativas 71%The Open Compliance
and Ethics Group (OCEG) is a nonprofit that helps organizations drive performance and enhance their corporate culture by Encontra-se
planeado36%
Sim17%
their corporate culture by integrating governance, risk management, and compliance processes.
O tema ainda não foi
explorado35%Sim, mas não atingiu
as expectativas 16%
©2008 Deloitte & Associados, SROC, S.A.
Fonte: OCEG Strategy Study
7
GRC - Governance, Risk Management and ComplianceA importância das tecnologias de informação
• As tecnologias de informação deverão desempenhar um papel fundamental na obtenção e manutenção de um estatuto de conformidade;conformidade;
• As tecnologias de informação são o enabler para informação de elevada qualidade necessária para um bom modelo governativo e uma eficientemodelo governativo e uma eficiente gestão do risco;
• Os impactos e implicações do GRC nas tecnologias de informação são elevados; e
• O GRC será um driver significativo dos investimentos em tecnologias de informação nos próximos anos.
©2008 Deloitte & Associados, SROC, S.A.8
GRC - Governance, Risk Management and ComplianceCasos práticos
• A Empresa tem que obedecer a requisitos de compliance relacionados com o controlo interno da ló i i t
Problema
segurança lógica nos seus sistemas core;• Existiam debilidades ao nível do controlo de acessos (incumprimento) e possibilidade de acesso
indevido a informação sensível (risco de fraude).
• Implementar acções de melhoria ao nível do controlo de acessos lógicos e segregação de funções, passando de um enfoque manual e detectivo para um enfoque automático e preventivo.
Oportunidade
• A Empresa iniciou um projecto com os seguintes objectivos:
Acções
Implementação de acções de melhoria relacionadas com a segurança de utilizadores e perfis de acesso SAP de modo a atingir um ambiente razoável de controlo interno;Definição de um modelo de segregação de funções, tendo em conta os requisitos do negócio;Definição de uma nova estrutura de perfis de acesso aos sistemas SAP;Revisão dos procedimentos de gestão de acessos; e
©2008 Deloitte & Associados, SROC, S.A.9
Revisão dos procedimentos de gestão de acessos; eImplementação dos procedimentos de gestão de acessos na ferramenta SAP GRC Access Controls.
GRC - Governance, Risk Management and ComplianceCasos práticos (cont.)
Limpeza geral do sistema
Modelo de segregação de funções
Nova estrutura de perfis de acesso
Implementação SAP GRC Access Controls
• Users de ex-colaboradores;
• Users duplicados;• Users genéricos;• Users de
• Elaboração de uma matriz SoD:
• Definição de novasfunções aplicacionais (roles);
• Associação a transacções SAP;
• Implementação domodelo de segregação de funções;
• Implementação doAP0
1
AP0
2
AP0
3
AP0
4
AP0
5
AP0
6
AP0
7
AP0
8
AP0
9
AP1
0
AP1
1
AP1
2
Vendas / Prestação de serviços
Users de colaboradores que não se ligavam ao sistema há um elevado período de tempo;
transacções SAP;• Implementação no
sistema;• Realização de testes
pelos utilizadores; e• Entrada em produção
Implementação do workflow de pedido e aprovação de acessos; e
• Implementação do procedimento de
SA SA SA SA SA SA SA SA SA SA SA SA
L H H H H H H H H H
M M M L
L M M M M M
H
H H M M H
H H H L L H
H H M M M M M
Ilust
rativ
o
• … e acompanhamento. gestão de super-users.
• Departamento de Sistemas de
• Departamento de Auditoria Interna;
• Departamentos de negócio;
• Sistemas de informação.
H H M M M M M
H
H M M H M H H
H M H H M H M H H H
ento
Informação;• Departamentos de
negócio.
;• Departamentos de
negócio.
g ;• Departamento de
sistemas de informação.
ç• Auditoria Interna;• Departamentos de
negócio.Env
olvi
mo
©2008 Deloitte & Associados, SROC, S.A.10
2 semanas 3 semanas 8 a 12 semanas
Tem
p
GRC - Governance, Risk Management and ComplianceCasos práticos (cont.)
• O modelo de segregação de funções foi criado em parceria com o Departamento de Auditoria Interna, tendo em conta os requisitos de controlo interno e a realidade do negócio:interno e a realidade do negócio:
PROCESS GROUP NAME GROUP 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46
CUSTOMER MASTER 01 L H H H H H H H H H H H L L L
BLOCKED CUSTOMERS 02 L M M M M M M M L M L
CREDIT MANAGEMENT 03 H H M H H H M H M L L H
CUSTOMER INCENTIVES 04 H H H L L H H L M M M L
CUSTOMER CONTRACTS 05 H H M M M M M M M M M M MREVENUE PRICING CONDITIONS 06 H M M H M H H H M H M M
SALES ORDERS 07 H M H H M H M H H H M H M M M M M L M
A/R PAYMENTS 08 H M M L M M M H M H M M M M M M M M M M
A/R ENTRY 09 H M H L M H H H H H H H M M H M M M M
SALES INVOICING 10 H M H H M H H M H H M M L L L M M M
APPROVE SALES ORDERS 11 H M H H M H H H H H M H H M M M
NATIVE SEGREGATION OF DUTIES MATRIX
Rev
enue
Ilustrativo
APPROVE SALES ORDERS 11 H M H H M H H H H H M H H M M MPOST A/R PAYMENTS 12 H M L M M M M H M M M M M M M
CHECK DISBURSEMENT MANAGEMENT 13 M L H H H M M M M
PROCESS AND PRINT PAYMENTS 14 H H M M M M H H H H H H H L H H H H H H H
A/P ENTRY 15 M H H H H H H H H H M M M M M M H H H H M
A/P PAYMENTS 16 L H H H H H H H H H H H H H M M M M L
PURCHASE REQUISITIONS 17 M H H M M H M M
RELEASE PURCHASE REQUISITIONS 18 M H H M H L M L M M
PURCHASE ORDERS 19 M H H H H H H H H H H H M H H H H H
RELEASE PURCHASE ORDERS 20 M H H M H H H H H H H H H M H H H H
VENDOR MASTER DATA 21 H H H H H H H H H H L H L L M M M
CHECK ADJUSTMENTS 22 H H H H H H M M
POST A/P PAYMENTS 23 H H H H H H H H H L L MRELEASE OUTLINE AGREEMENT / CONTRACT 24 M H M H H L H L L L L L
GOODS DELIVERIES 25 H M H M M H M H M H M L M L H L L M M M L L L
GOODS RECEIPTS 26 L L M M M H M M M L H M H M H L H H H L L M M H H M M M M M M M
MATERIAL / SERVICE MASTER 27 M M M L M H M H H M M M M M M M M M M M M
GOODS MOVEMENTS 28 L M L M M H M H L M M M H M M M M M M M
PHYSICAL INVENTORY COUNT 29 L L L M M H L M H H H H H M M H M M L M M M M
POST GOODS RECEIPTS 30 M M L M M H M H L H H H L L H M H H M M M
Proc
urem
ent
ory
Man
agem
ent
egóc
io Implementação de controlos compensatórios nt
erna Revisão
PeriódicaOS GOO S C S 30
POSTING FOR INVENTORY MOVEMENTS 31 H M H H H L L M M M M M M L
APPROVE INVENTORY DIFFERENCES 32 M M L M M M M M M M LPOST GOODS ISSUES 33 H L M M M H H M M M M L M L L
ASSET MASTER DATA 34 H H M M M H H L L M L M M L
ASSET MAINTENANCE 35 H H M M H H L L M M M M
RELEASE / BLOCK ASSET GROUP 36 L M MPROJECT ACCOUNTING MANAGEMENT 37 H H
FI MASTER DATA 38 M M M M M M M M
COST / PROFIT CENTER ACCOUNTING 39 M M M M M H H M M H M L M M M M M M M M
CONTROLING MASTER DATA - MAINTAIN 40
POST G/L ACCOUNTING 41 L M M M M M M H H M M M L M M M M M M M M M MG/L JOURNAL ENTRY 42 M M M M M M M H M L M M M L M M M M L M M M M M
MAINTAIN USERS 43 H
MAINTAIN AUTHORIZATIONS 44 H
DEVELOPMENT 45 HSYSTEM MAINTENANCE 46 H
Bas
is &
Se
curit
y A
dmin
istr
atio
n
Ass
et
Man
agem
ent
Gen
eral
Led
ger
Acc
ount
ing
Inve
nt
Ne e
documentação no sistema SAP GRC Access Controls A
udito
ria In
CUSTOMER INCENTIVES
CUSTOMER MASTER
H GOOD DELIVERIES
SALES INVOICING
M
É possível ao utilizador modificar uma ordem de entrega de modo a incluir bens adicionais e alterar a factura de modo a dissimilar o acto fraudulento.
É possível ao utilizador criar no sistema um cliente inválido ou não autorizado e realizar uma venda com desconto ao mesmo cliente. Este facto pode resultar em
i ã i d id d b
©2008 Deloitte & Associados, SROC, S.A.11
apropriação indevida de bens e dissimulação do acto.
Requisitos de Negócio Abrangentes necessitam de uma Abordagem Unificada
Solução SAP para GRC
Industry-Specific GRC
Abordagem ao GRC unificada, integrada e focada no utilizador de negócio
Cross-Industry GRC
RiskManagement
Life Sciences High TechChemicals Oil & Gas Public Sector
Enterprise Risk Management
de negócio
Automaticamente monitoriza riscos e controlos em landscapes IT heterogéneos
Management
Compliance & Controls
p g
ProcessControl Global Trade EnvironmentAccess
Control
Endereça a maior parte dos requisitos GRC e grupos funcionais dentro da organização
SAP t id dGRC RepositoryGovernance Corporate Sustainability Management
SOA Platform
SAP tem a capacidade para obter um ecossistema global de GRC
Produtos co-desenvolvidos e id i
Business Applications andIT Infrastructure
promovidos com parceiros globais
GRC alavanca a liderança da SAP nos mercados regulamentados
© SAP 2007-2008
Inovação sem Descontinuidaderegulamentados
SAP GRC Access Control:Prevenção sustentável de violações de segregação de funções
Tempo mínimo para conformidade
Obter identificação rapidamentesão
Ger
al
Aud
itoria Gestão de Identidades Análise de Acesso
Periódica e Auditoria
Obter identificação rapidamente, eficientemente e de uma forma abrangenteEliminar riscos actuais de acesso e autorização é á chavedi
ação
de
Ris
co
Enterprise role
management
Risk analysis and
remediation
Compliant user
provisioning
Vi A
Superuserprivilege
management
Gestão contínua de acessoEvitar obstáculos aos negócio com respostas rápidas de emergência
Rem
edA
nális
e d
SAP_ALL
Melhorar a produtividade dos utilizadores finaisReduzir custo de manutenção do perfilFácil conformidade e evitar riscos de A
mbi
ente
C
ontr
olo Biblioteca de regras de Segregação de Funções
transversal à organização baseada em best practices
Regulations Rules Corporate Policies
Best Practices
autorização
Visão global efectivaFornecer capacidades de Visão global à FIN SCM SRM MFG HRen
to d
e e
Funç
ãoA
GestãoFacilitar a auditoria interna
Infra-estrutura IT
Legacy
Cru
zam
ePl
ataf
orm
a
Governance, Risk Management and ComplianceFinal thoughts…
©2008 Deloitte & Associados, SROC, S.A.14
Contactos
Deloitte & Associados, SROC, S.A.Edifício Atrium Saldanha
Praça Duque de Saldanha, 1 - 6º1050-094 Lisboa
Portugal
Tel: +(351) 21 042 75 00Fax: +(351) 21 042 79 50
Susana Pereira BarbosaManager
www.deloitte.com/pt
Member of Deloitte Touche Tohmatsu
José TavaresBusiness Development
SAP IBERIAEdifício D. SebastiãoRua Quinta da Quintã, 6Quinta da Fonte – P-2770-203 Paço de Arcos
T + 351 21 446 55 00F + 351 21 446 55 01E [email protected]
©2008 Deloitte & Associados, SROC, S.A.
Lisboa Porto LuandaLisboa
Edifício Atrium SaldanhaPraça Duque de Saldanha, 1 - 6º1050-094 LisboaPortugalTel: +(351) 210 422 500
Porto
Bom Sucesso Trade CenterPraça do Bom Sucesso, 61 - 13º4150-146 PortoPortugalTel: +(351) 225 439 200
Luanda
Rua Engº Costa Serrão, nº 13LuandaRepública de AngolaTel: +(244) 222 391 808 / 391 673Fax: +(244) 222 391 972( )
Fax: +(351) 210 422 950( )
Fax: +(351) 225 439 650
A expressão Deloitte refere-se a uma ou várias sociedades que operam ao abrigo de um acordo com a Deloitte Touche Tohmatsu, uma Swiss Verein, bem como às suas respectivas representadas e afiliadas. Deloitte Touche Tohmatsu é uma organização mundial de sociedades dedicadas à prestação de serviços profissionais de excelência, concentradas no serviço ao cliente sob uma estratégia global, aplicada localmente em cerca de 140 países. Com acesso a um capital intelectual de aproximadamente 135.000 pessoas no mundo, a Deloitte presta serviços em quatro áreas profissionais – auditoria, impostos, consultoria e assessoria financeira – e a mais de 80 por cento das maiores empresas mundiais, assim como às maiores empresas nacionais, instituições públicas, clientes locais importantes e companhias de sucesso, com rápidas taxas de crescimento global. Os serviços não são prestados pela Deloitte Touche Tohmatsu Verein e, por razões regulamentares entre outras, algumas das sociedades não prestam serviços em todas as áreas.
©2008 Deloitte & Associados, SROC, S.A.16 ©2008 Deloitte & Associados, SROC, S.A.
Como Swiss Verein (associação), nem a Deloitte Touche Tohmatsu nem qualquer das suas sociedades membro assumem qualquer responsabilidade isolada ou solidária pelos actos ou omissões de qualquer das outras sociedades membro. Cada uma das sociedades membro é uma entidade legal e separada que opera sob a marca “Deloitte”, “Deloitte & Touche”, “Deloitte Touche Tohmatsu” ou outros nomes relacionados.
Member ofDeloitte Touche Tohmatsu