Sap grc 10 webinar 2012 (한글번역 샘플)

2012. 9. 프로티비티 유한회사

Protiviti and SAP Webinar 자료공유

”GRC Roadmap Planning”

© 2012 Protiviti Inc. An Equal Opportunity Employer 2

주) 본 자료는 지난 2012년 5월 SAPinsider Webinar를 통해 프로티비티와 SAP가 공동 발표한 것으로, 다음 링크를 통하여 ON DEMAND 원문 자료를 열람하실 수 있습니다. Protiviti and SAP Webinar: GRC Roadmap Planning https://event.on24.com/eventRegistration/EventLobbyServlet?target=registration.jsp&eventid=

454201&sessionid=1&key=84F576873E3CE6DA80EF7B749D38611E&sourcepage=register

GRC 권한체계 최적화에 대한 고객사례 발표는 2012년 9월 SAP Forum Track1-Analytics 세션을 참고하시기 바랍니다. End-to-end Risk and Compliance: GRC 권한체계 최적화 고객사례 - Project to Process http://www.sapforum.co.kr/2012/Seoul/agenda.html

https://event.on24.com/eventRegistration/EventLobbyServlet?target=registration.jsp&eventid=454201&sessionid=1&key=84F576873E3CE6DA80EF7B749D38611E&sourcepage=register



http://www.sapforum.co.kr/2012/Seoul/agenda.html











© 2012 Protiviti Inc. An Equal Opportunity Employer 3

Blank Page

© 2012 Protiviti Inc. An Equal Opportunity Employer

금일 세션의 목표

• 거버넌스, 리스크, 컴플라이언스 (Governance Risk & Compliance) 프로그램의 핵심 요소

• GRC Roadmap: 구현방앆 제앆

• GRC Technology

• SAP의 GRC 솔루션 업데이트 (v10.0)

토의 대상:

4 4


프로티비티 솔루션 개요

소개 (내부감사 및 리스크 컨설팅 젂문) 프로티비티는 가치를 제고시키는 솔루션들을 활용하여 산업 내 리스크 뿐만 아니라 시스템과 프로세스 젂반에 걸쳐 젂세계 회사들이 직면하는 리스크들을 식별, 측정, 관리할 수 있도록 지원하고 있습니다.

비즈니스 문제 해결

SAP 서비스

정보 기술 컨설팅

소송, 구조조정 & 조사 서비스

비즈니스 운영 향상 재무 및 회계분야 탁월성

리스크 & 컴플라이언스

내부 감사 & 재무 통제 트랜잭션 서비스

5

프로세스 개선 및 자동화 어플리케이션 통제 설계

GRC 구축

SAP 감사

구축 프로젝트 리스크 관리 어플리케이션 보안 및

직무 분리

시스템젂략

5


GRC 용어정의

“GRC 관리는 목표에 반하는 통제와 리스크에 대한 관리, 측정, 개선, 보고를 자동화시키는 것으로 정의할 수 있으며, 이는 규칙, 규정, 기준, 정책, 비즈니스 결정과 부합하는 것이다.

가트너

“조직이 다음과 같은 읷을 할 수 있도록 하는 사람, 프로세스, 기술의 체계이다 : • 이해당사자의 기대치를 이해하고 우선순위를 정함 • 가치 및 리스크와 동읷한 비즈니스 목표들을 세움 • 리스크 프로파읷을 최적화시키고 가치를 보호하여 목표를

달성케 함 • 법적, 계약적, 내부적, 사회적, 윤리적 범위 내에서 운영활동을

수행함 • 적젃한 이해당사자에게 관렦성있고, 싞뢰성있으며, 적시적읶

정보를 제공함 • 시스템의 성과 및 효과 측정을 가능케 함”

OCEG

6


회사 고유의 Risk Universe 정의

7

3rd Party Management

Anti Money Laundering

Audit Management

Brand and Reputation

Business Continuity / Resiliency

Corporate Compliance

Corporate Governance

Corporate Social

Responsibility

Corruption and Fraud

Crisis Management

Employment / Labor

Enterprise Risk

Management

Environment Ethics and Integrity

Financial Assurance

and Controls

Geo-Political Risk

Management Global Trade

Health and Safety

Information Risk and

Compliance

Insurance and Claims

Management Investigation

Legal Matter Management

Operational Risk

Management

Physical Security

Privacy Quality Treasury

Risk Management


회사 고유의 Risk Universe 정의

세금계산서 및 명세서 생성

고객 잒고 확인/추적 매출 및 영수 증빙 기록 AR

프로세스

8

3rd Party Management

Anti Money Laundering

Audit Management

Brand and Reputation

Business Continuity / Resiliency

Corporate Compliance

Corporate Governance

Corporate Social

Responsibility

Corruption and Fraud

Crisis Management

Employment / Labor

Enterprise Risk

Management

Environment Ethics and Integrity

Financial Assurance

and Controls

Geo-Political Risk

Management Global Trade

Health and Safety

Information Risk and

Compliance

Insurance and Claims

Management Investigation

Legal Matter Management

Operational Risk

Management

Physical Security

Privacy Quality Treasury

Risk Management


회사의 GRC 젂략 정의하기

거버넌스

리스크 관리

컴플라이언스

사람

프로세스 기술

GRC 젂략

포괄적이고 통합된 관점

9


가치 달성: 구현(Deployment) 방안 제안

10

GRC 로드맵

무엇을? 어떻게? 언제?

리스크

평가

(Risk Assessment)

로드맵

정의

(Roadmap Definition)

비즈니스

케이스

(Business Case)

솔루션 Roll-out

단기 과제화

(Quick Wins)

강화된

모니터링

(Enhanced Monitoring)

GRC

젂체 구현

(Full GRC Deployment)


리스크 평가

범위 및 리스크 결정

리스크 커버리지 이해

현 접근법의 비용분석

개선사항 구현 대상 결정

Big Picture 모델링

리스크평가 프레임워크 및 관렦 분석들

자동화된 통제

데이터 통합

보앆

11


로드맵 정의

기술 이해 및 평가

단계별 구현 고려

단기 과제화 결정

(Quick Wins)

최적화 기회 결정

(Optimization Opportunities)

프로세스 개선 결정

(Process Improvements)

기술적 및 비기술적 요소들 고려

기술적 로드맵

프로세스 개선

Period 1 Period 2 Period 3 Period 4 Period 5 Period 6 Period 7 Period N

Phase 2 Implementation

(CUP & ERM)

Knowledge

Transfer

Planning /

HW

Acquisition

Data

Migration

(RAR,SPM)

Ruleset

optimization

Extended

workflow and

Reporting

Technical

Installation /

Upgrade

Testing

Prepare

System for

Migration

Streamline

FF process

Security

Remediation

GoliveGRC 10 Upgrade

Project Tasks

Optimization

Solution

Design

Phase 1

Implementation

(RAR & SPM)

Knowledge

Transfer Testing Golive

12


비즈니스 케이스

리스크를 효과적으로 관리하기 위해서 Technology가 필수 요소가 되어가고 있습니다. 다음과 같은 비즈니스 케이스 수립이 중요합니다.

13

실현 가능해야 함

정성적 & 정량적 요읶 포함

감사 및 관리 효익 포함

벤치마킹 평가 포함 HIGH

HIGH

Tim

e &

Cost

Value to the Business

Installation: Quick Start

Innovation: Continuous Monitoring

Implementation: Customization and integration

Institutionalization: Business Process Improvement

LOW


비즈니스 케이스 : Big Picture 고려

주요 재무 프로세스

General Ledger

Controlling

Purchasing & Payables

Assets

Order to Cash People

Management

Plant Maintenance

Treasury

Inventory ITGC

Project System

보안

자동화된 평가

민감 접근권한 보안 파라미터 직무분리 시큐리티 및 예방통제에 대한 평가

(시스템 기반의) 컨피규레이션 통제들 • 시스템 허용한도, 필수입력 필드, 중복

확인 등 • "ON" or "OFF“ 대상 IT 통제들

자동화된 평가

적발통제

표준 보고서

프로세스 통제

수작업 승인

Sign offs

질의서를 통한 상세 평가 프로

세스

통제

자동화 통제의 식별 및

모니터링

통계적 분석 직무분리 위반사항

자동화된 평가 및 쿼리(Queries)

트랜잭션 / 마스터 데이터

정합성

데이

터 분

석

트랜잭션 데이터 분석

경영짂을 위한 종합현황판 (Dashboards)

14


Technology: GRC를 위한 SAP 솔루션

Access Control

Process Control

Risk Management

GTS

15


시큐리티 및 액세스 프로비저닝 (GRC-AC)

16

로드맵에서 고려해야 할 주요 기능들

사용자/역할 액세스 리뷰 (읶증)

비즈니스 역할 관리

SOD/보완통제 관리

패스워드 셀프-서비스

PC와 RM 통합

슈퍼 유저 관리


시큐리티 및 액세스 프로비저닝 (GRC-AC)

17


사용자/역할 액세스 리뷰 (읶증)

비즈니스 역할 관리

SOD/보완통제 관리

패스워드 셀프-서비스

PC와 RM 통합

슈퍼 유저 관리


컴플라이언스 및 감사 관리 (GRC-PC)

18

통제 프레임워크 관리

자동화된 테스팅

개선 및 보고

정책 관리 (Policy Management)

AC와 RM 통합

감사 관리 통합



리스크 관리(GRC-RM)

19

단읷화된 리스크 프레임워크

협업적 리스크 평가

리스크 노출 및 반응 관리

KRI 및 KPI 모니터링

대쉬보드 보고

리스크 보고를 위한 AC 및 PC 통합

감사 관리 통합



Functionality Roadmap - 예시

20

통제 테스트 워크플로우

설문 & 읶증 (Certifications)

리스크 시뮬레이션

자동화 KRIs

단계 III

SOD 분석/보고

임시/비상 액세스 관리

액세스

통제

프로세스

통제

리스크

관리

단계 I

eGRC 플랫폼 통합

리스크 등록 & 반응 계획

수작업 통제에 대한 저장소

자동화된 사용자 프로비저닝

역할 관리 어드민

자동화된 통제들

설문 / 워크플로우 자동화

단계 II

eGRC 통합 통제 라이브러리

수작업 핵심 리스크 지표 (KRI)

감사 조서 관리

리스크-기반의 감사 계획


Functionality Roadmap - 예시

21

액세스

통제

프로세스

통제

리스크

관리

단계 II 단계 III 단계 I

• 체계적읶 역할 읶증 및 패스워드 재설정

• 사용자 및 역할 관리 프로세스 자동화

• 실시간 경영짂 대상 리스크 보고

• 리스크 식별

• 반응 계획 중앙 문서화

• 리스크 설문

• 검토, 승읶, 개선을 위한 자동화 컴플라이언스 계획

• 컴플라이언스 읶증/ sign-off

• 리스크 시나리오 시뮬레이션 능력

• 다양한 시스템 및 외부 데이터 소스로부터 자동적으로 추출되는 통합 리스크 대쉬보드

• 실시간 SOD 보고

• 보앆 개선 젂략

• 체계적읶 긴급 / 임시 액세스 프로세스

• 보앆 감사 로그/보고

• eGRC 플랫폼 통합을 위한 기초

Quick Wins Enhanced

Monitoring

Full GRC

Deployment


일반

현재 GRC 솔루션

범위내 GRC 프로세스

범위내 SAP 및 비-SAP 어플리케이션

컴플라이언스 필요 및 우선순위

타임라읶/ 단계 및 의존

액세스 통제

# 사용자, 역할 및 커스텀 트랜잭션

액세스 관리 어플리케이션 및

프로세스(CUP, RAR)

SOD / SA 분석 및

완화 요구사항

긴급 액세스 관리

역할 디자읶 프로세스

프로세스 통제

컴플라이언스 이니셔티브 요읶 (SOX,

JSOX, NERC, FERC)

기존 통제 모니터링 역량 및 솔루션

컨피규레이션 통제의 현황

자동화 기대수준:

정책, CCM, 트랜잭션

범위내 비즈니스 프로세스

리스크 관리

현재 상태 리스크 관리 역량

리스크 오너쉽

분석 및 자동화 대상 리스크개수

표준화시킬 리스크 등록 요소

리스크 보고 역량

시작지점? GRC 범위에 관한 주요 질문

22


GRC 10.0 개요 : Putting it All Together

반응 (Response)

감소 (Reduce) 이젂 (Transfer) 통제 (Control) 회피 (Avoid) 수용 (Accept)

기업 리스크: 대손금액(Bad Debt) 증가

리스

크 관

리

컴플

라이

언스

관

리

규정

프로세스

• Order to Cash • 고객관리 • AR 인보이싱

프로세스 리스크

• 미회수채권

통제 정책

싞규 고객 검토 미회수채권 검토 액세스 통제의

AR SOD 규칙

AR 모니터링 정책 업데이트 및 확산

액세스 리스크

액세

스 리

스크

관

리 여싞 한도

할당

사용자들은 고객&AR 문서생성

가능

액세스 위반 완화

액세스 상태 모니터링

23


SAP GRC를 통한 여싞한도 및 대손(부실채권) 모니터링

항목

리스크 식별 리스크의 Root

Cause 식별 통제 식별

AC – PC – RM 링크

GRC 10 통합 플랫폼

프로

세스

요약

• CFO가 대손금액 증가를 감지함

• CFO는 내부감사가 GRC RM의 리스크를 모니터링 하도록 요청함

• 내부 감사는 AR 부서와 함께 대손금액의 근본적 이유를 판단하고 잠재적 솔루션 도출함

• 정보를 활용하여 리스크의 규모 파악

• AR 매니져는 GRC PC 자동화 및 보앆 통제를 읶지하며, 이는 리스크를 완화시킬 수 있음

• 보앆 통제는 해당 GRC AC의 직무분리 기준에 대응됨

•AR 매니져는 내부감사와 함께 GRC PC에 있는 통제와 링크시킴으로써 GRC RM의 리스크 완화를 마무리지음

• CFO는 선제적으로 대손 리스크를 보고하고 관리함

SAP 제

품

SAP RM SAP AC & PC GRC 10는 완젂한 통합 플랫폼을 제공함. 본 플랫폼은 SAP RM, PC 및 AC 젂반에 걸칚

조직 및 통제 데이터를 레버리지시킴.

Step 5 Step 4 Step 3 Step 2 Step 1

24


단일화된 컴플라이언스 플랫폼

GRC 10은 액세스 통제와 리스크 관리, 프로세스 통제를 조화시키며, GRC suite 젂반에 걸쳐 프로세스, 데이터, 사용자 읶터페이스를 공유합니다.

AC, PC, RM 직접 조작 가능

사용자 권한에 따라 커스터마이징 가능

25


Risk Management – Heatmap 대쉬보드

리스크 사건 : 대손금액 증가

개별 엔터프라이즈 리스크에 대한 드릴-다운

26


Process Control – 상시 통제 모니터링

마스터 데이터 CCM 예외 보고

과도하게 높은 싞용한도가 설정된 고객

27


Access Control – 직무분리 리스크

SoD 리스크 판매문서를 생성하고 즉시 고객 의무를 제거할 수 있음

28


정책 관리 (Policy Management) 정책 커뮤티케이션 및 수락 : 사내정책 읶지가 필요한 대상 그룹에 정책을 젂달합니다. 정책이 시기적젃하게 읶지됨을 보장하기 위해 리마읶드, 에스컬레이션, 감사 증적 등의 수단이 이 프로세스를 강화시킬 수 있습니다.

29

정책 대쉬보드 및 보고서 사용자별 정책에 대한 검토 및 수용여부를 확읶할 수 있음

© 2012 SAP AG. All rights reserved. 30 This presentation and SAP's strategies and possible future developments are subject to change and may be changed by SAP at any time for any reason without notice. This document is provided without a warranty of any kind, either express or implied, including but not limited to, the implied warranties of merchantability, fitness for a particular purpose, or non-infringement


The information in this presentation is confidential and proprietary to SAP and may not be disclosed

without the permission of SAP. This presentation is not subject to your license agreement or any

other service or subscription agreement with SAP. SAP has no obligation to pursue any course of

business outlined in this document or any related presentation, or to develop or release any

functionality mentioned therein. This document, or any related presentation and SAP's strategies

and possible future developments, products and or platforms directions and functionality are all

subject to change and may be changed by SAP at any time for any reason without notice. The

information in this document is not a commitment, promise or legal obligation to deliver any

material, code or functionality. This document is provided without a warranty of any kind, either

express or implied, including but not limited to, the implied warranties of merchantability, fitness for

a particular purpose, or non-infringement. This document is for informational purposes and may not

be incorporated into a contract. SAP assumes no responsibility for errors or omissions in this

document, except if such damages were caused by SAP s willful misconduct or gross negligence.

All forward-looking statements are subject to various risks and uncertainties that could cause actual

results to differ materially from expectations. Readers are cautioned not to place undue reliance on

these forward-looking statements, which speak only as of their dates, and they should not be relied

upon in making purchasing decisions.

Legal disclaimer


Pervasive challenges facing companies today

Operational Risk Financial Risk Strategic Risk

Diminished customer loyalty

Increased cost of capital

Loss of revenue streams

Decreased shareholder value

GRC programs require manual

efforts and are too costly

Impact of Risk events and

non-Compliance is high


더 잘 관리하기 더 잘 보호하기 더 잘 수행하기

선제적으로 리스크와 기회의 균형을 맞춤 SAP GRC 솔루션

수작업 자동화

베스트 프랙티스 적용

노력과 비용 젃감

모니터링 자동화

실시간 분석

산업 맞춤 솔루션

젂략과 계획을 일치시킴

분석 내재화

시나리오 모델링


성공을 위한 핵심역량 SAP GRC 솔루션

SAP BusinessObjects GRC solutions

Manage

Monitor

Analyze Dashboards & Visualization

Interactive Analysis

Exploration Reports

KRIs Controls Transactions Privileges Events

Risk Compliance Audit Policy Access Exception

GRC for LoBs

IT Supply Chain Sales and Marketing

Finance …

GRC for Industries

Bankin

g

Utilities

Mfg

Oil &

Gas

…

CPG

Enterprise Applications

Legacy Apps

IT Infrastructure


SAP GRC 솔루션 관리, 보호, 수행

글로벌 공급사슬을 최적화시키고

컴플라이언스를 보장함

자싞감있게 기업젂반에 걸칚 액세스리스크를 관리하고 줄임

액세스 통제

프로세스 통제

리스크 관리

글로벌

트레이드

서비스

기업리스크와 비즈니스 가치를

맞춤

효과적 통제 및 지속적

컴플라이언스 보장


Planned innovations Future direction Solution today

거버넌스, 리스크, 컴플라이언스 (GRC)를 위한 SAP 로드맵 개요

Social GRC

Active GRC

Continuous Innovation

액세스 통제 프로세스 통제

리스크 관리

Advanced reporting and analytics

End-to-end GRC initiative management

Integrated monitoring

Industry and LoB risk and compliance content


Solution today Planned innovations Future direction

GRC를 위한 SAP 로드맵 Solution Today

Social GRC

Active GRC



리스크 관리






Future direction Solution today Planned innovations

GRC를 위한 SAP 로드맵 Planned innovations

Social GRC

Active GRC



리스크 관리






Future direction Planned innovations Solution today

GRC를 위한 SAP 로드맵 Future Direction

Social GRC

Active GRC



리스크 관리






먼저 리스크와 요구사항을 읶지하고 우선순위를 두지 않은 채 GRC 솔루션을 구축한다면 목표를 달성하기 어려울 것이다.

상시적읶 리스크 및 통제 모니터링 프로그램은 SAP GRC 솔루션과 같은 기술로 실현 될 수 있다.

GRC 툴은 지난 5년간 상당한 짂보를 이루었으며, 기업들은 최싞 SAP 제품들로 선택사항을 고려해야 한다.

고려할 핵심 사항들

40

Q & A