Stream B: Governance, Risk & Compliance Dokumentation af kontroller September 2012, Arne Joensen
Overvejelser omkring kontroller og compliance GRCsystemer Udgangspunkt Dokumentation og overblik Hvilke krav gælder? Hvilke opgaver udføres? Hvorfor udføres opgaven? Hvornår udføres opgaven? Hvem udfører opgaven? Konsistens og sammenhæng med aktiviteter i andre dele af virksomheden Grundlag for optimering af processer Formål og fokus Risiko, kontrol og compliance Identifikation af forretningsmæssige og finansielle risici Vurdering af compliance krav Vurdering af interne kontroller Forretningsmæssigt Øget effektivitet Mindre spild og fejl Hurtigere gennemløb Større fleksibilitet Forandringsparathed Øget medarbejdertilfredshed 2
Forandringsparathed Hastige forandringer i vores samfund stiller krav til virksomhedens tilpasningsevne Eksempler på væsentlige forandringer Ændrede lovkrav (f.eks. påbud fra Finanstilsynet, EU-direktiver, SOX) Børsmodning Opsplitning / sammenlægning / nedlukning af virksomheder Outsourcing eller etablering af Shared Service Centre Anskaffelse af ERP-systemer Effektiviseringsprojekter (f.eks. LEAN / Six-Sigma) Intern kontrol og Risk Management Andre boller på suppen som følge af ændringer i ledelsen 3
Traditionel organisering af dokumentation 4
Ledelsesprocesser Regnskabsaflæggelse Centralt Repository Intern Revision Love, regler, standarder mv. Forretningsprocesser Salg & markedsføring Produktudvikling Leverance Støtteprocesser IT-processer HR-processer Økonomistyring Systemer Udlånssystem Finanssystem CRM-system Compliance Politikker og Procedurer Infrastruktur Netværk Operativsystem DB2 database SQL Informationer og data Lånesagsbase Økonomidatabase Kundebase Strategi, Vision, Mål 5
Modenhedsniveau Omkostninger Løbende optimering Én original Workflow Dynamisk overvågning Mange til mange Versionsstyring Grafisk overblik / Cockpit Fokus på Non-compliance Roller & rettigheder Integration Nytteværdi 6
7
Tilgangen til vurdering af et GRC-system Leverandørens tilgang SAP og Oracle tilbyder GRCmarkedet applikationer, der er integrerede med deres ERPsystem. Deres tilgang er en bottom-up tilgang, der gør det muligt at bygge styringen af Risk & compliance på en platform af standardiserede og transaktionsbaserede processer og sikkerhedsrutiner Andre leverandører tilbyder mindre eller ingen integration med ERPsystemerne, og dette afspejles i en mere fleksibel top-down tilgang. Fokus på risiko Top-down-tilgang baseret på risikoanalysen Færre detaljer, hurtigere at implementere Fokus på det store perspektiv Omkostningseffektiv, begrænset teknologisk support Simulering er baseret på færre detaljer og kræver en ekstra indsats for at muliggøre kompleks simulering Konstant opmærksomhed på risikoporteføljen Udrulning er begrænset til den realiserede risikoportefølje Høj tolerance overfor kvaliteten af de detaljerede finansielle data Approva BizRights CCM, Bwise GRC solution, CA IT GRC solution og andre Fokus på kontroller Bottom-up-tilgang baseret på automatisering af kontroller Fokus på detaljeniveau og kompleksitet Muliggør detaljerede drill-down funktioner Omfattende teknologisk support Simulering er baseret på reelle kontroldata. Muliggør komplekse simuleringsmodeller Kræver valg af meningsfulde KRI for at forblive effektive Udrulning er afhængig af definitionen af KRI Høje krav til kvaliteten af de detaljerede finansielle data SAP GRC, Oracle GRC og andre 8
Valg af compliance værktøj At identificere en foretrukken Compliance eller GRC-udbyder følger en model med fire stadier, der er designet til trinvist at analysere og udskille leverandører i forhold til virksomhedens specifikke compliance krav. Analyseinstitut Anbefalinger Deloitte Point of View Kunde Erfaring og interesse Lignende virksomhed Erfaring og interesse Analyser leverandørmarkedet Document starting point Første bruttoliste med leverandører valgt ud fra input fra analyseinstitutter, Deloittes GRC erfaring, kundens øvrige systemer, og erfaring fra andre virksomheder Lang filtreret liste 20 Leverandører Compliance and GRC Vendor Landscape Vendor Vendor Vendor Kvalificerede favoritter 5-10 Leverandører Vendor Vendor Vendor Finalister 2-4 Leverandører Fit? Filtering Vendor Long-List Bucket A Bucket B Bucket C Narrowing Short-List RFP Selected Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor Vendor RFI Vendor Næste skridt Identificer lang liste Identificer favoritterne Evaluer favoritterne Vælg leverandør Evaluering af bruttolisten i forhold til tre nøglekriterier, der blev anset som meget vigtige for kunden Produktets evne til at leve op til GRC og Compliance krav Leverandørerfaring Kundeerfaring Opdeling af den forkortede liste over leverandører i tre kategorier Anbefalede GRC-leverandører Leverandører, der i forvejen benyttes af virksomheden, og som tilbyder GRC løsninger. Niche-løsninger med fokus på Compliance Vurder leverandørens præsentation af deres anbefalede løsning. (Beauty Contest) Udvælg de få leverandører der skal modtage RFP er Gennemgå RFP-svarene og lav en slutanalyse af de endelige leverandører i forhold til kundens krav og mål Udvælg leverandør 9
Tid og ressourceforbrug Initial ekstra investering i teknologisk understøttelse og robust metodik etc. Potentiale for besparelse med den rette teknologiske understøttelse Ressourceforbrug 10
11