GRC Solution SAP首席咨询顾问鲁百.ppt
《GRC Solution SAP首席咨询顾问鲁百.ppt》由会员分享,可在线阅读,更多相关《GRC Solution SAP首席咨询顾问鲁百.ppt(102页珍藏版)》请在三一办公上搜索。
1、全面企业绩效管理与企业风险管理,鲁百年 博士、教授 中国区首席顾问SAP BusinessObjects,鲁百年:应用数学博士、教授。有特殊贡献的专家,享受政府津贴,2006、2007年中国培训十佳、2008年首届黄炎培职教管理专家奖。北京大学、清华大学MBA咨询顾问、国家行政学院特聘讲师、中金会特聘顾问。现任SAP Business Objects公司中国区首席顾问。,曾在美国SAS软件研究所任北方区销售总监、高级咨询顾问、创智科技股份有限公司CRM事业部任副总裁、美国Hyperion公司高级销售经理、北京甲骨文软件有限公司高级咨询顾问经理、美国BO公司中国区咨询顾问总监。在英国剑桥大学和S
2、ussex大学学习两年。在国内外发表学术论文90余篇,主持过两项国家自然科学基金资助的项目和一项回国人员基金,成果获省、部级科技进步一等奖、二等奖。出版如何做好大客户的战略营销、全面企业绩效管理、获得大订单的三部曲和客户也疯狂光盘四套、专著全面企业绩效管理、大客户战略营销、客户也疯狂和说服老板签大单四本。,全面企业绩效管理与风险管理GRC解决方案的风险管理GRC解决方案的过程控制GRC解决方案的访问控制GRC 如何全面应对企业内控的需求GRC实施案例分享,目录,风险调节下的绩效管理,数据仓库,CRM智能,人力资源财务智能,SCM智能,GRC,E-Business 电子商务技术平台,经营分析,绩
3、效优化,投资组合,知识管理,产品定价,核心业务系统,门户网站,全面企业绩效优化的实现,投入产出,决策支持系统DSS/BI/KDD,业务流程控制,业务操作信息化,MES,CAD,生产自动化,生产过程监控,IT风险,企业风险类别,企业风险监控,当前的主题已不止是审计-而是整个GRC体系(治理、风险和合规管理),Compliance,董事会财务部法律部销售部合同部人力资源部内控部信息部政策管理审计和合规管理资金部,Compliance,合规管理,合规管理,合规管理,风险管理,公司治理,风险管理,风险管理,公司治理,风险管理,Risk Mgmt.,风险管理,公司治理,SOX,JSOX,信用风险,操作风
4、险,市场风险,FDA,退保风险,项目风险,合规管理,风险管理,公司治理,在这个日趋复杂的世界中,“公司治理、风险管理和合规管理”越来越困难,传统的GRC是一种支离破碎的方法,正如图中的场景,Compliance,董事会财务部法律部销售部合同部人力资源部内控部信息部政策管理审计和合规管理资金部,Compliance,合规管理,合规管理,美国.德国日本英国.法国中国加拿大印度,合规管理,风险管理,公司治理,风险管理,风险管理,公司治理,风险管理,Risk Mgmt.,风险管理,公司治理,SOX,JSOX,信用风险,人力资本风险,收入确认,FDA,项目风险,合规管理,风险管理,公司治理,集成GRC模
5、式,前瞻型的企业现在正在采用一种集成统一的模式来管理GRC,如下图所示:,集成模式统一管理GRC方式,供应链,客户和渠道,SAP GRC提供全面的合规,风险,内控体系,标准化组件全面的内控风险合规管理自动化流程涵盖每部分流程,业务流程,Others,SAP GRC 解决方案,提供具有透明度的信息来预防风险标准化的通用GRC内容和规则将GRC流程自动化到业务流程监控中与现有IT投资及技术合作伙伴产品集成整合与服务提供商便捷的协同合作,监控战略,定义活动,设置标准和KPI,将企业的战略优势和有效执行联系起来,建立目标,制定战略目录,战略计划过程,风险管理的过程,研究风险智能战略,我们的战略目标是什
6、么?那些存在的风险会影响企业的战略的执行?,研究战略执行的计划,什么样的活动可以提高战略的执行,并且降低风险?那些关键绩效指标和风险目录应该被监控?,分析绩效和行动校正,我们做预测吗?从预测中发现那些重要的偏差?这些不一致的主要原因是什么?,全面企业绩效管理与风险管理GRC解决方案的风险管理GRC解决方案的过程控制GRC解决方案的访问控制GRC 如何全面应对企业内控的需求GRC实施案例分享,目录,SAP GRC风险管理的目标和实现方法,目标:根据风险来调整对企业绩效的管理,方法:自动处理流程闭环,风险规划:建立风险目录和关键风险指标风险识别:收集和整合企业范围内的风险,了解KRI的主要影响因素
7、风险应对:平衡风险和机会风险监控:基于角色的仪表盘、预警和应对活动,计划,识别与分析,响应,监控,SAP GRC风险管理企业绩效管理的风险调节管理,定义主要风险、阀值和特征,识别和评估企业所有相关的风险,对最大风险出现的应对策略,基于角色的实用仪表板与告警功能,对于业务过程实行积极的监控,保护现有的价值流程化跨企业风险管理预防事故和损失产生新的价值提高战略的实现通过预测和计划,调节企业的风险,改进企业的绩效增加企业透明度在合适的风险度下,确保业务部门的顺利运营紧密将业务过程、风险和监控连接起来,改善公司的治理,SAP风险管理功能,风险监控,风险响应,风险识别,风险分析,建立风险组织定义风险阀值
8、将战略目标落实到具体的组织定义风险组织的角色以及责任定义风险相关的活动,与部门流程相结合定义风险的分级定义关键风险、目录和阀值定义风险报告的结构,定义风险结构定义风险的触发点以及其影响将关键风险指标与关键绩效指标连接起来定义风险之间的联系,回顾历史损失利用定量和定性的方法分析风险了解基于风险危害的影响级别建立风险情景并考虑风险披露情况支持进行蒙特卡罗法的模拟评估基于有效反馈响应的损失评估打包合并相似的风险影响,建立预防风险以及快速恢复的机制以及文档手册关注并分配风险发生后的流程明确风险的责任人以及响应的活动处理事先和事后风险应对分析跟踪风险应对成本,监控关键风险指标监控风险应对的有效性和完整性
9、风险暴露报告监控风险应对活动相关的工作流程,风险计划,风险管理的步骤自动过程处理的闭环,基于角色的仪表盘和预警、和应对活动,建立风险的目录和关键风险指标、以及阀值,收集和整合跨企业的风险信息、了解关键风险指标的主要影响因子,平衡风险机会和规避过程应对策略的成本,产生新的价值从战略到风险集成的价值链,绩效改进 为了实现可视化和公司治理的目标,改进绩效的跟踪、协同和报告。,战略目标的落实 了解企业的战略目标 并且确保用户访问绩效,利用数据和信息进行活动和项目的决策,将风险目标和战略目标相结合,目标设定情景分析方法,风险防范一致性 在方法论、风险偏好、阀值保持一致,建立风险和活动的目录,什么类型的风
10、险我们需要跟踪?基于活动类型的风险建议将风险和企业的战略目标紧密连接起来可以客户化、事先预置了的风险指标定义,风险目录,KRI 2成功的交易,理赔客户的 经历,业务部门风险阀值的文档记录,99,99%,95%,KRI 1理赔准时率,定义KRI目标和阀值,全面风险管理识别和评估跨企业的所有关键风险,对于手工风险活动的协同评估,定性和定量的事件和情景分析在应对之前和之后的分析不断优化工作流,利用风险“体温计”了解风险危害的优先级别,应对需要投资的优先级识别迁移风险的特征,自动风险识别,SAP CRM,将风险点嵌入到关键业务流程工作流确保了专家级风险评估的实现,风险管理的工作流,Automating
11、 business processes,利用SAP的业务流程风险识别确认评估结果重新评估过程再研究风险评估风险预警,角色之间互动的工作流程:风险识别的例子,部门经理(确认者),项目经理(评估负责人),项目成员(报告的生成者),风险发送,等待审批,发送等待审批,发送并且等待审批,输入项目的部门活动,1,批准或者拒绝,批准或者拒绝风险,诊断和输入项目的风险,绩效风险评估,选择应对的负责人,批准或者拒绝,4,2,3,查看当前风险的状态,1,2,4,3,风险管理事件损失记录结果后验概率和影响估计详细的因果关系分析度量风险响应有效性,风险管理事件损失要素,过程,人,数据结构,记录和事件分类,客户化和开始
12、,确认和跟踪,事件和损失报告,工作流协同,降低跨多个过程和风险目录的风险,智能风险应对做进一步的风险智能决策,错误的匹配了投保人和理赔人员工的健康和安全运营风险产品的消失供应商的失去没有满足C SOX合规没有满足证监会的要求,主要的行业风险,企业级风险管理模型:风险应对,输入优先级列表概率表潜在应对策略和活动列表,输出目标概率目标影响风险活动计划,负责人风险残余风险合同,能力概率和影响规模分析工具和技术风险数据收集,控制资源:成本,时间和人力组织标准角色和责任损失阀值保险政策,现金准备,风险评估:风险应对,对于每一个风险,可以设计一个或者多个风险应对策略 每个应对策略的数据需要输入:应对策略(
13、接受,观察,分析,转换,委派,降低,见下一页)应对成本在后续分析时使用概率的百分比改变应对策略可以降低风险的概率 例如:”降低5%”整体损失改变那个策略可以改变整体风险损失.例如:“降低$200,000”影响改变如果没有从整体损失改变驱动出发,那么应对策略可以改变整体的影响到什么地步 例如:“降低1个级别”,确认 批准风险和风险应对策略,“风险确认”是一个观察、批准整个识别风险、分析风险和风险应对计划的一个过程确认处理发生在风险管理过程中确认的职责不能被授权风险确认者可以:批准评估拒绝单个风险(利用活动评论栏提供原因;注意拒绝的风险不可能被从新激活),确认:批准风险应对策略,确认:批准风险应对
14、策略,保持信息在已有的业务流程中建立主动监控,捕获事故和损失,基于相关的风险,设定控制阀值,从以前的经验中学习将经验集成风险管理手册,高管层风险管理仪表盘,合规的检查列表可能导致过低或者过高控制。建立基于每个业务过程的风险级别和相应风险的风险控制,企业风险管理模型:风险监控,输入目标概率/影响风险活动计划风险责任人,输出对用活动应对活动计划修改应对计划新的识别风险结束风险风险报告,能力风险考察状态分析审计,控制资源:成本,时间和人力组织标准角色和责任,风险管理报告选择,强调个体化报告,可视化仪表盘*,PDF 报告,业务经理,风险经理,在线报告,基于BW报告,灵活性,集成的,风险经理仪表盘,SA
15、P BO访问控制安全 SoD和合规 IDM/规定g,SAP BO 过程控制 业务过程控制,由于冲突性的职责,员工是否有过度的授权?在你的用户的角色中,你控制新的用户的权限了吗?,任何关键的索赔,我们做到风险监控了吗?由于在索赔过程中不正确的授权,有欺诈行为吗?给受保人超付款了吗?,完整的、整合的内控系统帮助企业实现如下业务问题:1)匹配日益增加的合规要求关键是内控系统具有可审计的证据2)防范经济犯罪和错误,避免财务的损失和企业声誉的破坏3)通过高度的透明性,提高 过程的有效性,SAP BusinessObjects内控的风险驱动方法,Zurich 北美,财富 500 强公司的保险公司解决方案外
16、部的风险信息用户:3,000风险管理员访问和分析关于索赔趋势信息分析索赔的原因业务利益:Zurich和客户共享的信息,降低索赔率减少了纸张和邮寄的大量费用改善了运营的效率随时可以获得信息,Zurich 北美(美国、加拿大),业务:20亿收入保险公司为财富500强企业提供财险、意外险应用:风险智能系统财富500强企业“风险管理”,获得在线申报信息,700风险管理员,申报数据库,价值确保客户辨认在保险申报中的风险、风险管理问题的实时反馈和跟踪减少申报的数量、通过网上申办和处理降低保险成本;对Zurich和它的客户降低风险客户支持的成本在第一年减少了50万美圆。3年的ROI=249%(仅基于成本降低
17、)风险智能系统是一个新的收入源:例如:10个用户每年支付$5,000美圆+(9 x$200/年)+每个特殊需求$250美圆,SAP 2008/Page 42,SAP BusinessObjects 风险管理,SAP 2008/Page 42,全面企业绩效管理与风险管理GRC解决方案的风险管理GRC解决方案的过程控制GRC解决方案的访问控制GRC 如何全面应对企业内控的需求GRC实施案例分享,目录,GRC流程控制通过工作流简化合规活动,测试人员,合规小组,公司管理层,发送合规相关的纸质调查表,通过电子邮件接收测试说明,根据口头说明执行人工测试,合并多种来源的结果,?,文档或电子数据表保存在本地文
18、件服务器上,制定检测计划,流程正确吗?,?,采用信息化工具前的SOX/内控工作,SAP GRC流程控制融合法规遵从流程管理与持续控制监控,执行自我评估,检测自动控制,检测人工控制,文档,检测,监控,证明,证明并签交(302,设计,),流程-控制-目标-风险,IT基础设施,业务流程,检查异常,纠正问题,端到端企业控制管理的单个解决方案为自动和手动控制提供集中控制管理财务控制运作控制IT 控制根据异常进行管理确定纠正活动的优先级为管理人员提供对控制环境的洞察力,中央记录系统支持监管,提高透明度,管理条例与内部法规遵从策略相结合证明遵从法规GRC共生系组成集中的内容知识库2实现多种框架的合理化控制,
19、绩效指标与基准,监管与行业条例,风险与控制库,企业策略与制度,文档与委员会记录,GRC信息库,最佳实践,控制框架(COBIT,JSOX,),顾问服务(审计,律师),内部策略,政府机构,影响顾问团,重要账户,纠正问题,控制检测(人工/自动),控制,风险/控制目标,业务细分,地区,部门/法人实体,业务运营,地点/运营单位,组织分层结构(n-层),账户分层结构,流程/风险/控制分层结构,声明,声明,签交流程,结构定义,控制框架与组织管理,评估,法规遵从分类,流程,子流程,账户分组,一个系统支持端对端企业控制管理采用基于风险的方法部署控制 自动监控多种企业应用控制检查全球风险及优先采取的纠正措施,执行
20、自我评估,检测自动控制,检测人工控制,文档,检测,监控,证明,证明并签交(302,设计,),流程-控制-目标-风险,IT基础设施,流程,检查异常,纠正问题,SAP GRC控制流程融合法规遵从流程管理与持续控制监控,控制举例:,提升公司形象、股东价值、持续发展,“合规不仅仅是按照法规要求行事,而且要能够通过遵守法规来进一步实现企业的目标。”(Christof Menzies,普华永道公司风险与一致性实践管理助理,2005)“通过拓宽管理范围,我们可以真正向股东和利益相关者保证企业拥有竞争力,能够提高市场份额,为投资者带来回报,并避免出现其它合规方面的问题。”(Leif Johansson,沃尔沃
21、集团总裁兼首席执行官)“企业治理、风险和合规应该被看成是一个整体的概念。当在企业内全面推行这些概念时,它们能够为企业带来很大的价值,提高企业的竞争优势。”(Samuel Di Piazza Jr.,普华永道公司首席执行官),自动化控制改进控制效果,一个企业控制管理系统必须检测自动化控制与手工控制,关键业务流程自动控制的三种监控方法,构建特定检测,重用 定制检测,选择 预建检测,预建流程控制检测配有灵活的规则标准SOD分析与报告,即插即用现有检测脚本,采用定制查询构造器快速创建控制检测,订货至收款,订单获取,订单供货,计费与退货,采购至付款,需求计划,运营采购,对账上报,预算计划,分类账交易,财
22、务清算,IT基础,应用安全,变更控制,收入确认,库存管理,应付管理,合并上报,订货到收款自动控制监控样例,客户订单是否超过允许极限?,发货是否无销售单据?,价格或兑换率是否调整?,收入账户和过账允差是否改变?,一个系统支持端对端企业控制管理采用基于风险的方法部署控制 自动监控多种企业应用的控制检查全局风险并按优先的方式采取纠正措施,执行自我评估,检测自动控制,检测人工控制,文档,检测,监控,证明,证明并签交(302,设计,),流程-控制-目标-风险,IT基础设施,流程,检查异常,纠正问题,SAP GRC控制流程融合法规遵从流程管理与持续控制监控,收益-从自动化控制中大量减少重复工作量,从而消减
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GRC Solution SAP首席咨询顾问鲁百 SAP 首席 咨询 顾问

链接地址:https://www.31ppt.com/p-2975466.html