基于ARCM的企業(yè)風(fēng)險管理

13:30–14:45pm17thofOctober2013SvenRoeleven,VPBusinessProcessSolutions

流程驅(qū)動的治理風(fēng)險與合規(guī)管理通過SoftwareAG解決方案

實現(xiàn)業(yè)務(wù)績效優(yōu)化簡述什么介紹SoftwareAG認(rèn)為GRC是什么？如何為什么什么參考案例什么是成功的GRC案例?GRC市場認(rèn)可的展望為什么SoftwareAG是GRC領(lǐng)域的領(lǐng)導(dǎo)者?最佳實踐方法如何開展第一個GRC案例?GRC參考案例GRC收益GRC能力什么是GRC?SoftwareAG的GRC平臺通過統(tǒng)一的平臺幫助客戶：組合能力有審計驗證工作流的業(yè)務(wù)流程分析（BPA）由統(tǒng)一的戰(zhàn)略管理工具覆蓋風(fēng)險、合規(guī)及業(yè)務(wù)績效管理用于滿足內(nèi)部和外部的法律要求和標(biāo)準(zhǔn)遵循有效的風(fēng)險管理防止業(yè)務(wù)績效失察用一致的方式和內(nèi)控系統(tǒng)集成所有管控需求和操作風(fēng)險通過工作流來減少成本、增加有效性簡化合規(guī)驗證，一鍵式生成所有相關(guān)文檔用實時儀表盤來及時管理改善投資者關(guān)系及企業(yè)形象敏捷性，可擴展性，可用性變更需求的速度IT投資與資產(chǎn)基于現(xiàn)狀

業(yè)務(wù)模型數(shù)字化敏捷平臺IT孤島規(guī)則，技術(shù)，風(fēng)險持續(xù)變更企業(yè)數(shù)字化Source:GartnerGRC的發(fā)展過程2004200820122016Source:Gartner,FrenchCaldwell.業(yè)務(wù)演進(jìn)大數(shù)據(jù)第二代第一代企業(yè)數(shù)字化Volume,Reactive合規(guī)1stGVolume,VarietyIntegratedGRC風(fēng)險2ndGRiskAnalytics3rdGBusin.Transformation,DecisionMaking業(yè)務(wù)績效4thG風(fēng)險分析下一代GRC關(guān)注可維護(hù)的平衡企業(yè)戰(zhàn)略愿景，業(yè)務(wù)戰(zhàn)略，關(guān)鍵成功因素，目標(biāo)，KPI流程績效與智能客戶滿意度時間成本質(zhì)量數(shù)量治理與風(fēng)險合規(guī)業(yè)務(wù)連續(xù)性可靠性可持續(xù)性企業(yè)社會責(zé)任改善業(yè)務(wù)績效實時風(fēng)險可視性風(fēng)險業(yè)務(wù)流程卓越簡述什么介紹SoftwareAG認(rèn)為GRC是什么？如何為什么什么參考案例什么是成功的GRC案例?GRC市場認(rèn)可的展望為什么SoftwareAG是GRC領(lǐng)域的領(lǐng)導(dǎo)者?最佳實踐方法如何開展第一個GRC案例?GRC參考案例GRC收益GRC能力“SoftwareAG對GRC市場提供了一種創(chuàng)新的方式,通過將風(fēng)險管理與業(yè)務(wù)流程進(jìn)行集成，并且實現(xiàn)自動化?！?/p>

“由于重點聚焦于流程,因此SoftwareAG能夠提供一個集成的績效和風(fēng)險管理的平臺，該平臺能夠?qū)崿F(xiàn)：例如：基于風(fēng)險的戰(zhàn)略規(guī)劃和監(jiān)控風(fēng)險對業(yè)務(wù)績效的影響”

“ARISConnect,為流程優(yōu)化提供一個企業(yè)級的社交溝通平臺,能夠基于團隊協(xié)同工作，實現(xiàn)信息共享和風(fēng)險評估”Source:Gartner,Inc.,MagicQuadrantforEnterpriseGovernance,RiskandCompliancePlatforms,FrenchCaldwelletal,October4,2012.ThisgraphicwaspublishedbyGartner,Inc.aspartofalargerresearchdocumentandshouldbeevaluatedinthecontextoftheentiredocument.TheGartnerdocumentisavailableuponrequestfromSoftwareAG.

Gartnerdoesnotendorseanyvendor,productorservicedepictedinitsresearchpublications,anddoesnotadvisetechnologyuserstoselectonlythosevendorswiththehighestratings.GartnerresearchpublicationsconsistoftheopinionsofGartner'sresearchorganizationandshouldnotbeconstruedasstatementsoffact.Gartnerdisclaimsallwarranties,expressedorimplied,withrespecttothisresearch,includinganywarrantiesofmerchantabilityorfitnessforaparticularpurpose.在Gartner的企業(yè)GRC平臺魔力象限中處于領(lǐng)導(dǎo)象限地位目標(biāo)，關(guān)鍵成功要素與KPI信任點統(tǒng)一業(yè)務(wù)流程業(yè)務(wù)管控架構(gòu)與Bowtie操作風(fēng)險管理組織風(fēng)險層次管控需求法務(wù)風(fēng)險管理員內(nèi)審?fù)鈱弮?nèi)控其他角色業(yè)務(wù)線員工用統(tǒng)一的倉庫來明確責(zé)任關(guān)系識別管控變化更新和LoB討論變更信任點統(tǒng)一通過ARISConnect開始社會化GRC其它角色：監(jiān)控業(yè)務(wù)績效分析瓶頸審批變更需求設(shè)計分析改善分享識別風(fēng)險評估LoB建議監(jiān)控設(shè)計與分析駕駛艙協(xié)作維護(hù)管控變更治理維護(hù)風(fēng)險倉庫消費法務(wù)風(fēng)險內(nèi)部審計外部審計外部控制LoB流程工作人員打破基于孤島的工作，以及多種過時的工具GRC套件滿足第四代趨勢流程績效LoB,COO流程發(fā)現(xiàn)瓶頸與英國分析業(yè)務(wù)活動監(jiān)控

治理LoB,Employees發(fā)布周期管理流程、風(fēng)險與合規(guī)的變更委員會治理監(jiān)控4thGCompliance

Officer合規(guī)管理問題管理簽署管理受控變更管理1stG可持續(xù)的監(jiān)控、風(fēng)險分析與告警合作伙伴云/

(web)Apps套裝應(yīng)用數(shù)據(jù)庫應(yīng)用服務(wù)器主機持續(xù)的管控監(jiān)控，持續(xù)的風(fēng)險監(jiān)控，持續(xù)的意外監(jiān)控，實時告警LoB3rdGPolicy

Manager策略管理策略映射證據(jù)策略跟蹤審計管理審計計劃審計模板資源管理審計師Risk

Manager風(fēng)險管理事件與損失管理風(fēng)險和流程仿真2ndGGRC套件滿足第四代趨勢演示簡述什么介紹SoftwareAG認(rèn)為GRC是什么？如何為什么什么參考案例什么是成功的GRC案例?GRC市場認(rèn)可的展望為什么SoftwareAG是GRC領(lǐng)域的領(lǐng)導(dǎo)者?最佳實踐方法如何開展第一個GRC案例?GRC參考案例GRC收益GRC能力

傳統(tǒng)的GRC實時的GRC功能–持續(xù)監(jiān)控(1)

業(yè)務(wù)實際ICS

報告ICS

計劃GRC

管理基于不完整的歷史數(shù)據(jù)，采取應(yīng)對措施!真實數(shù)據(jù)實時允許多個適配器接口ArisRisk&ComplianceManagerApama直接采取應(yīng)對措施實時的GRC功能–持續(xù)監(jiān)控(2)實時響應(yīng)替代事后記錄完整透明性替代抽樣預(yù)防代替檢測借助靈活的查詢語句，與ARISRisk&ComplianceManager集成，實現(xiàn)簡單的,自動化的控制，自動觸發(fā)測試案例。對于關(guān)鍵流程步驟的例外監(jiān)控風(fēng)險&欺詐指標(biāo)監(jiān)控對流程和操作的實時監(jiān)控實時的流程分析和交易分析對于風(fēng)險層面或者控制例外，實時采取措施盡可能地立即觸發(fā)工作流轉(zhuǎn)。ARIS和webMethodsmiddleware的集成，

將日常業(yè)務(wù)運營融入GRC管理ArisRisk&ComplianceManagerApamaIncidentsautomaticallyimportedanddocumentedinARISRisk&ComplianceManager.

IncidentManagerdecides,whatmeasureshavetobetaken.

IncidentscanbeusedforLossManagementandRiskAssessments.Real-timeRiskAnalytics:Oil&GaswebMethods

BusinessEventsARISRisk&

ComplianceManagerARISMashZoneIntegratedviewonIncidents,Controls,RiskAssessments,Issues,…webMethodsBusinessprovidesaholisticpictureofwhat’shappeninginreal-timeacrossyourbusiness.Realtimemonitoringanddash-boardingARISRisk&ComplianceManagerprovidesstatusandresultsofGRCrelevantactivitieslikeRiskAssessments,Controltesting,Surveys,LossDocumentation,Audits,etc.Real-timeRiskAnalytics:Oil&GasPermanently

measuredeventsRisksandControlsLibraryforrespectivePermanentlymeasuredeventslocationDocumented

IncidentsActualStatusofcontrolsStartedEscalationWorkflowsHCME認(rèn)為J-SOX/SOX合規(guī)工作的開展非常艱難:內(nèi)部控制通常是由審計驅(qū)動，導(dǎo)致內(nèi)部員工的大量工作和高額外部咨詢/審計費用。日立期望能夠借助ARISGRC轉(zhuǎn)換為業(yè)務(wù)驅(qū)動的系統(tǒng)。設(shè)計內(nèi)部控制的新流程，將集團總部的工作量轉(zhuǎn)移到地區(qū)業(yè)務(wù)單元實施治理，風(fēng)險&合規(guī)(GRC)解決方案測試和管理缺陷，生成報告并且文檔記錄由于數(shù)據(jù)的重用，便捷的報告生成和更低的外部咨詢/審計費用，成本降低了40%高度自動化的，業(yè)務(wù)驅(qū)動的內(nèi)部控制流程提升了文檔質(zhì)量由于引入了專業(yè)工具，替代了以往的Excel,員工工作積極性大幅提升HCME通過內(nèi)控減少40%的成本

日立建筑機械有限公司實現(xiàn)40%節(jié)省了的成本/每年內(nèi)部控制工作投資回報在一年內(nèi)實現(xiàn)通過流程驅(qū)動的方法論支持控制無論一個企業(yè)面臨的合規(guī)指南有多么龐雜,

每個企業(yè)必須

開展如下工作:復(fù)核每個授權(quán)文檔。確定IT對該特定文檔的控制需求。確定這些控制確實在該組織的范圍內(nèi)，信息也屬于他們管轄。實施合適的范圍內(nèi)控制。執(zhí)行一系列審計，確保該組織的合規(guī)級別。內(nèi)部和外部法規(guī)，制度與標(biāo)準(zhǔn)集成的需求與內(nèi)控目標(biāo)業(yè)務(wù)流程合規(guī)方法TheUCFisthefirstandlargestindependentinitiativetomapITcontrolsacrossinternationalregulatoryandcompliancerequirements,givingcompaniesanintegrated,cross-departmentalviewofITgovernance.Itindexesover700laws,regulations,standards,andguidelines,reducingover59,000citationstofewerthan6,500harmonizedcontrolsandmakingauthoritydocumentsactionable.

TheARISSolutionforUCFincludesintegratedcontrolsfromallthirteendifferentITareas.EachITareadealswithoneareaofpolicies,standards,andprocedures.

TheUCFcontrolsaremappedtoover59,000citationsfromover700AuthorityDocumentsspanning:StandardsorganizationssuchasISO,ITIL,andCOBITInternationalgovernmentlawsandregulationsforcountriesandjurisdictionsincludingAsia,theUnitedStates,Canada,theEuropeanUnionandAfrica.UnifiedComplianceFramework2.可以審閱有IT管控要求的文檔3.可以實施計劃范圍內(nèi)的控制4.相關(guān)的審計問卷可以發(fā)放到特定人員1.所有制度文檔都在ARIS倉庫中維護(hù)5.可以方便通過駕駛艙監(jiān)控組織的合規(guī)級別合規(guī)方法(exampleUCF)ASR資產(chǎn)管理是ASRNederland的一部分，它是荷蘭的國有保險公司，大約有5,000名員工，為客戶提供壽險、健康,旅行和養(yǎng)老等不同的保險。ASR資產(chǎn)管理專注于房地產(chǎn)投資，名下管理著40億歐元的資產(chǎn)。建立業(yè)務(wù)績效與控制之間的平衡

ASR資產(chǎn)管理不再允許變通商業(yè)與控制的平衡風(fēng)險透明度無需即席

風(fēng)險補救實現(xiàn)透明化治理控制整個E2E流程鏈的測試通過工作流自動創(chuàng)建內(nèi)部控制活動和評估：不再允許變通同樣重要的一點：可持續(xù)的ASR資產(chǎn)管理環(huán)境能被不斷應(yīng)用在商業(yè)和控制之間實施“管理可控”(MiC)項目:?避免即席風(fēng)險補救和報告?由重要員工組成指導(dǎo)委員會?由跨部門項目組定義角色和責(zé)任(workshops)?急需實施流程驅(qū)動的GRC解決方案Request

forofferExternal

trusteeAcceptedby

screeningSendoffdocs

andrequest

forofferRejectedby

screeningSelect

supplier(s)Averagegrossriskvalue

=30mioEURExternal

trusteeAcceptedby

screeningSendoffdocs

andrequest

forofferRejectedby

screeningSelect

supplier(s)Independent

expertExecuteadditional

screeningsupplierAveragethroughputtimeAverageprocesscosts#Mitigatingcontrols2days4days350€1350€01平衡業(yè)務(wù)績效與控制PosteItaliane跨多條業(yè)務(wù)線運營，包括郵政、銀行、保險和金融服務(wù)。這家多元化的企業(yè)正在快速擴張并需要符合諸多不同的法律法規(guī)。

這正是傳統(tǒng)基于每個分公司或每個不同辦公室來進(jìn)行簡單測試的審計方法不奏效的原因。PosteItaliane采用了流程驅(qū)動的辦法來進(jìn)行治理、風(fēng)險和合規(guī)(GRC)。首先，該公司從架構(gòu)的角度評估了內(nèi)部控制系統(tǒng)，讓后將其作為業(yè)務(wù)流程、風(fēng)險和控制的建模系統(tǒng)。ARIS成為了所有審計合規(guī)信息的中央庫。內(nèi)審?fù)鈱彽乃泻弦?guī)信息都保存在一個中央庫中更容易證明合規(guī)，降低風(fēng)險能把更多時間用于有附加值的任務(wù)上效率顯著提升相關(guān)人員能通過多個不同角度來輕松分享合規(guī)信息改善的內(nèi)部控制審計

PosteItaliane審計執(zhí)行速度20%加快測試用時降低60%中心參考點：不會受到電子表格和數(shù)據(jù)庫的侵?jǐn)_。所有信息都在一個能被輕松訪問的審計證據(jù)系統(tǒng)中。這些都與ARIS中央庫中的現(xiàn)有流程文檔息息相關(guān)。所有的更改都需要通過中央庫完成。風(fēng)險管理風(fēng)險評估和職責(zé)分工的執(zhí)行和狀態(tài)預(yù)定措施的有效性和狀態(tài)合規(guī)管理控制測試的執(zhí)行和狀態(tài)控制有效性、問題和缺陷合規(guī)管理和公司需求策略管理公司策略的執(zhí)行和狀態(tài)審計管理針對外審的審計文檔和相關(guān)性改善的內(nèi)部控制審計簡述什么介紹SoftwareAG認(rèn)為GRC是什么？如何為什么什么參考案例什么是成功的GRC案例?GRC市場認(rèn)可的展望為什么SoftwareAG是GRC領(lǐng)域的領(lǐng)導(dǎo)者?最佳實踐方法如何開展第一個GRC案例?GRC參考案例GRC收益GRC能力

ARISConnect(協(xié)作建模)MashZone集成的監(jiān)控和分析持續(xù)監(jiān)控、實時分析與警告監(jiān)控設(shè)計合作伙伴云/

(web)應(yīng)用打包應(yīng)用數(shù)據(jù)庫應(yīng)用服務(wù)器主機GRC相關(guān)產(chǎn)品流程績效主管業(yè)務(wù)績效風(fēng)險和合規(guī)主管GRC

績效詳細(xì)功能風(fēng)險和合規(guī)主管28GRC方法論視圖從一個用例開始，如COSOERMSource:SoftwareAG的流程驅(qū)動GRC的價值GRC的愿景這就意味著：SoftwareAG是全球一流的企業(yè)及軟件服務(wù)公司，旨在通過實現(xiàn)以下目標(biāo)幫助客戶提升業(yè)務(wù)績效：降低成本提升客戶服務(wù)水平增長

同時確保實時的風(fēng)險可見性。通過面向業(yè)務(wù)(流程)的辦法來對一線進(jìn)行支持有前瞻性的實時監(jiān)控平衡了業(yè)務(wù)績效和風(fēng)險的“及時”決策不再需要過時的工具盒孤島式的工作方式，取而代之的是擴部門的協(xié)作由單點事實帶來的高質(zhì)量問題?

@SRoelevenLinkedIn/SRoeleven

/GRC附件

功能介紹

GRC套件體系結(jié)構(gòu)與功能建模和流程風(fēng)險管理發(fā)布儀表盤控制測試調(diào)查管理簽署管理運營風(fēng)險管理事件和損失管理問題管理策略管理審計管理缺陷管理連續(xù)監(jiān)測監(jiān)測和報表兩階段工作流，由所有者和審查員審查每項功能清晰的任務(wù)管理，自動電子郵件通知和上報工作流完整的記錄和清晰的審查跟蹤，支持靈活地監(jiān)測和報告功能–建模和流程風(fēng)險仿真對流程進(jìn)行建模并定義風(fēng)險點、控制點和責(zé)任將中央ARIS庫作為單點事實(SPOT)構(gòu)建風(fēng)險結(jié)構(gòu)并使用領(lǐng)結(jié)方法論在定義好的流程鏈上對風(fēng)險點和控制點進(jìn)行仿真定義測試定義和風(fēng)險評估使用中央ARIS庫定義所有與GRC有關(guān)的數(shù)據(jù)對產(chǎn)生的風(fēng)險進(jìn)行假設(shè)分析功能–發(fā)布高性能、手動和自動輸出動態(tài)生成網(wǎng)頁基于角色訪問特定的用戶內(nèi)容快速、靈活和可靠地發(fā)布GRC信息簡單、直觀的流程模型視圖通過面向業(yè)務(wù)的展示提高接受度功能–儀表盤在GRC平臺和ARISMashZone之間使用接口使用管理儀表盤來管理和跟蹤績效結(jié)果監(jiān)測組合應(yīng)用的業(yè)務(wù)合規(guī)性使用績效結(jié)果改善業(yè)務(wù)流程實時了解風(fēng)險和合規(guī)狀況輕松確定所有人和責(zé)任GRC和BPM主題的集成視圖功能–控制測試構(gòu)建有效的內(nèi)部控制系統(tǒng)使用預(yù)定義工作流程并自動觸發(fā)通知管理各項法律法規(guī)，輕松證明符合外部審計師的要求改進(jìn)測試工作流迅速適應(yīng)新法律法規(guī)完整的審計跟蹤展示功能–調(diào)查管理管理包含了預(yù)定義分?jǐn)?shù)的問卷并進(jìn)行定期或一次性調(diào)查進(jìn)行自我評估或?qū)徲媶柧碚{(diào)查可用于風(fēng)險識別、供應(yīng)商審計、業(yè)務(wù)影響分析、成熟度評估、COSO問卷等定期調(diào)查可對問卷模板進(jìn)行重用跟蹤和評估調(diào)查結(jié)果使用中央ARIS庫功能–簽署管理使用與組織結(jié)構(gòu)或流程層級關(guān)聯(lián)的多級發(fā)布流程評估內(nèi)部控制在一定控制期內(nèi)以及對特定層級元素的有效性發(fā)布測試用例及相關(guān)缺陷通過簽署提高內(nèi)部控制的有效性重用預(yù)定義層級利用集成的工作流和通知機制功能–運營風(fēng)險管理識別、記錄、評估和報告財務(wù)影響和風(fēng)險概率采取適當(dāng)?shù)拇胧┙档惋L(fēng)險對流程中的風(fēng)險進(jìn)行仿真使用記錄的事件和損失作為風(fēng)險評估來源輕松識別流程中的風(fēng)險可視化風(fēng)險狀態(tài)制定降低企業(yè)風(fēng)險的戰(zhàn)略功能–事件和損失管理記錄事件和造成的損失按業(yè)務(wù)類型、事件類型或原因?qū)κ录M(jìn)行分類將損失分成不同的類別根據(jù)組織單元、流程、成本中心和IT系統(tǒng)來分配損失比較損失和風(fēng)險資本，提高風(fēng)險評估涵蓋BaselII和SolvencyII要求在達(dá)到閾值時觸發(fā)報警使用歷史數(shù)據(jù)進(jìn)行風(fēng)險評估功能–事件和損失管理記錄事件和造成的損失按業(yè)務(wù)類型、事件類型或原因?qū)κ录M(jìn)行分類將損失分成不同的類別根據(jù)組織單元、流程、成本中心和IT系統(tǒng)來分配損失比較損失和風(fēng)險資本，提高風(fēng)險評估涵蓋BaselII和SolvencyII要求在達(dá)到閾值時觸發(fā)報警使用歷史數(shù)據(jù)進(jìn)行風(fēng)險評估功能–問題管理創(chuàng)建問題工作流并提出對問題的改進(jìn)跟蹤和跟進(jìn)與問題有關(guān)的行動定義明確的問題解決責(zé)任記錄問題的創(chuàng)建到完成將其用于眾多用例作為集中式的上報工作流使用將問題分配到正確的流程步驟并解決它們不斷改進(jìn)業(yè)務(wù)流程功能–制度管理將制度映射到相關(guān)的業(yè)務(wù)中，如責(zé)任、受影響的流程或?qū)嶓w單個用戶的認(rèn)證表(AttestationForm)用戶培訓(xùn)政策對中央ARIS庫的資源進(jìn)行重用將制度鏈接到文檔管理系統(tǒng)關(guān)于責(zé)任和相關(guān)事項的完全透明化改進(jìn)的審批和發(fā)布制度工作流集成的工作流和通知機制功能–審計管理管理工作文檔并安排與審計有關(guān)的任務(wù)設(shè)計、準(zhǔn)備、執(zhí)行和報告審計定義審計模板、審計步驟和相關(guān)范圍規(guī)劃審計資源并明確責(zé)任記錄和報告審計結(jié)果減少審計時間，降低審計成本利用甘特圖對時間軸進(jìn)行可視化創(chuàng)建可靠的審計跟蹤功能–缺陷管理為控制弱點創(chuàng)建缺陷工作流跟蹤和跟進(jìn)與缺陷有關(guān)的行動使用COSO組件并確定補償控制記錄缺陷的創(chuàng)建到補救按照SOX要求使用缺陷管理針對財務(wù)合規(guī)性使