Gestion de la gouvernance, des risques et de la conformité réglementaire

(1)

Séminaire SAP – Business Objects Jeudi 12 juin 2008

Gestion de la gouvernance, des risques

et de la conformité réglementaire

(2)

La nouvelle roadmap des solutions SAP – Business Objects

Laurent Leenhardt,

Directeur Office of the CFO, Business Objects, an SAP company

Vincent de Poret,

Responsable des applications Office of the CFO, SAP France

(3)

SAP et Business Objects ensemble

L’optimisation des performances de bout en bout

Business Intelligence Platform Business Optimization Applications

Stratégie

Insight Décisions

SAP Business Suite SAP NetWeaver

SAP Business Process Platform

Exécution Evénements

SAP Business Objects Portfolio

Process change Monitoring

(4)

Les attentes d’une Direction Financière

Coût élevé de la fonction finance, processus de clôture

Besoin en Fond de roulement élevé Faiblesse dans l’exécution de la

stratégie, Gestion des risques

à posteriori

Gestion de la trésorerie

Faiblesse dans l’intégration des outils comptables

Treasury

Receivables

Payables

Controlling

Coût élevé de la

production

(5)

1. La nouvelle roadmap des solutions SAP – Business Objects 2. SAP GRC : « Gouvernance, Risques and Conformité »

3. Gouvernance du Système d’Information: retour d’expérience du groupe Total

4. Comment piloter efficacement vos risques sur le contrôle interne et optimiser vos coûts ?

5. Questions / Réponses

Agenda

(6)

La nouvelle roadmap des solutions SAP – Business Objects

Laurent Leenhardt,

Directeur Office of the CFO, Business Objects, an SAP company

Vincent de Poret,

Responsable des applications Office of the CFO, SAP France

(7)

Les nouvelles attentes des utilisateurs

Business Users

Environnement de travail

Collaboration étendue au delà de l’entreprise

Accéder aux informations pertinentes

Environnement technologique, Web 2.0,

Nouveaux modes d’utilisation

Nouveaux modèles de déploiement Environnement humain

Multi culturel, international Mobilité

Génération « Internet »

(8)

Nouvelle stratégie produits

Processus répétitifs Processus aléatoires T â c h e i n d iv id u e ll e É q u ip e é te n d u e M u lt i e n tr e p ri s e s

C o m p le x e s

Non prédéfini

Unifier l’information Décisions

Collaboratives Partage de la

Connaissance

Applications Transactionnelles

© SAP 2008 / Page 8

(9)

Ouverture

Open apps &

BI, "agnostic"

to underlying technology

Intégration compléte

SAP et Business Objects ensemble

EPM & GRC

Data Warehouse Business Intelligence

Enterprise Applications

Oracle DW

Oracle, PSFT, Siebel

DB2 DW SQL Server DW

Dynamics BW, BIA

Business Suite

Teradata, Netezza, MySQL, Sybase

NetSuite

Independent Vendors

Business Objects + SAP

(10)

Un Portefeuille de solutions unique

Business Intelligence Platform

Solutions d’analyses et de reporting

Solutions pour l’intégration des données

Online Content Predictive Real Time In-Memory Search

Text Analytics

Multimedia Files

Partner Content Unstructured

Data

Personal Data

Enterprise Performance Management Governance, Risk, and Compliance

Strategy Management

Planning Profitability

& Cost Management

Management

& Statutory Reporting

Governance Risk

Management

Controls and Compliance

(11)

Un Portefeuille de solutions unique

Business Intelligence Platform

Solutions d’analyses et de reporting

Solutions pour l’intégration des données

Data

Enterprise Performance Management Governance, Risk, and Compliance

Management

(12)

Environmental

Respect environnemental et conformité légale

EmployeeWork Area Material

GRC Risk Management

Détection automatique et mise sous contrôle des risques de l’entreprise

Process Control

Piloter les risques associés aux processus de

l’entreprise

Access Control

Sécuriser les habilitations &

les droits

Global Trade Services

Securiser et rationnaliser les échanges inter-pays

Gestion de la Gouvernance des risques et des règles de conformités

Mettre les risques sous contrôle automatiquement quelque soit l’environnement IT du groupe

Proposer un ensemble de fonctions qui couvrent tous les domaines de la GRC

Capitaliser pour la GRC sur la

connaissance sectorielle de SAP

(13)

Un Portefeuille de solutions unique

Business Intelligence Platform

Solutions d’analyses et de reporting

Solutions pour l’intégration des données

Data

Enterprise Performance Management Governance, Risk, and Compliance

Management

(14)

Financial Performance Management

Financial Performance Management (FPM)

Les solutions dédiées aux Directions Financières,

Un ensemble d’applications, pour permettre aux directions de couvrir le cycle du pilotage financier et extra- financier

Des applications pensées pour les utilisateurs métiers, qui apportent dans chaque domaine une

couverture fonctionnelle reconnue.

Consolidation

Planning Strategy & Scorecard

Management

Profitability

& Cost Management

(15)

Roadmap des Produits FPM

Business Objects Finance (Cartesis) SAP BPC (Outlooksoft)

Consolidation / Mgt reporting

SAP BPC (Outlooksoft) Business Planning

Business Objects Activity Analysis (ALG) Cost & Profitability

Management

SAP Strategy Manager (Pilot software) Strategy Management

Solution retenue

Domaine

(16)

1H 2008

Roadmap de l’offre FPM

La cible : une suite intégrée et spécialisée

BOBJ SAP

FPM 7.0: Current SAP & BOBJ Plan

Profitability Mgmt

Strategy Mgmt

BOBJ-Activity Analysis (ALG)

SAP-Strat Mgmt (Pilot) Consolidation

/ Management reporting

BOBJ-Finance (Cartesis)

SAP-BCS

Planning

SAP-BPC (OutlookSoft)

Cible : FPM Suite

2010

NetWeaverBI + BusinessObjectsBI Integration

CoreModel Manager Profitability & Cost

Management

Strategy & Scorecard Management Consolidation

Business Planning

2H 2008

FPM 7.5: 1^erniveau d’intégration

BOBJ-Activity Analysis

SAP-Strat Mgmt BOBJ-Finance

SAP-BPC

NetWeaverBI + BusinessObjectsBI Integration

CMM

(17)

Une offre complète pour répondre aux besoins de la fonction Finance

Strategy Management

Business Planning Financial Consolidation

Cost and Profitability Management Dashboards, Reporting, Analytics

Financial Performance Management

Alignment

Execution Strategy

Monitoring

Legacy DW

Enterprise Information Management

(18)

Un Portefeuille de solutions unique

Business Intelligence Platform

Solutions d’analyses et de reporting

Solutions pour l’intégration des données

Data

Enterprise Performance Management Governance, Risk, and Compliance

Management

(19)

Valeur d’usage de la plateforme BIP

SAP APPLICATIONS BW

Restitution de l’Information

DWH OLAP

Appli Appli Fichiers

Gestion de l’Information

(20)

SAP GRC

“Gouvernance, Risques et Conformité”

Jean-Luc Dené,

Consultant Avant-Vente GRC, SAP France

(21)

Gouvernance, Risques & Conformité

Comment piloter efficacement vos risques sur le contrôle interne et optimiser vos coûts ?

Monique Ventura-Delatour Consulting Manager

FS GRC Hub

Sébastien Brasseur

Senior Manager GRC

EMEA

(22)

Sommaire

Qu’est ce que la GRC ?

Le symptôme

La solution

Comment évaluer et optimiser vos contrôles ?

Principaux enjeux

Approche proposée

Etapes majeures d’un projet « Access Control »

Qui peut vous aider ?

Partenaire Logica

^SAP

(23)

Sommaire

Qu’est ce que la GRC ?

Le symptôme

La solution

Comment évaluer et optimiser vos contrôles ?

Principaux enjeux

Approche proposée

Etapes majeures d’un projet « Access Control »

Qui peut vous aider ?

Partenaire Logica

^SAP

(24)

Fraude : toutes les entreprises redoutent un impact négatif sur leur image externe et interne ^(1/3)

Risque de fraude : 21 – 37% des interrogés précisent avoir remarqué dans l’année précédente des malversations avec un impact significatif sur l’entreprise

¹

Montant de la fraude: est évalué en millions d’ € pour chaque grande entreprise

La couverture médiatique est massive, a une incidence sur les clients et le cours de l’action.

Exemples historiques de fraude impactant

l’image d’entreprise

2003, 500M€ fraud

2002, billions$

accounting fraud 2002, billions $ accounting fraud

Sources: 1. KPMG Forensic 2006 "37% or respondents reported that they have observed, in the past year, misconduct that could cause a significant loss of public trust"

Ernst & Young 2006 "21% of respondents declared that there was a case of suspected fraud, corruption or bribery in their company"

PSA June 2007 20M€ fraud

5 Bio€ loss

(25)

Gouvernance et conformité impactent la valeur de l’entreprise (2/3)

Companies reporting no internal-control weaknesses in 2004

or 2005

Companies reporting internal-control weaknesses in 2004

but none in 2005

Companies reporting internal-control weaknesses in both

2004 and 2005

+10%

-23%

1. Over March 2004 – March 2006 period

Source : Lord & Benoit LLC, Wall Street Journal, May 2006

Share price performance

¹

according to company internal control "strength"

What does it mean ?

+8%

-5.7%

+25.7%

+27.7%

Russel 3000 Stock index

evolution +17.7%

Companies that reported internal control weaknesses in 2004 but none in 2005 have seen their market capitalization increase by +26%, which is 8 points over the average market evolution

Companies that did not report any internal control weaknesses in 2004 and 2005 have seen their market capitalization increase by +28%, which is 10 points over the average market evolution

Companies that reported internal control weaknesses in 2004 and 2005 have seen their market capitalization decrease by -6%, which is -23 points compared to the average market evolution

(26)

Accroissement contraintes légales ^(3/3)

Les règlementations actuelles (Sarbanes-Oxley Act aux US, Bill 198 au Canada, Japan’s Financial Instruments and Exchange Law (JSOX), Combined Code and Turnbull Report en UK, Loi de Sécurité Financière en France, Cromme Code and KontraG en Allemagne, Clause 49 en Inde, etc.) exigent des entreprises qu’elles prennent toutes les mesures nécessaires pour assurer l’intégrité des données, des processus, des transactions financières et de leur collaborateurs.

Ceci implique :

le renforcement des contrôles internes à des fins de Reporting Financier ainsi que le sélection et la mise en place d’un système de contrôle interne approprié.

CEO et CFO doivent certifier qu’ils sont responsables de la mise en place et de la gestion des contrôles internes qu’ils ont conçu de manière à assurer la transparence des informations dans l’entreprise.

le mandat d’audits et la production de rapport sur ces contrôles

Produire un « Rapport de contrôle interne » qui spécifie l’efficacité des procédures et du système de contrôle interne en matière de Reporting financier

Des auditeurs externes doivent attester de ce résultat.

(27)

La solution

Sarbanes Oxley, LSF…

Mise en place précipitée des contrôles, principalement manuels, reporting.

Règlementations Opérationnelles Deadlines inflexibles et impacts potentiels non évalués Meilleures Pratiques (ISO, GRI…)

Risques

SAP GRC GRC

Pressions du Marché

Pour une meilleure Gouvernance

SAP GRC AC

(28)

Sommaire

Qu’est ce que la GRC ?

Le symptôme

La solution

Comment évaluer et optimiser vos contrôles ?

Principaux enjeux

Approche proposée

Etapes majeures d’un projet « Access Control »

Qui peut vous aider ?

Partenaire Logica

^SAP

(29)

SAP GRC Access Control : principaux enjeux

Risques potentiels de fraude / manque de maîtrise du risque

Les risques de ségrégation des tâches sont la plupart du temps traités de façon a posteriori

Les opérationnels n’ont pas les outils pour mesurer

l’exposition aux risques et/ou ont des outils ne permettant un détail fin (objet d’autorisation)

Il n’existe pas de traçabilité des utilisateurs à pouvoir étendue

Les sujets de ségrégation des tâches sont souvent

adressés partiellement (intra-applicative vs inter-applicative) Gestion des accès : activité consommatrice en temps

Les processus de gestion des accès sont manuels (formulaire papier, opérations manuelles)

Les états de reporting de conformité ou de risque sont manuels

Coût d’audit significatif

Les systèmes ne sont pas aisément auditables et demandent du temps de retraitement aux auditeurs

Le nombre de rôles et d’utilisateurs a traités dépassent les capacités de certains outils

Réduction des coûts et maîtrise du risque de fraude

Fournit un suivi de la conformité et de l’exposition aux risques en temps réel

Fournit un catalogue préconfiguré des règles de séparation des tâches capable de faire le lien entre une description financière et une traduction technique

Homogénéise et automatise les processus de gestion des accès

Sur la base de formats prédéfinis

En proposant des contrôles a priori de conformité aux règles SOD permettant la prise de décision

En permettant de justifier la prise de décision et le cas échéant de définir le ou les contrôles compensatoires Permet de mettre sous les actions des super-

utilisateurs et de réaliser des actions de revue

Réduction des coûts d’audit Meilleure maîtrise des conflits

Fournit des informations d’audits fiables et de niveau de conformité (sur le nombre de risques, sur les statuts de remédiations – compensés/non compensés - …)

Apports de SAP

Challenges types

(30)

Industrialisation de la gestion des accès – Méthodologie projet

Cadrage « Get Clean » « Stay clean »

1. Installation des outils 2. Définition de la matrice de

ségrégation des tâches 3. Plan Projet

Option:

• Cas d’opportunité / Retour sur investissement

• Etude de dimensionnement d’architecture

• Prototype

1. Remédiation de la solution Autorisation

• Propreté de la solution

• Complexité de la solution 2. Remédiation fonctionnelle

• Modification de l’organisation,

• Gestion des transactions critiques

• Définition des contrôles compensatoires

Option :

• Conduite du changement,

• Communication,

• Formation

Mode récurrent tenant compte

• de l’organisation et de la gestion de la “communauté SOD manager”

• des processus de gestion des accès : “Continuity compliance”

Définition et gestion des Risks &

Controls Option :

Co-traitance ou sous-traitance des process « Stay clean »

Pilot Déploiement

L’industrialisation d’Access Control en 3 étapes:

(31)

En Bref

Projet

Equipe

Durée

Résultats Principaux GRC Consulting Portfolio

Roadmap GRC Access Controls Risk Analysis and Remediation impliquant les métiers de sorte à mettre en œuvre les plans d’actions et de leur priorité

Plan de déploiement Identification des transactions

sensibles SAP et notamment celles impactant le résultat du Groupe, Identification et formalisation des règles de ségrégation de tâches au sein d’un Référentiel Groupe, Sélection des états de reporting simples et rapidement

appréhendables par une direction financière Installation AC, backend

connecté, Risk Analysis and Remediation (anciennement Compliance Calibrator) configuré sur le système de production

Analyse des conflits, des impacts de la

propreté/complexité de la solution

Définition du plan de remédiation

Définition des règles de ségrégation des tâches personnalisés en fonction du contexte client (processus outsourcé, type d’activité de l’entreprise, …)

Installation et configuration des outils Access Control (connexion avec les plates- formes, activation des règles,

…)

Logica 4 - 5 semaines

Client Logica

2- 3 semaines

1. GRC CC Installation Execution

2. Définition des

règles SOD 3a. Analyse des conflits

Logica 2 semaines

Client Client

Description d’un démarrage de projet en 3 parties

3b. Formation

(32)

Sommaire

Qu’est ce que la GRC ?

Le symptôme

La solution

Comment évaluer et optimiser vos contrôles ?

Principaux enjeux

Approche proposée

Etapes majeures d’un projet « Access Control »

Qui peut vous aider ?

Partenaire Logica

^SAP

(33)

Présentation de Logica

Contrôle Interne

Sécurité applicative

Métier & Orga

Solution

Audit et analyse des solutions sécurité

Traduction des règles définies par le contrôle interne en solution Vérifie l’application technique des règles définies par le contrôle interne Remonte les impacts

métiers qu’engendrent les caractéristiques de

la solution ERP

Analyse les flux métiers Positionne des contrôles sur les flux Définit les règles de contrôle interne

SAP GRC

Redescend les besoins métiers

Une double Compétence essentielle pour le réussite de projets d’industrialisation de la GRC

Plus de 100 consultants formés

(34)

SAP GRC Services

Disponibilité en ligne documentation complète https://www.sdn.sap.com/irj/sdn/forum?forumID=256

Support (hotline) stabilisé

Création du Global Hub GRC

R&D, Solution Mgt, Support, Hub, CAO : SAP GRC

Compétences transverses pour une solution GRC intégrée :

Audit- Process

AC-PC-RM

RM-EHS

Plus de 400 consultants

(35)

SAP Global FS GRC Hub : priorités en 2008

Permettre à la communauté Partenaires de respecter les objectifs SAP

Partager la méthodologie, le savoir

Développer des programmes de formation certifiantes pour les consultants,

Assister les partenaires durant les projets 3

Accroître la communauté de consultants SAP GRC

Comprendre freins à la croissance et remédier

Pôle de consultants SAP GRC (GRC Hub)

Outils communautaires favorisant l’échange, l’excellence 2

Accroître l’offre de services et des solutions SAP GRC

Support interne SAP pour réussir la phase Ramp up et obtenir les solutions en « G. Availability »

Assister nos clients dans la mise en production des solutions GRC, assurer avec ROI rapide 1

Systématiser la qualité projet

Réduire le délai de mise en place des solutions : clés de succès Développer les best practices projets : clés de succès

Attention particulière à la définition du périmètre: clés de succès 4

Favoriser l’approche par les risques

5

(36)

No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP AG. The information contained herein may be changed without prior notice.

Some software products marketed by SAP AG and its distributors contain proprietary software components of other software vendors.

SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP AG in Germany and in several other countries all over the world. All other product and service names mentioned and associated logos displayed are the trademarks of their respective companies. Data contained in this document serves informational purposes only. National product specifications may vary.

The information in this document is proprietary to SAP. This document is a preliminary version and not subject to your license agreement or any other agreement with SAP. This document contains only intended strategies, developments, and functionalities of the SAP® product and is not intended to be binding upon SAP to any particular course of business, product strategy, and/or development. SAP assumes no responsibility for errors or omissions in this document. SAP does not warrant the accuracy or completeness of the information, text, graphics, links, or other items contained within this material. This document is provided without a warranty of any kind, either express or implied, including but not limited to the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.

SAP shall have no liability for damages of any kind including without limitation direct, special, indirect, or consequential damages that may result from the use of these materials. This limitation shall not apply in cases of intent or gross negligence.

The statutory liability for personal injury and defective products is not affected. SAP has no control over the information that you may access through the use of hot links contained in these materials and does not endorse your use of third-party Web pages nor provide any warranty whatsoever relating to third-party Web pages