Treading Water.

GRC - Governance, Risk Management And Compliance

Novembro 2008

GRC - Governance, Risk Management and Compliance

Conceito

Governance
Estruturas, polticas,
processos e controlos
focados na gesto
estratgica da Empresa,
atravs da operao
eficiente e efectiva do
negcio.

Risk
Management
Processo sistemtico
para identificar, medir,
gerir e monitorizar os
riscos existentes na
Empresa
Empresa.

Compliance
Processo para
demonstrar que os
colaboradores e demais
agentes aderem s
polticas, normas e
procedimentos,
legislao existente e
demais regulao
aplicvel.
Proteco dados
Basileia

SOX

OEA

ISO27001

Banco de Portugal

2008 Deloitte & Associados, SROC, S.A.

GRC - Governance, Risk Management and Compliance

Os drivers externos
Na conjectura actual, os vrios players so cada vez mais exigentes com as
Empresas modernas:
Esto a gerir o risco de
forma consistente?

So suficientemente
qualificados para
fazer parte da cadeia
de fornecimento?

O meu local de
trabalho seguro?

Investidores

Colaboradores

A Empresa est conforme

com a legislao e
regulamentao
existentes?

Empresa
Parceiros de negcio

Governo e reguladores

A Empresa vai
continuar a operar no
mdio/longo prazo?

Clientes
3

uma empresa
verde?

Activistas
2008 Deloitte & Associados, SROC, S.A.

GRC - Governance, Risk Management and Compliance

Ameaas e desafios
Adicionalmente, as Empresas encontra-se sujeitas a um nmero cada vez maior
de ameaas e desafios:

tica e deontologia profissional

Crime organizado
Globalizao
Mobilidade

Pessoas

Mobilidade

Ameaas
e
desafios

Velocidade de troca de
informao

Reputao e imagem
Regulao e compliance

Regulamentao e
compliance
I
Inexistncia
i t i de
d controlos
t l

Tecnologia

Processos

Inexistncia de controlos

2008 Deloitte & Associados, SROC, S.A.

GRC - Governance, Risk Management and Compliance

Ameaas e desafios (cont.)
Neste contexto, a auditoria interna desempenha um papel fundamental como
agente activo na Gesto do Risco:
Ilustrativo

87% dos riscos no so financeiros:

Operacionais;
13%
Financeiros;
13%

Cancelamento
de contratos
Falhas de
servio

Legal &
Compliance;
8%

Sade e
segurana

Ambiente e
sade; 17%

Fraude

Reporte d
R
de iinformao
f
a stakeholders

Compliance com
standards ambientais

Estratgia;
32%

Gesto de
Financiamentos

Qualidade
do servio

Disponibilidade
Di
ibilid d
dos SI

Recesso
econmica

Erro humano

Relacionamento
com o mercado

Imp
pacto

Poltica/
geografia;
17%

Alteraes ao
Quadro Legal

Catstrofes
Naturais

Fonte: IBM Global Business Services, The Global CFO Study 2008.

Probabilidade
2008 Deloitte & Associados, SROC, S.A.

GRC - Governance, Risk Management and Compliance

Time to do different things, and do things differently

Gesto em silos

Utilizao de
pessoas como
middleware

Abordagem reactiva

Inexistncia de
alinhamento entre
os activos de TI e as
necessidades de
GRC

Inexistncia de
integrao com os
processos core e
decision making

Fraca qualidade da
informao

necessrio acabar com os silos

funcionais, processuais e tecnolgicos;
O GRC possibilita um melhor
reconhecimento, compreenso e
prioritizao dos riscos, factor crtico
para um processo de tomada de
deciso e gesto de performance mais
efectivo.

2008 Deloitte & Associados, SROC, S.A.

GRC - Governance, Risk Management and Compliance

Os que tentaram foram bem sucedidos
OCEG Strategy Study (estudo patrocinado pela Deloitte, SAP e Cisco):
A sua o
organizao
ga ao te
tentou
tou melhorar
e o a e integrar
teg a os seus p
processos
ocessos de G
GRC?
C

The Open Compliance

and Ethics Group
(OCEG) is a nonprofit that
helps organizations drive
performance and enhance
their corporate culture by
integrating governance,
risk management, and
compliance processes.

Sim, e excedeu as
expectativas

13%

Sim, e atingiu as
expectativas

71%

No sei
12%
Sim
17%

Sim, mas no atingiu

as expectativas

16%

Encontra-se
planeado
36%

O tema
ainda no foi
explorado
35%
Fonte: OCEG Strategy Study

2008 Deloitte & Associados, SROC, S.A.

GRC - Governance, Risk Management and Compliance

A importncia das tecnologias de informao

As tecnologias de informao
devero desempenhar um papel
fundamental na obteno e
manuteno de um estatuto de
conformidade;
As tecnologias de informao so o
enabler para informao de elevada
qualidade necessria para um bom
modelo governativo e uma eficiente
gesto do risco;
Os impactos e implicaes do GRC
nas tecnologias de informao so
elevados; e
O GRC ser um driver significativo
dos investimentos em tecnologias
de informao nos prximos anos.

2008 Deloitte & Associados, SROC, S.A.

GRC - Governance, Risk Management and Compliance

Casos prticos
Problema
A Empresa tem que obedecer a requisitos de compliance relacionados com o controlo interno da
segurana lgica
l i nos seus sistemas
i t
core;
Existiam debilidades ao nvel do controlo de acessos (incumprimento) e possibilidade de acesso
indevido a informao sensvel (risco de fraude).

Oportunidade
Implementar aces de melhoria ao nvel do controlo de acessos lgicos e segregao de funes,
passando de um enfoque manual e detectivo para um enfoque automtico e preventivo.

Aces
A Empresa iniciou um projecto com os seguintes objectivos:
Implementao de aces de melhoria relacionadas com a segurana de utilizadores e perfis de
acesso SAP de modo a atingir um ambiente razovel de controlo interno;
Definio de um modelo de segregao de funes, tendo em conta os requisitos do negcio;
Definio de uma nova estrutura de perfis de acesso aos sistemas SAP;
Reviso dos procedimentos de gesto de acessos; e
Implementao dos procedimentos de gesto de acessos na ferramenta SAP GRC Access Controls.
9

2008 Deloitte & Associados, SROC, S.A.

GRC - Governance, Risk Management and Compliance

Casos prticos (cont.)

Tempo

Envolvimento
10

Departamento de
Sistemas de
Informao;
Departamentos de
negcio.

2 semanas

Elaborao de uma
matriz SoD:

H
M

SA
AP12

SA
AP11

SA
AP10

SA
AP09

H
M

SA
AP08

SA
AP07

SA
AP06

SA
AP04

SA
AP05

SA
AP03

Vendas / Prestao de servios

SA
AP02

Users de excolaboradores;
Users duplicados;
Users genricos;
Users de
colaboradores que
no se ligavam ao
sistema h um
elevado perodo de
tempo;

Modelo de segregao
de funes

SA
AP01

Ilustrativo

Limpeza geral do
sistema

H
H
H

H
H

M
H

H
H

Departamento de
Auditoria Interna;;
Departamentos de
negcio.

3 semanas

Nova estrutura de
perfis de acesso

Implementao SAP
GRC Access Controls

Definio de novas
funes aplicacionais
(roles);
Associao a
transaces SAP;
Implementao no
sistema;
Realizao de testes
pelos utilizadores; e
Entrada em produo
e acompanhamento.

Implementao do
modelo de
segregao de
funes;
Implementao do
workflow de pedido e
aprovao de
acessos; e
Implementao do
procedimento de
gesto de superusers.

Departamentos de
negcio;
g
;
Departamento de
sistemas de
informao.

Sistemas de
informao.

Auditoria Interna;
Departamentos de
negcio.

8 a 12 semanas

2008 Deloitte & Associados, SROC, S.A.

GRC - Governance, Risk Management and Compliance

Casos prticos (cont.)
O modelo de segregao de funes foi criado em parceria com o
Departamento de Auditoria Interna, tendo em conta os requisitos de controlo
interno e a realidade do negcio:
Ilustrativo

NATIVE SEGREGATION OF DUTIES MATRIX

GROUP

02

CREDIT MANAGEMENT

03

Inventory Management
Asset
Management

CUSTOMER INCENTIVES

04

CUSTOMER CONTRACTS

05

REVENUE PRICING CONDITIONS

06

SALES ORDERS

07

A/R PAYMENTS

08

A/R ENTRY

09

SALES INVOICING

10

APPROVE SALES ORDERS

11

POST A/R PAYMENTS

12

CHECK DISBURSEMENT MANAGEMENT

13

H
H

H
M

M
H

M
M

14
M
L

21

22

POST A/P PAYMENTS

23

RELEASE OUTLINE AGREEMENT / CONTRACT

24

GOODS DELIVERIES

25

GOODS RECEIPTS

26

MATERIAL / SERVICE MASTER

27
28

PHYSICAL INVENTORY COUNT

29

OS GOODS
GOO S RECEIPTS
C
S
POST

30

POSTING FOR INVENTORY MOVEMENTS

31

GOODS MOVEMENTS

APPROVE INVENTORY DIFFERENCES

M
M

H
M

H
L

H
H

34

35

RELEASE / BLOCK ASSET GROUP

36
37

H
H

ASSET MASTER DATA

ASSET MAINTENANCE
PROJECT ACCOUNTING MANAGEMENT

H
H

M
M

41

G/L JOURNAL ENTRY

42

46

CUSTOMER
MASTER

H
M

M
H
L

L
M

M
M

H
H

M
M

L
L
M

M
L

40

45

H
M

39

DEVELOPMENT

38

SYSTEM MAINTENANCE

FI MASTER DATA

43

POST G/L ACCOUNTING

44

COST / PROFIT CENTER ACCOUNTING

MAINTAIN USERS

H
H

CONTROLING MASTER DATA - MAINTAIN

MAINTAIN AUTHORIZATIONS

L
H

32
33

M
M

CHECK ADJUSTMENTS

19

M
M
M

M
M

18

L
M
M
M

PURCHASE ORDERS

RELEASE PURCHASE REQUISITIONS

17

16

20

A/P PAYMENTS

PURCHASE REQUISITIONS

M
H

L
M

H
M

H
H

15

RELEASE PURCHASE ORDERS

M
M

A/P ENTRY

CUSTOMER
INCENTIVES

M
M

M
H
H
H
H

possvel ao utilizador criar no

sistema um cliente invlido ou no
autorizado e realizar uma venda
com desconto ao mesmo cliente.
Este facto pode resultar em
apropriao
i iindevida
d id d
de b
bens e
dissimulao do acto.

11

M
M

PROCESS AND PRINT PAYMENTS

POST GOODS ISSUES

General Ledger
Accounting

01

VENDOR MASTER DATA

Basis &
Security
Administratio
n

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46

CUSTOMER MASTER
BLOCKED CUSTOMERS

GOOD
DELIVERIES

SALES
INVOICING

Implementao
de controlos
compensatrios
e
documentao
no sistema SAP
GRC Access
Controls

Auditoria In
nterna

GROUP NAME

Ne
egcio

Procurement

Revenue

PROCESS

Reviso
Peridica

possvel ao utilizador modificar

uma ordem de entrega de modo a
incluir bens adicionais e alterar a
factura de modo a dissimilar o acto
fraudulento.

2008 Deloitte & Associados, SROC, S.A.

Requisitos de Negcio Abrangentes

necessitam de uma Abordagem Unificada
Soluo SAP para GRC

Abordagem ao GRC unificada,

integrada e focada no utilizador
de negcio

Industry-Specific GRC
Life Sciences

Chemicals

High Tech

Oil & Gas

Public Sector

Cross-Industry GRC
Risk
Management
Compliance
& Controls

Governance

Enterprise
p
Risk Management
g

Access
Control

GRC Repository

Process
Control

Global Trade

Environment

Corporate Sustainability Management

SOA Platform

Business
Applications and
IT Infrastructure

Inovao sem Descontinuidade

SAP 2007-2008

Automaticamente monitoriza
riscos e controlos em
landscapes IT heterogneos
Enderea a maior parte dos
requisitos GRC e grupos
funcionais dentro da
organizao
SAP ttem a capacidade
id d para
obter um ecossistema global de
GRC
Produtos co-desenvolvidos e
promovidos
id com parceiros
i
globais
GRC alavanca a liderana da
SAP nos mercados
regulamentados

SAP GRC Access Control:

Cruzame
ento de
A
Ambiente
Plataforma e Funo Controlo

Remed
diao
Viso Geral
Anlise d
de Risco A
Auditoria

Preveno sustentvel de violaes de segregao de funes

Anlise de Acesso
Peridica e Auditoria

Gesto de Identidades

Risk analysis
and
remediation

Compliant
user
provisioning

Enterprise
role
management

Superuser
privilege
management

SAP_ALL

Tempo mnimo para

conformidade
Obter identificao rapidamente
rapidamente,
eficientemente e de uma forma
abrangente
Eliminar riscos actuais de acesso e
autorizao chave

Gesto contnua de acesso

Evitar obstculos aos negcio com
respostas rpidas de emergncia

Biblioteca de regras de Segregao de Funes

transversal organizao baseada em best practices
Regulations

Corporate
Policies

Rules

Best Practices

Melhorar a produtividade dos utilizadores

finais
Reduzir custo de manuteno do perfil
Fcil conformidade e evitar riscos de
autorizao

Viso global efectiva

FIN

SCM

SRM

MFG

Legacy

Infra-estrutura IT

HR

Fornecer capacidades de Viso global

Gesto
Facilitar a auditoria interna

Governance, Risk Management and Compliance

Final thoughts

14

2008 Deloitte & Associados, SROC, S.A.

Contactos

Susana Pereira Barbosa

Manager

Deloitte & Associados, SROC, S.A.

Edifcio Atrium Saldanha
Praa Duque de Saldanha, 1 - 6
1050-094 Lisboa
Portugal
Tel: +(351) 21 042 75 00
Fax: +(351) 21 042 79 50
spereira@deloitte.pt
www.deloitte.com/pt
Member of
Deloitte Touche Tohmatsu

Jos Tavares
Business Development

SAP IBERIA
Edifcio D. Sebastio
Rua Quinta da Quint, 6
Quinta da Fonte P-2770-203 Pao de Arcos
T + 351 21 446 55 00
F + 351 21 446 55 01
E jose.tavares@sap.com
www.sap.pt

2008 Deloitte & Associados, SROC, S.A.

Lisboa

Porto

Luanda

Edifcio Atrium Saldanha

Praa Duque de Saldanha, 1 - 6
1050-094 Lisboa
Portugal
Tel: +(351)
(
) 210 422 500
Fax: +(351) 210 422 950

Bom Sucesso Trade Center

Praa do Bom Sucesso, 61 - 13
4150-146 Porto
Portugal
Tel: +(351)
(
) 225 439 200
Fax: +(351) 225 439 650

Rua Eng Costa Serro, n 13

Luanda
Repblica de Angola
Tel: +(244) 222 391 808 / 391 673
Fax: +(244) 222 391 972

A expresso Deloitte refere-se a uma ou vrias sociedades que operam ao abrigo de um acordo com a Deloitte Touche Tohmatsu, uma Swiss Verein, bem como s suas respectivas representadas e afiliadas. Deloitte Touche Tohmatsu uma
organizao mundial de sociedades dedicadas prestao de servios profissionais de excelncia, concentradas no servio ao cliente sob uma estratgia global, aplicada localmente em cerca de 140 pases. Com acesso a um capital intelectual de
aproximadamente 135.000 pessoas no mundo, a Deloitte presta servios em quatro reas profissionais auditoria, impostos, consultoria e assessoria financeira e a mais de 80 por cento das maiores empresas mundiais, assim como s maiores
empresas nacionais, instituies pblicas, clientes locais importantes e companhias de sucesso, com rpidas taxas de crescimento global. Os servios no so prestados pela Deloitte Touche Tohmatsu Verein e, por razes regulamentares entre
outras, algumas das sociedades no prestam servios em todas as reas.
Como Swiss Verein (associao), nem a Deloitte Touche Tohmatsu nem qualquer das suas sociedades membro assumem qualquer responsabilidade isolada ou solidria pelos actos ou omisses de qualquer das outras sociedades membro. Cada
uma das sociedades membro uma entidade legal e separada que opera sob a marca Deloitte, Deloitte & Touche, Deloitte Touche Tohmatsu ou outros nomes relacionados.

16

2008 Deloitte & Associados, SROC, S.A.

Member of
2008
Deloitte
& Associados,
SROC, S.A.
Deloitte
Touche
Tohmatsu