Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Governance
Estruturas, polticas,
processos e controlos
focados na gesto
estratgica da Empresa,
atravs da operao
eficiente e efectiva do
negcio.
Risk
Management
Processo sistemtico
para identificar, medir,
gerir e monitorizar os
riscos existentes na
Empresa
Empresa.
Compliance
Processo para
demonstrar que os
colaboradores e demais
agentes aderem s
polticas, normas e
procedimentos,
legislao existente e
demais regulao
aplicvel.
Proteco dados
Basileia
SOX
OEA
ISO27001
Banco de Portugal
So suficientemente
qualificados para
fazer parte da cadeia
de fornecimento?
O meu local de
trabalho seguro?
Investidores
Colaboradores
Empresa
Parceiros de negcio
Governo e reguladores
A Empresa vai
continuar a operar no
mdio/longo prazo?
Clientes
3
uma empresa
verde?
Activistas
2008 Deloitte & Associados, SROC, S.A.
Pessoas
Mobilidade
Ameaas
e
desafios
Velocidade de troca de
informao
Reputao e imagem
Regulao e compliance
Regulamentao e
compliance
I
Inexistncia
i t i de
d controlos
t l
Tecnologia
Processos
Inexistncia de controlos
Cancelamento
de contratos
Falhas de
servio
Legal &
Compliance;
8%
Sade e
segurana
Ambiente e
sade; 17%
Fraude
Reporte d
R
de iinformao
f
a stakeholders
Compliance com
standards ambientais
Estratgia;
32%
Gesto de
Financiamentos
Qualidade
do servio
Disponibilidade
Di
ibilid d
dos SI
Recesso
econmica
Erro humano
Relacionamento
com o mercado
Imp
pacto
Poltica/
geografia;
17%
Alteraes ao
Quadro Legal
Catstrofes
Naturais
Fonte: IBM Global Business Services, The Global CFO Study 2008.
Probabilidade
2008 Deloitte & Associados, SROC, S.A.
Gesto em silos
Utilizao de
pessoas como
middleware
Abordagem reactiva
Inexistncia de
alinhamento entre
os activos de TI e as
necessidades de
GRC
Inexistncia de
integrao com os
processos core e
decision making
Fraca qualidade da
informao
Sim, e excedeu as
expectativas
13%
Sim, e atingiu as
expectativas
71%
No sei
12%
Sim
17%
16%
Encontra-se
planeado
36%
O tema
ainda no foi
explorado
35%
Fonte: OCEG Strategy Study
As tecnologias de informao
devero desempenhar um papel
fundamental na obteno e
manuteno de um estatuto de
conformidade;
As tecnologias de informao so o
enabler para informao de elevada
qualidade necessria para um bom
modelo governativo e uma eficiente
gesto do risco;
Os impactos e implicaes do GRC
nas tecnologias de informao so
elevados; e
O GRC ser um driver significativo
dos investimentos em tecnologias
de informao nos prximos anos.
Oportunidade
Implementar aces de melhoria ao nvel do controlo de acessos lgicos e segregao de funes,
passando de um enfoque manual e detectivo para um enfoque automtico e preventivo.
Aces
A Empresa iniciou um projecto com os seguintes objectivos:
Implementao de aces de melhoria relacionadas com a segurana de utilizadores e perfis de
acesso SAP de modo a atingir um ambiente razovel de controlo interno;
Definio de um modelo de segregao de funes, tendo em conta os requisitos do negcio;
Definio de uma nova estrutura de perfis de acesso aos sistemas SAP;
Reviso dos procedimentos de gesto de acessos; e
Implementao dos procedimentos de gesto de acessos na ferramenta SAP GRC Access Controls.
9
Tempo
Envolvimento
10
Departamento de
Sistemas de
Informao;
Departamentos de
negcio.
2 semanas
Elaborao de uma
matriz SoD:
H
M
SA
AP12
SA
AP11
SA
AP10
SA
AP09
H
M
SA
AP08
SA
AP07
SA
AP06
SA
AP04
SA
AP05
SA
AP03
Users de excolaboradores;
Users duplicados;
Users genricos;
Users de
colaboradores que
no se ligavam ao
sistema h um
elevado perodo de
tempo;
Modelo de segregao
de funes
SA
AP01
Ilustrativo
Limpeza geral do
sistema
H
H
H
H
H
M
H
H
H
Departamento de
Auditoria Interna;;
Departamentos de
negcio.
3 semanas
Nova estrutura de
perfis de acesso
Implementao SAP
GRC Access Controls
Definio de novas
funes aplicacionais
(roles);
Associao a
transaces SAP;
Implementao no
sistema;
Realizao de testes
pelos utilizadores; e
Entrada em produo
e acompanhamento.
Implementao do
modelo de
segregao de
funes;
Implementao do
workflow de pedido e
aprovao de
acessos; e
Implementao do
procedimento de
gesto de superusers.
Departamentos de
negcio;
g
;
Departamento de
sistemas de
informao.
Sistemas de
informao.
Auditoria Interna;
Departamentos de
negcio.
8 a 12 semanas
02
CREDIT MANAGEMENT
03
Inventory Management
Asset
Management
CUSTOMER INCENTIVES
04
CUSTOMER CONTRACTS
05
06
SALES ORDERS
07
A/R PAYMENTS
08
A/R ENTRY
09
SALES INVOICING
10
11
12
13
H
H
H
M
M
H
M
M
14
M
L
21
22
23
24
GOODS DELIVERIES
25
GOODS RECEIPTS
26
27
28
29
OS GOODS
GOO S RECEIPTS
C
S
POST
30
31
GOODS MOVEMENTS
M
M
H
M
H
L
H
H
34
35
36
37
H
H
H
H
M
M
41
42
46
CUSTOMER
MASTER
H
M
M
H
L
L
M
M
M
H
H
M
M
L
L
M
M
L
40
45
H
M
39
DEVELOPMENT
38
SYSTEM MAINTENANCE
FI MASTER DATA
43
44
MAINTAIN USERS
H
H
MAINTAIN AUTHORIZATIONS
L
H
32
33
M
M
CHECK ADJUSTMENTS
19
M
M
M
M
M
18
L
M
M
M
PURCHASE ORDERS
17
16
20
A/P PAYMENTS
PURCHASE REQUISITIONS
M
H
L
M
H
M
H
H
15
M
M
A/P ENTRY
CUSTOMER
INCENTIVES
M
M
M
H
H
H
H
11
M
M
General Ledger
Accounting
01
Basis &
Security
Administratio
n
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46
CUSTOMER MASTER
BLOCKED CUSTOMERS
GOOD
DELIVERIES
SALES
INVOICING
Implementao
de controlos
compensatrios
e
documentao
no sistema SAP
GRC Access
Controls
Auditoria In
nterna
GROUP NAME
Ne
egcio
Procurement
Revenue
PROCESS
Reviso
Peridica
Industry-Specific GRC
Life Sciences
Chemicals
High Tech
Public Sector
Cross-Industry GRC
Risk
Management
Compliance
& Controls
Governance
Enterprise
p
Risk Management
g
Access
Control
GRC Repository
Process
Control
Global Trade
Environment
SOA Platform
Business
Applications and
IT Infrastructure
Automaticamente monitoriza
riscos e controlos em
landscapes IT heterogneos
Enderea a maior parte dos
requisitos GRC e grupos
funcionais dentro da
organizao
SAP ttem a capacidade
id d para
obter um ecossistema global de
GRC
Produtos co-desenvolvidos e
promovidos
id com parceiros
i
globais
GRC alavanca a liderana da
SAP nos mercados
regulamentados
Cruzame
ento de
A
Ambiente
Plataforma e Funo Controlo
Remed
diao
Viso Geral
Anlise d
de Risco A
Auditoria
Gesto de Identidades
Risk analysis
and
remediation
Compliant
user
provisioning
Enterprise
role
management
Superuser
privilege
management
SAP_ALL
Corporate
Policies
Rules
Best Practices
SCM
SRM
MFG
Legacy
Infra-estrutura IT
HR
14
Contactos
Jos Tavares
Business Development
SAP IBERIA
Edifcio D. Sebastio
Rua Quinta da Quint, 6
Quinta da Fonte P-2770-203 Pao de Arcos
T + 351 21 446 55 00
F + 351 21 446 55 01
E jose.tavares@sap.com
www.sap.pt
Lisboa
Porto
Luanda
A expresso Deloitte refere-se a uma ou vrias sociedades que operam ao abrigo de um acordo com a Deloitte Touche Tohmatsu, uma Swiss Verein, bem como s suas respectivas representadas e afiliadas. Deloitte Touche Tohmatsu uma
organizao mundial de sociedades dedicadas prestao de servios profissionais de excelncia, concentradas no servio ao cliente sob uma estratgia global, aplicada localmente em cerca de 140 pases. Com acesso a um capital intelectual de
aproximadamente 135.000 pessoas no mundo, a Deloitte presta servios em quatro reas profissionais auditoria, impostos, consultoria e assessoria financeira e a mais de 80 por cento das maiores empresas mundiais, assim como s maiores
empresas nacionais, instituies pblicas, clientes locais importantes e companhias de sucesso, com rpidas taxas de crescimento global. Os servios no so prestados pela Deloitte Touche Tohmatsu Verein e, por razes regulamentares entre
outras, algumas das sociedades no prestam servios em todas as reas.
Como Swiss Verein (associao), nem a Deloitte Touche Tohmatsu nem qualquer das suas sociedades membro assumem qualquer responsabilidade isolada ou solidria pelos actos ou omisses de qualquer das outras sociedades membro. Cada
uma das sociedades membro uma entidade legal e separada que opera sob a marca Deloitte, Deloitte & Touche, Deloitte Touche Tohmatsu ou outros nomes relacionados.
16
Member of
2008
Deloitte
& Associados,
SROC, S.A.
Deloitte
Touche
Tohmatsu