13:30–14:45pm17thofOctober2013SvenRoeleven,VPBusinessProcessSolutions

流程驅動的治理風險與合規管理通過SoftwareAG解決方案

實現業務績效優化簡述什么介紹SoftwareAG認為GRC是什么？如何為什么什么參考案例什么是成功的GRC案例?GRC市場認可的展望為什么SoftwareAG是GRC領域的領導者?最佳實踐方法如何開展第一個GRC案例?GRC參考案例GRC收益GRC能力什么是GRC?SoftwareAG的GRC平臺通過統一的平臺幫助客戶：組合能力有審計驗證工作流的業務流程分析（BPA）由統一的戰略管理工具覆蓋風險、合規及業務績效管理用于滿足內部和外部的法律要求和標準遵循有效的風險管理防止業務績效失察用一致的方式和內控系統集成所有管控需求和操作風險通過工作流來減少成本、增加有效性簡化合規驗證，一鍵式生成所有相關文檔用實時儀表盤來及時管理改善投資者關系及企業形象敏捷性，可擴展性，可用性變更需求的速度IT投資與資產基于現狀

業務模型數字化敏捷平臺IT孤島規則，技術，風險持續變更企業數字化Source:GartnerGRC的發展過程2004200820122016Source:Gartner,FrenchCaldwell.業務演進大數據第二代第一代企業數字化Volume,Reactive合規1stGVolume,VarietyIntegratedGRC風險2ndGRiskAnalytics3rdGBusin.Transformation,DecisionMaking業務績效4thG風險分析下一代GRC關注可維護的平衡企業戰略愿景，業務戰略，關鍵成功因素，目標，KPI流程績效與智能客戶滿意度時間成本質量數量治理與風險合規業務連續性可靠性可持續性企業社會責任改善業務績效實時風險可視性風險業務流程卓越簡述什么介紹SoftwareAG認為GRC是什么？如何為什么什么參考案例什么是成功的GRC案例?GRC市場認可的展望為什么SoftwareAG是GRC領域的領導者?最佳實踐方法如何開展第一個GRC案例?GRC參考案例GRC收益GRC能力“SoftwareAG對GRC市場提供了一種創新的方式,通過將風險管理與業務流程進行集成，并且實現自動化。”

“由于重點聚焦于流程,因此SoftwareAG能夠提供一個集成的績效和風險管理的平臺，該平臺能夠實現：例如：基于風險的戰略規劃和監控風險對業務績效的影響”

“ARISConnect,為流程優化提供一個企業級的社交溝通平臺,能夠基于團隊協同工作，實現信息共享和風險評估”Source:Gartner,Inc.,MagicQuadrantforEnterpriseGovernance,RiskandCompliancePlatforms,FrenchCaldwelletal,October4,2012.ThisgraphicwaspublishedbyGartner,Inc.aspartofalargerresearchdocumentandshouldbeevaluatedinthecontextoftheentiredocument.TheGartnerdocumentisavailableuponrequestfromSoftwareAG.

Gartnerdoesnotendorseanyvendor,productorservicedepictedinitsresearchpublications,anddoesnotadvisetechnologyuserstoselectonlythosevendorswiththehighestratings.GartnerresearchpublicationsconsistoftheopinionsofGartner'sresearchorganizationandshouldnotbeconstruedasstatementsoffact.Gartnerdisclaimsallwarranties,expressedorimplied,withrespecttothisresearch,includinganywarrantiesofmerchantabilityorfitnessforaparticularpurpose.在Gartner的企業GRC平臺魔力象限中處于領導象限地位目標，關鍵成功要素與KPI信任點統一業務流程業務管控架構與Bowtie操作風險管理組織風險層次管控需求法務風險管理員內審外審內控其他角色業務線員工用統一的倉庫來明確責任關系識別管控變化更新和LoB討論變更信任點統一通過ARISConnect開始社會化GRC其它角色：監控業務績效分析瓶頸審批變更需求設計分析改善分享識別風險評估LoB建議監控設計與分析駕駛艙協作維護管控變更治理維護風險倉庫消費法務風險內部審計外部審計外部控制LoB流程工作人員打破基于孤島的工作，以及多種過時的工具GRC套件滿足第四代趨勢流程績效LoB,COO流程發現瓶頸與英國分析業務活動監控

治理LoB,Employees發布周期管理流程、風險與合規的變更委員會治理監控4thGCompliance

Officer合規管理問題管理簽署管理受控變更管理1stG可持續的監控、風險分析與告警合作伙伴云/

(web)Apps套裝應用數據庫應用服務器主機持續的管控監控，持續的風險監控，持續的意外監控，實時告警LoB3rdGPolicy

Manager策略管理策略映射證據策略跟蹤審計管理審計計劃審計模板資源管理審計師Risk

Manager風險管理事件與損失管理風險和流程仿真2ndGGRC套件滿足第四代趨勢演示簡述什么介紹SoftwareAG認為GRC是什么？如何為什么什么參考案例什么是成功的GRC案例?GRC市場認可的展望為什么SoftwareAG是GRC領域的領導者?最佳實踐方法如何開展第一個GRC案例?GRC參考案例GRC收益GRC能力

傳統的GRC實時的GRC功能–持續監控(1)

業務實際ICS

報告ICS

計劃GRC

管理基于不完整的歷史數據，采取應對措施!真實數據實時允許多個適配器接口ArisRisk&ComplianceManagerApama直接采取應對措施實時的GRC功能–持續監控(2)實時響應替代事后記錄完整透明性替代抽樣預防代替檢測借助靈活的查詢語句，與ARISRisk&ComplianceManager集成，實現簡單的,自動化的控制，自動觸發測試案例。對于關鍵流程步驟的例外監控風險&欺詐指標監控對流程和操作的實時監控實時的流程分析和交易分析對于風險層面或者控制例外，實時采取措施盡可能地立即觸發工作流轉。ARIS和webMethodsmiddleware的集成，

將日常業務運營融入GRC管理ArisRisk&ComplianceManagerApamaIncidentsautomaticallyimportedanddocumentedinARISRisk&ComplianceManager.

IncidentManagerdecides,whatmeasureshavetobetaken.

IncidentscanbeusedforLossManagementandRiskAssessments.Real-timeRiskAnalytics:Oil&GaswebMethods

BusinessEventsARISRisk&

ComplianceManagerARISMashZoneIntegratedviewonIncidents,Controls,RiskAssessments,Issues,…webMethodsBusinessprovidesaholisticpictureofwhat’shappeninginreal-timeacrossyourbusiness.Realtimemonitoringanddash-boardingARISRisk&ComplianceManagerprovidesstatusandresultsofGRCrelevantactivitieslikeRiskAssessments,Controltesting,Surveys,LossDocumentation,Audits,etc.Real-timeRiskAnalytics:Oil&GasPermanently

measuredeventsRisksandControlsLibraryforrespectivePermanentlymeasuredeventslocationDocumented

IncidentsActualStatusofcontrolsStartedEscalationWorkflowsHCME認為J-SOX/SOX合規工作的開展非常艱難:內部控制通常是由審計驅動，導致內部員工的大量工作和高額外部咨詢/審計費用。日立期望能夠借助ARISGRC轉換為業務驅動的系統。設計內部控制的新流程，將集團總部的工作量轉移到地區業務單元實施治理，風險&合規(GRC)解決方案測試和管理缺陷，生成報告并且文檔記錄由于數據的重用，便捷的報告生成和更低的外部咨詢/審計費用，成本降低了40%高度自動化的，業務驅動的內部控制流程提升了文檔質量由于引入了專業工具，替代了以往的Excel,員工工作積極性大幅提升HCME通過內控減少40%的成本

日立建筑機械有限公司實現40%節省了的成本/每年內部控制工作投資回報在一年內實現通過流程驅動的方法論支持控制無論一個企業面臨的合規指南有多么龐雜,

每個企業必須

開展如下工作:復核每個授權文檔。確定IT對該特定文檔的控制需求。確定這些控制確實在該組織的范圍內，信息也屬于他們管轄。實施合適的范圍內控制。執行一系列審計，確保該組織的合規級別。內部和外部法規，制度與標準集成的需求與內控目標業務流程合規方法TheUCFisthefirstandlargestindependentinitiativetomapITcontrolsacrossinternationalregulatoryandcompliancerequirements,givingcompaniesanintegrated,cross-departmentalviewofITgovernance.Itindexesover700laws,regulations,standards,andguidelines,reducingover59,000citationstofewerthan6,500harmonizedcontrolsandmakingauthoritydocumentsactionable.

TheARISSolutionforUCFincludesintegratedcontrolsfromallthirteendifferentITareas.EachITareadealswithoneareaofpolicies,standards,andprocedures.

TheUCFcontrolsaremappedtoover59,000citationsfromover700AuthorityDocumentsspanning:StandardsorganizationssuchasISO,ITIL,andCOBITInternationalgovernmentlawsandregulationsforcountriesandjurisdictionsincludingAsia,theUnitedStates,Canada,theEuropeanUnionandAfrica.UnifiedComplianceFramework2.可以審閱有IT管控要求的文檔3.可以實施計劃范圍內的控制4.相關的審計問卷可以發放到特定人員1.所有制度文檔都在ARIS倉庫中維護5.可以方便通過駕駛艙監控組織的合規級別合規方法(exampleUCF)ASR資產管理是ASRNederland的一部分，它是荷蘭的國有保險公司，大約有5,000名員工，為客戶提供壽險、健康,旅行和養老等不同的保險。ASR資產管理專注于房地產投資，名下管理著40億歐元的資產。建立業務績效與控制之間的平衡

ASR資產管理不再允許變通商業與控制的平衡風險透明度無需即席

風險補救實現透明化治理控制整個E2E流程鏈的測試通過工作流自動創建內部控制活動和評估：不再允許變通同樣重要的一點：可持續的ASR資產管理環境能被不斷應用在商業和控制之間實施“管理可控”(MiC)項目:?避免即席風險補救和報告?由重要員工組成指導委員會?由跨部門項目組定義角色和責任(workshops)?急需實施流程驅動的GRC解決方案Request

forofferExternal

trusteeAcceptedby

screeningSendoffdocs

andrequest

forofferRejectedby

screeningSelect

supplier(s)Averagegrossriskvalue

=30mioEURExternal

trusteeAcceptedby

screeningSendoffdocs

andrequest

forofferRejectedby

screeningSelect

supplier(s)Independent

expertExecuteadditional

screeningsupplierAveragethroughputtimeAverageprocesscosts#Mitigatingcontrols2days4days350€1350€01平衡業務績效與控制PosteItaliane跨多條業務線運營，包括郵政、銀行、保險和金融服務。這家多元化的企業正在快速擴張并需要符合諸多不同的法律法規。

這正是傳統基于每個分公司或每個不同辦公室來進行簡單測試的審計方法不奏效的原因。PosteItaliane采用了流程驅動的辦法來進行治理、風險和合規(GRC)。首先，該公司從架構的角度評估了內部控制系統，讓后將其作為業務流程、風險和控制的建模系統。ARIS成為了所有審計合規信息的中央庫。內審外審的所有合規信息都保存在一個中央庫中更容易證明合規，降低風險能把更多時間用于有附加值的任務上效率顯著提升相關人員能通過多個不同角度來輕松分享合規信息改善的內部控制審計

PosteItaliane審計執行速度20%加快測試用時降低60%中心參考點：不會受到電子表格和數據庫的侵擾。所有信息都在一個能被輕松訪問的審計證據系統中。這些都與ARIS中央庫中的現有流程文檔息息相關。所有的更改都需要通過中央庫完成。風險管理風險評估和職責分工的執行和狀態預定措施的有效性和狀態合規管理控制測試的執行和狀態控制有效性、問題和缺陷合規管理和公司需求策略管理公司策略的執行和狀態審計管理針對外審的審計文檔和相關性改善的內部控制審計簡述什么介紹SoftwareAG認為GRC是什么？如何為什么什么參考案例什么是成功的GRC案例?GRC市場認可的展望為什么SoftwareAG是GRC領域的領導者?最佳實踐方法如何開展第一個GRC案例?GRC參考案例GRC收益GRC能力

ARISConnect(協作建模)MashZone集成的監控和分析持續監控、實時分析與警告監控設計合作伙伴云/

(web)應用打包應用數據庫應用服務器主機GRC相關產品流程績效主管業務績效風險和合規主管GRC

績效詳細功能風險和合規主管28GRC方法論視圖從一個用例開始，如COSOERMSource:SoftwareAG的流程驅動GRC的價值GRC的愿景這就意味著：SoftwareAG是全球一流的企業及軟件服務公司，旨在通過實現以下目標幫助客戶提升業務績效：降低成本提升客戶服務水平增長

同時確保實時的風險可見性。通過面向業務(流程)的辦法來對一線進行支持有前瞻性的實時監控平衡了業務績效和風險的“及時”決策不再需要過時的工具盒孤島式的工作方式，取而代之的是擴部門的協作由單點事實帶來的高質量問題?

@SRoelevenLinkedIn/SRoeleven

/GRC附件

功能介紹

GRC套件體系結構與功能建模和流程風險管理發布儀表盤控制測試調查管理簽署管理運營風險管理事件和損失管理問題管理策略管理審計管理缺陷管理連續監測監測和報表兩階段工作流，由所有者和審查員審查每項功能清晰的任務管理，自動電子郵件通知和上報工作流完整的記錄和清晰的審查跟蹤，支持靈活地監測和報告功能–建模和流程風險仿真對流程進行建模并定義風險點、控制點和責任將中央ARIS庫作為單點事實(SPOT)構建風險結構并使用領結方法論在定義好的流程鏈上對風險點和控制點進行仿真定義測試定義和風險評估使用中央ARIS庫定義所有與GRC有關的數據對產生的風險進行假設分析功能–發布高性能、手動和自動輸出動態生成網頁基于角色訪問特定的用戶內容快速、靈活和可靠地發布GRC信息簡單、直觀的流程模型視圖通過面向業務的展示提高接受度功能–儀表盤在GRC平臺和ARISMashZone之間使用接口使用管理儀表盤來管理和跟蹤績效結果監測組合應用的業務合規性使用績效結果改善業務流程實時了解風險和合規狀況輕松確定所有人和責任GRC和BPM主題的集成視圖功能–控制測試構建有效的內部控制系統使用預定義工作流程并自動觸發通知管理各項法律法規，輕松證明符合外部審計師的要求改進測試工作流迅速適應新法律法規完整的審計跟蹤展示功能–調查管理管理包含了預定義分數的問卷并進行定期或一次性調查進行自我評估或審計問卷調查可用于風險識別、供應商審計、業務影響分析、成熟度評估、COSO問卷等定期調查可對問卷模板進行重用跟蹤和評估調查結果使用中央ARIS庫功能–簽署管理使用與組織結構或流程層級關聯的多級發布流程評估內部控制在一定控制期內以及對特定層級元素的有效性發布測試用例及相關缺陷通過簽署提高內部控制的有效性重用預定義層級利用集成的工作流和通知機制功能–運營風險管理識別、記錄、評估和報告財務影響和風險概率采取適當的措施降低風險對流程中的風險進行仿真使用記錄的事件和損失作為風險評估來源輕松識別流程中的風險可視化風險狀態制定降低企業風險的戰略功能–事件和損失管理記錄事件和造成的損失按業務類型、事件類型或原因對事件進行分類將損失分成不同的類別根據組織單元、流程、成本中心和IT系統來分配損失比較損失和風險資本，提高風險評估涵蓋BaselII和SolvencyII要求在達到閾值時觸發報警使用歷史數據進行風險評估功能–事件和損失管理記錄事件和造成的損失按業務類型、事件類型或原因對事件進行分類將損失分成不同的類別根據組織單元、流程、成本中心和IT系統來分配損失比較損失和風險資本，提高風險評估涵蓋BaselII和SolvencyII要求在達到閾值時觸發報警使用歷史數據進行風險評估功能–問題管理創建問題工作流并提出對問題的改進跟蹤和跟進與問題有關的行動定義明確的問題解決責任記錄問題的創建到完成將其用于眾多用例作為集中式的上報工作流使用將問題分配到正確的流程步驟并解決它們不斷改進業務流程功能–制度管理將制度映射到相關的業務中，如責任、受影響的流程或實體單個用戶的認證表(AttestationForm)用戶培訓政策對中央ARIS庫的資源進行重用將制度鏈接到文檔管理系統關于責任和相關事項的完全透明化改進的審批和發布制度工作流集成的工作流和通知機制功能–審計管理管理工作文檔并安排與審計有關的任務設計、準備、執行和報告審計定義審計模板、審計步驟和相關范圍規劃審計資源并明確責任記錄和報告審計結果減少審計時間，降低審計成本利用甘特圖對時間軸進行可視化創建可靠的審計跟蹤功能–缺陷管理為控制弱點創建缺陷工作流跟蹤和跟進與缺陷有關的行動使用COSO組件并確定補償控制記錄缺陷的創建到補救按照SOX要求使用缺陷管理針對財務合規性使