grc – complete and openpds13.egloos.com/pds/200901/25/02/oraclegrc.pdf · 2009-01-25 · 3...

오라클 GRC – Complete and Open

이제철

Oracle Korea

2

Agenda

• GRC Overview

• GRC 솔루션의 핵심 요소

• 오라클 GRC 솔루션 구성 및 주요 기능

• GRC 구축 기대 효과

• Why Oracle GRC?

3

Governance, Risk, and Compliance (GRC) At-a-Glance

CultureCulture

GovernanceGovernance

RiskRisk

Com

plia

nce

Com

plia

nce

Governance• 기업의 목표를 달성하기위한 성과 수준을 정의하고평가함

• 사업계획 및 중장기 목표, 사업모델 등을 인증

Risk Management• 목표달성을 저해하는잠재적인 위협요인을정의하고 평가하고 관리함

• 강제적이거나 자체적인규제를 정의하고 준수할 수있도록 관리함

Culture• 기업 내에 내/외부에서정의된 문제를 해결하고신뢰성과 일체성을 제고할수 있는 문화를 조성함

Compliance• 사내/외 규정과 법규 및자체 설정한 범위를정의하고 준수를권장/강제함

• 규정에 어긋나거나 법규미준수 현황을 파악하고대책 마련

Source: Open Compliance and Ethics Group

4

© OCEG

The Big Picture

ObjectivesStrategic, operational,

customer, compliance and reporting objectives cascaded throughout the organization

Business ModelStrategy, people, process, technology and infrastructure in place to drive toward objectives O

bsta

cles

Obs

tacl

esObstacles impede progress toward achieving

objectives

Mandated Boundary Boundary established by external forces including laws, government regulation and other mandates.

Voluntary Boundary Boundary defined by management including public commitments, organizational values, contractual obligations, and other voluntary policies

5

GRC Market drivers

Continuing Rise in Complexity & Number of Regulations•By 2012, the number of regulations that directly affect IT operations will double•By 2012, 90% of public companies will face mandatory, audited public reporting requirements for financial controls; 50% will face mandatory non-financial reporting

Source: Gartner, 2006

Continuing Failure in Financial Reporting and Business Process•244% increase in the number of earnings restatements filed w/ SEC in 2006 vs 2004. •4 out of 5 companies have been the victim of corporate fraud in the past 3 years.•$20M is the average fraud loss at companies with revenues of $5B and above.

Source: AuditAnalytics 2006, Kroll Global Fraud Report, 2007

Continuing Need for GRC Visibility by C-Suite and Board•Boards of directors cite compliance and risk management as areas where better information is most needed from the audit committee.

•A global survey of 741 CFOs blames increasing job turnover substantially on the tedium and difficulty of meeting regulatory demands.

Source: Mckinsey, 2006; Duke University, 2007

6

GRC Challenges

Regulation A

Standard C

Risk B

C1b C2b C3b

C5b C6b C7b

C9b C10b C11b

R1 R2 R3 R1 R2 R3 R1 R2 R3

C1c C2c C3c

C5c C6c C7c

C9c C10c C11c

C1a C2a C3a

C5a C6a C7a

C9a C10a C11a

Challenge:Multiple Requirements, Fragmented Response

Challenge:Insufficient Resources, Manual Efforts

Challenge:GRC as an Afterthought, Holding Up the Business Business Processes

GRC

7

Resolution

Solution:Consolidate

Solution:Automate

Solution:Embed

Regulation A

Standard C

Risk B

R1 R2 R3

C1 C2 C3

C5 C6 C7

C9 C10 C11

Business Process

GRC

Process

PolicyRisk

Assessment

Detective Control

PreventiveControl

Issues

Remediation

Reporting &Diagnostics

8

IT GRC Initiatives

3%

17%

23%

24%

29%

29%

31%

34%

36%

38%Segregation of duties

Securing sensitive information/data privacy

Data change management

Application configuration management

Managing super-user access

Transaction monitoring

Managing departmental/functional access

Managing temporary access

Don’t know/unsure

Other

Source: IT’s Role in Governance, Risk, and Compliance, February 2007

Survey question: Which of the following areas do you consider a top priorityfor improving controls to meet GRC objectives?

9

GRC Market size

By 2008, > 75% of large and midsize companies will purchase new compliance management, monitoring & automation solutions (0.8 probability).

- Gartner, 2006

Worldwide Financial Governance, Risk, and Compliance Applications Revenue by Segment,

2006~2011 ($M)

Source: AMR 2007

Total GRC Spend

Technology$9.8B

Services$7.3B

Headcount$12.6B

GRC 시장 규모는 약 10조 정도로예상됨

10

Numerous Technologies…

It’s a fan!

It’s a spear!

It’s a snake!

It’s a log!

It’s a rope!

It’s a wall!

…Only Partially Meet GRC Needs

• ERP compliance modules

• Content monitoring and filtering

• Business Activity Monitoring

• Forensic Tools

• Vulnerability Management

• Anti-Money Laundering

• E-Discovery Software

• Stronger Authentication

• Digital Signature

• Enterprise Risk Management

• Configuration Reporting and Remediation

• Password Management

• E-Learning

• Records Management

• User Provisioning

• Business Process Management

• E-mail Archiving

• Database Encryption

• IT Change Management Tools

• SIEM (Information Management)

• Compliance Process Management

• Corporate Performance Management

• Identity Management Compliance Reporting

• Role Management for Enterprise

• Case Management

• Loss Events Capture

• Controls Automation

• IT Security Policy Management

• Spreadsheet Controls

• Segregation of Duties

• …

11

GRC 솔루션의 핵심 요소- Best Practice GRC Framework 관리

내부 위험관리 환경 (Internal Environment)목표 설정(Objective Setting) 위험 요인 인식(Event Identification)위험 평가(Risk Assessment)위험 대응(Risk Response)통제 활동(Control Activities) 정보와 커뮤니케이션(Information and Communication) 모니터링(Monitoring)

*Committee of Sponsoring Organizations of the Treadway Commission(COSO)

COSO Framework

규정준수적발중심

감사

예방중심

감사

업무프로세스진단중심

감사

전사적위험관리중심 감사

단건중심 제도/절차중심 부문별 진단중심 전략적 진단중심

관리수준

위험관리수준

내부통제

전략적 위험관리

프로세스 위험관리

부정의 예방과 적발

CEO

중간관리자

업무담당자

12

GRC 솔루션의 핵심 요소- 프로세스 및 업무기능별 Risk Library

구매 프로세스

리스크요인

통제요인

1. 소요판단(품목등록/단가변경)2. 공급사 선정3. 구매주문처리 및 작업지시4. 수입관리5. 입고작업6. 저장/사용

1. 임의 단가변경

1. 승인절차2. 시스템 접근 통제3. 변경폭이 큰 것에 대한 보고

Risk Library= 프로세스(process) + 위험요

소(risk)+통제방법(control)+감사절차(audit procedure)

프로세스는 계층으로 구성

프로세스별 조직, 책임자, 영향을 미치는

재무항목 등을 연계

프로세스의 위험요소, 통제방법,감사절차, 감사결과 및 문제점 연계

각 사용자별로 다양한 뷰 제공

13

GRC 솔루션의 핵심 요소- 직무분리(Segregation of Duty)

구매담당

부서장

내부통제자

공급자 승인

지불처리 승인

<내부통제 시스템은 자동이든 수동이든 이러한 비즈니스 거래를방지>

자동통보

자동통보

SOD 솔루션은 반드시 분리되어 수행되어야 하는

직무에 대한 제약조건을 설정하여 이러한 원칙에 위

배되는 사용자가 있는 경우 리포트를 제공하여 해당

직무의 부서장에게 개선하도록 통보 하고 그 조치내

역을 모니터링 하도록 지원

승인 지불처리

SOD

직무분리예시

14

GRC 솔루션의 핵심 요소- 운영처리 및 변경관리에 의한 예외사항/Conflict 통보

표준

예외

예외사항 통보 예시

A국가 회계담당

내부통제자

전표 일련번호부여

< 언제든 일반적으로 승인된 표준 프로세스를 조직이 실제 실행중인 프로세스와 비교하여 승인된 업무절차를 실행하고 있는지 확인 >

예외관리

전표 일련번호미부여

B국가 회계담당

※ ERP 등 기간 정보 시스템(경영•사업•그룹웨어 등)과 연계하여 구축

15

GRC Application Suite

GRC Controls SuiteConfiguration

Controls

GRC ManagerRisks Assessments IssuesProcesses

PoliciesProcedures Remediation

GRC IntelligenceDashboards Reports Alerts Reporting

Key Risk & Control Indicators

ApplicationsCustomers

Suppliers

Sales

Legal

R&D

Mfg

HR

Finance

Life Scie

nces

Financial C

ompliance

IT Gove

rnance

Regulatory Policy

Mgmt

Informatio

n Privacy

Environmental

Product Quality

& Safety

Global Trade M

gmt

Financial S

ervice

s

Retail

High Tech

Public Secto

r

TransactionControls

Application Access Controls

Preventive Controls

GRC Technology PlatformIdentity Access DB security Change Mgt

DB Audit ECM IRM ILM

오라클 ERP뿐만이 아니라다양한 애플리케이션, 이기종환경을 수용할 수 있는 개방적인

플랫폼

다양한 업종과 다양한 규제에대응한 사전정의된 GRC 프로세스 및 솔루션

내부통제, 접근통제, 운영통제, 변경통제, 분석정보 등을포괄적으로 제공하는 유일한GRC 솔루션

http://www.salesforce.com/



16



Controls






Suppliers

Sales

Legal

R&D

Mfg

HR

Finance

Life Scie

nces

Financial C

ompliance

IT Gove

rnance

Regulatory Policy

Mgmt

Informatio

n Privacy

Environmental

Product Quality

& Safety

Global Trade M

gmt

Financial S

ervice

s

Retail

High Tech

Public Secto

r

TransactionControls


Preventive Controls



• 사전정의된 대시보드 제공

• 성과와 GRC 정보의 통합제공

• KRI와 이슈에 대한신속한 반응

• 실시간 리스크 모니터링

• 50+ Dashboard Reports




17

GRC Intelligence - Comprehensive Reporting

• 100개 이상의 사전정의된 리포트

• 조직별로 규정 및 법규준수에대한 현황파악

• 다양한 분석 차원에 대하여관리하고 문제의 원인까지드릴다운 분석

• GRC Manager 및 Controls 로드릴다운하여 특정 프로세스, 이슈, 위험 및 통제를 연계

• 다음 주제에 대한 50 개 이상의GRC 대시보드 제공

• GRC Diagnostics• Certification• Controls• Issues• Testing• Risks

18

GRC Intelligence - Pre-built GRC Intelligence

Alert & Notification

InteractiveDashboards

Ad-hoc Analysis

Reporting & Publishing

• Operational 현황에서부터 전략적인 GRC KPI와리포트에 이르기까지 다양한 리포팅

• 직관적이고 Interactive한 대시보드/스코어카드

• 사용자의 편리한 개인화와 수정 및 변경

• 비정형 데이터 검색

• 사용자가 직접 손쉽게 분석할 수 있는 기능

• 분석을 생성, 변경 및 관리하고, 피봇과 대시보드를생성

• 동적인 문제 또는 기회에 대한 인지와 통보

• 자동화된 분석 워크 플로우와 프로세스 지원

• 다양한 모바일 장치를 위한 Tailored Delivery 지원

• GRC 관련 내용에 대한 정형 리포트 작성 스케쥴링및 배포

• 복잡한 “Pixel-perfect” 리포트 레이아웃 제어

19

GRC Intelligence - Integrated Risk Reporting

Oracle GRC Manager

This is to notify you of AML and SOX alerts. The Executive Dashboard is awaiting your review. Please use the following link to access your reportsGo To “Executive Dashboard”

예상되는 위험에 대하여주요 정보를 제공하며워크플로우를 이용하여담당자 통보

20

GRC Intelligence - Integrated Risk Reporting

21



Controls






Suppliers

Sales

Legal

R&D

Mfg

HR

Finance

Life Scie

nces

Financial C

ompliance

IT Gove

rnance

Regulatory Policy

Mgmt

Informatio

n Privacy

Environmental

Product Quality

& Safety

Global Trade M

gmt

Financial S

ervice

s

Retail

High Tech

Public Secto

r

TransactionControls


Preventive Controls



• End-to-End GRC 프로세스 관리

• 책임성 강화

• 통합된 통제 관리

• 집중화된 GRC 컨텐츠관리

• 이슈 해결 및 처리




22

GRC Manager- End-to-end Process Management

• End-to-End GRC 프로세스 관리

• 지속적 통제 모니터링

• 중앙집중적인 GRC 컨텐츠 관리

Document- Risk-Control Matrix- COSO/COBIT Frameworks- Policies and Procedures- Evidence & Records Retention

Assess

PerformSelf

Assessment

TestManualControls

ScopeAudits

MonitorAutomatedControls

AnalyzeReceive Alerts Review Reports Investigate

Exceptions

RespondRemediate Retest Optimize

CertifySign-off and Publish

23

GRC Manager - Risk Control Library

Process DefinitionObjective Risk Control

Action items

Matrix

Attach-ment Issues History

Risk Library

24



Controls






Suppliers

Sales

Legal

R&D

Mfg

HR

Finance

Life Scie

nces

Financial C

ompliance

IT Gove

rnance

Regulatory Policy

Mgmt

Informatio

n Privacy

Environmental

Product Quality

& Safety

Global Trade M

gmt

Financial S

ervice

s

Retail

High Tech

Public Secto

r

TransactionControls


Preventive Controls



• 사용자 접근을 관리하고업무규정에 의거하여직무분리 통제

• 사전 정의된 best practice 룰 제공

• 지속적이고 자동화된모니터링으로 사기 및위험 방지

• 시스템 사용 위험 예방




25

GRC Controls - Application Controls

What usershave done

What’s changed in theenvironment

What are the execution patterns

Detective Controls

What userscan do

Howthe environment

is setup

How users execute

processesPreventive Controls

ACCESSControlsACCESSControls

CONFIGURATIONControls

CONFIGURATIONControls

TRANSACTIONControls

TRANSACTIONControls

Enforce Policies in Context

Monitor Control Effectiveness

26

GRC Controls - Access Controls Monitoring

Detective

Preventive

• Analyze user roles and responsibilities for SOD violations

• Identify and remediate SOD violations• Monitor activities of users granted access to sensitive areas

• Provide compliant user provisioning• Enforce compensation controls• What-if SOD risk simulation

Companies need to know who has access to do what and ensure that someone isn’t given inappropriate privileges – this is fundamental

Key Features• Function, responsibility, group 수준에서의SOD 통제

• Access 권한 변경 전 SOD 문제를 파악하기위한 시뮬레이션

• 부적절한 사용자 접근 사전방지

• SOD 관련 사항에 대한 실시간 모니터링

• 사전 정의된 최고 수준의 SOD 통제 library 내장

• SOD 변경 및 통제를 위한 승인 프로세스자동화

• 임시계정에 대한 통제 및 관리

27

GRC Controls - 접근통제와 직무분리 지원

사용자 인증의 통합된 프레임워크 제공(Integrated framework for user provisioning)SOD제약 조건에 기반한 사용자 프로파일 설정(Set up of user profiles)SOD 위반 방지 및 이기종 시스템간의 승인 처리

SOD 규정

직원역할 부여

사용자 등록

역할부여 금지

!!위반발견

접근권한 승인

SOD Matrix

Enforce Role-based Access Controls

28

GRC Controls - Pre-built Best Practice SOD Rules

•사전정의된 best practice SOD 룰library 제공

•SOD 와 시스템 사용자현황에 대한 실시간리포트 제공

•Oracle EBS와완벽하게 통합됨

29

GRC Controls - Configuration Controls

Detective

Preventive

• Detect and record changes to sensitive setup data

• Compare before and after values for changes

• Monitor for setup inconsistencies across multiple instances

• Validate that setups and data updates conform to valid values

• Require conditional approval cycles (e.g., exceed threshold)

• Enforce data consistency; (e.g. force data to upper case)

Key Features

Ensure that critical setups conform to best practices and followrobust change management procedures

• 주요 setup 사항에 대한 변경 사항 모니터링

• 누가, 언제, 무엇을, 어디서 변경했는지 추적관리

• 승인을 위한 workflows 와 경보 기능

• 변경이나 변경 시도에 대한 상세 정보 관리

• 데이터 정합성 및 일관성 등 운영 효율극대화를 위한 통제

• 특정 값에 대한 허용 범위를 지정

• Best practice control library를 내장하며 변경용이

• 특정 시점에 대한 setup 현황 리포팅(snapshots)

• 변경전후, 버전별 차이 리포트

• Instance 간에 setup 사항 migration

30


Requisi-tion

Requisi-tion

PurchaseGoods /Services

PurchaseGoods /Services

Receive Goods /Services

Receive Goods /Services

InvoiceInvoice IssuePayments

IssuePayments

SAP

Monitoring of changes to expensing

rules

Monitoring of changes to

price tolerance

percentage

Monitoring of changes to document numbering

Monitoring of discounting

rules

Monitor key configurations settings across instancesBefore and after snapshot of changes to settings Automatic approval process notify managers as exceptions occur

PROCUREPROCURE--TOTO--PAY EXAMPLEPAY EXAMPLE

Procurement Inventory Accounts Payable

Ensure internal

requisition source

Enforce Best-Practice Application Setups

31


•Setup 및 configuration 에 대한 변경을지속적으로 모니터링

•Setup 및 configuration이변경되었을 경우 적합한사유에 의하며 적절한승인과정을 거침

32

GRC Controls - Transaction Controls

Detective

Preventive

• Identify transactions that violate policy (e.g. unapproved vendor)

• Detect patterns representing aggregate risk (e.g. micro-payment)

• Detect correlation risk (e.g. same user creates and pays vendor

• Validation of transaction data (e.g. valid product code)

• Approvals based on transaction data threshold

• Initiate review / approval cycle based on automated policies

Key Features

Monitor transactions to detect activities that violate business policies or represent unacceptable risks or inefficiency

•핵심 transaction, application, 데이터변경에 대한 실시간 모니터링

•사전 정의된 최고 수준의 통제 library 내장

•규정 위반에 대한 경보 발송

• IT governance 정책 위반 내역을 관련당사자에게 자동 전달

33


•자동화된 통제를 통하여의심 사항과 예외사항을인식

•주기적인 transaction 예외사항 모니터링 및워크플로우를 이용한 통보

34


• Transaction을 둘러싼 운영 통제

• 현금, 부채, 자산과 관련된 리스크 관리 통제

• 기업의 재무 구조에 심각한 영향을 미쳐서 공시하여야 하는 회계적 책임과 관련한 이벤트 통제

구매전표의 한도를 관리하거나, 거래선 마스터와

다른 기준의 적용을 관리하거나, 특정 기간에

하나의 거래선에 복수의 구매전표가 발송되는 것

등을 관리하는 구매 프로세스 관련 통제

일정기간 이상 미사용 재고 또는 구매가격 차이가

설정한 기준을 넘는 경우 담당자에게 통보하여

재고 통제

매입송장 금액이 설정 기준을 초과하거나, 거래 및

지불 조건이 고객 마스터와 다른 경우를 관리하는

매출 인식 통제

채권 회전 기일, 악성 채권 충당금의 적절성 여부,

수작업 기표 등을 관리하는 매출채권 통제

적용 예시

35

GRC Investment has ROI

Source: Lord & Benoit, 2006

Share-price performance of companiescomplying with SOX rules

28%26%

6%Control weakness in 2004, but none

in 2005

No control weaknesses in 2004 -05

Reported control weakness 2004-05

Price of control deficiency for$1 billion company

Source: University of Wisconsin, 2006

$10 million in higher cost of equity capital

Savings on legal liability avoidancefrom GRC investment

Source: General Counsel Roundtable, 2006

Spending on Compliance

Savings on Lower Legal Liability $1$5

# of GRC projects

Ad hocApproach

PlatformApproach

Resources for innovation

Opportunity cost of siloed GRC

Cost of GRC

36

Oracle GRC 기대 효과ROI Study – Intuit Corporation

External Audit Testing Requirements

2005 2006 2007 2008

Access Controls 100% of controls

100% of controls

100% of controls

33% of controls

Configuration Controls

?% of controls

100% of controls

65% of controls

?% controls

FY05 FY 06 FY 07 FY 08

350 hrs / monthReview

Time

90 hrs / month

Access Controls Review

50 hrs / month

External Audit Internal Audit

350 hrs / month

14 weeks 8

weeks

Access & Configuration Controls TestingExternal Audit Level of Effort

4 auditors

?

2005 2006 2007 2008

Testing Time

# of Auditors

6 auditors

6 auditors

?

14 weeks

Since 2006, the Controls Advisory Office only tests new or modified configuration controls.

37

6 of the top 7Telecommunicationscompanies run Oracle GRC

9 of the top 10 Commercial Banks run Oracle GRC

8 of the top 10 Health & Life Insurers run Oracle GRC

6 of the top 7 Aerospace & Defense companies run Oracle GRC

9 of the top 10 Pharmaceutical companies run Oracle GRC

Industry Rankings based on Fortune Magazine:Fortune 500, 2006

Oracle GRC Facts

Source: Gartner, Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms (Jun, 2008)

Oracle GRC = LeaderOracle GRC = Leader

38

Why Choose Oracle GRC?

Oracle GRC 는…

GRC 통찰력 제공으로 성과향상 및 가시성 제공• 실시간 활동 모니터링 및 통제

• GRC 활동에 대한 실시간 가시성 제공

• GRC의 다양한 분석 정보 통합 제공

정보자산의 완벽한 보호(Unbreakable)• 완벽한 데이터 접근 및 신원 관리

• 정보, 컨텐츠 보호 및 추적관리

• 다양한 형태의 Application 통제를 통한 IT GRC 구현

End-to-End GRC 프로세스 지원• Best Practice Model(COSO 등) 효과적 지원

• 효과적인 리스크 평가 및 감사 수행

• Open system 으로 heterogeneous 한 IT 환경에 적용

grc – complete and openpds13.egloos.com/pds/200901/25/02/oraclegrc.pdf · 2009-01-25 · 3...

Documents