grc – complete and openpds13.egloos.com/pds/200901/25/02/oraclegrc.pdf · 2009-01-25 · 3...
TRANSCRIPT
오라클 GRC – Complete and Open
이제철
Oracle Korea
2
Agenda
• GRC Overview
• GRC 솔루션의 핵심 요소
• 오라클 GRC 솔루션 구성 및 주요 기능
• GRC 구축 기대 효과
• Why Oracle GRC?
3
Governance, Risk, and Compliance (GRC) At-a-Glance
CultureCulture
GovernanceGovernance
RiskRisk
Com
plia
nce
Com
plia
nce
Governance• 기업의 목표를 달성하기위한 성과 수준을 정의하고평가함
• 사업계획 및 중장기 목표, 사업모델 등을 인증
Risk Management• 목표달성을 저해하는잠재적인 위협요인을정의하고 평가하고 관리함
• 강제적이거나 자체적인규제를 정의하고 준수할 수있도록 관리함
Culture• 기업 내에 내/외부에서정의된 문제를 해결하고신뢰성과 일체성을 제고할수 있는 문화를 조성함
Compliance• 사내/외 규정과 법규 및자체 설정한 범위를정의하고 준수를권장/강제함
• 규정에 어긋나거나 법규미준수 현황을 파악하고대책 마련
Source: Open Compliance and Ethics Group
4
© OCEG
The Big Picture
ObjectivesStrategic, operational,
customer, compliance and reporting objectives cascaded throughout the organization
Business ModelStrategy, people, process, technology and infrastructure in place to drive toward objectives O
bsta
cles
Obs
tacl
esObstacles impede progress toward achieving
objectives
Mandated Boundary Boundary established by external forces including laws, government regulation and other mandates.
Voluntary Boundary Boundary defined by management including public commitments, organizational values, contractual obligations, and other voluntary policies
5
GRC Market drivers
Continuing Rise in Complexity & Number of Regulations•By 2012, the number of regulations that directly affect IT operations will double•By 2012, 90% of public companies will face mandatory, audited public reporting requirements for financial controls; 50% will face mandatory non-financial reporting
Source: Gartner, 2006
Continuing Failure in Financial Reporting and Business Process•244% increase in the number of earnings restatements filed w/ SEC in 2006 vs 2004. •4 out of 5 companies have been the victim of corporate fraud in the past 3 years.•$20M is the average fraud loss at companies with revenues of $5B and above.
Source: AuditAnalytics 2006, Kroll Global Fraud Report, 2007
Continuing Need for GRC Visibility by C-Suite and Board•Boards of directors cite compliance and risk management as areas where better information is most needed from the audit committee.
•A global survey of 741 CFOs blames increasing job turnover substantially on the tedium and difficulty of meeting regulatory demands.
Source: Mckinsey, 2006; Duke University, 2007
6
GRC Challenges
Regulation A
Standard C
Risk B
C1b C2b C3b
C5b C6b C7b
C9b C10b C11b
R1 R2 R3 R1 R2 R3 R1 R2 R3
C1c C2c C3c
C5c C6c C7c
C9c C10c C11c
C1a C2a C3a
C5a C6a C7a
C9a C10a C11a
Challenge:Multiple Requirements, Fragmented Response
Challenge:Insufficient Resources, Manual Efforts
Challenge:GRC as an Afterthought, Holding Up the Business Business Processes
GRC
7
Resolution
Solution:Consolidate
Solution:Automate
Solution:Embed
Regulation A
Standard C
Risk B
R1 R2 R3
C1 C2 C3
C5 C6 C7
C9 C10 C11
Business Process
GRC
Process
PolicyRisk
Assessment
Detective Control
PreventiveControl
Issues
Remediation
Reporting &Diagnostics
8
IT GRC Initiatives
3%
17%
23%
24%
29%
29%
31%
34%
36%
38%Segregation of duties
Securing sensitive information/data privacy
Data change management
Application configuration management
Managing super-user access
Transaction monitoring
Managing departmental/functional access
Managing temporary access
Don’t know/unsure
Other
Source: IT’s Role in Governance, Risk, and Compliance, February 2007
Survey question: Which of the following areas do you consider a top priorityfor improving controls to meet GRC objectives?
9
GRC Market size
By 2008, > 75% of large and midsize companies will purchase new compliance management, monitoring & automation solutions (0.8 probability).
- Gartner, 2006
Worldwide Financial Governance, Risk, and Compliance Applications Revenue by Segment,
2006~2011 ($M)
Source: AMR 2007
Total GRC Spend
Technology$9.8B
Services$7.3B
Headcount$12.6B
GRC 시장 규모는 약 10조 정도로예상됨
10
Numerous Technologies…
It’s a fan!
It’s a spear!
It’s a snake!
It’s a log!
It’s a rope!
It’s a wall!
…Only Partially Meet GRC Needs
• ERP compliance modules
• Content monitoring and filtering
• Business Activity Monitoring
• Forensic Tools
• Vulnerability Management
• Anti-Money Laundering
• E-Discovery Software
• Stronger Authentication
• Digital Signature
• Enterprise Risk Management
• Configuration Reporting and Remediation
• Password Management
• E-Learning
• Records Management
• User Provisioning
• Business Process Management
• E-mail Archiving
• Database Encryption
• IT Change Management Tools
• SIEM (Information Management)
• Compliance Process Management
• Corporate Performance Management
• Identity Management Compliance Reporting
• Role Management for Enterprise
• Case Management
• Loss Events Capture
• Controls Automation
• IT Security Policy Management
• Spreadsheet Controls
• Segregation of Duties
• …
11
GRC 솔루션의 핵심 요소- Best Practice GRC Framework 관리
내부 위험관리 환경 (Internal Environment)목표 설정(Objective Setting) 위험 요인 인식(Event Identification)위험 평가(Risk Assessment)위험 대응(Risk Response)통제 활동(Control Activities) 정보와 커뮤니케이션(Information and Communication) 모니터링(Monitoring)
*Committee of Sponsoring Organizations of the Treadway Commission(COSO)
COSO Framework
규정준수적발중심
감사
예방중심
감사
업무프로세스진단중심
감사
전사적위험관리중심 감사
단건중심 제도/절차중심 부문별 진단중심 전략적 진단중심
관리수준
위험관리수준
내부통제
전략적 위험관리
프로세스 위험관리
부정의 예방과 적발
CEO
중간관리자
업무담당자
12
GRC 솔루션의 핵심 요소- 프로세스 및 업무기능별 Risk Library
구매 프로세스
리스크요인
통제요인
1. 소요판단(품목등록/단가변경)2. 공급사 선정3. 구매주문처리 및 작업지시4. 수입관리5. 입고작업6. 저장/사용
1. 임의 단가변경
1. 승인절차2. 시스템 접근 통제3. 변경폭이 큰 것에 대한 보고
Risk Library= 프로세스(process) + 위험요
소(risk)+통제방법(control)+감사절차(audit procedure)
프로세스는 계층으로 구성
프로세스별 조직, 책임자, 영향을 미치는
재무항목 등을 연계
프로세스의 위험요소, 통제방법,감사절차, 감사결과 및 문제점 연계
각 사용자별로 다양한 뷰 제공
13
GRC 솔루션의 핵심 요소- 직무분리(Segregation of Duty)
구매담당
부서장
내부통제자
공급자 승인
지불처리 승인
<내부통제 시스템은 자동이든 수동이든 이러한 비즈니스 거래를방지>
자동통보
자동통보
SOD 솔루션은 반드시 분리되어 수행되어야 하는
직무에 대한 제약조건을 설정하여 이러한 원칙에 위
배되는 사용자가 있는 경우 리포트를 제공하여 해당
직무의 부서장에게 개선하도록 통보 하고 그 조치내
역을 모니터링 하도록 지원
승인 지불처리
SOD
직무분리예시
14
GRC 솔루션의 핵심 요소- 운영처리 및 변경관리에 의한 예외사항/Conflict 통보
표준
예외
예외사항 통보 예시
A국가 회계담당
내부통제자
전표 일련번호부여
< 언제든 일반적으로 승인된 표준 프로세스를 조직이 실제 실행중인 프로세스와 비교하여 승인된 업무절차를 실행하고 있는지 확인 >
예외관리
전표 일련번호미부여
B국가 회계담당
※ ERP 등 기간 정보 시스템(경영•사업•그룹웨어 등)과 연계하여 구축
15
GRC Application Suite
GRC Controls SuiteConfiguration
Controls
GRC ManagerRisks Assessments IssuesProcesses
PoliciesProcedures Remediation
GRC IntelligenceDashboards Reports Alerts Reporting
Key Risk & Control Indicators
ApplicationsCustomers
Suppliers
Sales
Legal
R&D
Mfg
HR
Finance
Life Scie
nces
Financial C
ompliance
IT Gove
rnance
Regulatory Policy
Mgmt
Informatio
n Privacy
Environmental
Product Quality
& Safety
Global Trade M
gmt
Financial S
ervice
s
Retail
High Tech
Public Secto
r
TransactionControls
Application Access Controls
Preventive Controls
GRC Technology PlatformIdentity Access DB security Change Mgt
DB Audit ECM IRM ILM
오라클 ERP뿐만이 아니라다양한 애플리케이션, 이기종환경을 수용할 수 있는 개방적인
플랫폼
다양한 업종과 다양한 규제에대응한 사전정의된 GRC 프로세스 및 솔루션
내부통제, 접근통제, 운영통제, 변경통제, 분석정보 등을포괄적으로 제공하는 유일한GRC 솔루션
16
GRC Application Suite
GRC Controls SuiteConfiguration
Controls
GRC ManagerRisks Assessments IssuesProcesses
PoliciesProcedures Remediation
GRC IntelligenceDashboards Reports Alerts Reporting
Key Risk & Control Indicators
ApplicationsCustomers
Suppliers
Sales
Legal
R&D
Mfg
HR
Finance
Life Scie
nces
Financial C
ompliance
IT Gove
rnance
Regulatory Policy
Mgmt
Informatio
n Privacy
Environmental
Product Quality
& Safety
Global Trade M
gmt
Financial S
ervice
s
Retail
High Tech
Public Secto
r
TransactionControls
Application Access Controls
Preventive Controls
GRC Technology PlatformIdentity Access DB security Change Mgt
DB Audit ECM IRM ILM
• 사전정의된 대시보드 제공
• 성과와 GRC 정보의 통합제공
• KRI와 이슈에 대한신속한 반응
• 실시간 리스크 모니터링
• 50+ Dashboard Reports
17
GRC Intelligence - Comprehensive Reporting
• 100개 이상의 사전정의된 리포트
• 조직별로 규정 및 법규준수에대한 현황파악
• 다양한 분석 차원에 대하여관리하고 문제의 원인까지드릴다운 분석
• GRC Manager 및 Controls 로드릴다운하여 특정 프로세스, 이슈, 위험 및 통제를 연계
• 다음 주제에 대한 50 개 이상의GRC 대시보드 제공
• GRC Diagnostics• Certification• Controls• Issues• Testing• Risks
18
GRC Intelligence - Pre-built GRC Intelligence
Alert & Notification
InteractiveDashboards
Ad-hoc Analysis
Reporting & Publishing
• Operational 현황에서부터 전략적인 GRC KPI와리포트에 이르기까지 다양한 리포팅
• 직관적이고 Interactive한 대시보드/스코어카드
• 사용자의 편리한 개인화와 수정 및 변경
• 비정형 데이터 검색
• 사용자가 직접 손쉽게 분석할 수 있는 기능
• 분석을 생성, 변경 및 관리하고, 피봇과 대시보드를생성
• 동적인 문제 또는 기회에 대한 인지와 통보
• 자동화된 분석 워크 플로우와 프로세스 지원
• 다양한 모바일 장치를 위한 Tailored Delivery 지원
• GRC 관련 내용에 대한 정형 리포트 작성 스케쥴링및 배포
• 복잡한 “Pixel-perfect” 리포트 레이아웃 제어
19
GRC Intelligence - Integrated Risk Reporting
Oracle GRC Manager
This is to notify you of AML and SOX alerts. The Executive Dashboard is awaiting your review. Please use the following link to access your reportsGo To “Executive Dashboard”
예상되는 위험에 대하여주요 정보를 제공하며워크플로우를 이용하여담당자 통보
20
GRC Intelligence - Integrated Risk Reporting
21
GRC Application Suite
GRC Controls SuiteConfiguration
Controls
GRC ManagerRisks Assessments IssuesProcesses
PoliciesProcedures Remediation
GRC IntelligenceDashboards Reports Alerts Reporting
Key Risk & Control Indicators
ApplicationsCustomers
Suppliers
Sales
Legal
R&D
Mfg
HR
Finance
Life Scie
nces
Financial C
ompliance
IT Gove
rnance
Regulatory Policy
Mgmt
Informatio
n Privacy
Environmental
Product Quality
& Safety
Global Trade M
gmt
Financial S
ervice
s
Retail
High Tech
Public Secto
r
TransactionControls
Application Access Controls
Preventive Controls
GRC Technology PlatformIdentity Access DB security Change Mgt
DB Audit ECM IRM ILM
• End-to-End GRC 프로세스 관리
• 책임성 강화
• 통합된 통제 관리
• 집중화된 GRC 컨텐츠관리
• 이슈 해결 및 처리
22
GRC Manager- End-to-end Process Management
• End-to-End GRC 프로세스 관리
• 지속적 통제 모니터링
• 중앙집중적인 GRC 컨텐츠 관리
Document- Risk-Control Matrix- COSO/COBIT Frameworks- Policies and Procedures- Evidence & Records Retention
Assess
PerformSelf
Assessment
TestManualControls
ScopeAudits
MonitorAutomatedControls
AnalyzeReceive Alerts Review Reports Investigate
Exceptions
RespondRemediate Retest Optimize
CertifySign-off and Publish
23
GRC Manager - Risk Control Library
Process DefinitionObjective Risk Control
Action items
Matrix
Attach-ment Issues History
Risk Library
24
GRC Application Suite
GRC Controls SuiteConfiguration
Controls
GRC ManagerRisks Assessments IssuesProcesses
PoliciesProcedures Remediation
GRC IntelligenceDashboards Reports Alerts Reporting
Key Risk & Control Indicators
ApplicationsCustomers
Suppliers
Sales
Legal
R&D
Mfg
HR
Finance
Life Scie
nces
Financial C
ompliance
IT Gove
rnance
Regulatory Policy
Mgmt
Informatio
n Privacy
Environmental
Product Quality
& Safety
Global Trade M
gmt
Financial S
ervice
s
Retail
High Tech
Public Secto
r
TransactionControls
Application Access Controls
Preventive Controls
GRC Technology PlatformIdentity Access DB security Change Mgt
DB Audit ECM IRM ILM
• 사용자 접근을 관리하고업무규정에 의거하여직무분리 통제
• 사전 정의된 best practice 룰 제공
• 지속적이고 자동화된모니터링으로 사기 및위험 방지
• 시스템 사용 위험 예방
25
GRC Controls - Application Controls
What usershave done
What’s changed in theenvironment
What are the execution patterns
Detective Controls
What userscan do
Howthe environment
is setup
How users execute
processesPreventive Controls
ACCESSControlsACCESSControls
CONFIGURATIONControls
CONFIGURATIONControls
TRANSACTIONControls
TRANSACTIONControls
Enforce Policies in Context
Monitor Control Effectiveness
26
GRC Controls - Access Controls Monitoring
Detective
Preventive
• Analyze user roles and responsibilities for SOD violations
• Identify and remediate SOD violations• Monitor activities of users granted access to sensitive areas
• Provide compliant user provisioning• Enforce compensation controls• What-if SOD risk simulation
Companies need to know who has access to do what and ensure that someone isn’t given inappropriate privileges – this is fundamental
Key Features• Function, responsibility, group 수준에서의SOD 통제
• Access 권한 변경 전 SOD 문제를 파악하기위한 시뮬레이션
• 부적절한 사용자 접근 사전방지
• SOD 관련 사항에 대한 실시간 모니터링
• 사전 정의된 최고 수준의 SOD 통제 library 내장
• SOD 변경 및 통제를 위한 승인 프로세스자동화
• 임시계정에 대한 통제 및 관리
27
GRC Controls - 접근통제와 직무분리 지원
사용자 인증의 통합된 프레임워크 제공(Integrated framework for user provisioning)SOD제약 조건에 기반한 사용자 프로파일 설정(Set up of user profiles)SOD 위반 방지 및 이기종 시스템간의 승인 처리
SOD 규정
직원역할 부여
사용자 등록
역할부여 금지
!!위반발견
접근권한 승인
SOD Matrix
Enforce Role-based Access Controls
28
GRC Controls - Pre-built Best Practice SOD Rules
•사전정의된 best practice SOD 룰library 제공
•SOD 와 시스템 사용자현황에 대한 실시간리포트 제공
•Oracle EBS와완벽하게 통합됨
29
GRC Controls - Configuration Controls
Detective
Preventive
• Detect and record changes to sensitive setup data
• Compare before and after values for changes
• Monitor for setup inconsistencies across multiple instances
• Validate that setups and data updates conform to valid values
• Require conditional approval cycles (e.g., exceed threshold)
• Enforce data consistency; (e.g. force data to upper case)
Key Features
Ensure that critical setups conform to best practices and followrobust change management procedures
• 주요 setup 사항에 대한 변경 사항 모니터링
• 누가, 언제, 무엇을, 어디서 변경했는지 추적관리
• 승인을 위한 workflows 와 경보 기능
• 변경이나 변경 시도에 대한 상세 정보 관리
• 데이터 정합성 및 일관성 등 운영 효율극대화를 위한 통제
• 특정 값에 대한 허용 범위를 지정
• Best practice control library를 내장하며 변경용이
• 특정 시점에 대한 setup 현황 리포팅(snapshots)
• 변경전후, 버전별 차이 리포트
• Instance 간에 setup 사항 migration
30
GRC Controls - Configuration Controls
Requisi-tion
Requisi-tion
PurchaseGoods /Services
PurchaseGoods /Services
Receive Goods /Services
Receive Goods /Services
InvoiceInvoice IssuePayments
IssuePayments
SAP
Monitoring of changes to expensing
rules
Monitoring of changes to
price tolerance
percentage
Monitoring of changes to document numbering
Monitoring of discounting
rules
Monitor key configurations settings across instancesBefore and after snapshot of changes to settings Automatic approval process notify managers as exceptions occur
PROCUREPROCURE--TOTO--PAY EXAMPLEPAY EXAMPLE
Procurement Inventory Accounts Payable
Ensure internal
requisition source
Enforce Best-Practice Application Setups
31
GRC Controls - Configuration Controls
•Setup 및 configuration 에 대한 변경을지속적으로 모니터링
•Setup 및 configuration이변경되었을 경우 적합한사유에 의하며 적절한승인과정을 거침
32
GRC Controls - Transaction Controls
Detective
Preventive
• Identify transactions that violate policy (e.g. unapproved vendor)
• Detect patterns representing aggregate risk (e.g. micro-payment)
• Detect correlation risk (e.g. same user creates and pays vendor
• Validation of transaction data (e.g. valid product code)
• Approvals based on transaction data threshold
• Initiate review / approval cycle based on automated policies
Key Features
Monitor transactions to detect activities that violate business policies or represent unacceptable risks or inefficiency
•핵심 transaction, application, 데이터변경에 대한 실시간 모니터링
•사전 정의된 최고 수준의 통제 library 내장
•규정 위반에 대한 경보 발송
• IT governance 정책 위반 내역을 관련당사자에게 자동 전달
33
GRC Controls - Transaction Controls
•자동화된 통제를 통하여의심 사항과 예외사항을인식
•주기적인 transaction 예외사항 모니터링 및워크플로우를 이용한 통보
34
GRC Controls - Transaction Controls
• Transaction을 둘러싼 운영 통제
• 현금, 부채, 자산과 관련된 리스크 관리 통제
• 기업의 재무 구조에 심각한 영향을 미쳐서 공시하여야 하는 회계적 책임과 관련한 이벤트 통제
구매전표의 한도를 관리하거나, 거래선 마스터와
다른 기준의 적용을 관리하거나, 특정 기간에
하나의 거래선에 복수의 구매전표가 발송되는 것
등을 관리하는 구매 프로세스 관련 통제
일정기간 이상 미사용 재고 또는 구매가격 차이가
설정한 기준을 넘는 경우 담당자에게 통보하여
재고 통제
매입송장 금액이 설정 기준을 초과하거나, 거래 및
지불 조건이 고객 마스터와 다른 경우를 관리하는
매출 인식 통제
채권 회전 기일, 악성 채권 충당금의 적절성 여부,
수작업 기표 등을 관리하는 매출채권 통제
적용 예시
35
GRC Investment has ROI
Source: Lord & Benoit, 2006
Share-price performance of companiescomplying with SOX rules
28%26%
6%Control weakness in 2004, but none
in 2005
No control weaknesses in 2004 -05
Reported control weakness 2004-05
Price of control deficiency for$1 billion company
Source: University of Wisconsin, 2006
$10 million in higher cost of equity capital
Savings on legal liability avoidancefrom GRC investment
Source: General Counsel Roundtable, 2006
Spending on Compliance
Savings on Lower Legal Liability $1$5
# of GRC projects
Ad hocApproach
PlatformApproach
Resources for innovation
Opportunity cost of siloed GRC
Cost of GRC
36
Oracle GRC 기대 효과ROI Study – Intuit Corporation
External Audit Testing Requirements
2005 2006 2007 2008
Access Controls 100% of controls
100% of controls
100% of controls
33% of controls
Configuration Controls
?% of controls
100% of controls
65% of controls
?% controls
FY05 FY 06 FY 07 FY 08
350 hrs / monthReview
Time
90 hrs / month
Access Controls Review
50 hrs / month
External Audit Internal Audit
350 hrs / month
14 weeks 8
weeks
Access & Configuration Controls TestingExternal Audit Level of Effort
4 auditors
?
2005 2006 2007 2008
Testing Time
# of Auditors
6 auditors
6 auditors
?
14 weeks
Since 2006, the Controls Advisory Office only tests new or modified configuration controls.
37
6 of the top 7Telecommunicationscompanies run Oracle GRC
9 of the top 10 Commercial Banks run Oracle GRC
8 of the top 10 Health & Life Insurers run Oracle GRC
6 of the top 7 Aerospace & Defense companies run Oracle GRC
9 of the top 10 Pharmaceutical companies run Oracle GRC
Industry Rankings based on Fortune Magazine:Fortune 500, 2006
Oracle GRC Facts
Source: Gartner, Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms (Jun, 2008)
Oracle GRC = LeaderOracle GRC = Leader
38
Why Choose Oracle GRC?
Oracle GRC 는…
GRC 통찰력 제공으로 성과향상 및 가시성 제공• 실시간 활동 모니터링 및 통제
• GRC 활동에 대한 실시간 가시성 제공
• GRC의 다양한 분석 정보 통합 제공
정보자산의 완벽한 보호(Unbreakable)• 완벽한 데이터 접근 및 신원 관리
• 정보, 컨텐츠 보호 및 추적관리
• 다양한 형태의 Application 통제를 통한 IT GRC 구현
End-to-End GRC 프로세스 지원• Best Practice Model(COSO 등) 효과적 지원
• 효과적인 리스크 평가 및 감사 수행
• Open system 으로 heterogeneous 한 IT 환경에 적용