ФОРУМ 2015 МОСКВА...

SAP ФОРУМ 2015 МОСКВА

АВТОМАТИЗАЦИЯ БИЗНЕС-ПРОЦЕССОВ ВНУТРЕННЕГО КОНТРОЛЯ В ОАО «ГАЗПРОМ НЕФТЬ» С ИСПОЛЬЗОВАНИЕМ SAP GRC PROCESS CONTROL 10.1

14 апреля 2015 г.Евгений СафоновДепартамент финансового контроляОАО «Газпром нефть»

2Газпром нефтьSAP ФОРУМ 2015 МОСКВА

АВТОМАТИЗАЦИЯ БИЗНЕС ПРОЦЕССОВ ВНУТРЕННЕГО КОНТРОЛЯ В ОАО

КОМПАНИЯ МИРОВОГО УРОВНЯ

добыча нефти

переработка

масла и битумы

сети АЗС

Самая молодая и быстрорастущая российская нефтяная компания> 70 нефтедобывающих, нефтеперерабатывающих и сбытовых предприятий России, стран ближнего и дальнего зарубежья входят в структуру ВИНК

> 1,2 млрд т н.э. запасы углеводородов — Газпром нефть в числе 20 крупнейших нефтяных компаний мира

> 60 000 сотрудников

50,6 млн т

42,6 млн т

1,6 млн т

1 747



Масштаб развития СВК•тираж: 20 крупнейших БЕ•по 8-ми бизнес-процессам•охват порядка 1900 КП

Отсутствие единой информационной среды

для управления процессами СВК:

•около 100 матриц КП,•около 40 сотрудников СВК в разных регионах

•более 500 пользователей

Трудоемкость выполнения процессов СВК:

• документирования СВК• тестирования КП• актуализации СВК

Отсутствие единого хранилища

доказательств тестирования КП

С РАЗВИТИЕМ СВК НАД ДОСТОВЕРНОСТЬЮ ФО ВОЗНИКЛА ОСТРАЯ НЕОБХОДИМОСТЬ АВТОМАТИЗАЦИИ ПРОЦЕССА:

СИСТЕМА КЛАССА GRC



В 2010 ГОДУ БЫЛИ СФОРМУЛИРОВАНЫ ОСНОВНЫЕ БИЗНЕС-ТРЕБОВАНИЯ К СИСТЕМЕ КЛАССА GRC*

Снижение трудоемкостипроцессов внутреннего

контроля

Сокращение времени на выполнение процессов

службы внутреннего контроля

Повышение качествавыполнения процессов службы

внутреннего контроля

Документирование и согласование результатов

тестирования КП

Поддержка планирования процессов СВК

Возможность тиражирования

Автоматизация тестирования КП

Требования к внедряемому решению СВК

Мониторинг и формирование отчетности

Единое хранилище доказательств выполнения КП

* GRC- governance, risk, compliance



БЫЛА ОРГАНИЗОВАНА ДЕМОНСТРАЦИЯ ПРОТОТИПОВ ИТ- СИСТЕМ КЛАССА GRC ПО 6 ПАРАМЕТРАМ*:

Функционал, допускающий возможность самостоятельной настройки интерфейсов, АКП

В SAP GRC Process Control 10.1 реализована поддержка платформы SAP HANA, которая обеспечивает высокую производительность в области отчетности, мониторинга данных и работы с формами, а также инструментарий

для автоматизации тестирования КП

Наличие готовых коннекторов и возможность быстрой интеграции с другими решениями SAP (SAP ERP, SAP

BPC, SAP HR, SAP BI)

Решения на базе платформы SAP широко используются в Компании

Возможность внедрения модулей SAP GRC RM и SAP GRC AC и интеграция с ними модуля PC

Простота интеграции с SAP Возможность охвата связанных областей

Гибкая функциональность

* параметры и таблица сравнения приведены в приложении № 1

ПОЧЕМУ В ИТОГЕ SAP GRC ?



МОДУЛИ СИСТЕМЫ SAP GRC ПОЗВОЛЯЮТ ОХВАТИТЬ СМЕЖНЫЕ ОБЛАСТИ ПО УПРАВЛЕНИЮ РИСКАМИ И КОНТРОЛЯМИ

SAP GRC

Документирование контрольной среды: процессы, подпроцессы, риски, контроли, задачи контролей, планы тестирования

Тестирование автоматических и ручных контролей, проведение их оценки Осуществление контроля за недостатками и выполнением корректирующих мероприятий

Выполнение утверждений и подписание результатов тестирования контролей Отчетность по результатам оценки контрольной среды

Автоматизировано 60 контрольных процедур

Идентификация, планирование и

управление всеми ключевыми рисками в масштабах

предприятия Принятие

стратегических решений для

ключевых рисков Построение

активного мониторинга в существующих

бизнес-процессах

Управление ролями и пользователями ERP систем

Обеспечение автоматизированных функций по контролю доступа

Мониторинг и режим работы доступа для супер-пользователей

Анализ рисков конфликтов доступа и корректирующих мероприятий

Обеспечение сведений для проверок и аудита

SAP Process Controls

В ПРОЦЕССЕПЛАНИРУЕТСЯ

РЕАЛИЗОВАНО



В 2014 ГОДУ БЫЛ ОТКРЫТ ПИЛОТНЫЙ ПРОЕКТ ПО ВНЕДРЕНИЮ МОДУЛЯ SAP GRC PROCESS CONTROL

ФУНКЦИОНАЛЬНЫЙ КОНТУР ПРОЕКТА 370 контролей (включая 60 автоматизированных*) и

система отчетности по бизнес-процессам:

Интеграция с системами SAP ERP, SAP BPC

5 бизнес-единиц по направлениям upstream, downstream, HQ, SSC

Закупки и учет кредиторской задолженности

Управление запасами и расчет себестоимости

Налоги

Казначейство

Основные средства и капитальное строительство

Выручка и учет дебиторской задолженности

Закрытие периода и формирование отчетности

Расчеты с персоналом

ФУНКЦИОНАЛЬНЫЙ КОНТУР ПРОЕКТА

ОРГАНИЗАЦИОННЫЙ ОБЪЕМ ПРОЕКТА

* Примеры автоматизированных контрольных процедур приведены в приложении 2



САМОЕ ЦЕННОЕ, ЧЕМ МЫ МОЖЕМ С ВАМИ ПОДЕЛИТЬСЯ – ЭТО УРОКИ ПРОЕКТА

В ходе реализации данного решения была необходима реализация нестандартных

сценариев автоматизированного тестирования КП ввиду

неприменимости стандартных АКП,

поставляемых вендором

Включение в проект интеграции с системой

трансформации и консолидации данных, чего

ещё никто не делал в России

Разработка управленческой отчётности в SAP BI на базе встроенного в SAP GRC PC

функционала

Одновременно проводимые миграция SAP BPC на

версию 10 и внедрение SAP GRC PC в Компании

Нестандартные АКП Интеграция с SAP BPC

Одновременная реализация

значительных изменений

Реализация управленческой

отчётности

Особенности

Сложности

Отсутствие опыта внедрения SAP GRC PC 10.1Слабо развитые компетенции по внедрению SAP GRC 10.1,

Отсутствие консультантов данной области со стороны вендора в России

Наличие в команде Заказчика профессионалов в области методологии СВК и функциональной области (SAP ERP, SAP BPC, архитекторы SAP GRC, специалисты АBAP)

Факторы успехаЗрелая система внутреннего контроля



НА ЭТАПЕ ПЕРЕХОДА В ПРОМЫШЛЕННУЮ ЭКСПЛУАТАЦИЮ МЫ ДОСТИГЛИ СЛЕДУЮЩИХ РЕЗУЛЬТАТОВ:

Сокращены трудозатраты на тестирование 1 АКП –

с 6 ч до 5-10 минут

Автоматизированы

60 контрольных процедур* из 370

Автоматизированы следующие процессы СВК:

• Документирование СВК (ведение мастер-данных)

• Планирование процедур СВК

• Документирование результатов тестирования, в том числе в offline режиме (загрузка через Adobe - формы)

• Автоматическое тестирование КП

• Хранение доказательств выполнения КП

• Обработка недостатков

• Мониторинг выполнения корректирующих мероприятий

• Формирование отчетности по результатам анализа СВК

Обеспечена возможность проводить сплошное тестирование АКП

* примеры АКП приведены в приложении №2



ДАЛЬНЕЙШИЕ ШАГИ ПО РАЗВИТИЮ СИСТЕМЫ СВК И ВНЕДРЕННОГО РЕШЕНИЯ

Географическое тиражирование (расширение организационного объема)Обеспечена возможность быстрого и гибкого разворачивания решения в остальных дочерних и зависимых обществах, не участвовавших в пилотном проекте

Расширение функционального покрытияРазработка базы контрольных процедур следующего уровня детализации для внедренного функционала СВК, разработка новых контролей для внедрения (например, по операционным рискам)

Интеграция с другими системами Компании и внедрение других модулей SAP GRCСовершенствование системы внутреннего контроля путём внедрения других модулей SAP GRC и интеграции модуля PC с ними (SAP GRC RM и SAP GRC AC)



Спасибо за внимание!

Контакты

Евгений СафоновНачальник департамента финансового контроля[email protected]



ПРИЛОЖЕНИЕ 1. СРАВНЕНИЕ СИСТЕМ КЛАССА GRC (1/2)

1 2 3 4 5 6

Наличие офиса вРоссии

Внутренний аудит Управление соблюдением внутренних политик и процедур

Управлениесоблюдением внешним нормативным требованиям

Управление операционнымирисками

Наличие решения по управлению ИТ рисками

Автоматизация деятельностивнутренних аудиторов по управлению рабочими документами, планированием и контролем за исполнением задач, формирование отчетности

Включает специализированныйинструментарий по управлению внутренними политиками на протяжении их жизненного цикла от создания до архивного хранения. Позволяет закрепить ответственных за их выполнение с одной стороны, а также ПК с другой стороны. Обеспечивает распространение внутренних процедур и аттестационный контроль среди сотрудников и бизнес-партнеров

Предоставляетфункционал по контролю соблюдения внешних требований (например, SOX, ISO 9000, специализированных отраслевых нормативных требований)

Предоставляет функционал по оценке и анализу операционных рисков организаций, ведению соответствующей документации, формированию и контролю отчетности по работе с рисками

Решения содержат функционал, позволяющий автоматизировать контроль за соблюдением ИТ процедур. Содержат базу данных по ИТ активам, обеспечивают контроль за доступом персонала к ИТ системам, позволяют автоматизировать сбор, управление и мониторинг показателей работы ИТ на уровне инфраструктуры

Условные обозначения



№ Производитель Продукт 1 2 3 4 5 6

1 OpenPages (IBM) LogicERM + + + +

2 Oracle Oracle GRC Suite + + + +

3 SAP SAP BusinessObjects GRC portfolio + + + + +

4 SAS SAS Enterprise GRC + + + +

5 Software AG ARIS Solution for GRC + + +

6 Thomson Reuters Enterprise GRC + + + + +

7 EMC-RSA RSA Archer eGRC Platform + + + +

8 Metric Stream Metric Stream GRC Platform - + + + + +

9 Sword Group Achiever - + +

10 Active Risk Active Risk Manager - + + + +

11 AlignAlytics SaaS-based GRC product suite - +

12 BPS Resolver BPS Resolver GRC Suite - + + +

13 Bwise BP-2 - + + + + +

14 Cura Technologies Cura Enterprise - + +

15 Enablon Enablon - + +

16 LogicManager LogicManager - + + +

17 Mega Mega Suite -

18 Methdware (Jade) Enterprise Risk Assessor (ERA) Kairos - + + + +

ПРИЛОЖЕНИЕ 1. СРАВНЕНИЕ СИСТЕМ КЛАССА GRC (2/2)



ОСНОВНЫЕ ЭТАПЫ, ЗАДАЧИ И РЕЗУЛЬТАТЫ ПРОЕКТА ВНЕДРЕНИЯSAP GRC PC

Подготовка Проектирование Разработка и внедрение

Опытно-промышленная эксплуатация

Устав проекта

План-график проекта

Организационная структура проекта

Определение версии SAP GRC PC, сайзинг

Матрица ответственности

План управления рисками проекта

Презентация к установочному совещанию

Технический проект ИТ -решения, включающий:

функционально-технические требования

иерархическую структуру мастер-данных

требования к формам отчётности

Согласованная карта процессов в нотации EPC

Матрица ролей и полномочий в системе

Программа и методика испытаний

Среда SAP GRC PC, наполненная структурой мастер-данных и контролями и отвечающая требованиям ИБ

Настроенные пользовательские роли и профили

Сценарии тестирования для контролей, входящих в границы проекта

Планы и программа обучения

Эксплуатационная документация (операционные инструкции, настройки)

Протокол проведения обучения

Протокол проведения опытно-промышленной эксплуатации и реестр замечаний, выявленных в ходе тестирования

Руководство для первой линии поддержки по решению типовых инцидентов

Доработки по результатам эксплуатации Системы

Передача Системы в эксплуатацию

Актуализованная проектная документация

1.5 месяца 5 месяцев 4 месяца 2 месяца

ОБЩАЯ ПРОДОЛЖИТЕЛЬНОСТЬ ПРОЕКТА ВНЕДРЕНИЯSAP GRC PC СОСТАВИЛА 12 МЕСЯЦЕВ

Апрель 2014 Апрель 2015



В ХОДЕ ПРОЕКТА БЫЛА ТАКЖЕ СПРОЕКТИРОВАНА И РЕАЛИЗОВАНА СООТВЕТСТВУЮЩАЯ УПРАВЛЕНЧЕСКАЯ ОТЧЁТНОСТЬ СВКРеализованы следующие отчёты: Качество системы внутреннего

контроля Тестирование контрольных

процедур по организациям Эффективность контрольных

процедур по процессам Развитие охвата системы

внутреннего контроля План корректирующих

мероприятий Статус выполнения плана

корректирующих мероприятий Выполнение плана

корректирующих мероприятий

Управленческая отчётностьпозволяет в любой моментвремени видеть статус исполненияконтрольных процедур в Компаниии отслеживать состояние системывнутреннего контроля иопределять направления еёразвития

ФОРУМ 2015 МОСКВА...

Documents