sap grc bei e.on. - riscomp | your grc experts · inhalt. 1. Überblick e.on 2. sap grc process...

23
SAP GRC bei E.ON. SAP GRC Forum 2014 Jörg Kohtes, E.ON SE Dr. Thorsten Spies, E.ON SE Daniel Rüger, E.ON SE

Upload: duongtruc

Post on 26-Jul-2018

250 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

SAP GRC bei E.ON.

SAP GRC Forum 2014

Jörg Kohtes, E.ON SE

Dr. Thorsten Spies, E.ON SE

Daniel Rüger, E.ON SE

Page 2: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Inhalt.

1. Überblick E.ON

2. SAP GRC Process Controls

3. SAP GRC Access Controls

SAP GRC bei E.ON – SAP GRC Forum 2014 2

Page 3: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

3

Wir. Im Überblick.

An unseren Standorten in Europa,

Russland und Nordamerika

erwirtschafteten unsere über 62.000

Mitarbeiter im Jahr 2013 einen Umsatz

von rund 122 Mrd Euro. Hinzu kommen

gemeinsam mit Partnern geführte

Geschäfte in Brasilien und in der Türkei.

Mit unserer strategischen Ausrichtung

cleaner & better energy entwickeln wir

uns zu einem globalen, spezialisierten

Anbieter von Energielösungen.

Überall dort, wo wir aktiv sind, ist unser

Anspruch, dass die Welt der Energie

besser und sauberer wird.

SAP GRC bei E.ON – SAP GRC Forum 2014

Page 4: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

4

Unser Fokus.

Wir konzentrieren uns auf das, was wir am

besten können und wo wir den höchsten

Wert schaffen. Im Wettbewerbsumfeld der

internationalen Energiemärkte sind das

die Stromerzeugung aus Erneuerbaren

Energien und konventionellen

Energiequellen,

Optimierung und Handel,

Neubau und Technologien,

Exploration und Produktion,

Dezentrale Energie,

Verteilung und

Vertrieb von innovativen Energielösungen

für unsere Kunden.

SAP GRC bei E.ON – SAP GRC Forum 2014

Page 5: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

5

Konzernleitung1 Globale Einheiten

Exploration & Produktion

Erzeugung

Technologien2

Globaler Handel

Erneuerbare Energien

Regionale Einheiten

Deutschland

Weitere EU-Länder:

Großbritannien

Schweden

Italien

Spanien

Frankreich

Niederlande

Ungarn

Tschechien

Slowakei

Rumänien

Nicht-EU-Länder:

Russland3

Weitere Nicht-EU-Länder:

Brasilien, Türkei

Unsere Struktur.

SAP GRC bei E.ON – SAP GRC Forum 2014

Unterstützungsfunktionen2

Einheiten:

Unternehmensdienstleistungen4

Beratung

Immobilien-Management

Versicherungen

Einkauf

Dienstleistungszentren

Kompetenzzentren

1 Inklusive der Schwerpunkt-Einheit E.ON Connecting Energies 2 Kein Berichtssegment 3 Schwerpunkt-Einheit 4 Inklusive IT

Page 6: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

6

Unser Unternehmen in Zahlen.

in Mio € 2013 2012 %

Stromabsatz (in Mrd kWh) 704,4 740,9 -5

Gasabsatz (in Mrd kWh) 1.091,7 1.162,1 -6

Umsatz 122.450 132.093 -7

EBITDA1 9.315 10.771 -14

EBIT1 5.681 7.012 -19

Investitionen 8.086 6.997 +16

Mitarbeiter (31.12.) 62.239 72.083 -14

1bereinigt um außergewöhnliche Effekte (siehe Glossar eon.com)

SAP GRC bei E.ON – SAP GRC Forum 2014

Page 7: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Inhalt.

1. Überblick E.ON

2. SAP GRC Process Controls

3. SAP GRC Access Controls

SAP GRC bei E.ON – SAP GRC Forum 2014 7

Page 8: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Internes Kontrollsystem bei E.ON.

SAP GRC bei E.ON – SAP GRC Forum 2014 8

Detaillierte IKS-

relevante

Prozessmodelle

inklusive

Risikokatalog

und Key-

Kontrollen.

Transaktionsebene

*illustrativ

Organisationsebene

High-level Guidance und

Minimalanforderungen für das

verantwortliche Management in

Bezug auf wichtige Richtlinien und

Prozesse.

9 IKS-relevante Prozesse

• Sales

• Procurement

• HR

• Accounting

• Finance Management

• IT

• Tax

• Energy Trading

• Risk Management

Page 9: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Von SAP MIC zu SAP GRC Process Control.

SAP GRC bei E.ON – SAP GRC Forum 2014 9

SAP MIC

SAP GRC

Process

Controls

Verbesserte Benutzerfreundlichkeit

Verbessertes Reporting (Standardreporting)

Offline Workflow Unterstützung auf Basis von PDF Dokumenten

Unterstützung neuer Anforderungen des ICS Frameworks

Continuous Control Monitoring/Automated Controls

Shared Service Center Funktionalität

Integration mit anderen Systemen (z.B. Access Controls, ERP)

Page 10: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

SAP GRC PC Implementierung.

ICS Master Data

ICS Authorizations

ICS Documentation

ICS Cycle

Assessments

Issues & Remediation

Sign-off

Standard Reporting

10

ICS Dashboards

Cockpit KPIs

Documentation KPIs

Assessment KPIs

Service Provider KPIs

Continuous Control

Monitoring (CCM) /

Automated Controls

CCM Scenarios

P2P

ITGC

General Ledger

Core Dashboard CCM

ICS IT Tool – SAP GRC Process Control 10.0

SAP GRC bei E.ON – SAP GRC Forum 2014

Page 11: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Schwerpunkte – Implementierung Core (1/4).

Attributbasierte Unterscheidung fachlicher Objekte (Enhancement):

Kontrollen: attributabhängige UI, IKS Aktivitäten und Reporting

SAP GRC bei E.ON – SAP GRC Forum 2014 11

Mehrdimensionales Reporting mittels CDF in Organisationseinheiten (Enhancement):

Kontrolle

ICS Principle

ICS Model

berücksichtigt in:

- Stammdaten

- Berichte

- Planner

- Workflows & OWP

unterteilt in

Organisation

Regional Unit

Global Unit

berücksichtigt in

- SAP PC Berichte

- BO Dashboards

konfigurierbare Attribute

Page 12: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Schwerpunkte – Implementierung Core (2/4).

SAP GRC bei E.ON – SAP GRC Forum 2014 12

Lokales Objekt: ICS Principle

Zentrales Objekt: Auswahl der Kontrollart

Beispiel: Enhancements

Page 13: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Schwerpunkte – Implementierung Core (3/4).

SAP GRC bei E.ON – SAP GRC Forum 2014 13

Lokales Objekt: ICS Model

Zentrales Objekt: Auswahl der Kontrollart

Beispiel: Enhancements

Page 14: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Schwerpunkte – Implementierung Core (4/4).

OWP & Workflows @ E.ON:

ICS Principle Assessment

Control Assessment

Subprocess Assessment

Herausforderungen:

Abbildung der E.ON spezifischen

Assessment-Typen

SAP GRC bei E.ON – SAP GRC Forum 2014 14

Beispiel: Control Assessment PDF Dokument

Page 15: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Schwerpunkte – Dashboard.

SAP GRC bei E.ON – SAP GRC Forum 2014 15

* PoC mit Testdaten

Page 16: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Schwerpunkte – CCM (1/2).

SAP GRC bei E.ON – SAP GRC Forum 2014 16

Automated Control

Strategy

Risk-based

Cost-benefit Efficiency

Quality

Business Process

Standardization/Variants

Business Logic/Rules

Parameters

Organization

Central/

decentral Responsibilities

IT Systems

Standardization (Harmonized/

Heterogeneous)

Ownership

Data

Page 17: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Schwerpunkte – CCM (2/2).

SAP GRC bei E.ON – SAP GRC Forum 2014 17

Organization

Identifying stakeholders within different areas

Processes

Analyzing process design & responsibilities

Analyzing process variants within different units

IT Systems

Fokus on harmonized systems

Strategy

Defining strategy (business case) for each CCM scenario

P2P ITGC GL/FA

ICS IT Tool – CCM

P2P

Page 18: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Inhalt.

1. Überblick E.ON

2. SAP GRC Process Controls

3. SAP GRC Access Controls

SAP GRC bei E.ON – SAP GRC Forum 2014 18

Page 19: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

SAP GRC Umgebung bei E.ON.

SAP GRC bei E.ON – SAP GRC Forum 2014 19

Abgestufte Implementierung mit 3 Streams:

Hauptfunktionalität + OWP (live)

BO Dashboards

CCM Stream

SAP GRC

Proj. Entw. Qs

BW / BO

SAP Portal

54 Prod

SAP AC Umfang: 150 Systeme, >65000 Benutzer, >4.000 Anträge

pro Monat

SAP PC Scope: 7 Hauptsysteme

GRC Process Control

GRC Access Control

EON Standard

2012: Migration von 5.3 auf 10.0

2013: Anbindung ISU-/CRM Landschaft inkl. Definition

ISU/CRM-Cross System Regelwerk (PwC app.)

Laufender Rollout weiterer Systeme

Eingesetzte GRC AC Module:

Zugriffsrisikoanalyse (ARA)

Zugriffsanforderungsworkflow (ARM)

Benutzerzugriffsüberprüfung (BZP)

Page 20: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

20

Strategie

SAP GRC AC – Strategie und Ziele

Ziele

IT-Compliance & IT-Security

Erstellung und Verwaltung umfangreicher Funktionstrennungskonzepte

Zugriffsrisikomanagement & Berichterstattung

Verwaltung der jährlichen PwC Prüfungsberichte

Nutzen / Einsparung

Automatisierte Handhabung und Provisionierung von Anträgen

Konsolidierung existierender GRC Systeme

Vereinfachte Einschätzung der Compliance & Zugriffsrisikoanalyse

Unterstützung des Rollenverwaltungsprozesses und der Notfallbenutzerverwaltung

Business Improvement

Maßgeschneiderte Benutzerverwaltungsprozesse

Umsetzung der E.ON Gruppenstandards

Aufwandsreduzierung bei der Prüfungsvorbereitung

Höhere Verlässlichkeit während der Prüfungsdurchführung

Risikoreduzierung

Proaktives Verhindern von Zugriffsrisiken

Einhaltung des Funktionstrennungsprinzips

Minderung/Kompensierung von Zugriffsrisiken

Konformität mit gesetzlichen IT-Vorgaben und IT-Sicherheitsrichtlinien

Unterstützung der verantwortlichen Teams bei der Benutzer- und Berechtigungsvergabe

Umsetzung von Revisionsanforderungen (Funktionstrennungskonflikten)

Einsparung manueller, papier-basierter Benutzerverwaltungsprozesse

SAP GRC bei E.ON – SAP GRC Forum 2014 20

Page 21: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

Übersicht der GRC Integrationsszenarien

SAP GRC bei E.ON – SAP GRC Forum 2014 21

Risikoanalyse

Kompensierende Kontrollen

ERP Geschäftsprozesse

Access

Control

Process

Control

Portal

BW+BO

Access

Control

Process

Control

Page 22: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

SAP GRC Access Control

SAP GRC bei E.ON – SAP GRC Forum 2014 22

Konsolidierung zweier GRC AC 5.3 Systeme in ein GRC AC 10 System

Ein GRC Mandant für alle E.ON Unternehmen (international)

Ein standardisierter Antragsprozess für alle teilnehmenden Unternehmen

Jeder Verantwortliche sieht u. genehmigt nur seine Arbeitspakte (Antrag, Rolle, etc.)

Genehmigungspflichtige und genehmigungsfreie Rollen müssen unterschiedliche

Wege im Genehmigungsprozess durchlaufen

Anträge für die SAP Anwendungsspezialisten werden mit dem produktiven GRC

System auf Entwicklungs-, Projekt- und Testsysteme provisioniert

Antrag und automatische Zuordnung von Rollen auf dem GRC System

(Eigenprovisionierung)

Realisierte Designgrundsätze

Page 23: SAP GRC bei E.ON. - Riscomp | Your GRC Experts · Inhalt. 1. Überblick E.ON 2. SAP GRC Process Controls 3. SAP GRC Access Controls 2 SAP GRC bei E.ON – SAP GRC Forum 2014

SAP GRC Access Control - Umsetzung

SAP GRC bei E.ON – SAP GRC Forum 2014 23

Verwendung von Multi Stage Multi Path Standardfunktionen zur Abbildung des E.ON

Genehmigungsprozesses

GRC AC Antragsprozess

Antragsprozess

Automatisierte Ermittlung der Bearbeiter / Genehmiger

Automatisiertes Routing genehmigungsfreier Rollen

Automatische Ermittlung des richtigen Zugriffsregelwerk auf Basis der Antragsattribute

GRC AC Benutzerzugriffsüberprüfung

Automatisierte Ermittlung der Bearbeiter / Genehmiger anhand der Kombination

Benutzergruppe/System

Business Rule Framework BRF+