基于ARCM的企业风险管理

13:30–14:45pm17thofOctober2013SvenRoeleven,VPBusinessProcessSolutions

流程驱动的治理风险与合规管理通过SoftwareAG解决方案

实现业务绩效优化简述什么介绍SoftwareAG认为GRC是什么？如何为什么什么参考案例什么是成功的GRC案例?GRC市场认可的展望为什么SoftwareAG是GRC领域的领导者?最佳实践方法如何开展第一个GRC案例?GRC参考案例GRC收益GRC能力什么是GRC?SoftwareAG的GRC平台通过统一的平台帮助客户：组合能力有审计验证工作流的业务流程分析（BPA）由统一的战略管理工具覆盖风险、合规及业务绩效管理用于满足内部和外部的法律要求和标准遵循有效的风险管理防止业务绩效失察用一致的方式和内控系统集成所有管控需求和操作风险通过工作流来减少成本、增加有效性简化合规验证，一键式生成所有相关文档用实时仪表盘来及时管理改善投资者关系及企业形象敏捷性，可扩展性，可用性变更需求的速度IT投资与资产基于现状

业务模型数字化敏捷平台IT孤岛规则，技术，风险持续变更企业数字化Source:GartnerGRC的发展过程2004200820122016Source:Gartner,FrenchCaldwell.业务演进大数据第二代第一代企业数字化Volume,Reactive合规1stGVolume,VarietyIntegratedGRC风险2ndGRiskAnalytics3rdGBusin.Transformation,DecisionMaking业务绩效4thG风险分析下一代GRC关注可维护的平衡企业战略愿景，业务战略，关键成功因素，目标，KPI流程绩效与智能客户满意度时间成本质量数量治理与风险合规业务连续性可靠性可持续性企业社会责任改善业务绩效实时风险可视性风险业务流程卓越简述什么介绍SoftwareAG认为GRC是什么？如何为什么什么参考案例什么是成功的GRC案例?GRC市场认可的展望为什么SoftwareAG是GRC领域的领导者?最佳实践方法如何开展第一个GRC案例?GRC参考案例GRC收益GRC能力“SoftwareAG对GRC市场提供了一种创新的方式,通过将风险管理与业务流程进行集成，并且实现自动化。”

“由于重点聚焦于流程,因此SoftwareAG能够提供一个集成的绩效和风险管理的平台，该平台能够实现：例如：基于风险的战略规划和监控风险对业务绩效的影响”

“ARISConnect,为流程优化提供一个企业级的社交沟通平台,能够基于团队协同工作，实现信息共享和风险评估”Source:Gartner,Inc.,MagicQuadrantforEnterpriseGovernance,RiskandCompliancePlatforms,FrenchCaldwelletal,October4,2012.ThisgraphicwaspublishedbyGartner,Inc.aspartofalargerresearchdocumentandshouldbeevaluatedinthecontextoftheentiredocument.TheGartnerdocumentisavailableuponrequestfromSoftwareAG.

Gartnerdoesnotendorseanyvendor,productorservicedepictedinitsresearchpublications,anddoesnotadvisetechnologyuserstoselectonlythosevendorswiththehighestratings.GartnerresearchpublicationsconsistoftheopinionsofGartner'sresearchorganizationandshouldnotbeconstruedasstatementsoffact.Gartnerdisclaimsallwarranties,expressedorimplied,withrespecttothisresearch,includinganywarrantiesofmerchantabilityorfitnessforaparticularpurpose.在Gartner的企业GRC平台魔力象限中处于领导象限地位目标，关键成功要素与KPI信任点统一业务流程业务管控架构与Bowtie操作风险管理组织风险层次管控需求法务风险管理员内审外审内控其他角色业务线员工用统一的仓库来明确责任关系识别管控变化更新和LoB讨论变更信任点统一通过ARISConnect开始社会化GRC其它角色：监控业务绩效分析瓶颈审批变更需求设计分析改善分享识别风险评估LoB建议监控设计与分析驾驶舱协作维护管控变更治理维护风险仓库消费法务风险内部审计外部审计外部控制LoB流程工作人员打破基于孤岛的工作，以及多种过时的工具GRC套件满足第四代趋势流程绩效LoB,COO流程发现瓶颈与英国分析业务活动监控

治理LoB,Employees发布周期管理流程、风险与合规的变更委员会治理监控4thGCompliance

Officer合规管理问题管理签署管理受控变更管理1stG可持续的监控、风险分析与告警合作伙伴云/

(web)Apps套装应用数据库应用服务器主机持续的管控监控，持续的风险监控，持续的意外监控，实时告警LoB3rdGPolicy

Manager策略管理策略映射证据策略跟踪审计管理审计计划审计模板资源管理审计师Risk

Manager风险管理事件与损失管理风险和流程仿真2ndGGRC套件满足第四代趋势演示简述什么介绍SoftwareAG认为GRC是什么？如何为什么什么参考案例什么是成功的GRC案例?GRC市场认可的展望为什么SoftwareAG是GRC领域的领导者?最佳实践方法如何开展第一个GRC案例?GRC参考案例GRC收益GRC能力

传统的GRC实时的GRC功能–持续监控(1)

业务实际ICS

报告ICS

计划GRC

管理基于不完整的历史数据，采取应对措施!真实数据实时允许多个适配器接口ArisRisk&ComplianceManagerApama直接采取应对措施实时的GRC功能–持续监控(2)实时响应替代事后记录完整透明性替代抽样预防代替检测借助灵活的查询语句，与ARISRisk&ComplianceManager集成，实现简单的,自动化的控制，自动触发测试案例。对于关键流程步骤的例外监控风险&欺诈指标监控对流程和操作的实时监控实时的流程分析和交易分析对于风险层面或者控制例外，实时采取措施尽可能地立即触发工作流转。ARIS和webMethodsmiddleware的集成，

将日常业务运营融入GRC管理ArisRisk&ComplianceManagerApamaIncidentsautomaticallyimportedanddocumentedinARISRisk&ComplianceManager.

IncidentManagerdecides,whatmeasureshavetobetaken.

IncidentscanbeusedforLossManagementandRiskAssessments.Real-timeRiskAnalytics:Oil&GaswebMethods

BusinessEventsARISRisk&

ComplianceManagerARISMashZoneIntegratedviewonIncidents,Controls,RiskAssessments,Issues,…webMethodsBusinessprovidesaholisticpictureofwhat’shappeninginreal-timeacrossyourbusiness.Realtimemonitoringanddash-boardingARISRisk&ComplianceManagerprovidesstatusandresultsofGRCrelevantactivitieslikeRiskAssessments,Controltesting,Surveys,LossDocumentation,Audits,etc.Real-timeRiskAnalytics:Oil&GasPermanently

measuredeventsRisksandControlsLibraryforrespectivePermanentlymeasuredeventslocationDocumented

IncidentsActualStatusofcontrolsStartedEscalationWorkflowsHCME认为J-SOX/SOX合规工作的开展非常艰难:内部控制通常是由审计驱动，导致内部员工的大量工作和高额外部咨询/审计费用。日立期望能够借助ARISGRC转换为业务驱动的系统。设计内部控制的新流程，将集团总部的工作量转移到地区业务单元实施治理，风险&合规(GRC)解决方案测试和管理缺陷，生成报告并且文档记录由于数据的重用，便捷的报告生成和更低的外部咨询/审计费用，成本降低了40%高度自动化的，业务驱动的内部控制流程提升了文档质量由于引入了专业工具，替代了以往的Excel,员工工作积极性大幅提升HCME通过内控减少40%的成本

日立建筑机械有限公司实现40%节省了的成本/每年内部控制工作投资回报在一年内实现通过流程驱动的方法论支持控制无论一个企业面临的合规指南有多么庞杂,

每个企业必须

开展如下工作:复核每个授权文档。确定IT对该特定文档的控制需求。确定这些控制确实在该组织的范围内，信息也属于他们管辖。实施合适的范围内控制。执行一系列审计，确保该组织的合规级别。内部和外部法规，制度与标准集成的需求与内控目标业务流程合规方法TheUCFisthefirstandlargestindependentinitiativetomapITcontrolsacrossinternationalregulatoryandcompliancerequirements,givingcompaniesanintegrated,cross-departmentalviewofITgovernance.Itindexesover700laws,regulations,standards,andguidelines,reducingover59,000citationstofewerthan6,500harmonizedcontrolsandmakingauthoritydocumentsactionable.

TheARISSolutionforUCFincludesintegratedcontrolsfromallthirteendifferentITareas.EachITareadealswithoneareaofpolicies,standards,andprocedures.

TheUCFcontrolsaremappedtoover59,000citationsfromover700AuthorityDocumentsspanning:StandardsorganizationssuchasISO,ITIL,andCOBITInternationalgovernmentlawsandregulationsforcountriesandjurisdictionsincludingAsia,theUnitedStates,Canada,theEuropeanUnionandAfrica.UnifiedComplianceFramework2.可以审阅有IT管控要求的文档3.可以实施计划范围内的控制4.相关的审计问卷可以发放到特定人员1.所有制度文档都在ARIS仓库中维护5.可以方便通过驾驶舱监控组织的合规级别合规方法(exampleUCF)ASR资产管理是ASRNederland的一部分，它是荷兰的国有保险公司，大约有5,000名员工，为客户提供寿险、健康,旅行和养老等不同的保险。ASR资产管理专注于房地产投资，名下管理着40亿欧元的资产。建立业务绩效与控制之间的平衡

ASR资产管理不再允许变通商业与控制的平衡风险透明度无需即席

风险补救实现透明化治理控制整个E2E流程链的测试通过工作流自动创建内部控制活动和评估：不再允许变通同样重要的一点：可持续的ASR资产管理环境能被不断应用在商业和控制之间实施“管理可控”(MiC)项目:•避免即席风险补救和报告•由重要员工组成指导委员会•由跨部门项目组定义角色和责任(workshops)•急需实施流程驱动的GRC解决方案Request

forofferExternal

trusteeAcceptedby

screeningSendoffdocs

andrequest

forofferRejectedby

screeningSelect

supplier(s)Averagegrossriskvalue

=30mioEURExternal

trusteeAcceptedby

screeningSendoffdocs

andrequest

forofferRejectedby

screeningSelect

supplier(s)Independent

expertExecuteadditional

screeningsupplierAveragethroughputtimeAverageprocesscosts#Mitigatingcontrols2days4days350€1350€01平衡业务绩效与控制PosteItaliane跨多条业务线运营，包括邮政、银行、保险和金融服务。这家多元化的企业正在快速扩张并需要符合诸多不同的法律法规。

这正是传统基于每个分公司或每个不同办公室来进行简单测试的审计方法不奏效的原因。PosteItaliane采用了流程驱动的办法来进行治理、风险和合规(GRC)。首先，该公司从架构的角度评估了内部控制系统，让后将其作为业务流程、风险和控制的建模系统。ARIS成为了所有审计合规信息的中央库。内审外审的所有合规信息都保存在一个中央库中更容易证明合规，降低风险能把更多时间用于有附加值的任务上效率显著提升相关人员能通过多个不同角度来轻松分享合规信息改善的内部控制审计

PosteItaliane审计执行速度20%加快测试用时降低60%中心参考点：不会受到电子表格和数据库的侵扰。所有信息都在一个能被轻松访问的审计证据系统中。这些都与ARIS中央库中的现有流程文档息息相关。所有的更改都需要通过中央库完成。风险管理风险评估和职责分工的执行和状态预定措施的有效性和状态合规管理控制测试的执行和状态控制有效性、问题和缺陷合规管理和公司需求策略管理公司策略的执行和状态审计管理针对外审的审计文档和相关性改善的内部控制审计简述什么介绍SoftwareAG认为GRC是什么？如何为什么什么参考案例什么是成功的GRC案例?GRC市场认可的展望为什么SoftwareAG是GRC领域的领导者?最佳实践方法如何开展第一个GRC案例?GRC参考案例GRC收益GRC能力

ARISConnect(协作建模)MashZone集成的监控和分析持续监控、实时分析与警告监控设计合作伙伴云/

(web)应用打包应用数据库应用服务器主机GRC相关产品流程绩效主管业务绩效风险和合规主管GRC

绩效详细功能风险和合规主管28GRC方法论视图从一个用例开始，如COSOERMSource:SoftwareAG的流程驱动GRC的价值GRC的愿景这就意味着：SoftwareAG是全球一流的企业及软件服务公司，旨在通过实现以下目标帮助客户提升业务绩效：降低成本提升客户服务水平增长

同时确保实时的风险可见性。通过面向业务(流程)的办法来对一线进行支持有前瞻性的实时监控平衡了业务绩效和风险的“及时”决策不再需要过时的工具盒孤岛式的工作方式，取而代之的是扩部门的协作由单点事实带来的高质量问题?

@SRoelevenLinkedIn/SRoeleven

/GRC附件

功能介绍

GRC套件体系结构与功能建模和流程风险管理发布仪表盘控制测试调查管理签署管理运营风险管理事件和损失管理问题管理策略管理审计管理缺陷管理连续监测监测和报表两阶段工作流，由所有者和审查员审查每项功能清晰的任务管理，自动电子邮件通知和上报工作流完整的记录和清晰的审查跟踪，支持灵活地监测和报告功能–建模和流程风险仿真对流程进行建模并定义风险点、控制点和责任将中央ARIS库作为单点事实(SPOT)构建风险结构并使用领结方法论在定义好的流程链上对风险点和控制点进行仿真定义测试定义和风险评估使用中央ARIS库定义所有与GRC有关的数据对产生的风险进行假设分析功能–发布高性能、手动和自动输出动态生成网页基于角色访问特定的用户内容快速、灵活和可靠地发布GRC信息简单、直观的流程模型视图通过面向业务的展示提高接受度功能–仪表盘在GRC平台和ARISMashZone之间使用接口使用管理仪表盘来管理和跟踪绩效结果监测组合应用的业务合规性使用绩效结果改善业务流程实时了解风险和合规状况轻松确定所有人和责任GRC和BPM主题的集成视图功能–控制测试构建有效的内部控制系统使用预定义工作流程并自动触发通知管理各项法律法规，轻松证明符合外部审计师的要求改进测试工作流迅速适应新法律法规完整的审计跟踪展示功能–调查管理管理包含了预定义分数的问卷并进行定期或一次性调查进行自我评估或审计问卷调查可用于风险识别、供应商审计、业务影响分析、成熟度评估、COSO问卷等定期调查可对问卷模板进行重用跟踪和评估调查结果使用中央ARIS库功能–签署管理使用与组织结构或流程层级关联的多级发布流程评估内部控制在一定控制期内以及对特定层级元素的有效性发布测试用例及相关缺陷通过签署提高内部控制的有效性重用预定义层级利用集成的工作流和通知机制功能–运营风险管理识别、记录、评估和报告财务影响和风险概率采取适当的措施降低风险对流程中的风险进行仿真使用记录的事件和损失作为风险评估来源轻松识别流程中的风险可视化风险状态制定降低企业风险的战略功能–事件和损失管理记录事件和造成的损失按业务类型、事件类型或原因对事件进行分类将损失分成不同的类别根据组织单元、流程、成本中心和IT系统来分配损失比较损失和风险资本，提高风险评估涵盖BaselII和SolvencyII要求在达到阈值时触发报警使用历史数据进行风险评估功能–事件和损失管理记录事件和造成的损失按业务类型、事件类型或原因对事件进行分类将损失分成不同的类别根据组织单元、流程、成本中心和IT系统来分配损失比较损失和风险资本，提高风险评估涵盖BaselII和SolvencyII要求在达到阈值时触发报警使用历史数据进行风险评估功能–问题管理创建问题工作流并提出对问题的改进跟踪和跟进与问题有关的行动定义明确的问题解决责任记录问题的创建到完成将其用于众多用例作为集中式的上报工作流使用将问题分配到正确的流程步骤并解决它们不断改进业务流程功能–制度管理将制度映射到相关的业务中，如责任、受影响的流程或实体单个用户的认证表(AttestationForm)用户培训政策对中央ARIS库的资源进行重用将制度链接到文档管理系统关于责任和相关事项的完全透明化改进的审批和发布制度工作流集成的工作流和通知机制功能–审计管理管理工作文档并安排与审计有关的任务设计、准备、执行和报告审计定义审计模板、审计步骤和相关范围规划审计资源并明确责任记录和报告审计结果减少审计时间，降低审计成本利用甘特图对时间轴进行可视化创建可靠的审计跟踪功能–缺陷管理为控制弱点创建缺陷工作流跟踪和跟进与缺陷有关的行动使用COSO组件并确定补偿控制记录缺陷的创建到补救按照SOX要求使用缺陷管理针对财务合规性使