Séminaire SAP Business Objects Jeudi 12 juin 2008 Gestion de la gouvernance, des risques et de la conformité réglementaire
La nouvelle roadmap des solutions SAP Business Objects Laurent Leenhardt, Directeur Office of the CFO, Business Objects, an SAP company Vincent de Poret, Responsable des applications Office of the CFO, SAP France
SAP et Business Objects ensemble L optimisation des performances de bout en bout Stratégie SAP Business Objects Portfolio Insight Business Optimization Applications Business Intelligence Platform Décisions Evénements Process change SAP Business Suite SAP NetWeaver SAP Business Process Platform Monitoring Exécution SAP 2008 / Page 3
Les attentes d une Direction Financière Gestion des risques à posteriori Faiblesse dans l exécution de la stratégie, Coût élevé de la fonction finance, processus de clôture Controlling Besoin en Fond de roulement élevé Gestion de la trésorerie Treasury Receivables Payables Faiblesse dans l intégration des outils comptables Coût élevé de la production SAP 2008 / Page 4
Agenda 1. La nouvelle roadmap des solutions SAP Business Objects 2. SAP GRC : «Gouvernance, Risques and Conformité» 3. Gouvernance du Système d Information: retour d expérience du groupe Total 4. Comment piloter efficacement vos risques sur le contrôle interne et optimiser vos coûts? 5. Questions / Réponses SAP 2008 / Page 5
La nouvelle roadmap des solutions SAP Business Objects Laurent Leenhardt, Directeur Office of the CFO, Business Objects, an SAP company Vincent de Poret, Responsable des applications Office of the CFO, SAP France
Les nouvelles attentes des utilisateurs Business Users Environnement humain Multi culturel, international Mobilité Génération «Internet» Environnement technologique, Web 2.0, Nouveaux modes d utilisation Nouveaux modèles de déploiement Environnement de travail Collaboration étendue au delà de l entreprise Accéder aux informations pertinentes SAP 2008 / Page 7
Nouvelle stratégie produits Équipe étendue Multi entreprises Complexes Tâche individuelle Applications Transactionnelles Partage de la Connaissance Décisions Collaboratives Unifier l information SAP 2008 / Page 8 Processus répétitifs Non prédéfini Processus aléatoires
SAP et Business Objects ensemble Intégration compléte Ouverture Independent Vendors EPM & GRC Business Intelligence Business Objects + SAP Business Objects + SAP Open apps & BI, "agnostic" to underlying technology Data Warehouse BW, BIA Oracle DW DB2 DW SQL Server DW Teradata, Netezza, MySQL, Sybase Enterprise Applications Business Suite Oracle, PSFT, Siebel Dynamics NetSuite SAP 2008 / Page 9 / 23. Jan 2008 / DAY1 EMEA WEBinar BOBJ..V6
Un Portefeuille de solutions unique Enterprise Performance Governance, Risk, and Compliance Profitability & Cost Strategy Governance Risk Planning & Statutory Reporting Controls and Compliance Business Intelligence Platform Solutions d analyses et de reporting Text Analytics Search Predictive Real Time In-Memory Unstructured Data Personal Data Multimedia Files Partner Content Online Content Solutions pour l intégration des données SAP 2008 / Page 10
Un Portefeuille de solutions unique Enterprise Performance Governance, Risk, and Compliance Profitability & Cost Strategy Governance Risk Planning & Statutory Reporting Controls and Compliance Business Intelligence Platform Solutions d analyses et de reporting Text Analytics Search Predictive Real Time In-Memory Unstructured Data Personal Data Multimedia Files Partner Content Online Content Solutions pour l intégration des données SAP 2008 / Page 11
Gestion de la Gouvernance des risques et des règles de conformités Mettre les risques sous contrôle automatiquement quelque soit l environnement IT du groupe Proposer un ensemble de fonctions qui couvrent tous les domaines de la GRC Capitaliser pour la GRC sur la connaissance sectorielle de SAP GRC Risk Détection automatique et mise sous contrôle des risques de l entreprise Global Trade Services Securiser et rationnaliser les échanges inter-pays Environmental Respect environnemental et conformité légale Material Employee Work Area Access Control Sécuriser les habilitations & les droits Process Control Piloter les risques associés aux processus de l entreprise SAP 2008 / Page 12
Un Portefeuille de solutions unique Enterprise Performance Governance, Risk, and Compliance Profitability & Cost Strategy Governance Risk Planning & Statutory Reporting Controls and Compliance Business Intelligence Platform Solutions d analyses et de reporting Text Analytics Search Predictive Real Time In-Memory Unstructured Data Personal Data Multimedia Files Partner Content Online Content Solutions pour l intégration des données SAP 2008 / Page 13
Financial Performance (FPM) Les solutions dédiées aux Directions Financières, Financial Performance Un ensemble d applications, pour permettre aux directions de couvrir le cycle du pilotage financier et extrafinancier Des applications pensées pour les utilisateurs métiers, qui apportent dans chaque domaine une couverture fonctionnelle reconnue. Strategy & Scorecard Planning Consolidation Profitability & Cost SAP 2008 2007 / Page 14
Roadmap des Produits FPM Domaine Strategy Cost & Profitability Business Planning Consolidation / Mgt reporting Solution retenue SAP Strategy Manager (Pilot software) Business Objects Activity Analysis (ALG) SAP BPC (Outlooksoft) Business Objects Finance (Cartesis) SAP BPC (Outlooksoft) SAP 2008 / Page 15
Roadmap de l offre FPM La cible : une suite intégrée et spécialisée FPM 7.0: Current SAP & BOBJ Plan FPM 7.5: 1 er niveau d intégration Cible : FPM Suite SAP-BCS Consolidation / reporting Planning Profitability Mgmt Strategy Mgmt BOBJ-Finance (Cartesis) SAP-BPC (OutlookSoft) BOBJ-Activity Analysis (ALG) SAP-Strat Mgmt (Pilot) BOBJ-Finance CMM SAP-BPC CMM BOBJ-Activity Analysis CMM SAP-Strat Mgmt NetWeaver BI + BusinessObjects BI Integration Core Model Manager Consolidation Business Planning Profitability & Cost Strategy & Scorecard NetWeaver BI + BusinessObjects BI Integration SAP BOBJ 1H 2008 2H 2008 2010 SAP 2008 / Page 16
Une offre complète pour répondre aux besoins de la fonction Finance Strategy Financial Performance Alignment Monitoring Execution Dashboards, Reporting, Analytics Strategy Business Planning Financial Consolidation Cost and Profitability Enterprise Information DW Legacy SAP 2008 / Page 17
Un Portefeuille de solutions unique Enterprise Performance Governance, Risk, and Compliance Profitability & Cost Strategy Governance Risk Planning & Statutory Reporting Controls and Compliance Business Intelligence Platform Solutions d analyses et de reporting Text Analytics Search Predictive Real Time In-Memory Unstructured Data Personal Data Multimedia Files Partner Content Online Content Solutions pour l intégration des données SAP 2008 / Page 18
Valeur d usage de la plateforme BIP Restitution de l Information BW DWH OLAP Gestion de l Information SAP APPLICATIONS Appli Appli Fichiers SAP 2008 / Page 19
SAP GRC Gouvernance, Risques et Conformité Jean-Luc Dené, Consultant Avant-Vente GRC, SAP France
Gouvernance, Risques & Conformité Comment piloter efficacement vos risques sur le contrôle interne et optimiser vos coûts? Monique Ventura-Delatour Consulting Manager FS GRC Hub Sébastien Brasseur Senior Manager GRC EMEA
Sommaire Qu est ce que la GRC? Le symptôme La solution Comment évaluer et optimiser vos contrôles? Principaux enjeux Approche proposée Etapes majeures d un projet «Access Control» Qui peut vous aider? Partenaire Logica SAP SAP 2008 / Page 22
Sommaire Qu est ce que la GRC? Le symptôme La solution Comment évaluer et optimiser vos contrôles? Principaux enjeux Approche proposée Etapes majeures d un projet «Access Control» Qui peut vous aider? Partenaire Logica SAP SAP 2008 / Page 23
Fraude : toutes les entreprises redoutent un impact négatif sur leur image externe et interne (1/3) Exemples historiques de fraude impactant l image d entreprise Risque de fraude : 21 37% des interrogés précisent avoir remarqué dans l année précédente des malversations avec un impact significatif sur l entreprise 1 Montant de la fraude: est évalué en millions d pour chaque grande entreprise La couverture médiatique est massive, a une incidence sur les clients et le cours de l action. PSA June 2007 20M fraud 2002, billions $ accounting fraud 2002, billions$ accounting fraud 5 Bio loss 2003, 500M fraud SAP 2008 / Page 24 Sources: 1. KPMG Forensic 2006 "37% or respondents reported that they have observed, in the past year, misconduct that could cause a significant loss of public trust" Ernst & Young 2006 "21% of respondents declared that there was a case of suspected fraud, corruption or bribery in their company"
Gouvernance et conformité impactent la valeur de l entreprise (2/3) Share price performance 1 according to company internal control "strength" What does it mean? +10% +27.7% +8% +25.7% Companies that did not report any internal control weaknesses in 2004 and 2005 have seen their market capitalization increase by +28%, which is 10 points over the average market evolution Russel 3000 Stock index evolution +17.7% -23% Companies that reported internal control weaknesses in 2004 but none in 2005 have seen their market capitalization increase by +26%, which is 8 points over the average market evolution SAP 2008 / Page 25 Companies reporting no internal-control weaknesses in 2004 or 2005 1. Over March 2004 March 2006 period Source : Lord & Benoit LLC, Wall Street Journal, May 2006 Companies reporting internal-control weaknesses in 2004 but none in 2005-5.7% Companies reporting internal-control weaknesses in both 2004 and 2005 Companies that reported internal control weaknesses in 2004 and 2005 have seen their market capitalization decrease by -6%, which is -23 points compared to the average market evolution
Accroissement contraintes légales (3/3) Les règlementations actuelles (Sarbanes-Oxley Act aux US, Bill 198 au Canada, Japan s Financial Instruments and Exchange Law (JSOX), Combined Code and Turnbull Report en UK, Loi de Sécurité Financière en France, Cromme Code and KontraG en Allemagne, Clause 49 en Inde, etc.) exigent des entreprises qu elles prennent toutes les mesures nécessaires pour assurer l intégrité des données, des processus, des transactions financières et de leur collaborateurs. Ceci implique : le renforcement des contrôles internes à des fins de Reporting Financier ainsi que le sélection et la mise en place d un système de contrôle interne approprié. CEO et CFO doivent certifier qu ils sont responsables de la mise en place et de la gestion des contrôles internes qu ils ont conçu de manière à assurer la transparence des informations dans l entreprise. le mandat d audits et la production de rapport sur ces contrôles Produire un «Rapport de contrôle interne» qui spécifie l efficacité des procédures et du système de contrôle interne en matière de Reporting financier Des auditeurs externes doivent attester de ce résultat. SAP 2008 / Page 26
La solution Risques Sarbanes Oxley, LSF Mise en place précipitée des contrôles, principalement manuels, reporting. SAP GRC GRC AC Règlementations Opérationnelles Deadlines inflexibles et impacts potentiels non évalués Meilleures Pratiques (ISO, GRI ) Pressions du Marché Pour une meilleure Gouvernance SAP 2008 / Page 27
Sommaire Qu est ce que la GRC? Le symptôme La solution Comment évaluer et optimiser vos contrôles? Principaux enjeux Approche proposée Etapes majeures d un projet «Access Control» Qui peut vous aider? Partenaire Logica SAP SAP 2008 / Page 28
SAP GRC Access Control : principaux enjeux Risques potentiels de fraude / manque de maîtrise du risque Les risques de ségrégation des tâches sont la plupart du temps traités de façon a posteriori Les opérationnels n ont pas les outils pour mesurer l exposition aux risques et/ou ont des outils ne permettant un détail fin (objet d autorisation) Il n existe pas de traçabilité des utilisateurs à pouvoir étendue Les sujets de ségrégation des tâches sont souvent adressés partiellement (intra-applicative vs inter-applicative) Gestion des accès : activité consommatrice en temps Les processus de gestion des accès sont manuels (formulaire papier, opérations manuelles) Les états de reporting de conformité ou de risque sont manuels Coût d audit significatif Challenges types Les systèmes ne sont pas aisément auditables et demandent du temps de retraitement aux auditeurs Apports de SAP Réduction des coûts et maîtrise du risque de fraude Fournit un suivi de la conformité et de l exposition aux risques en temps réel Fournit un catalogue préconfiguré des règles de séparation des tâches capable de faire le lien entre une description financière et une traduction technique Homogénéise et automatise les processus de gestion des accès Sur la base de formats prédéfinis En proposant des contrôles a priori de conformité aux règles SOD permettant la prise de décision En permettant de justifier la prise de décision et le cas échéant de définir le ou les contrôles compensatoires Permet de mettre sous les actions des superutilisateurs et de réaliser des actions de revue Réduction des coûts d audit Meilleure maîtrise des conflits Fournit des informations d audits fiables et de niveau de conformité (sur le nombre de risques, sur les statuts de remédiations compensés/non compensés - ) Le nombre de rôles et d utilisateurs a traités dépassent les capacités de certains outils SAP 2008 / Page 29
Industrialisation de la gestion des accès Méthodologie projet L industrialisation d Access Control en 3 étapes: Cadrage «Get Clean» «Stay clean» Pilot Déploiement 1. Installation des outils 2. Définition de la matrice de ségrégation des tâches 3. Plan Projet Option: Cas d opportunité / Retour sur investissement Etude de dimensionnement d architecture Prototype 1. Remédiation de la solution Autorisation Propreté de la solution Complexité de la solution 2. Remédiation fonctionnelle Modification de l organisation, Gestion des transactions critiques Définition des contrôles compensatoires Option : Conduite du changement, Communication, Formation Mode récurrent tenant compte de l organisation et de la gestion de la communauté SOD manager des processus de gestion des accès : Continuity compliance Définition et gestion des Risks & Controls Option : Co-traitance ou sous-traitance des process «Stay clean» SAP 2008 / Page 30
Description d un démarrage de projet en 3 parties GRC Consulting Portfolio 1. GRC CC Installation Execution 2. Définition des règles SOD 3a. Analyse des conflits En Bref Installation et configuration des outils Access Control (connexion avec les platesformes, activation des règles, ) Définition des règles de ségrégation des tâches personnalisés en fonction du contexte client (processus outsourcé, type d activité de l entreprise, ) Analyse des conflits, des impacts de la propreté/complexité de la solution Définition du plan de remédiation Projet Equipe Durée Logica 2 semaines Client Logica 4-5 semaines Client Logica 2-3 semaines Client Résultats Principaux Installation AC, backend connecté, Risk Analysis and Remediation (anciennement Compliance Calibrator) configuré sur le système de production Identification des transactions sensibles SAP et notamment celles impactant le résultat du Groupe, Identification et formalisation des règles de ségrégation de tâches au sein d un Référentiel Groupe, Sélection des états de reporting simples et rapidement appréhendables par une direction financière Roadmap GRC Access Controls Risk Analysis and Remediation impliquant les métiers de sorte à mettre en œuvre les plans d actions et de leur priorité Plan de déploiement 3b. Formation SAP 2008 / Page 31
Sommaire Qu est ce que la GRC? Le symptôme La solution Comment évaluer et optimiser vos contrôles? Principaux enjeux Approche proposée Etapes majeures d un projet «Access Control» Qui peut vous aider? Partenaire Logica SAP SAP 2008 / Page 32
Présentation de Logica Une double Compétence essentielle pour le réussite de projets d industrialisation de la GRC Analyse les flux métiers Positionne des contrôles sur les flux Définit les règles de contrôle interne Métier & Orga Contrôle Interne Remonte les impacts métiers qu engendrent les caractéristiques de la solution ERP SAP GRC Redescend les besoins métiers Sécurité applicative Solution Audit et analyse des solutions sécurité Traduction des règles définies par le contrôle interne en solution Vérifie l application technique des règles définies par le contrôle interne Plus de 100 consultants formés SAP 2008 / Page 33
SAP GRC Services Disponibilité en ligne documentation complète https://www.sdn.sap.com/irj/sdn/forum?forumid=256 Support (hotline) stabilisé Création du Global Hub GRC R&D, Solution Mgt, Support, Hub, CAO : SAP GRC Compétences transverses pour une solution GRC intégrée : Audit- Process AC-PC-RM RM-EHS Plus de 400 consultants SAP 2008 / Page 34
SAP Global FS GRC Hub : priorités en 2008 1 Accroître l offre de services et des solutions SAP GRC Support interne SAP pour réussir la phase Ramp up et obtenir les solutions en «G. Availability» Assister nos clients dans la mise en production des solutions GRC, assurer avec ROI rapide 2 3 4 5 Accroître la communauté de consultants SAP GRC Comprendre freins à la croissance et remédier Pôle de consultants SAP GRC (GRC Hub) Outils communautaires favorisant l échange, l excellence Permettre à la communauté Partenaires de respecter les objectifs SAP Partager la méthodologie, le savoir Développer des programmes de formation certifiantes pour les consultants, Assister les partenaires durant les projets Systématiser la qualité projet Réduire le délai de mise en place des solutions : clés de succès Développer les best practices projets : clés de succès Attention particulière à la définition du périmètre: clés de succès Favoriser l approche par les risques SAP 2008 / Page 35
Copyright 2007 2008 SAP AG All rights reserved No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP AG. The information contained herein may be changed without prior notice. Some software products marketed by SAP AG and its distributors contain proprietary software components of other software vendors. SAP, R/3, mysap, mysap.com, xapps, xapp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP AG in Germany and in several other countries all over the world. All other product and service names mentioned and associated logos displayed are the trademarks of their respective companies. Data contained in this document serves informational purposes only. National product specifications may vary. The information in this document is proprietary to SAP. This document is a preliminary version and not subject to your license agreement or any other agreement with SAP. This document contains only intended strategies, developments, and functionalities of the SAP product and is not intended to be binding upon SAP to any particular course of business, product strategy, and/or development. SAP assumes no responsibility for errors or omissions in this document. SAP does not warrant the accuracy or completeness of the information, text, graphics, links, or other items contained within this material. This document is provided without a warranty of any kind, either express or implied, including but not limited to the implied warranties of merchantability, fitness for a particular purpose, or non-infringement. SAP shall have no liability for damages of any kind including without limitation direct, special, indirect, or consequential damages that may result from the use of these materials. This limitation shall not apply in cases of intent or gross negligence. The statutory liability for personal injury and defective products is not affected. SAP has no control over the information that you may access through the use of hot links contained in these materials and does not endorse your use of third-party Web pages nor provide any warranty whatsoever relating to third-party Web pages SAP 2008 / Page 36
Questions / Réponses SAP 2008 / Page 37
Séminaire SAP Business Objects Jeudi 12 juin 2008 Gestion de la gouvernance, des risques et de la conformité réglementaire