SAP Policy Management in einer integrierten Corporate-GRC-Initiative
Maxim Chuprunov i.A. von Pierre Romanens, Leiter Risikomanagement / Controlling RMCO / RPI / 27/04/2016
Page 0
Agenda
BCF – Facts & figures GRC – Bedarf & das Implementierungsprojekt Kurzübersicht – der integrierte IKS und ORM Prozess Richtlinienmanagement bei BCF Lessons Learned
RMCO / RPI / 27/04/2016
Page 1
Die FRKB
• Die Freiburger Kantonalbank wurde im Jahr 1892 gegründet. • Rechtsform: juristische Person des öffentlichen Rechts. Die Bank verfügt über die volle Staatsgarantie des Kantons Freiburg.
• Die BCF ist eine klassische Universalbank. • Die BCF hat 449 Mitarbeitende.
RMCO / RPI / 27/04/2016
Page 2
Die FRKB
Kennzahlen der Bilanz 2015
(in Millionen Franken)
Bilanzsumme
20'623
Kreditausleihungen
16‘502
Kundengelder
12'462
Eigenmittel Kennzahlen Erfolgsrechnung 2015 Total Ertrag Total Geschäftsaufwand
Geschäftserfolg Steuern Jahresgewinn RMCO / RPI / 27/04/2016
1'680 (in Millionen Franken) 254.0 91.5
152.6 19.0 122.7 Page 3
Die FRKB
Auszeichnungen Awards – Wirtschaftsmagazin „Bilan“ 2012 Arbeitgeber – Kategorie “Banken und Versicherungen”
1 Rang
Rangliste Schweiz. Kantonalbanken
1 Rang
• Vorreiter in Sachen Effizienz: «Cost / income ratio» ist mit 32% die tiefste in Schweizer Retail Bankindustrie.
RMCO / RPI / 27/04/2016
Page 4
Philosophie
Risiken gehören zum Beruf des Bankiers ! Risikoaversion Wir machen nur was wir beherrschen Konservativ
RMCO / RPI / 27/04/2016
Page 5
Regulierung
Anforderungen FINMA Verordnung über die Eigenmittel 952.03 Rundschreiben IKS 2008/24
Rundschreiben Oprisk 2008/21
Die Aufgabe der Technologie in diesem Umfeld ist: Prozesse so einfach und Intuitiv wie möglich zu gestalten (usability), Entscheidungsvorlagen so zeitnah wie möglich zur Verfügung zu stellen (realtime), Erweiterbarkeit der Funktionen und des Datenmodells zu gewährleisten (scalability) Formelle Anforderungen an die Nachvollziehbarkeit, Security, Change Management
etc. zu erfüllen (compliant IT)
RMCO / RPI / 27/04/2016
Page 6
Nutzen
Der Bedarf
Eigenentwickelte Lösung - Anwendung: funktionale Grenzen überwinden FINMA, Basel III: Weiterhin FINMA-Anforderungen erfüllen. Verlustmanagement: weg vom «paper-based» - Prozess, Integration mit IKS/RM. Integrationsgrad erhöhen, Ausbaufähigkeit in Richtung Policy Management gewährleisten. Reporting verbessern. Realtime – Ansatz bei GRC – Daten überall erreichen «Effizienz-Vorreiter in Schweizer Bankindustrie»: den Status behalten.
RMCO / RPI / 27/04/2016
Page 7
SAP GRC Roadmap
Projektansatz & Ablauf:
In der Blueprintingphase wurden Best Practice GRC – Szenarien verwendet. Altdaten: sämtliche Daten aus dem Altsystem wurden übernommen. Pilot GoLive mit 5 Units, 1 Monat Später (01.01.2013) – alle 64 Units sind live. Projektdauer: 9 Monate Alle damaligen 444 BCF Mitarbeiter arbeiten mit SAP GRC im Intranet (SAP Portal Integration).
Setup Best Practice Szenarien SAP GRC Workshops
Umsetzung, Tests. Enhancements
Laufende Verbesserung
Support, Upgrades Process Inventory, Blueprinting
Datenübernahme Implementierung Policy Management
Pilot GoLive
Plan RMCO / RPI / 27/04/2016
Build
GoLive
Run & Extend Page 8
Integrierter RM & IKS Ansatz
Internes Kontrollsystem (SAP PC)
Live seit Anfang 2013
Risikomanagement (SAP RM)
Richtlinienverwaltung (SAP PC)
Live seit Anfang 2014
Verlustmanagement (SAP RM ORM)
Projektscope: Die Kombination aus 2 SAP GRC – Modulen, SAP PC - Process Control (mit Policy Management – Funktionalität) und SAP RM – Risk Management (mit dem OpRisk Add-On für Verlustmanagement – Workflows) erlaubt einen ineinandergreifenden IKS-, Risiko- und Verlustmanagementprozess. RMCO / RPI / 27/04/2016
Page 9
Prozesse
Inventur der wichtigsten Funktionalitäten Process Control (PC): Kontrolldokumentation; Antrags- und Genehmigungsverfahren für Änderungen im IKS Framework; Zuweisung der Verantwortlichkeiten; Kontrollbewertungen und Genehmigungen; Berichterstattung, Integration mit Risikomanagement. Richtlinienmanagement: Erstellung und Pflege der benötigten Richtlinien. Verteilung aller Richtlinien mit Adobe Interactive Forms. Tägliche Benutzung der Richtlinien durch Mitarbeitende. Risk Management (RM): Dokumentation und Analyse der Risiken; AdHoc – Antrags & Genehmigungsverfahren für neue Risiken; Risikomitigation, Reporting. Loss Management: ORM (Operational Risk Management) add-on ist im Einsatz. Workflowbasiertes Antrags- und Genehmigungsverfahren für Verlusterfassung; Integration mit Risikomanagement; Berichterstattung. RMCO / RPI / 27/04/2016
Page 10
SAP GRC bei BCF
RMCO, Assistenz
GRC Administration Risikoanalyse & Mitigation Reporting Genehmigung von Richtlinien und Schwachstellen, Reporting
CEO Überprüfung von Richtlinien Genehmigung von Änderungen im GRC Framework, Risikovorschläge DIVISIONSLEITER Überarbeitung & Anforderung von Richtlinien Verlustbearbeitung Überprüfung Kontrollbewertungen.
TEAMLEITER Verwendung von Richtlinien und Bestätigung der Einhaltung, Verlusterfassung, Bestätigung Kontrolldurchführung MITARBEITER
RMCO / RPI / 27/04/2016
Page 11
Look & Feel - Oberfläche
RMCO / RPI / 27/04/2016
Page 12
Look & Feel - Berichte
RMCO / RPI / 27/04/2016
Page 13
Look & Feel - Heatmap
RMCO / RPI / 27/04/2016
Page 14
Look & Feel - Ergebnisse
RMCO / RPI / 27/04/2016
Page 15
Look & Feel - Verlusterfassung
RMCO / RPI / 27/04/2016
Page 16
Look & Feel – Verlusterfassung: Workflow, Dokumentation
RMCO / RPI / 27/04/2016
Page 17
Look & Feel – Verlusterfassung: Standard vs. Enhancement
RMCO / RPI / 27/04/2016
Page 18
Look & Feel - Verluste
RMCO / RPI / 27/04/2016
Page 19
Look & Feel - Verluste
RMCO / RPI / 27/04/2016
Page 20
SAP GRC Richtlinienmanagement – der Prozess
Überwachen & Follow-Up
Kenntnisnahme & Antwort
Verteilung an Mitarbeiter
5 4 3 12 2 11 1 10 19 9 18 8 113 17 7 26 16 6 15 25 24 14 23 22 21 30 20 29 28 27
Erstellung & Überprüfung
Policy Management
Genehmigung & Veröffentlichung
Aktualisierung Verantwortlichkeiten
Der komplette Lebenszyklus einer Richtlinie wird in SAP GRC unterstützt. Erstellung, Aktualisierung, Genehmigung und Archivierung abgelaufener Richtlinien.
RMCO / RPI / 27/04/2016
Verteilung an Mitarbeiter, Überwachung der Rückläufe.
21
Use Case BCF: Richtlinienmanagement
1. Anfrage
Via Email oder im System
2. Erstellung
3. Überprüfung
Prüfung Anfrage
Erstellung neu/ neue Version
RICHTLINIEN ADMINISTRATOR
TEAMLEITER
Inhaltsprüfung
DIVISIONSLEITER
4. Genehmigung
5. Verteilung
6. Kenntnisnahme
Richtliniengenehmigung
Richtlinienumfrage
Umfrage beantworten
Verwerfen der Richtlinien
Zurücksenden zur Nachbesserung
OWP
Richtlinien lesen und anwenden
CEO
Ständiger Richtlinienzugriff über Bericht Richtlinienversion RMCO / RPI / 27/04/2016
RICHTLINIEN ADMINISTRATOR
MITARBEITER
Andere Berichte für das Management Ergebnis der Richtlinienumfrage 22
Use Case BCF: Richtlinienmanagement Erstellung & Überprüfung
RMCO / RPI / 27/04/2016
23
Use Case BCF: Richtlinienmanagement Erstellung & Überprüfung
E-Mail-Benachrichtigungen werden gesendet sobald neue Überprüfungskommentare hinzugefügt wurden. Der E-MailText enthält alle Kommentare und einen direkten Link zum Öffnen der Richtlinie
RMCO / RPI / 27/04/2016
24
Use Case BCF: Richtlinienmanagement
Genehmigung & Veröffentlichung
RMCO / RPI / 27/04/2016
25
Use Case BCF: Richtlinienmanagement
Aktualisierung Verantwortlichkeiten
RMCO / RPI / 27/04/2016
26
Use Case BCF: Richtlinienmanagement
Verteilung an Mitarbeiter
RMCO / RPI / 27/04/2016
27
Use Case BCF: Richtlinienmanagement
Richtliniendokumente werden zusammen mit der Adobe Interactive Form ( Umfrage oder Bestätigung) gesendet
RMCO / RPI / 27/04/2016
Kenntnisnahme & Antwort
28
Use Case BCF: Richtlinienmanagement Überwachen & Follow-Up
Detaillierte Statusüberwachung
Hyperlinks zum direkten Öffnen der Richtlinie
RMCO / RPI / 27/04/2016
29
Use Case BCF: Richtlinienmanagement Überwachen & Follow-Up
Benutzer sehen alle für sie autorisierten Richtlinien
RMCO / RPI / 27/04/2016
30
Use Case BCF: Richtlinienmanagement Überwachung
Überwachen
5 4 3 12 2 11 1 10 19 9 18 8 113 17 7 26 16 6 15 25 24 14 23 22 21 30 20 29 28 27
& FollowUp
Policy Management
RMCO / RPI / 27/04/2016
Verwendete Standardberichte:
Richtlinienprofil
Richtlinienversionen
Ergebnis der Richtlinienumfrage
31
Use Case BCF: Richtlinienmanagement Überwachung Überwachen & Follow-Up
RMCO / RPI / 27/04/2016
32
Use Case BCF: Richtlinienmanagement Überwachung Überwachen & Follow-Up
RMCO / RPI / 27/04/2016
33
Erfahrungen und Learnings
• Gemeisterte Abweichungen vom Standard & aktuelle Projektherausforderungen • 2012: IKS, Risiko – und Verlust Management: •
Verlustmanagement: sehr granulares Berechtigungskonzept; Standard wurde angepasst.
•
PDF – Druck für einzelne Verluste implementiert.
•
Zusätzliche Dokumentationsanforderungen und als Folge – Anpassung der Standardberichte.
•
Kundeneigene Benutzeroberfläche / UI.
• 2013: Richtlinien Management: •
Reviewprozess für Richtlinien: Email - Benachrichtigung für neue Kommentare- WIP.
• Um insbesondere von der neuen Benutzeroberfläche und den Reportingmöglichkeiten Gebrauch zu machen, wird der Upgrade SAP Portal (übergreifendes Thema), SAP GRC Suite von v.10 auf auf SAP GRC 10.x evaluiert.
RMCO / RPI / 27/04/2016
Page 34
Erfahrungen und Learnings
• Intuitive Workflow - basierte Aufgaben in SAP GRC, sehr gute Akzeptanz im Business.
• Verlustmanagement: der Papier-basierte Ansatz ist abgelöst, die Dokumentationszeit ist wesentlich verkürzt. • Realtime-Einsicht in den Stand der IKS-Compliance und Verlusterfassung. • Wesentlich verbesserte Berichterstattung: BO Dashboards.
• Verbesserte Integration zwischen IKS und Risikomanagement. • Neu: Integration von Verlustmanagement mit IKS und Risikomanagement. • Optimiert: Richtlinienmanagement • Neu: Integration von IKS & Risikomanagement mit Policy Management.
• SAP GRC war flexibel genug, alle relevanten Altdaten aus dem LegacySystem übernehmen zu können. • Höhere Effizienz bei den administrativen GRC-Aufgaben.
RMCO / RPI / 27/04/2016
Page 35
Vielen Dank!
Fragen
RMCO / RPI / 27/04/2016
Page 37