MIC@SAP

MIC@SAP
Progetto Sarbanes-Oxley Act
Il caso SAP
Roberto Janniello
Risk Manager SAP Italia
Agenda
Cosa significa il progetto Sarbanes-Oxley per SAP?
Enterprise Risk Management
Struttura del progetto
Piano del progetto e strategia di roll-out
Stato del progetto: requisiti generali e SOX 302 / 404
SOX 404: Management of Internal Control (MIC)
Approccio progettuale: Test dei controlli interni
Steps di progetto supportati dal SAP MIC Tool
Fattori critici di successo del progetto SOX in SAP
Nr.2
SAP nel Mondo Oggi
SAP AG fatturato 2004 : 7,5 miliardi €
88.700 installazioni
Più di 26.150 aziende clienti
Soluzioni per 25 settori di mercato
32.205 dipendenti (a dicembre 2004)
Con succursali in oltre 50 Paesi,
la società è quotata su diversi listini, tra i quali la Borsa di Francoforte e il listino
NYSE, con il simbolo "SAP".
SAP Italia fatturato 2004 : 229,7 milioni di €
3000 installazioni
Più di 1380 aziende clienti ( più del 50% nella PMI)
Più di 435 dipendenti
Nr.3
Cosa significa Sarbanes-Oxley per SAP?
1/1
OPPORTUNITA‘…
introdurre standard di documentazione dei processi estesi a tutta
l‘azienda (worldwide)
migliorare la possibilità di comprensione e rinnovamento dei processi
attuali da parte del Senior Management
accelerare lo sviluppo e l‘instaurazione di un modello di Enterprisewide Risk Management (ERM), struttura di supporto ritenuta
fondamentale per garantire l‘attuazione delle raccomandazioni della
SEC per la metodologia di governo della SOX Compliance (COSO
Framework)
realizzare nuovi strumenti utili a supportare la conformità SOX per i
propri clienti
Nr.4
Cosa significa Sarbanes-Oxley per SAP?
2/2
SFIDE…
parziale ridondanza tra gli sforzi richiesti per la conformità a diverse
normative (SOX, KonTraG, sistemi di certificazione QM quali ISO, BS,
SAS70, …)
costi molto elevati per la conformità SOX
(costi esterni annuali per SAP > 2 Milioni Euro)
incertezza riguardo l‘interpretazione di alcuni requisiti SOX
La SOX Compliance è comunque un MUST for SAP!
Il mercato U.S.A. è fondamentale per SAP
la conformità SOX è uno degli elementi decisionali principali dei
clienti U.S.A., oltre al mercato Public Sector per il quale è un must
Nr.5
Enterprise Risk Management
Due anni fa SAP ha creato un Global
Risk Management Team (GRMT) per
implementare un ambiente di Risk
Mgt. e controllo interno esteso a tutta
l’azienda, in linea con i requisiti di
normative quali SOX.
La Corporate Risk Management Policy
ed il Risk Mgt. Framework forniscono
un sistema di “Early Warning System”
per eventi che possono avere impatti
o
negativi sulla società.
Questo migliora la visibilità su aree
o
che richiedono miglioramenti in termini
o
di controllo ed efficienza ed offre la
possibilità di trasformare potenziali
o
criticità in miglioramenti sui processi di
o
business.
Nr.6
Valutazione dei rischi
Consapevolezza dei rischi del proprio
business
Tempestiva identificazione dei rischi e delle
minacce (interne ed esterne) che possono
influire sul business
Valutazione dei rischi in termini di
probabilità e severità
Priorità degli interventi e allocazione delle
risorse
Sviluppo di piani di gestione del rischio
Struttura del progetto SAP
1/2
Il progetto è iniziato alla fine di Luglio del 2002
Si estende oltre i confini dei dipartimenti amministrazione e
finanza e coinvolge tutte le aree principali di business
La misure individuali possono avere conseguenze estese a
livello di Gruppo
Alcuni membri del Supervisory ed Executive Board sono
coinvolti direttamente nel progetto
Il Project Steering Committee centrale coordina 34 sottoprogetti
Nr.7
Struttura del progetto SAP
2/2
I team di progetto cross-dipartimentali includono personale da:
Legal Department, Corporate Financial Reporting, Risk
Management, Corporate Controlling, Corporate Finance, Global
Internal Audit Services, Investor Relations, and IT
Sono stati impegnati consulenti esterni per ottenere una
visione indipendente e formare il personale SAP (significato
della normativa, principi e scopi di un sistema di controllo
interno, utilizzo degli strumenti)
Le filiali coinvolte costituiscono ognuna un sottoprogetto con
un proprio team locale
Il CFO è lo sponsor di progetto a livello corporate e locale: è
direttamente coinvolto nel progetto
Nr.8
Project Scope
Process Groups / Entities
Accounts Receivable
Accounts Payable
Intercompany Transactions
General Accounting
Management Controls
Controls over Management
Treasury
Fixed Assets
Human Resources
Procurement (General)
Procurement (3rd Party Chargeable)
Procurement (3rd Party Non-Chargeable)
Procurement (IT Purchasing)
Procurement (Car Fleet)
Procurement (Maintenance and Construct.)
Procurement (Travel)
Sales (Licensing and Maintenance)
Sales (Services)
Sales & Delivery (Hosting)
Tax
Information Technology
Marketing (Global)
Corp.3rd Party Licensing
Escalation Management
Standard Development
Customer Development
Corp. Financial Reporting
Corporate Finance
Global Internal Auditing
Controlling
Entities in scope: SAP AG, all subs > 100 mil. EUR, Share Service Centers
Nr.9
Struttura organizzativa
Corporate
Level
Org. Unit
Level
W. Brandt
SOA Manager
L. Mucic
SAP Group
SAP AG
Process
Group
Level
Process
Level
CEO / CFO
SAP LGD
Financial
Accounting
Licensing
Forecasting
Licensing
Pricing
Nr.10
SAP Italia
Org. Unit
Owner
SOA
Champion
Local CFO
Risk Manager
Sales
Process
Group
Owner
…
Licensing
Contracting
Process
Owner
…
Ruoli e compiti
Role
Role Level
Tasks
SAP Users
CEO / CFO
Corporate
Perform Sign-Off for Group
SOA Manager
Corporate
Edit Central Process Catalog and Org. Unit Hierarchy
H. Kagermann / W.
Brandt
L. Mucic
Create MIC Users
Assign Org. Unit Owner and SOA Champions
Schedule Tasks (Update Documentation, Perform
Design Assessments, etc.)
Org Unit Owner
Org. Unit
Specify the Control Maturity Target for each Control
within his/her Org. Unit
Perform Control Effectiveness Testing and Sign-Off
for the Org. Unit
SOA Champion
Org. Unit
Assign Process Group Owner
Perform Control and Process Design Assessment
Plan control effectiveness testing and document the
results
Ca. 50 Users
(Senior
Management)
Ca. 50 Users
(Neutral Process
Experts)
Receive and manage design and effectiveness issues
Process Group
Owner / Process
Owner
Process
Group
Tester
Process
Assign Process Owner
Document the controls in MIC
Testing of controls in MIC
Nr.11
Ca. 300 Users
(Line Management
and affected
Process Experts)
Ca. 20 Users
(Internal Audit)
Piano generale di progetto
2003
Q4
Q1
2004
Q2
Q3
Implementation
of remediation
S404
Compliance
2003
S302
Certification
SOX
Readiness
Project
Q4
Phase I
Phase II
Document
ation
Document
ation Tier1
AG/LGD/
USA
Countries:
Q1
T
e
s
t
i
n
g
2005
Q2
Q3
Q4
Implementation
of remediation
2004
Q1
T
e
s
t
i
n
g
Phase III
Documentation
all Countries
France/UK
/Japan
Action Planning & Implementation
Implement SOA
Tool
& Data
migration
Source: SAP Global Risk Management
Nr.12
2006
Q2
Q3
Q4
Testing of Controls &
Management
Reporting
Q1
Step principali
Project Step 1
Update
Control
Documentation
Process
Owner
Project Step 2
Perform
Control
Design
Assessment
Perform
Process
Design
Assessment
SOA Champion
SAP Core MIC Project Team
Project Step 3
Effectiveness
Testing
Org. Unit Owner / SOA Champion
Supported by
Internal Audit
Current local
Status of
MIC@SAP
Project
Nr.13
Sign-Off
Scelta della strategia di roll-out
.. Prima una fase di trasferimento di Know-how (Q3 2004)
Sviluppo di corsi di formazione per il personale delle filiali
coinvolte nel progetto, incluso:
informazioni generali sulle motivazion ed i requisiti della normativa SarbanesOxley
informazioni dettagliate sulle attività richieste a SAP e su metodologia e
strumenti scelti per garantire la qualità richiesta dalle attività di design
assessment e testing
sviluppo del manuale applicativo per il tool SAP MIC (Management of Internal
Control)
Organizzazione di sessioni di training per il personale SAP
nel team di progetto
Corso Train-the-Trainer per il Core Project team (Giugno 2004)
Corsi per le funzioni a livello Corporate e per le filiali (Tokyo, Singapore,
Walldorf, Newtown Square) tenuti dal Core Project team (Luglio–Ottobre 2004)
…
Nr.14
Scelta della strategia di roll-out
… Poi una fase finale di Roll-out (fino al Q2/ 2005).
Trasferimento dei modelli sviluppati nei prototipi
(funzioni Corporate e paesi „Dry Run“ ) alle altre filiali
Documentazione dei processi locali e caricamento nel
tool MIC
Design Assessments e Testing dei processi locali
con coordinamento e controllo qualità da parte del Core
Project Team
Nr.15
Piano di progetto SAP Italia
2004
Sep.
Oct.
Excel Control
Documentation
Nov.
2005
Dec.
Mapping
in Tool
Jan.
March
Apr.
May
June
Fina
lize
M1
MIC
Training
Feb.
Quality
Assurance
Control documentation within
MICTool is finalized (31.12.04)
Design
Assessment
M2
Design assessments are
performed (28.02.05)
Control Effectiveness
Testing
M3
Testing is
completed (31.05.05)
Issues and Retesting
M4
Sign M5
-off
Nr.16
Issues are
resolved
(30.06.05)
Local
Sign-off
Stato del progetto: requisiti generali
L‘ organizzazione di Risk Management è stata estesa e resa operativa a
tutti i livelli (corporate e filiali)
E stato istituito un Disclosure Committee
I processi di Whistleblowing sono stati attivati via Intranet
(inplementazione del tool SAP Whistleblower)
Sono state introdotte misure di controllo per servizi diversi dall‘auditing
forniti dagli auditors
Others
Reconciliation of pro forma figures in quarterly reports
Code of Conduct for all employees rolled out
Enhanced disclosures to be included in 20-F
Several comment letters on the SEC's proposed rules
Nr.17
Stato del progetto: requisiti SOX 302 / 404
SAP ha già prodotto uno sforzo significativo per
adeguarsi ai requisiti espressi dalla sezione 404 …
Sono stati documentati (Excel/Visio/Word) i processi di core
business di SAP AG, SAP America, SAP France, SAP UK, SAP
Japan, SAP Public Sector, SAP Hosting (Germany and US)
Sono stati identificati i principali gap di controllo e intraprese le
prime azioni correttive
La documentazione dei processi è stata aggiornata sulla base
dei risultati del primo ciclo di verifica interno e delle azioni
correttive (Q4 2003)
E‘ stata effettuata l‘attività di Design Assessment e Testing dei
controlli e dei processi, verificandone efficacia, integrità e livello
di copertura dei rischi associati (Dic.2003 – Feb.2004)
I risultati sono stati sottosposti alla revisione degli auditors.
Nr.18
Section 404: Management of Internal Controls (MIC)
(1/2)
The MIC application supports SOA Compliance Projects
Management
Scoping
and
Set-Up
Identification
of Org. Units
and Processes
in scope
Org. Unit
Hierarchy
Central
Process
Catalog
Assignment
of Processes
to FS Accounts
Central Catalog
of Control
Objectives
and Risks
Document
Processes &
Controls
Assignment
of Processes
to BU‘s
Initial Control
documentation
Initial target
setting for
control maturity
Documentation
of Management
Controls
Assess
Control
Design &
Remediate
Issues
Process and
Control Design
Assessment
Control
Efficiency
Assessment
Management
Controls
Assessment
Identification
of Issues
Validation of
Assessments
Remediation
of Issues
Progress Tracking
and Analysis
Nr.19
Auditor
Test
Operating
Effectiveness
Documentation
of Testing
Results
Identification
of Issues
Remediation
of Issues
Progress
Tracking
and Analysis
Sign-Off,
Prepare
Certification /
Internal
Control
Report
Attest
and
Report
Analysis
Review
Overviews
Attestation
with Drill-down
Reporting
Functionality
Management
Reports
Workflow-triggered
Sign-off
supporting 404
Reporting / 302
Certification
Section 404: Management of Internal Controls (MIC)
(2/2)
SAP ha deciso di utilizzare in maniera estesa il Tool MIC
perchè:
Il Tool è concepito per supportare, oltre la fase di
documentazione dei controlli di processo, anche le attività di
assessment secondo le modalità richieste dalle ultime normative
(PCAOB audit standard)
Il Tool fornisce un repository centrale per documentare tutte le
entità SAP coinvolte dalla conformità alla SOX 404
Il Tool garantisce che la documentazione sia prodotta secondo
uno standard uniforme rispetto ad una gestione decentralizzata
Il Tool agevola il governo del progetto, abilitando il controllo
centrale della qualità ed il coordinamento delle attività dei progetti
locali con funzioni di monitoring, schedulazione di meccanismi di
workflow.
Il Tool offre varie funzioni di reportistica per consentire alle
funzioni centrali (es. CEO/CFO) di determinare lo stato attuale di
avanzamento del progetto rispetto alla milestone finale (Sign-Off).
Nr.20
Approccio progettuale: test dei controlli interni (1/3)
Documentazione dei
processi e dei
controlli interni
Test
Reporting dei
risultati
Documentazione dei processi di SAP in ambito di progetto
Sales / Consulting
Financial Accounting
Procurement / 3rd Party Services
…
Identificazione dei controlli interni ai processi
Identificazione e assegnazione dei process owners ai processi di
business
La documentazione dei processi e dei controlli interni è la base per la
definizione dei protocolli di test, l’esecuzione ed il controllo dei risultati
Nr.21
Approccio progettuale: test dei controlli interni (2/3)
Test
Documentazione dei
processi e dei
controlli interni
Reporting dei
risultati
4.
1.
Management Board
MD / CFO
Sponsorship e
assegnazione delle
responsabilità a
livello locale
4
1
Department Manager /
Process owner
3.
2.
3.
Consolidamento
dei risultati e
presentazione al
Management
Team Meeting .
Test dei controlli interni
con i manager
dipartimentali ed i
process owners dei
processi documentati.
3
2
4.
Employees
Sintesi dei risultati.
5.
Nr.22
Discussione dei risultati
con i process owners ed i
manager dipartimentali.
Identificazione delle aree di
miglioramento e delle
azioni correttive
necessarie.
Assegnazione di
responsabilità e tempi per
la loro esecuzione.
Approccio progettuale: Test dei controlli interni
Documentazione dei
processi e dei
controlli interni
controls
Test
(3/3)
Reporting dei
risultati
Redazione dei risultati dei test
Valutazione dei controlli:
•
attivi
•
eseguiti efficacemente
Informazioni su modifiche ai processi che hanno avuto impatto sui
controlli
I Process owners ed il Management Team firmano e validano i
risultati
I risultati locali vengono raccolti e consolidati dal team di progetto
centrale
Nr.23
Steps di progetto supportati dal SAP MIC Tool
Struttura Org.
Gruppi di Processi
Gruppi di conti
Internal Control
Documentation
Processi
Obiettivi di
controllo
Rischi
Controlli
Verifica del disegno
Istruzioni di test
Design
Criticità
Assessment
Protocolli di test
Effectiveness
Testing
Criticità
Azioni Correttive
Azioni Correttive
Firma (Filiali)
Sign Off
Firma (Corporate)
Nr.24
Caratteristiche del progetto SOX in SAP
SAP è stata tra le prime società a intraprendere un processo di
adeguamento alla normativa SOX (Luglio 2002)
Questo ha consentito un approccio per fasi, lasciando abbastanza „respiro“
all‘organizzazione in generale
SAP sta gestendo il progetto di adeguamento alle sezioni SOX 302 / 404
con un Core Project Team molto snello che
È supportato direttamente dalla struttura di SAP a livello corporate
È aiutato internamente da un forte sponsor esecutivo (CFO Board Sponsor)
E‘ agevolato dall‘ effettiva implementazione della struttura di Risk
Management e dall‘ Operational Risk Management Tool (SAP ORM): gli
external auditors, nel 2004 ANNUAL report, hanno riportato un parere
largamente positivo sul sistema SAP di gestione del rischio.
Nel processo di adeguamento SAP confida molto in un elevato livello di
coinvolgimento del senior management per quanto riguarda il control
design assessment ed la verifica dei risultati del testing: questo riflette le
responsabilità assegnate al management per quanto riguarda il sistema
di controllo interno.
Nr.25
Fattori critici di successo del progetto SOX in SAP
D
Processi definiti
Flusso di
informazioni efficace
Sono questi i fattori
critici di successo
per la costituzione di
un efficace sistema di
controllo interno..
Disclosure Committee
Ongoing monitoring and support
Ruoli e
responsabilità
definite
CEO / CFO
rd
oa g
hb rtin
as po
e
R
Auditor
Audit and Finance
Committee
S
Re um
po ma
rti ry
ng
Corporate Reporting Function /
Corporate Risk Management
D
DC eta
Re &P iled
po /
rti IC
ng
DC&P / Internal Controls Owner per Business
Unit / per Business Process
Top-down:
• Corporate/financial
governance framework
• Reporting requirements
• Policies and procedures
• Communication and training
Bottom-up:
• Escalation of issues
• Monthly reporting of financial
and non-financial information
• Quarterly/annual certification
roll-up
Business Units / Business Processes
•
•
•
•
•
Nr.26
Documented internal controls and disclosure controls
Monitoring processes
Change management capability
Disclosure and incident management process
Complete and accurate documentation to required scope
Fattori critici di successo del progetto SOX in SAP
SAP si affida nel progetto ad un elevato grado di coinvolgimento del
senior management per quanto riguarda verifica e test dei processi: è
quindi fondamentale che ogni componente del management team sia
informato, comprenda e condivida senza riserve le sue responsabilità
nel progetto.
Le strutture organizzative di SAP sono soggette a cambiamenti,
necessari per rispondere al meglio alle richieste e dinamiche dei
mercati: le esigenze del progetto SOX devono convivere con questa
realtà dinamica.
Per gestire il rischio relativo al livello di incertezza riguardo
l‘intrepretazione di alcuni requisiti SOX, è stato fondamentale stabilire
un rapporto e un flusso di comunicazione diretto con gli External
Auditors
Gli External Auditors partecipano come osservatori agli Steering Committee
di progetto
I prototipi relativi ai paesi „Dry-Run“ sono stati effettuati con sufficiente
anticipo per ottenerne la verifica ed una lista di osservazioni da parte degli
External Auditors.
Nr.27