MIC@SAP
Transcript
MIC@SAP
MIC@SAP Progetto Sarbanes-Oxley Act Il caso SAP Roberto Janniello Risk Manager SAP Italia Agenda Cosa significa il progetto Sarbanes-Oxley per SAP? Enterprise Risk Management Struttura del progetto Piano del progetto e strategia di roll-out Stato del progetto: requisiti generali e SOX 302 / 404 SOX 404: Management of Internal Control (MIC) Approccio progettuale: Test dei controlli interni Steps di progetto supportati dal SAP MIC Tool Fattori critici di successo del progetto SOX in SAP Nr.2 SAP nel Mondo Oggi SAP AG fatturato 2004 : 7,5 miliardi € 88.700 installazioni Più di 26.150 aziende clienti Soluzioni per 25 settori di mercato 32.205 dipendenti (a dicembre 2004) Con succursali in oltre 50 Paesi, la società è quotata su diversi listini, tra i quali la Borsa di Francoforte e il listino NYSE, con il simbolo "SAP". SAP Italia fatturato 2004 : 229,7 milioni di € 3000 installazioni Più di 1380 aziende clienti ( più del 50% nella PMI) Più di 435 dipendenti Nr.3 Cosa significa Sarbanes-Oxley per SAP? 1/1 OPPORTUNITA‘… introdurre standard di documentazione dei processi estesi a tutta l‘azienda (worldwide) migliorare la possibilità di comprensione e rinnovamento dei processi attuali da parte del Senior Management accelerare lo sviluppo e l‘instaurazione di un modello di Enterprisewide Risk Management (ERM), struttura di supporto ritenuta fondamentale per garantire l‘attuazione delle raccomandazioni della SEC per la metodologia di governo della SOX Compliance (COSO Framework) realizzare nuovi strumenti utili a supportare la conformità SOX per i propri clienti Nr.4 Cosa significa Sarbanes-Oxley per SAP? 2/2 SFIDE… parziale ridondanza tra gli sforzi richiesti per la conformità a diverse normative (SOX, KonTraG, sistemi di certificazione QM quali ISO, BS, SAS70, …) costi molto elevati per la conformità SOX (costi esterni annuali per SAP > 2 Milioni Euro) incertezza riguardo l‘interpretazione di alcuni requisiti SOX La SOX Compliance è comunque un MUST for SAP! Il mercato U.S.A. è fondamentale per SAP la conformità SOX è uno degli elementi decisionali principali dei clienti U.S.A., oltre al mercato Public Sector per il quale è un must Nr.5 Enterprise Risk Management Due anni fa SAP ha creato un Global Risk Management Team (GRMT) per implementare un ambiente di Risk Mgt. e controllo interno esteso a tutta l’azienda, in linea con i requisiti di normative quali SOX. La Corporate Risk Management Policy ed il Risk Mgt. Framework forniscono un sistema di “Early Warning System” per eventi che possono avere impatti o negativi sulla società. Questo migliora la visibilità su aree o che richiedono miglioramenti in termini o di controllo ed efficienza ed offre la possibilità di trasformare potenziali o criticità in miglioramenti sui processi di o business. Nr.6 Valutazione dei rischi Consapevolezza dei rischi del proprio business Tempestiva identificazione dei rischi e delle minacce (interne ed esterne) che possono influire sul business Valutazione dei rischi in termini di probabilità e severità Priorità degli interventi e allocazione delle risorse Sviluppo di piani di gestione del rischio Struttura del progetto SAP 1/2 Il progetto è iniziato alla fine di Luglio del 2002 Si estende oltre i confini dei dipartimenti amministrazione e finanza e coinvolge tutte le aree principali di business La misure individuali possono avere conseguenze estese a livello di Gruppo Alcuni membri del Supervisory ed Executive Board sono coinvolti direttamente nel progetto Il Project Steering Committee centrale coordina 34 sottoprogetti Nr.7 Struttura del progetto SAP 2/2 I team di progetto cross-dipartimentali includono personale da: Legal Department, Corporate Financial Reporting, Risk Management, Corporate Controlling, Corporate Finance, Global Internal Audit Services, Investor Relations, and IT Sono stati impegnati consulenti esterni per ottenere una visione indipendente e formare il personale SAP (significato della normativa, principi e scopi di un sistema di controllo interno, utilizzo degli strumenti) Le filiali coinvolte costituiscono ognuna un sottoprogetto con un proprio team locale Il CFO è lo sponsor di progetto a livello corporate e locale: è direttamente coinvolto nel progetto Nr.8 Project Scope Process Groups / Entities Accounts Receivable Accounts Payable Intercompany Transactions General Accounting Management Controls Controls over Management Treasury Fixed Assets Human Resources Procurement (General) Procurement (3rd Party Chargeable) Procurement (3rd Party Non-Chargeable) Procurement (IT Purchasing) Procurement (Car Fleet) Procurement (Maintenance and Construct.) Procurement (Travel) Sales (Licensing and Maintenance) Sales (Services) Sales & Delivery (Hosting) Tax Information Technology Marketing (Global) Corp.3rd Party Licensing Escalation Management Standard Development Customer Development Corp. Financial Reporting Corporate Finance Global Internal Auditing Controlling Entities in scope: SAP AG, all subs > 100 mil. EUR, Share Service Centers Nr.9 Struttura organizzativa Corporate Level Org. Unit Level W. Brandt SOA Manager L. Mucic SAP Group SAP AG Process Group Level Process Level CEO / CFO SAP LGD Financial Accounting Licensing Forecasting Licensing Pricing Nr.10 SAP Italia Org. Unit Owner SOA Champion Local CFO Risk Manager Sales Process Group Owner … Licensing Contracting Process Owner … Ruoli e compiti Role Role Level Tasks SAP Users CEO / CFO Corporate Perform Sign-Off for Group SOA Manager Corporate Edit Central Process Catalog and Org. Unit Hierarchy H. Kagermann / W. Brandt L. Mucic Create MIC Users Assign Org. Unit Owner and SOA Champions Schedule Tasks (Update Documentation, Perform Design Assessments, etc.) Org Unit Owner Org. Unit Specify the Control Maturity Target for each Control within his/her Org. Unit Perform Control Effectiveness Testing and Sign-Off for the Org. Unit SOA Champion Org. Unit Assign Process Group Owner Perform Control and Process Design Assessment Plan control effectiveness testing and document the results Ca. 50 Users (Senior Management) Ca. 50 Users (Neutral Process Experts) Receive and manage design and effectiveness issues Process Group Owner / Process Owner Process Group Tester Process Assign Process Owner Document the controls in MIC Testing of controls in MIC Nr.11 Ca. 300 Users (Line Management and affected Process Experts) Ca. 20 Users (Internal Audit) Piano generale di progetto 2003 Q4 Q1 2004 Q2 Q3 Implementation of remediation S404 Compliance 2003 S302 Certification SOX Readiness Project Q4 Phase I Phase II Document ation Document ation Tier1 AG/LGD/ USA Countries: Q1 T e s t i n g 2005 Q2 Q3 Q4 Implementation of remediation 2004 Q1 T e s t i n g Phase III Documentation all Countries France/UK /Japan Action Planning & Implementation Implement SOA Tool & Data migration Source: SAP Global Risk Management Nr.12 2006 Q2 Q3 Q4 Testing of Controls & Management Reporting Q1 Step principali Project Step 1 Update Control Documentation Process Owner Project Step 2 Perform Control Design Assessment Perform Process Design Assessment SOA Champion SAP Core MIC Project Team Project Step 3 Effectiveness Testing Org. Unit Owner / SOA Champion Supported by Internal Audit Current local Status of MIC@SAP Project Nr.13 Sign-Off Scelta della strategia di roll-out .. Prima una fase di trasferimento di Know-how (Q3 2004) Sviluppo di corsi di formazione per il personale delle filiali coinvolte nel progetto, incluso: informazioni generali sulle motivazion ed i requisiti della normativa SarbanesOxley informazioni dettagliate sulle attività richieste a SAP e su metodologia e strumenti scelti per garantire la qualità richiesta dalle attività di design assessment e testing sviluppo del manuale applicativo per il tool SAP MIC (Management of Internal Control) Organizzazione di sessioni di training per il personale SAP nel team di progetto Corso Train-the-Trainer per il Core Project team (Giugno 2004) Corsi per le funzioni a livello Corporate e per le filiali (Tokyo, Singapore, Walldorf, Newtown Square) tenuti dal Core Project team (Luglio–Ottobre 2004) … Nr.14 Scelta della strategia di roll-out … Poi una fase finale di Roll-out (fino al Q2/ 2005). Trasferimento dei modelli sviluppati nei prototipi (funzioni Corporate e paesi „Dry Run“ ) alle altre filiali Documentazione dei processi locali e caricamento nel tool MIC Design Assessments e Testing dei processi locali con coordinamento e controllo qualità da parte del Core Project Team Nr.15 Piano di progetto SAP Italia 2004 Sep. Oct. Excel Control Documentation Nov. 2005 Dec. Mapping in Tool Jan. March Apr. May June Fina lize M1 MIC Training Feb. Quality Assurance Control documentation within MICTool is finalized (31.12.04) Design Assessment M2 Design assessments are performed (28.02.05) Control Effectiveness Testing M3 Testing is completed (31.05.05) Issues and Retesting M4 Sign M5 -off Nr.16 Issues are resolved (30.06.05) Local Sign-off Stato del progetto: requisiti generali L‘ organizzazione di Risk Management è stata estesa e resa operativa a tutti i livelli (corporate e filiali) E stato istituito un Disclosure Committee I processi di Whistleblowing sono stati attivati via Intranet (inplementazione del tool SAP Whistleblower) Sono state introdotte misure di controllo per servizi diversi dall‘auditing forniti dagli auditors Others Reconciliation of pro forma figures in quarterly reports Code of Conduct for all employees rolled out Enhanced disclosures to be included in 20-F Several comment letters on the SEC's proposed rules Nr.17 Stato del progetto: requisiti SOX 302 / 404 SAP ha già prodotto uno sforzo significativo per adeguarsi ai requisiti espressi dalla sezione 404 … Sono stati documentati (Excel/Visio/Word) i processi di core business di SAP AG, SAP America, SAP France, SAP UK, SAP Japan, SAP Public Sector, SAP Hosting (Germany and US) Sono stati identificati i principali gap di controllo e intraprese le prime azioni correttive La documentazione dei processi è stata aggiornata sulla base dei risultati del primo ciclo di verifica interno e delle azioni correttive (Q4 2003) E‘ stata effettuata l‘attività di Design Assessment e Testing dei controlli e dei processi, verificandone efficacia, integrità e livello di copertura dei rischi associati (Dic.2003 – Feb.2004) I risultati sono stati sottosposti alla revisione degli auditors. Nr.18 Section 404: Management of Internal Controls (MIC) (1/2) The MIC application supports SOA Compliance Projects Management Scoping and Set-Up Identification of Org. Units and Processes in scope Org. Unit Hierarchy Central Process Catalog Assignment of Processes to FS Accounts Central Catalog of Control Objectives and Risks Document Processes & Controls Assignment of Processes to BU‘s Initial Control documentation Initial target setting for control maturity Documentation of Management Controls Assess Control Design & Remediate Issues Process and Control Design Assessment Control Efficiency Assessment Management Controls Assessment Identification of Issues Validation of Assessments Remediation of Issues Progress Tracking and Analysis Nr.19 Auditor Test Operating Effectiveness Documentation of Testing Results Identification of Issues Remediation of Issues Progress Tracking and Analysis Sign-Off, Prepare Certification / Internal Control Report Attest and Report Analysis Review Overviews Attestation with Drill-down Reporting Functionality Management Reports Workflow-triggered Sign-off supporting 404 Reporting / 302 Certification Section 404: Management of Internal Controls (MIC) (2/2) SAP ha deciso di utilizzare in maniera estesa il Tool MIC perchè: Il Tool è concepito per supportare, oltre la fase di documentazione dei controlli di processo, anche le attività di assessment secondo le modalità richieste dalle ultime normative (PCAOB audit standard) Il Tool fornisce un repository centrale per documentare tutte le entità SAP coinvolte dalla conformità alla SOX 404 Il Tool garantisce che la documentazione sia prodotta secondo uno standard uniforme rispetto ad una gestione decentralizzata Il Tool agevola il governo del progetto, abilitando il controllo centrale della qualità ed il coordinamento delle attività dei progetti locali con funzioni di monitoring, schedulazione di meccanismi di workflow. Il Tool offre varie funzioni di reportistica per consentire alle funzioni centrali (es. CEO/CFO) di determinare lo stato attuale di avanzamento del progetto rispetto alla milestone finale (Sign-Off). Nr.20 Approccio progettuale: test dei controlli interni (1/3) Documentazione dei processi e dei controlli interni Test Reporting dei risultati Documentazione dei processi di SAP in ambito di progetto Sales / Consulting Financial Accounting Procurement / 3rd Party Services … Identificazione dei controlli interni ai processi Identificazione e assegnazione dei process owners ai processi di business La documentazione dei processi e dei controlli interni è la base per la definizione dei protocolli di test, l’esecuzione ed il controllo dei risultati Nr.21 Approccio progettuale: test dei controlli interni (2/3) Test Documentazione dei processi e dei controlli interni Reporting dei risultati 4. 1. Management Board MD / CFO Sponsorship e assegnazione delle responsabilità a livello locale 4 1 Department Manager / Process owner 3. 2. 3. Consolidamento dei risultati e presentazione al Management Team Meeting . Test dei controlli interni con i manager dipartimentali ed i process owners dei processi documentati. 3 2 4. Employees Sintesi dei risultati. 5. Nr.22 Discussione dei risultati con i process owners ed i manager dipartimentali. Identificazione delle aree di miglioramento e delle azioni correttive necessarie. Assegnazione di responsabilità e tempi per la loro esecuzione. Approccio progettuale: Test dei controlli interni Documentazione dei processi e dei controlli interni controls Test (3/3) Reporting dei risultati Redazione dei risultati dei test Valutazione dei controlli: • attivi • eseguiti efficacemente Informazioni su modifiche ai processi che hanno avuto impatto sui controlli I Process owners ed il Management Team firmano e validano i risultati I risultati locali vengono raccolti e consolidati dal team di progetto centrale Nr.23 Steps di progetto supportati dal SAP MIC Tool Struttura Org. Gruppi di Processi Gruppi di conti Internal Control Documentation Processi Obiettivi di controllo Rischi Controlli Verifica del disegno Istruzioni di test Design Criticità Assessment Protocolli di test Effectiveness Testing Criticità Azioni Correttive Azioni Correttive Firma (Filiali) Sign Off Firma (Corporate) Nr.24 Caratteristiche del progetto SOX in SAP SAP è stata tra le prime società a intraprendere un processo di adeguamento alla normativa SOX (Luglio 2002) Questo ha consentito un approccio per fasi, lasciando abbastanza „respiro“ all‘organizzazione in generale SAP sta gestendo il progetto di adeguamento alle sezioni SOX 302 / 404 con un Core Project Team molto snello che È supportato direttamente dalla struttura di SAP a livello corporate È aiutato internamente da un forte sponsor esecutivo (CFO Board Sponsor) E‘ agevolato dall‘ effettiva implementazione della struttura di Risk Management e dall‘ Operational Risk Management Tool (SAP ORM): gli external auditors, nel 2004 ANNUAL report, hanno riportato un parere largamente positivo sul sistema SAP di gestione del rischio. Nel processo di adeguamento SAP confida molto in un elevato livello di coinvolgimento del senior management per quanto riguarda il control design assessment ed la verifica dei risultati del testing: questo riflette le responsabilità assegnate al management per quanto riguarda il sistema di controllo interno. Nr.25 Fattori critici di successo del progetto SOX in SAP D Processi definiti Flusso di informazioni efficace Sono questi i fattori critici di successo per la costituzione di un efficace sistema di controllo interno.. Disclosure Committee Ongoing monitoring and support Ruoli e responsabilità definite CEO / CFO rd oa g hb rtin as po e R Auditor Audit and Finance Committee S Re um po ma rti ry ng Corporate Reporting Function / Corporate Risk Management D DC eta Re &P iled po / rti IC ng DC&P / Internal Controls Owner per Business Unit / per Business Process Top-down: • Corporate/financial governance framework • Reporting requirements • Policies and procedures • Communication and training Bottom-up: • Escalation of issues • Monthly reporting of financial and non-financial information • Quarterly/annual certification roll-up Business Units / Business Processes • • • • • Nr.26 Documented internal controls and disclosure controls Monitoring processes Change management capability Disclosure and incident management process Complete and accurate documentation to required scope Fattori critici di successo del progetto SOX in SAP SAP si affida nel progetto ad un elevato grado di coinvolgimento del senior management per quanto riguarda verifica e test dei processi: è quindi fondamentale che ogni componente del management team sia informato, comprenda e condivida senza riserve le sue responsabilità nel progetto. Le strutture organizzative di SAP sono soggette a cambiamenti, necessari per rispondere al meglio alle richieste e dinamiche dei mercati: le esigenze del progetto SOX devono convivere con questa realtà dinamica. Per gestire il rischio relativo al livello di incertezza riguardo l‘intrepretazione di alcuni requisiti SOX, è stato fondamentale stabilire un rapporto e un flusso di comunicazione diretto con gli External Auditors Gli External Auditors partecipano come osservatori agli Steering Committee di progetto I prototipi relativi ai paesi „Dry-Run“ sono stati effettuati con sufficiente anticipo per ottenerne la verifica ed una lista di osservazioni da parte degli External Auditors. Nr.27