Embed Size (px)
Citation preview
오라클 GRC – Complete and Open
이제철
FMS팀
2
The following is intended to outline our general
product direction. It is intended for information
purposes only, and may not be incorporated into
any contract. It is not a commitment to deliver any
material, code, or functionality, and should not be
relied upon in making purchasing decision. The
development, release, and timing of any features
or functionality described for Oracle’s products
remains at the sole discretion of Oracle.
Safe Harbor Statement
3
Agenda
• GRC Overview
• GRC 솔루션의 핵심 요소
• 오라클 GRC 솔루션 구성 및 주요 기능
• GRC 구축 사례
• Why Oracle GRC?
4
Governance, Risk, and Compliance (GRC) At-a-Glance
Culture
Governance
Governance
• 기업의 목표를 달성하기위한 성과 수준을 정의하고평가함
• 사업계획 및 중장기 목표, 사업모델 등을 인증
Risk Management
• 목표달성을 저해하는잠재적인 위협요인을정의하고 평가하고 관리함
• 강제적이거나 자체적인규제를 정의하고 준수할 수있도록 관리함
Culture
• 기업 내에 내/외부에서정의된 문제를 해결하고신뢰성과 일체성을 제고할수 있는 문화를 조성함
Compliance
• 사내/외 규정과 법규 및자체 설정한 범위를정의하고 준수를권장/강제함
• 규정에 어긋나거나 법규미준수 현황을 파악하고대책 마련
Source: Open Compliance and Ethics Group
5
© OCEG
The Big Picture
ObjectivesStrategic, operational,
customer, compliance and reporting objectives cascaded throughout the organization
Business ModelStrategy, people, process, technology and infrastructure in place to drive toward objectives O
bsta
cle
s
Obstacles impede progress toward achieving
objectives
Mandated Boundary Boundary established by external forces including laws, government regulation and other mandates.
Voluntary Boundary Boundary defined by management including public commitments, organizational values, contractual obligations, and other voluntary policies
6
Agenda
• GRC Overview
• GRC 솔루션의 핵심 요소
• 오라클 GRC 솔루션 구성 및 주요 기능
• GRC 구축 사례
• Why Oracle GRC?
7
GRC 솔루션의 핵심 요소- Best Practice GRC Framework 관리
내부 위험관리 환경 (Internal Environment)
목표 설정(Objective Setting)
위험 요인 인식(Event Identification)
위험 평가(Risk Assessment)
위험 대응(Risk Response)
통제 활동(Control Activities)
정보와 커뮤니케이션(Information and Communication)
모니터링(Monitoring)
*Committee of Sponsoring Organizations of the Treadway Commission(COSO)
COSO Framework
규정준수적발중심
감사
예방중심감사
업무프로세스진단중심
감사
전사적위험관리중심 감사
단건중심 제도/절차중심 부문별 진단중심 전략적 진단중심
관리수준
위험관리수준
내부통제
전략적 위험관리
프로세스 위험관리
부정의 예방과 적발
CEO
중간관리자
업무담당자
8
GRC 솔루션의 핵심 요소- 프로세스 및 업무기능별 Risk Library
구매 프로세스
리스크요인
통제요인
1. 소요판단(품목등록/단가변경)
2. 공급사 선정3. 구매주문처리 및 작업지시4. 수입관리5. 입고작업6. 저장/사용
1. 임의 단가변경
1. 승인절차2. 시스템 접근 통제3. 변경폭이 큰 것에 대한 보고
Risk Library= 프로세스(process) + 위험요
소(risk)+통제방법(control)+감사절차(audit
procedure)
프로세스는 계층으로 구성
프로세스별 조직, 책임자, 영향을 미치는
재무항목 등을 연계
프로세스의 위험요소, 통제방법,감사절차,
감사결과 및 문제점 연계
각 사용자별로 다양한 뷰 제공
9
GRC 솔루션의 핵심 요소- 직무분리(Segregation of Duty)
구매담당
부서장
내부통제자
공급자 승인
지불처리 승인
<내부통제 시스템은 자동이든 수동이든 이러한 비즈니스 거래를방지>
자동통보
자동통보
SOD 솔루션은 반드시 분리되어 수행되어야 하는
직무에 대한 제약조건을 설정하여 이러한 원칙에 위
배되는 사용자가 있는 경우 리포트를 제공하여 해당
직무의 부서장에게 개선하도록 통보 하고 그 조치내
역을 모니터링 하도록 지원
승인 지불처리
SOD
직무분리예시
10
GRC 솔루션의 핵심 요소- 운영처리 및 변경관리에 의한 예외사항/Conflict 통보
표준
예외
예외사항 통보 예시
A국가 회계담당
내부통제자
전표 일련번호부여
< 언제든 일반적으로 승인된 표준 프로세스를 조직이 실제 실행중인 프로세스와 비교하여 승인된 업무절차를 실행하고 있는지 확인 >
예외관리
전표 일련번호미부여
B국가 회계담당
※ ERP 등 기간 정보 시스템(경영•사업•그룹웨어 등)과 연계하여 구축
11
Agenda
• GRC Overview
• GRC 솔루션의 핵심 요소
• 오라클 GRC 솔루션 구성 및 주요 기능
• GRC 구축 사례
• Why Oracle GRC?
12
GRC Application Suite
GRC Controls Suite
Configuration
Controls
GRC Manager
Risks Assessments IssuesProcesses
PoliciesProcedures Remediation
GRC Intelligence
Dashboards Reports Alerts Reporting
Key Risk & Control Indicators
Applications
Customers
Suppliers
Sales
Legal
R&D
Mfg
HR
Finance
Transaction
ControlsApplication
Access Controls
Preventive Controls
GRC Technology Platform
Identity Access DB security Change MgtDB Audit ECM IRM ILM
오라클 ERP뿐만이 아니라
다양한 애플리케이션, 이기종
환경을 수용할 수 있는 개방적인
플랫폼
다양한 업종과 다양한 규제에
대응한 사전정의된 GRC
프로세스 및 솔루션
내부통제, 접근통제, 운영통제,
변경통제, 분석정보 등을
포괄적으로 제공하는 유일한
GRC 솔루션
13
GRC Application Suite
GRC Controls Suite
Configuration
Controls
GRC Manager
Risks Assessments IssuesProcesses
PoliciesProcedures Remediation
GRC Intelligence
Dashboards Reports Alerts Reporting
Key Risk & Control Indicators
Applications
Customers
Suppliers
Sales
Legal
R&D
Mfg
HR
Finance
Transaction
ControlsApplication
Access Controls
Preventive Controls
GRC Technology Platform
Identity Access DB security Change MgtDB Audit ECM IRM ILM
• 사전정의된 대시보드 제공
• 성과와 GRC 정보의 통합제공
• KRI와 이슈에 대한신속한 반응
• 실시간 리스크 모니터링
• 50 Dashboard Reports
14
GRC Intelligence - Comprehensive Reporting
• 100개 이상의 사전정의된 리포트
• 조직별로 규정 및 법규준수에대한 현황파악
• 다양한 분석 차원에 대하여관리하고 문제의 원인까지드릴다운 분석
• GRC Manager 로 드릴다운하여특정 프로세스, 이슈, 위험 및통제를 연계
• 다음 주제에 대한 50 개 이상의GRC 대시보드 제공
• GRC Diagnostics
• Certification
• Controls
• Issues
• Testing
• Risks
15
GRC Intelligence - Pre-built GRC Intelligence
Alert & Notification
InteractiveDashboards
Ad-hoc Analysis
Reporting & Publishing
• Operational 현황에서부터 전략적인 GRC KPI와리포트에 이르기까지 다양한 리포팅
• 직관적이고 Interactive한 대시보드/스코어카드
• 사용자의 편리한 개인화와 수정 및 변경
• 비정형 데이터 검색
• 사용자가 직접 손쉽게 분석할 수 있는 기능
• 분석을 생성, 변경 및 관리하고, 피봇과 대시보드를생성
• 동적인 문제 또는 기회에 대한 인지와 통보
• 자동화된 분석 워크 플로우와 프로세스 지원
• 다양한 모바일 장치를 위한 Tailored Delivery 지원
• GRC 관련 내용에 대한 정형 리포트 작성 스케쥴링및 배포
• 복잡한 “Pixel-perfect” 리포트 레이아웃 제어
16
GRC Intelligence - Integrated Risk Reporting
Oracle GRC Manager
This is to notify you of AML and SOX alerts. The Executive Dashboard is awaiting your review.
Please use the following link to access your reports
Go To “Executive Dashboard”
예상되는 위험에 대하여주요 정보를 제공하여워크플로우를 이용하여담당자 통보
17
GRC Intelligence - Integrated Risk Reporting
18
GRC Application Suite
GRC Controls Suite
Configuration
Controls
GRC Manager
Risks Assessments IssuesProcesses
PoliciesProcedures Remediation
GRC Intelligence
Dashboards Reports Alerts Reporting
Key Risk & Control Indicators
Applications
Customers
Suppliers
Sales
Legal
R&D
Mfg
HR
Finance
Transaction
ControlsApplication
Access Controls
Preventive Controls
GRC Technology Platform
Identity Access DB security Change MgtDB Audit ECM IRM ILM
• End-to-End GRC
프로세스 관리
• 책임성 강화
• 통합된 통제 관리
• 집중화된 GRC 컨텐츠관리
• 이슈 해결 및 처리
19
GRC Manager- End-to-end Process Management
• End-to-End GRC
프로세스 관리
• 지속적 통제 모니터링
• 중앙집중적인 GRC
컨텐츠 관리
Document
- Risk-Control Matrix
- COSO/COBIT Frameworks
- Policies and Procedures
- Evidence & Records Retention
Assess
PerformSelf
Assessment
TestManualControls
ScopeAudits
MonitorAutomated
Controls
Analyze
Receive Alerts Review ReportsInvestigateExceptions
Respond
Remediate Retest Optimize
Certify
Sign-off and Publish
20
GRC Manager - Risk Control Library
Process DefinitionObjective Risk Control
Action
items
Matrix
Attach-
mentIssues History
Risk Library
21
GRC Manager - 내부 위험요인 통제 및 인증
내장된 베스트 프랙티스프레임워크
(COSO, COBIT, ITIL)
정책과 통제요인의마스터 라이브러리
“정책과 통제요인을 Best Practice 프레임워크에 연계”
22
GRC Application Suite
GRC Controls Suite
Configuration
Controls
GRC Manager
Risks Assessments IssuesProcesses
PoliciesProcedures Remediation
GRC Intelligence
Dashboards Reports Alerts Reporting
Key Risk & Control Indicators
Applications
Customers
Suppliers
Sales
Legal
R&D
Mfg
HR
Finance
Transaction
ControlsApplication
Access Controls
Preventive Controls
GRC Technology Platform
Identity Access DB security Change MgtDB Audit ECM IRM ILM
• 사용자 접근을 관리하고
업무규정에 의거하여직무분리 통제
• 사전 정의된 best practice 룰 제공
• 지속적이고 자동화된모니터링으로 사기 및위험 방지
• 시스템 사용 위험 예방
23
GRC Controls - Access Controls Monitoring
Detective
Preventive
• Analyze user roles and responsibilities for SOD violations
• Identify and remediate SOD violations
• Monitor activities of users granted access to sensitive areas
• Provide compliant user provisioning
• Enforce compensation controls
• What-if SOD risk simulation
Companies need to know who has access to do what and
ensure that someone isn’t given inappropriate privileges – this
is fundamental
Key Features
• Function, responsibility, group 수준에서의SOD 통제
• Access 권한 변경 전 SOD 문제를 파악하기위한 시뮬레이션
• 부적절한 사용자 접근 사전방지
• SOD 관련 사항에 대한 실시간 모니터링
• 사전 정의된 최고 수준의 SOD 통제 library 내장
• SOD 변경 및 통제를 위한 승인 프로세스자동화
• 임시계정에 대한 통제 및 관리
24
GRC Controls - 접근통제와 직무분리 지원
사용자 인증의 통합된 프레임워크 제공(Integrated framework for user provisioning)
SOD제약 조건에 기반한 사용자 프로파일 설정(Set up of user profiles)
SOD 위반 방지 및 이기종 시스템간의 승인 처리
SOD 규정
직원역할 부여
사용자 등록
역할부여 금지
!
위반발견
접근권한 승인
“역할기반 접근 관리”
SOD Matrix
25
GRC Controls - Pre-built Best Practice SOD Rules
•사전정의된 best practice SOD 룰library 제공
•SOD 와 시스템 사용자현황에 대한 실시간리포트 제공
•Oracle EBS와완벽하게 통합됨
26
GRC Controls - Configuration Controls
Detective
Preventive
• Detect and record changes to sensitive setup data
• Compare before and after values for changes
• Monitor for setup inconsistencies across multiple instances
• Validate that setups and data updates conform to valid values
• Require conditional approval cycles (e.g., exceed threshold)
• Enforce data consistency; (e.g. force data to upper case)
Ensure that critical setups conform to best practices and follow
robust change management procedures
Key Features
• 주요 setup 사항에 대한 변경 사항 모니터링
• 누가, 언제, 무엇을, 어디서 변경했는지 추적관리
• 승인을 위한 workflows 와 경보 기능
• 변경이나 변경 시도에 대한 상세 정보 관리
• 데이터 정합성 및 일관성 등 운영 효율극대화를 위한 통제
• 특정 값에 대한 허용 범위를 지정
• Best practice control library를 내장하며 변경용이
• 특정 시점에 대한 setup 현황 리포팅(snapshots)
• 변경전후, 버전별 차이 리포트
• Instance 간에 setup 사항 migration
27
GRC Controls - Configuration Controls
•Setup 및 configuration 에 대한 변경을지속적으로 모니터링
•Setup 및 configuration이변경되었을 경우 적합한사유에 의하며 적절한승인과정을 거침
28
GRC Controls - Transaction Controls
Detective
Preventive
• Identify transactions that violate policy (e.g. unapproved vendor)
• Detect patterns representing aggregate risk (e.g. micro-payment)
• Detect correlation risk (e.g. same user creates and pays vendor
• Validation of transaction data (e.g. valid product code)
• Approvals based on transaction data threshold
• Initiate review / approval cycle based on automated policies
Monitor transactions to detect activities that violate business
policies or represent unacceptable risks or inefficiency
Key Features
•핵심 transaction, application, 데이터변경에 대한 실시간 모니터링
•사전 정의된 최고 수준의 통제 library 내장
•규정 위반에 대한 경보 발송
• IT governance 정책 위반 내역을 관련당사자에게 자동 전달
29
GRC Controls - Transaction Controls
•자동화된 통제를 통하여의심 사항과 예외사항을인식
•주기적인 transaction 예외사항 모니터링 및워크플로우를 이용한 통보
30
GRC Controls - 에러와 사기적 거래처리 방지
• 기본적인 transaction을 둘러싼 운영 통제
• 현금, 부채, 자산과 관련된 리스크 관리 통제
• 기업의 재무 구조에 심각한 영향을 미쳐서 공시하여야 하는 회계적 책임과 관련한 이벤트 통제
구매전표의 한도를 관리하거나, 거래선 마스터와
다른 기준의 적용을 관리하거나, 특정 기간에
하나의 거래선에 복수의 구매전표가 발송되는 것
등을 관리하는 구매 프로세스 관련 통제
일정기간 이상 미사용 재고 또는 구매가격 차이가
설정한 기준을 넘는 경우 담당자에게 통보하여
재고 통제
매입송장 금액이 설정 기준을 초과하거나, 거래 및
지불 조건이 고객 마스터와 다른 경우를 관리하는
매출 인식 통제
채권 회전 기일, 악성 채권 충당금의 적절성 여부,
수작업 기표 등을 관리하는 매출채권 통제
적용 예시
31
Agenda
• GRC Overview
• GRC 솔루션의 핵심 요소
• 오라클 GRC 솔루션 구성 및 주요 기능
• GRC 구축 사례
• Why Oracle GRC?
32
GRC References include…
Public Sector
High Tech / Communications
Financial Services Manufacturing
Consumer / Retail
Life Sciences/Pharmaceuticals
33
CHALLENGES / OPPORTUNITIES
• Identify and eliminate Segregation of
Duties (SOD) conflicts for 90 operating
units
• World’s largest single Oracle EBS instance
• 20,000 Active users
• 50,000 Oracle responsibilities
SOLUTIONS
• ACTIVE Governance
• Oracle GRC Manager
CUSTOMER PERSPECTIVE
“It would have taken more than 6 months of
application customization and easily cost a
couple of million dollars to create the 200
controls we implemented in only 8 weeks.”
Ravi Mahajani, ERP Solution Expert, Agilent
RESULTS
• Implemented 200 controls in 8 weeks
• Eliminated SOD conflicts to meet SOX
compliance requirements on time
• Avoided 6-month customization effort,
millions of dollars
COMPANY OVERVIEW
• Technology leader in communications,
electronics, life sciences and chemical
analysis
• Revenue > $5 Billion
• 20,000 employees
34
CHALLENGES / OPPORTUNITIES
• Lack of consistent password policy across key applications
• Lack of automated processes & workflow for employee on- / off- boarding
• Lack of centralized data repository for single source of identity information
• Consistent, orderly and timely provisioning of key accounts for compliance auditing
• Strengthen internal controls management
SOLUTIONS
• GRC Manager
• Financials
CUSTOMER PERSPECTIVE
“We wanted to have a sustainable architecture
and process for ensuring our requirements…it
made sense to standardize on Oracle. Our
Oracle environment allows us to easily set up
and manage a sustainable control environment.”
Dale Brown, Chief Accounting Officer
RESULTS
• Fully automated financial compliance management processes
• Improved compliance auditor satisfaction with tight controls and fast de-provisioning
• Provided HR with one system to eliminate need for multiple helpdesk tickets
• Further enabled single sign-on capability for key applications
• Expect to connect with other LDAP compliant tools for comprehensiveidentity sharing
COMPANY OVERVIEW
• Fabless semiconductor manufacturer based in Sunnyvale, California
• Estimated $285 million revenue in 2006
• 400+ employees and contractors
• Identity Manager
35
Agenda
• GRC Overview
• GRC 솔루션의 핵심 요소
• 오라클 GRC 솔루션 구성 및 주요 기능
• GRC 구축 사례
• Why Oracle GRC?
36
6 of the top 7
Telecommunications
companies run Oracle GRC
9 of the top 10 Commercial
Banks run Oracle GRC
8 of the top 10 Health & Life
Insurers run Oracle GRC
6 of the top 7 Aerospace &
Defense companies run Oracle
GRC
9 of the top 10 Pharmaceutical
companies run Oracle GRC
Industry Rankings based on Fortune Magazine:Fortune 500, 2006
Oracle GRC Facts
Source: Gartner, Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms (Jun, 2008)
Oracle GRC Solution = Leader
37
What Customers Are Saying
Intuit Chose Oracle LogicalApps for Application controls after a considerable evaluation
38
What Industry Analysts Are Saying
Leader in user provisioning, Gartner
Leader in Enterprise Contents Suite, Forrester
Leader in Web Access Management, Gartner
Leader in Business Performance Solutions, Forrester
Leader in Business Process Management, Forrester
Leader in Enterprise Content Management, Gartner
39
Why Choose Oracle GRC?
Oracle GRC 는…
GRC 통찰력 제공으로 성과향상 및 가시성 제공
• 실시간 활동 모니터링 및 통제
• GRC 활동에 대한 실시간 가시성 제공
• GRC의 다양한 분석 정보 통합 제공
정보자산의 완벽한 보호(Unbreakable)
• 완벽한 데이터 접근 및 신원 관리
• 철저한 변경관리
• 정보, 컨텐츠 보호 및 추적관리
End-to-End GRC 프로세스 지원
• Best Practice Model(COSO, Cobit 등) 효과적 지원
• 효과적인 리스크 평가 및 감사 수행
• 내부위험통제, 접근통제, 환경설정변경 통제, 운영처리통제 등 통합지원
40
