Upload
hoangtu
View
218
Download
0
Embed Size (px)
Citation preview
이병철 전문위원, 솔루션전략본부/SAP KOREAApril 5, 2016
SAP 플랫폼 전략 포럼 2016
차세대 IT거버넌스 플랫폼
발표내용
1. S/4HANA와 단일 통합된 GRC 플랫폼
2. SAP GRC 솔루션 소개 및 표준제공 컨텐츠
3. SAP 제언 및 요약
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 3
Why Enterprise-wide Integrated GRC Platform? 글로벌 법규/규제 강화에 따른 위험 및 대응비용 증가
조직 내부통제 및리스크 관리
규제준수
규제
미준수
Cost
글로벌 법규 및규제 강화
이해관계자들의관심과 평가
투자자들에게 GRC Rating 제공
투자자들의 GRC 체계에 대한관심과 평가
전사수준의 포괄적이고 통합된 GRC 프레임워크 필요
(권한관리, 내부통제, 규제준수, 위험관리, 비즈니스 프로세스 등 가시성 확보)
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 4
SAP GRC Shared Compliance Platform? 통합된 공통의 규제준수 플랫폼
GRC Shared Compliance Platform
Hierarchies PoliciesControls Risk ResponseProduct Updates
User Experience
SAP Solutions for GRC
SAP Fraud ManagementAudit Management
SAP RiskManagement
IT Security Solutions
SAP Access Control SAP Process Control SAP Global Trade Services
SAP GRC Access Approver (mobile)
SAP GRC Policy Survey (mobile)
SAP Sanctioned-Party List (mobile)
Reporting and Analytics
GRC for Industries and LoBs
NATIVE SAP ERP integration and integration to non-SAP ERP
OthersLegacySAP
Shared Compliance Platform
SAP GRC 솔루션은 단순히 기술적인통합플랫폼 위에 통합된 제품일 뿐만아니라, 각각의 구성요소(AC, PC, RM)에서 사용하는 중요한 정보들을통합/공유하여 하나의 통합된 공통규제준수 플랫폼(Shared Compliance Platform)을 구성할 수 있습니다.
예를 들면, (1) 조직/제품계층구조, (2) 공통/공용기준정보-
(통제,정책,법규 등등) (3) 통합 리스크관리프로세스, (4) 사용자 경험 (UX, UI 포함)
등을 포함하고 있습니다.
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 5
SAP S/4HANA 기반의 차세대 IT 거버넌스 플랫폼재무영역에 포함된 SAP GRC 솔루션 위치
SAP S/4HANA FINANCE
Enterprise Management
재무 인사 구매 SCM 제조
마케팅 영업 서비스 설비자산 연구개발
SAP GRC 플랫폼
SAP의 차세대 IT 거버넌스 플랫폼 역할을 하는 SAP GRC 솔루션은 S/4HANA의 재무영역에 포함되어 있습니다.
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 6
SAP S/4HANAGRC 플랫폼 – IT 거버넌스 및 통제 Analytics
ERP기반의 통합경영 계획
재무분석 및 조기결산강화
현금관리강화 및통합 자금수지관리
재무 운영프로세스 강화
채권관리 팀기획실 재무팀 자금팀
Cash Management
Treasury & Risk Management
Receivables Management
BI Suite
Central Finance
Closing CockpitPlanning &
Consolidation
Strategy Management
Cloud for Analysis*
* Cloud Products
S/4HANA Enterprise Management (Net New, User) or
S/4HANA Enterprise Management for ERP customers (Existing, Flat-Fee)
Planning & Consolidation
주요개선사항
S/4HANA 1511 Finance 솔루션
주요관련조직
별도의 서버 H/W, DB 필요 없음
전문분석(Analytics) 및 Big Data 분석 가능
동일플랫폼 기반으로 모든 Data 통합
S/4HANA기반의 SAP GRC*솔루션의 장점
GRC: Governance, Risk, Compliance
SAP HANA Run Time or Full Use
전사리스크 및컴플라이언스
IT정보기획/리스크/감사실
Security Mgmt.
Fraud Mgmt.
Audit Mgmt.
Process Control
Access Control
Risk Mgmt.
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 7
정보보안 및 권한관리를 통한 리스크 감소정교한 SoD 위반 탐지할 수 있는 글로벌 Rule-Set 제공
전사리스크 및 컴플라이언스
Security Mgmt.
Fraud Mgmt.
Process Control
Access Control
액션 설명
XK01XK02XK05XK99
공급업체 통합 생성공급업체변경공급업체 보류공급업체 마스터 대량 유지보수
액션 설명
FCH4FCH5FCH6FCH7
갱신번호 수표수표정보 생성수표정보 변경수표 재인쇄
Business Process조달-지급
Function: PR01공급업체마스터 유지보수
Risk ID: P051
Rule Set
Function: AP04수표 수동 처리
가상 공급업체 유지보수및 공급업체에 대해 수표수동처리
일반적인 룰 셋의 구조로, 하나의 리스크 아이디는 두 개 이상의 Function으로 구성되며, Function은 각각 상충되는 Action의그룹이며, 상충된 권한을 모두 갖고 있다면 SoD Violation(직무분리 위반)이다.
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 8
정보보안 및 권한관리를 통한 리스크 감소권한관리 보안 진단 및 접근 리스크 분석
ERP 시스템을 포함하여 다수의시스템에 대한 접근 리스크 분석및 전반적인 리스크에 대한가시성 제공
현업사용자가 쓰기 쉽고 이해하기쉬운 대시보드 및 분석 리포트제공
내/외부 감사에 필요한 보고서 및감사증적(Audit Trail)에 관한정보를 제공함으로써 감사비용절감
주요 장점 및 기대효과
분석 사용자수SoD 리스크 수
구매 프로세스 리스크
총 위반수
전사리스크 및 컴플라이언스
Security Mgmt.
Fraud Mgmt.
Process Control
Access Control
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 9
통합적인 상시 통제모니터링(CCM) 체계 구축업무시스템 전반에 걸친 통제 모니터링(SAP/Non-SAP)
고객개발프로그램
제공된규칙/쿼리/리포트
마스터데이터IMG세팅/설정데이
터및 규칙
FIN
O2C
P2P
HR
IT
Fixed Assets
Tra
nsa
ctio
n
Con
tro
ls
Con
fig
ura
tio
n
Con
tro
ls
Ma
ste
r D
ata
Con
tro
ls
대시보드/고도화된애널리틱스 분석
리포트/
양식보고서
감사업무 지원
근본원인 분석
워크플로우
통제 매핑 모니터링데이터소스 및
비즈니스 규칙 정의리포팅분석 및 개선
SAP/Non-SAP 모두 포괄하는 다양한 데이터소스와 비즈니스 룰을 적용하여 상시 모니터링 시스템 구축 가능합니다.
전사리스크 및 컴플라이언스
Security Mgmt.
Fraud Mgmt.
Process Control
Access Control
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 10
통합적인 상시 통제모니터링(CCM) 체계 구축사전 정의된 통제 시나리오 제공
자동화 통제테스트 및 모니터링 기능에 필요한 규칙을 제공합니다. 규칙세트는 고객의 상황에 맞게 변경 가능합니다.
Controls 개수
OrderCapture
OrderFulfillment
Billing &Returns
RevenueRecognition
DemandPlanning
OperationalProcurement
InventoryManagement
PayablesManagement
BudgetingPlanning
Sub LedgerTransactions
FinancialClose
Consolidation& Reporting
ApplicationImplementation
ChangeControl
ApplicationSecurity
NetworkSupport
WorkforcePlanning
Hiring Compensation EmployeeRelations
CashManagement
RiskManagement
PortfolioManagement
Inter-companyFinance
AssetAcquisition
AssetDepreciation
AssetDisposition
AssetManagement
DesignControl
CAPAMaterialControls
Post MarketSupport
23
28
18
18
10
5
14
15
판매
구매
회계
IT
인사
자금
고정자산
FDA
200+여 개의 자동화 통제 테스트 시나리오 제공 규칙 세트(Rule-Set) SAP Table 정보
규칙 이름 규칙 내역 규칙기준(내역) 테이블 필드이름
LOPURVAP_07M1_01_A 공급업체 마스터 데이터에대한 변경사항 모니터링
이름 1 LFA1 NAME1
LOPURVAP_07M1_02 공급업체 마스터의 중요필드 모니터링
은행계좌 LFBK BANKN
LOPURVAP_08T1_01_A 중복된 모든 공급업체 송장나열
사용자 ID USR01 BNAME
SDCMST_01C2_01 지급 조건에서 여신 기간구성 세팅 모니터링
지급조건 T052 ZTERM
SDBILL_04C4_01_A대금청구 문서의 리베이트관련 세팅에 대한 변경사항추적
리베이트처리관련대금청구문서
TVFK BORVF
FICLPEP_03T1_01_A 이전 기간의 총계정원장전기 전기기간 BKPF MONAT
전사리스크 및 컴플라이언스
Security Mgmt.
Fraud Mgmt.
Process Control
Access Control
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 11
ExpertKnowledge
Database
DetectionMethods
DetectionStrategy
BusinessProcess
Predictive ModelCreation & Training
RuleCreation
이미 알려진패턴
알려져 있지않은패턴
Via SAP HANA Studio orSAP Predictive Analysis선택적 적용
하향식 Top-down
상향식 Bottom-up
부정행위 탐지/예방을 위한 Big-Data 분석부정행위를 탐지/검출 접근방식
부정행위 탐지/검출을 위한 접근방식은 크게 하향식과 상향식 접근방법이 있으며, 알려져 있지 않은 패턴분석에 대해서는 고객이 선택적으로 적용할 수 있습니다.
전사리스크 및 컴플라이언스
Security Mgmt.
Fraud Mgmt.
Process Control
Access Control
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 12
부정행위 탐지/예방을 위한 Big-Data 분석80+여 개 이상의 Fraud Detection Scenario 제공
전사리스크 및 컴플라이언스
Security Mgmt.
Fraud Mgmt.
Process Control
Access Control
Scenario Detection Technology
Irregularities in Accounting회계 부정
Accounting documents posted on non-working days
Irregularities in Purchasing구매 부정
Person or organization on a Politically Exposed Persons (PEP) list found in purchase order item
Purchase order overpaid
Purchase invoice receipt greater than goods received receipt
Partner or vendor in a purchase order item comes from a high-risk country
Changes made to a saved purchase order exceed threshold
One-Time AccountsMultiple postings made to a one-time account
Regular vendor postings made to a one-time account
Irregularities in Connection with Vendors
공급업체와의 부정
Invoice reference number used more than once for the same vendor
Invoice without reference to purchase order
Split invoices exceed purchasing limit
Suspicious keywords found in invoice item texts
Divergent vendor and payment countries
New Business Conflicts of Interest
비즈니스의 이해상충
Turnover of new vendor in first year after initial transaction exceeds limit
Turnover of new vendor between first and second years after initial transaction exceeds limit
Turnover of new vendor in excess of threshold approved by a single employee
Irregularities in Vendor Master Records
공급업체 마스터 데이터 기록 부정
Vendor master record without bank account details
Flip-flop payee: Alternate payee in vendor master record changed suspiciously (within company code and across company codes)
Flip-flop business: Bank data in vendor master record changed suspiciously
SAP 제공 부정행위/사기 탐지 시나리오
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 13
Big Data 기반 분석의 Cybersecurity 위협방지외부침입 탐지패턴 분석 및 탐지
SAP System
Log Data Extractor
SAP System
Log Data Extractor
SAP System
Log Data Extractor
SAP System
Log Data ExtractorSAP System
Log Data Extractor
SAP System
Log Data Extractor
Monitored Landscape
SAP System
대시보드/분석/ KPI
브라우징 & 분석사이버 공격 패턴 생성
패턴 설정모니터링/스케쥴링
SAP Enterprise Threat Detection
Non-SAP System
Log Data Extractor
SAP HANA
ESP(Event Stream Processor)
Push
로그를 제공하는모든 시스템
로그 정규화 및 데이터 품질향상(Normalize & enrich log data)
데이터분석/평가/통보(Evaluate & analyze
Generate Alerts)
다양한 원천으로부터 수집된 분석 데이터 구성 가능
로그를 제공하는 모든 시스템과 연결하여 Log 추출
로그 정규화 및 표준화를 통한 데이터 품질 향상,
예시) 분석에 누락된 데이터는 해당 소스를 분석 후 해당 데이터를 추출하여 통합 분석 가능
전사리스크 및 컴플라이언스
Security Mgmt.
Fraud Mgmt.
Process Control
Access Control
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 14
Big Data 기반 분석의 Cybersecurity 위협방지외부침입 탐지패턴 분석 및 탐지
손쉬운 대시보드 생성 및자유로운 배치 가능
다양한 분석 템플릿 및 보안관제시스템을 위한 Digital Board Room 지원
보안 침입 탐지에 대한 즉각적인대응 및 현황 파악 가능
주요 장점 및 기대효과
전사리스크 및 컴플라이언스
Security Mgmt.
Fraud Mgmt.
Process Control
Access Control
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 15
Big Data 기반 분석의 Cybersecurity 위협방지외부침입 탐지패턴 분석 및 탐지
다양한 분석 관점 제공 및 다양한원천시스템 별 상세 로그 분석
대용량 시계 열 로그 데이터 처리및 실시간 분석 가능
보안 침입 탐지에 대한 즉각적인대응 및 현황 파악 가능
주요 장점 및 기대효과
전사리스크 및 컴플라이언스
Security Mgmt.
Fraud Mgmt.
Process Control
Access Control
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 16
Big Data 기반 분석의 Cybersecurity 위협방지외부침입 탐지패턴 분석 및 탐지
개인화된 Role 기반의 사용자화면
개인별로 다양한 메뉴구성체계변경 가능
SAP 차세대 UI Fiori 기반대시보드 화면
직관적인 UX-네트워크 분석 등
주요 장점 및 기대효과
전사리스크 및 컴플라이언스
Security Mgmt.
Fraud Mgmt.
Process Control
Access Control
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 17
Big Data 기반 분석의 Cybersecurity 위협방지위부침입 탐지패턴 분석 및 탐지
다양한 Forensic Detection Rule 제공, 고객상황에 맞게 지속적으로 설정/추가 가능
전사리스크 및 컴플라이언스
Security Mgmt.
Fraud Mgmt.
Process Control
Access Control
비인가 사용자 접속
과다 권한설정 오류
DoS 공격 대비
시스템보안 설정 변경
접근유형 및 패턴 감지
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 18
Core GRC
Security
SAP Identity ManagementSAP Single Sign-On
application
SAP Enterprise Threat
Detection
SAP Solution Extensions
SAP Access Control SAP Process Control SAP Risk Management
SAP Audit Management
SAP Fraud Management
SAP Global Trade Services SAP Environment Health Safety
SAP Access Violation Management by Greenlight
SAP Regulation Management by Greenlight
SAP Dynamic AuthorizationManagement by NextLabs
SAP Technical Data Export Compliance by NextLabs
SAP GRC 솔루션 체계전사적으로 포괄적이며 통합된 거버넌스 플랫폼
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 19
SAP GRC 솔루션 체계전사적으로 포괄적이며 통합된 거버넌스 프로세스(예시)
SAP F
RAU
D
MAN
GEM
EN
T
SAP A
UD
IT
MAN
GEM
EN
T
SAP A
CCESS
CO
NTRO
L 접근위험
협력업체
마스터
변경권한
협력업체
대금지급
업무권한 접근통제 현황모니터링
SAP R
ISK
MAN
GEM
EN
T
전사적 위험관리
대응방법
경감통제회피수용 전가/이전
부정행위 적발
부정행위 분석
및 탐지공지/통보
감사관리
위험관리기반감사계획
감사실행
감사보고서
이슈생성
SAP P
RO
CESS
CO
NTRO
L
법규/규제(Regulation)
프로세스
대금지급
협력업체관리
채무(AP)관리
통제항목
신규업체 검토 및지급업무 지원
부적절한 입고에
대한 검토
대금업무
업무분리
프로세스 위험
지급대금 부정행위
적정한 대금 미 입력
정책
강화된 보안정책의
확장 적용
업무분리(SoD) 위반사항 경감
부정행위 탐지 결과를감사수행의 증거로
활용 및
통제 및 위험관련 정보의 추출관련 이슈 생성
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 20
SAP GRC Platforms, Q1 2016*The Forrester Wave™ 리서치평가기관
Highlights from the Forrester Wave Report
SAP has gone through great efforts to bring a clean and easy to use interface to its risk and audit GRC offerings
SAP is gaining ground rapidly on functionality with HANA and SaaS delivery
With HANA, data analytics and rapid deployment are becoming a reality for SAP customers and it will continue to improve the risk analytics capabilities of the companies cloud-based audit and risk platform as they mature
If you are interested in receiving a copy of this Forrester Wave report, please contact your SAP Sales Executive
*The Forrester Wave™: Governance, Risk and Compliance Platforms, Q1 2016 by Renee Murphy, January 22, 2016. The Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave™ are trademarks of Forrester Research,
Inc. The Forrester Wave™ is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the
Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change."
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 21
SAP 제언: 리스크 3중 방어체계 구현(Three Lines of Defense)
1st Line of Defense 2nd Line of Defense 3rd Line of Defense
거버넌스 조직 / 이사회 / 감사 위원회
경영임원진
업무통제
(Management
Control)
내부감사
(Internal Audit)
내부통제항목
(Internal Control
Measures)
재무 통제
보안(Security)
리스크 관리
품질(Quality)
조사(Inspection)
컴플라이언스
외부감사
(Ext
ern
al Audit)
법률규제
(Regula
tor)
조직의 규모나 복잡도와는 상관없이 명확한 해당 역할 및 의무를 정의함으로써, 리스크관리와 통제 및 의사소통을 단순하고 효과적인 방법으로 개선 할 수 있습니다.
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 22
SAP Risk Management
효과적인 리스크 탐지/ 적발대응, 리스크관리 최적화
SAP Audit Management
내부감사업무의 혁신, 전사리스크기반의 내부감사
SAP Process Control
상시 통제 모니터링(CCM) 체계 구축
통제항목 및 리스크에대한 상시 및 자동화된
모니터링
1Line of Defense
업무활동리스크 통제
2Line of Defense
상세수준의 리스관리 및컴플라이언스 관리
리스크, 통제, 컴플라이언스에 대한
프레임워크 관리
통제, 리스크 및컴플라이언스
요구사항에 대한 상시모니터링
3 Line of Defense
독립적인 감사보증서비스 제공
합리적 보증과 통찰을위한 자동화되고
지속적인 위험관리기반감사
거버
넌스
조직
/ 이
사회
/ 감
사위
원회
최고
경영
임원
진
SAP 제언: 리스크 3중 방어체계 구현(Three Lines of Defense)
HANA 기반의 SAP Process Control, Risk Management, Audit Management를 통해 리스크 3중 방어체계 구현 가능
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 23
다양한 데이터의 종류, 급격하게 증가하는 데이터 용량 및 속도에 따른 기술적 한계
복수 시스템/다수 인스턴스를 통합하는 단일 프로세스의 관점 부재
전사적 차원의 의사소통 능력 및 비효율성 발생
불명확하고 빈번한 리스크 3중 방어체계간 역할 및 책임문제 발생
SAP HANA라는 단일 원천 데이터 소스 및 동일 플랫폼 위에 구현 가능
리스크 3중 방어체계(상시 내부통제 모니터링, 리스크관리, 감사관리) 연계성
통합 전사 리스크 관리를 위한 의사소통 제고
명확한 Fact 기반의 실시간 의사결정 지원 (시뮬레이션, 디지털 보드룸)
리스크관리 기반의 상시 감사 체계
Without S/4HANA With S/4HANA
S/4HANA기반의 차세대 IT 거버넌스 플랫폼
S/4 HANA와 통합 내재된(Embedded) 플랫폼 위에 리스크 3중 방어체계를구축함으로써, 데이터의 속도, 용량, 종류의 제약에서 벗어나 효과적인 거버넌스, 리스크컴플라이언스 대응 체계 구현 가능
단일 플랫폼 위에 리스크 3중방어체계(TDL)구현 가능
Simple Business
데이터종류
데이터용량
데이터증가 속도
GRC for S/4HANA
S/4HANA
More Volume,
More Errors?More variety of dataManual Checks?
전사 모든데이터(빅데이터)에
대한 모니터링
손쉬운 S/4HANA에 대한상시적인 모니터링 및
단일 접점
자동화된리스크/오류 탐지
상시리스크통제 부족
합리적 보증및 투명성부족
전략적 연계 및통합 부족
© 2016 SAP SE or an SAP affiliate company. All rights reserved. 24
요약 및 SAP 제언
SAP S/4HANA와 단일 통합된 IT 거버넌스 플랫폼1
IT 거버넌스/내부통제를 위한 SAP 표준제공 컨텐츠2
최신 Analytics/Big Data기반 IT 거버넌스 솔루션3
감사합니다.
이병철 전문위원SAP GRC/Sustainability Solution, SAP KOREAemail: [email protected]