SAP GRC bei E.ON.
SAP GRC Forum 2014
Jörg Kohtes, E.ON SE
Dr. Thorsten Spies, E.ON SE
Daniel Rüger, E.ON SE
Inhalt.
1. Überblick E.ON
2. SAP GRC Process Controls
3. SAP GRC Access Controls
SAP GRC bei E.ON – SAP GRC Forum 2014 2
3
Wir. Im Überblick.
An unseren Standorten in Europa,
Russland und Nordamerika
erwirtschafteten unsere über 62.000
Mitarbeiter im Jahr 2013 einen Umsatz
von rund 122 Mrd Euro. Hinzu kommen
gemeinsam mit Partnern geführte
Geschäfte in Brasilien und in der Türkei.
Mit unserer strategischen Ausrichtung
cleaner & better energy entwickeln wir
uns zu einem globalen, spezialisierten
Anbieter von Energielösungen.
Überall dort, wo wir aktiv sind, ist unser
Anspruch, dass die Welt der Energie
besser und sauberer wird.
SAP GRC bei E.ON – SAP GRC Forum 2014
4
Unser Fokus.
Wir konzentrieren uns auf das, was wir am
besten können und wo wir den höchsten
Wert schaffen. Im Wettbewerbsumfeld der
internationalen Energiemärkte sind das
die Stromerzeugung aus Erneuerbaren
Energien und konventionellen
Energiequellen,
Optimierung und Handel,
Neubau und Technologien,
Exploration und Produktion,
Dezentrale Energie,
Verteilung und
Vertrieb von innovativen Energielösungen
für unsere Kunden.
SAP GRC bei E.ON – SAP GRC Forum 2014
5
Konzernleitung1 Globale Einheiten
Exploration & Produktion
Erzeugung
Technologien2
Globaler Handel
Erneuerbare Energien
Regionale Einheiten
Deutschland
Weitere EU-Länder:
Großbritannien
Schweden
Italien
Spanien
Frankreich
Niederlande
Ungarn
Tschechien
Slowakei
Rumänien
Nicht-EU-Länder:
Russland3
Weitere Nicht-EU-Länder:
Brasilien, Türkei
Unsere Struktur.
SAP GRC bei E.ON – SAP GRC Forum 2014
Unterstützungsfunktionen2
Einheiten:
Unternehmensdienstleistungen4
Beratung
Immobilien-Management
Versicherungen
Einkauf
Dienstleistungszentren
Kompetenzzentren
1 Inklusive der Schwerpunkt-Einheit E.ON Connecting Energies 2 Kein Berichtssegment 3 Schwerpunkt-Einheit 4 Inklusive IT
6
Unser Unternehmen in Zahlen.
in Mio € 2013 2012 %
Stromabsatz (in Mrd kWh) 704,4 740,9 -5
Gasabsatz (in Mrd kWh) 1.091,7 1.162,1 -6
Umsatz 122.450 132.093 -7
EBITDA1 9.315 10.771 -14
EBIT1 5.681 7.012 -19
Investitionen 8.086 6.997 +16
Mitarbeiter (31.12.) 62.239 72.083 -14
1bereinigt um außergewöhnliche Effekte (siehe Glossar eon.com)
SAP GRC bei E.ON – SAP GRC Forum 2014
Inhalt.
1. Überblick E.ON
2. SAP GRC Process Controls
3. SAP GRC Access Controls
SAP GRC bei E.ON – SAP GRC Forum 2014 7
Internes Kontrollsystem bei E.ON.
SAP GRC bei E.ON – SAP GRC Forum 2014 8
Detaillierte IKS-
relevante
Prozessmodelle
inklusive
Risikokatalog
und Key-
Kontrollen.
Transaktionsebene
*illustrativ
Organisationsebene
High-level Guidance und
Minimalanforderungen für das
verantwortliche Management in
Bezug auf wichtige Richtlinien und
Prozesse.
9 IKS-relevante Prozesse
• Sales
• Procurement
• HR
• Accounting
• Finance Management
• IT
• Tax
• Energy Trading
• Risk Management
Von SAP MIC zu SAP GRC Process Control.
SAP GRC bei E.ON – SAP GRC Forum 2014 9
SAP MIC
SAP GRC
Process
Controls
Verbesserte Benutzerfreundlichkeit
Verbessertes Reporting (Standardreporting)
Offline Workflow Unterstützung auf Basis von PDF Dokumenten
Unterstützung neuer Anforderungen des ICS Frameworks
Continuous Control Monitoring/Automated Controls
Shared Service Center Funktionalität
Integration mit anderen Systemen (z.B. Access Controls, ERP)
SAP GRC PC Implementierung.
ICS Master Data
ICS Authorizations
ICS Documentation
ICS Cycle
Assessments
Issues & Remediation
Sign-off
Standard Reporting
10
ICS Dashboards
Cockpit KPIs
Documentation KPIs
Assessment KPIs
Service Provider KPIs
Continuous Control
Monitoring (CCM) /
Automated Controls
CCM Scenarios
P2P
ITGC
General Ledger
Core Dashboard CCM
ICS IT Tool – SAP GRC Process Control 10.0
SAP GRC bei E.ON – SAP GRC Forum 2014
Schwerpunkte – Implementierung Core (1/4).
Attributbasierte Unterscheidung fachlicher Objekte (Enhancement):
Kontrollen: attributabhängige UI, IKS Aktivitäten und Reporting
SAP GRC bei E.ON – SAP GRC Forum 2014 11
Mehrdimensionales Reporting mittels CDF in Organisationseinheiten (Enhancement):
Kontrolle
ICS Principle
ICS Model
berücksichtigt in:
- Stammdaten
- Berichte
- Planner
- Workflows & OWP
unterteilt in
Organisation
Regional Unit
Global Unit
berücksichtigt in
- SAP PC Berichte
- BO Dashboards
konfigurierbare Attribute
Schwerpunkte – Implementierung Core (2/4).
SAP GRC bei E.ON – SAP GRC Forum 2014 12
Lokales Objekt: ICS Principle
Zentrales Objekt: Auswahl der Kontrollart
Beispiel: Enhancements
Schwerpunkte – Implementierung Core (3/4).
SAP GRC bei E.ON – SAP GRC Forum 2014 13
Lokales Objekt: ICS Model
Zentrales Objekt: Auswahl der Kontrollart
Beispiel: Enhancements
Schwerpunkte – Implementierung Core (4/4).
OWP & Workflows @ E.ON:
ICS Principle Assessment
Control Assessment
Subprocess Assessment
Herausforderungen:
Abbildung der E.ON spezifischen
Assessment-Typen
SAP GRC bei E.ON – SAP GRC Forum 2014 14
Beispiel: Control Assessment PDF Dokument
Schwerpunkte – Dashboard.
SAP GRC bei E.ON – SAP GRC Forum 2014 15
* PoC mit Testdaten
Schwerpunkte – CCM (1/2).
SAP GRC bei E.ON – SAP GRC Forum 2014 16
Automated Control
Strategy
Risk-based
Cost-benefit Efficiency
Quality
Business Process
Standardization/Variants
Business Logic/Rules
Parameters
Organization
Central/
decentral Responsibilities
IT Systems
Standardization (Harmonized/
Heterogeneous)
Ownership
Data
Schwerpunkte – CCM (2/2).
SAP GRC bei E.ON – SAP GRC Forum 2014 17
Organization
Identifying stakeholders within different areas
Processes
Analyzing process design & responsibilities
Analyzing process variants within different units
IT Systems
Fokus on harmonized systems
Strategy
Defining strategy (business case) for each CCM scenario
P2P ITGC GL/FA
ICS IT Tool – CCM
P2P
Inhalt.
1. Überblick E.ON
2. SAP GRC Process Controls
3. SAP GRC Access Controls
SAP GRC bei E.ON – SAP GRC Forum 2014 18
SAP GRC Umgebung bei E.ON.
SAP GRC bei E.ON – SAP GRC Forum 2014 19
Abgestufte Implementierung mit 3 Streams:
Hauptfunktionalität + OWP (live)
BO Dashboards
CCM Stream
SAP GRC
Proj. Entw. Qs
BW / BO
SAP Portal
54 Prod
SAP AC Umfang: 150 Systeme, >65000 Benutzer, >4.000 Anträge
pro Monat
SAP PC Scope: 7 Hauptsysteme
GRC Process Control
GRC Access Control
EON Standard
2012: Migration von 5.3 auf 10.0
2013: Anbindung ISU-/CRM Landschaft inkl. Definition
ISU/CRM-Cross System Regelwerk (PwC app.)
Laufender Rollout weiterer Systeme
Eingesetzte GRC AC Module:
Zugriffsrisikoanalyse (ARA)
Zugriffsanforderungsworkflow (ARM)
Benutzerzugriffsüberprüfung (BZP)
20
Strategie
SAP GRC AC – Strategie und Ziele
Ziele
IT-Compliance & IT-Security
Erstellung und Verwaltung umfangreicher Funktionstrennungskonzepte
Zugriffsrisikomanagement & Berichterstattung
Verwaltung der jährlichen PwC Prüfungsberichte
Nutzen / Einsparung
Automatisierte Handhabung und Provisionierung von Anträgen
Konsolidierung existierender GRC Systeme
Vereinfachte Einschätzung der Compliance & Zugriffsrisikoanalyse
Unterstützung des Rollenverwaltungsprozesses und der Notfallbenutzerverwaltung
Business Improvement
Maßgeschneiderte Benutzerverwaltungsprozesse
Umsetzung der E.ON Gruppenstandards
Aufwandsreduzierung bei der Prüfungsvorbereitung
Höhere Verlässlichkeit während der Prüfungsdurchführung
Risikoreduzierung
Proaktives Verhindern von Zugriffsrisiken
Einhaltung des Funktionstrennungsprinzips
Minderung/Kompensierung von Zugriffsrisiken
Konformität mit gesetzlichen IT-Vorgaben und IT-Sicherheitsrichtlinien
Unterstützung der verantwortlichen Teams bei der Benutzer- und Berechtigungsvergabe
Umsetzung von Revisionsanforderungen (Funktionstrennungskonflikten)
Einsparung manueller, papier-basierter Benutzerverwaltungsprozesse
SAP GRC bei E.ON – SAP GRC Forum 2014 20
Übersicht der GRC Integrationsszenarien
SAP GRC bei E.ON – SAP GRC Forum 2014 21
Risikoanalyse
Kompensierende Kontrollen
ERP Geschäftsprozesse
Access
Control
Process
Control
Portal
BW+BO
Access
Control
Process
Control
SAP GRC Access Control
SAP GRC bei E.ON – SAP GRC Forum 2014 22
Konsolidierung zweier GRC AC 5.3 Systeme in ein GRC AC 10 System
Ein GRC Mandant für alle E.ON Unternehmen (international)
Ein standardisierter Antragsprozess für alle teilnehmenden Unternehmen
Jeder Verantwortliche sieht u. genehmigt nur seine Arbeitspakte (Antrag, Rolle, etc.)
Genehmigungspflichtige und genehmigungsfreie Rollen müssen unterschiedliche
Wege im Genehmigungsprozess durchlaufen
Anträge für die SAP Anwendungsspezialisten werden mit dem produktiven GRC
System auf Entwicklungs-, Projekt- und Testsysteme provisioniert
Antrag und automatische Zuordnung von Rollen auf dem GRC System
(Eigenprovisionierung)
Realisierte Designgrundsätze
SAP GRC Access Control - Umsetzung
SAP GRC bei E.ON – SAP GRC Forum 2014 23
Verwendung von Multi Stage Multi Path Standardfunktionen zur Abbildung des E.ON
Genehmigungsprozesses
GRC AC Antragsprozess
Antragsprozess
Automatisierte Ermittlung der Bearbeiter / Genehmiger
Automatisiertes Routing genehmigungsfreier Rollen
Automatische Ermittlung des richtigen Zugriffsregelwerk auf Basis der Antragsattribute
GRC AC Benutzerzugriffsüberprüfung
Automatisierte Ermittlung der Bearbeiter / Genehmiger anhand der Kombination
Benutzergruppe/System
Business Rule Framework BRF+