Governance Risk &
Compliance: Controlli sui
Processi e CA/CM
Indice
Introduzione al Continuous Auditing e Continuous Monitoring (CA/CM)
Monitoraggio e Audit tradizionali
Drivers
Tendenze in atto (risultati Survey)
Benefici attesi
Il Modello di KPMG
Il processo di implementazione
Esempi di controlli automatici e KPI
Esempio di sistema di CA/CM
Quadrante di Gartner (GRC)
Software Selection
Esempio di CA/CM con strumenti Office
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
1
Cos’è il Continuous Auditing / Continuous Monitoring
Il Continuous Auditing (CA) è la raccolta di evidenze di audit e di anomalie su transazioni, processi,
controlli e sistemi informativi da parte dell’Internal Audit, su base continuativa o con frequenza
prestabilita. Il fattore tecnologico rappresenta uno degli aspetti chiave per implementare il Continuous
Auditing.
Il Continuous Monitoring (CM) è un sistema automatico di riscontro, utilizzato dal management su
base continuativa o con frequenza prestabilita, per monitorare che le attività e i controlli operino
secondo il disegno predefinito e le transazioni e i processi si svolgano secondo le procedure esistenti.
Gli obiettivi del CA/CM sono:
• incrementare l’efficienza e l’efficacia delle attività dell’internal audit e del
management;
• sfruttare i sistemi informativi disponibili;
• accrescere la capacità e le competenze degli auditor e del management;
• rafforzare i presidi del sistema di controllo interno e di compliance.
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
2
Il cambiamento di prospettiva rispetto all’audit e al monitoraggio dei
controlli tradizionale
L’approccio tradizionale di internal auditing e di controllo da parte del management
prevede:
Impact
controls:
traditional approach
Impact
onon
controls
: Conventional
Audit
90
80
Control effectiveness
70
Expectation
60
Actual
50
Trend
40
20


10
AUDIT
AUDIT
30
1
2
3
4
5
6
7
8
9
10
11
•
un testing periodico attraverso interventi ciclici su processi, funzioni o società
previsti nella pianificazione basata sull’analisi dei rischi;
•
l’efficacia dei controlli può essere incrementata solo successivamente
all’intervento di audit quando i piani d’azione saranno stati implementati;
•
l’efficacia dell’intervento, dal momento della sua conclusione all’implementazione
dei piani d’azione, può diminuire a causa di cambiamenti organizzativi, del
personale o di altre condizioni esterne;
•
sono necessarie attività di follow-up per verificare l’implementazione dei piani
d’azione;
•
sono necessarie dispendiose attività di raccolta di informazioni ogni volta che deve
essere rieseguita l’attività di audit.
12
L’approccio del Continuous Auditing/Monitoring, invece, prevede:
Impact
onon
controls
: Continuous
Audit
Impact
controls:
continuous
approach
•
un testing ricorrente e focalizzato: i controlli e le transazioni sono verificate
in tempo reale;
•
i fallimenti dei controlli sono identificati dall’Internal Audit immediatamente e
questo rappresenta un’opportunità per il management per minimizzare il
perdurare dell’inefficienza o del rischio rilevati;
•
nuovi controlli possono essere identificati e monitorati consentendo
all’Internal Audit di adattare le proprie attività alle nuove esigenze, restando
focalizzato sui controlli più rilevanti;
•
l’efficacia dei controlli è assicurata nel tempo e monitorata nel continuo;
•
il continuo allineamento con l’esigenze del business;
•
le attività di audit possono essere pianificate sulla base di informazioni
qualificate sulle anomalie rilevate.
90
80
Control effectiveness
70
Expectation
60
Actual
50
Trend
40
20

10
AUDIT
30
1
2
3
4
5
6
7
8
9
10
11
12
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
3
Drivers
Il sistema di controllo interno e la gestione dei rischi dovrebbe pervadere tutte le attività effettuate dal Management per gestire
l’azienda, riflettendosi nelle politiche, nei processi decisionali e di monitoraggio, ivi inclusi i sistemi informatici di supporto agli
stessi, e dagli organi di controllo di 2° e 3° linea nell’ambito delle proprie attività di controllo.
Principali Drivers
 Dispersione geografica (sedi, filiali, ecc.)
 Aumento dell’efficacia dei controlli richiesto da
normative e standard nazionali e internazionali
(maggiore efficacia delle verifiche e
continuative nel tempo)
Top Management
…livelli di difesa
 Riduzione dei rischi aziendali (rischi di frodi,
rischi di business, ecc.)
 Aumento dell’efficienza richiesta al
Monitoraggio e Audit (riduzione tempi dell’audit
e miglior uso delle risorse interne)
1a livello
Management
Monitoraggio continuo
di attività, processi –
controlli ‘Tone at the
top’
2a livello
Risk management,
Compliance
Supervisione
giornaliera di leggi,
regolamenti e
procedure,
conduzione di audit
3a livello
Internal Audit
Valutazione
indipendente sul
sistema di controllo
e di gestione dei
rischi
Continuous Auditing e Continuous Monitoring
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
4
Tendenze in atto
Si riportano nel seguito i dati di una survey sul Continuous Auditing / Continuous Monitoring,
condotta da KPMG UK.
Benchmark/Survey
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
Tendenze in atto
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
6
Tendenze in atto
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
7
Benefici attesi
Il Continuous Auditing e il Continuous Monitoring creano valore, con numerosi benefici …
Maggiore efficienza
• Audit per eccezioni
• Audit program, attività di test e procedure di verifica
• I gap e i fallimenti dei controlli possono essere
sottoposti ad audit nel continuo
• Riduzione dei tempi d’attesa per ottenere
informazioni
• Riduzione delle spese di trasferta per
l’automatizzazione dei controlli
• Riduzione di test manuali SOX o ex L. 262/05
• Maggiore uso di controlli automatici
• Più tempo per fare analisi preventive a valore
aggiunto
Informazioni tempestive
• Maggiore velocità del reporting verso il business
• Migliore utilizzo delle risorse informatiche
• Identificazione di usi impropri o di frodi
• Identificazione tempestiva degli errori e delle
criticità
• Possibilità di analizzare e risolvere le cause dei
controlli falliti (errori, violazioni di procedure,
frodi, ecc.) in modo più rapido e tempestivo
• Riduzione di sorprese o problemi non previsti
nei processi
Miglioramento dei controlli
• Miglioramento della visibilità dell’Internal Audit
• Fornire al management informazioni utili
sull’efficacia dei controlli e sui rischi di business
relativi ad attività gestite in outsourcing
• Possibilità di verificare il monitoraggio svolto dal
management analizzando e fornendo valutazioni
indipendenti sul Sistema di Controllo Interno
• Correzione degli errori più aderente alla
causa che li ha generati
• Controlli automatici preventivi e a posteriori
delle frodi
Riduzione della complessità
• Maggiore standardizzazione dei controlli e facilità
di revisione
• Soglie di materialità prestabilite e coerenti tra loro
• Report di eccezioni prodotte automaticamente e
focalizzazione sulle criticità più rilevanti
• Verifica della compliance con le normative
• Maggiore visibilità sul reale funzionamento del
processo
• Standardizzazione dei controlli e delle relative
misurazioni nella società e nel gruppo
… che aiutano l’Internal Audit e il Management ad incrementare il valore aggiunto per l’organizzazione.
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
8
Il Modello CA/CM
Il Modello di CA/CM sviluppato da KPMG rappresenta un modello di riferimento per la gestione integrata dei
controlli e dei rischi.
Il Modello illustra i requisiti necessari per un’efficace gestione del CA/CM tramite processi automatizzati di query
all’interno dei sistemi ERP, processi di approvazione dei flussi e un reporting integrato sui rischi e controlli.
Strategico
Livello 3
• Reporting strategico su CA/CM
• Dashboards sui Controlli / KPI / KRI
• Reporting Integrato con Compliance e Risk Management
Processi
Livello 2
-Review
• Gestione dei processi di review dei controlli e delle
eccezione
• Mappura dei controlli a livello di attività, processo, ecc.
(utile non solo ai fini audit, ma anche compliance)
• Gestione flussi informativi da/verso il management
deputato a funzioni di controlllo (es: 231/01)
Livello 1
Operativo
-Test
Purchasing
Warehouse
management
Manufacturing
-Test
Sales &
Distribution
• Gestione dell’archiviazione di dati (controlli, KPI)
• Invio automatico di alert
• Gestione e monitoraggio degli accessi e della
segregazione dei compiti
• Raccolta delle eccezioni
•Interfacce con sistemi esterni per analisi
automatiche su transazioni, dati, configurazione
dei controlli automatici, ecc.
•Flussi automatici
Sistemi oggetto di continuous auditing / monitoring
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
9
Plan/
Assess
Attività
Scoping
Design
• Definizione degli
obiettivi
• Raccolta delle informazioni
rilevanti
• Definizione del
perimetro
• Svolgimento del risk
assessment per identificare le
aree e processi a rischio alto
• Disegno funzionale
degli indicatori e delle
relative soglie, dei
controlli automatici
• Disegno dei flussi di
review , alert, del
reporting/dashboard
• Definizione del piano di
• Rilevazione dello stato attuale
progetto di dettaglio
dei controlli , KPI, e valutazione
delle RCM (controlli automatici • Assistenza all’
• Kick-off
identificazione della
vs controlli manuali) (As-Is)
soluzione software più
• Svolgimento della gap analysis adeguata (CA/CM tool)
• Assistenza alla definizione dello • Approvazione del piano
stato desiderato (To-Be)
di implementazione
Needs and
requirements summary
Current state assessment
CA/CM implementation
plan
Implement
• Esecuzione piano di
implementazione
Tool CA/CM o
parametrizzazione
soluzione già preesistente presso
cliente
• Predisposizione
delle attività di
estrazione dei dati
• Assistenza alle
attività di
implementazione
Set-up for data
extraction activities
Execute
Evaluate
• Esecuzione delle
query e delle routine
che determinano gli
indicatori
• Assistenza all’
identificazione delle
cause delle
anomalie/risultati
• Follow up eccezioni
Exception reports
Reluctance to use high savings tools
% seeing as important
PLANNED
• Common chart of
accounts
• Many country based
piecemeal projects
• Global Performance
Management project
• Global HR Scorecards
• Spend analysis vendor
• One Vodafone
• DCC (Data Centre
Consolidation)
• Group Technology single • Creation of MI function
billing system
• Definition and communication
of role of finance in
management information
• Define data ownership/source/
policy
• Define group, global and OpCo
data and info needs
• Effective MI governance
function
• Clarification and effective
communication of matrix
management roles and
responsibilities
• Select IT infrastructure and
platform
• Build solution
FUTURE – DO WELL
MEASURES
TARGETS
People
• Dedicated management information function
• Clearly defined role for finance in management information
Content and governance
• Strong governance process for management information
• Linked to strategic value drivers
• Agreed criteria for content
• Content optimised on cost and value
• Single, trusted view of performance
Systems
• Single group wide, global data warehouse
• Automated extraction, transformation and loading of data
Functionality
• Delivery of product/segment/customer profitability reporting
• Delivery of real time management information (daily/weekly/monthly)
• Reduced level of ad hoc reporting
• New report requests referred to MI
function
• < 1 per month per OpCo
• 100%
• Real time
• 100% commonality
• Milestones achieved on time and to budget
• Speed of data delivery
• Commonality of data definitions across
Vodafone
• Execution of plan to deliver
9.00
8.50
70%
8.00
7.50
60%
7.00
6.50
50%
Post
implementation
assessment
3j
Catastrophic
6.00
5.50
30%
Domestic
outsourcing
Off
shoring
Shared
service
centres
Process
optimisation
5.00
Service
channels
% seeing as important
Average savings
4d
Moderate
Minor
3a
1d
1e
3f
2b
4g
4b
3h
Risk assessment
Excessive
Periodic
N/A
concentration risk
measurement of
Financial losses cancounterparty credit
result from excessive
exposures for all
concentration of credit
companies by the
exposure to a specific
CDD; Credit
counterparty, regionguidelines
or
approved
market segment. by RMC; Reporting of
exposures to RMC
3j
5a
1b
Major
3h
4d
Moderate
1d
Minor
3a
1e
4e
1f
1a
2a
3e
2c
4j
4i
4c
4f
4b
3c
3f
Insignificant
1c
3b
Remote
5b
5c
3g
4g
2b
4a
3i
3d
4h
Unlikely
Possible
Likely
Almost
certain
Selected CA/CM tools
Implementation
activities
Inappropriate credit None
collateral management
Financial losses can
result from failure to
collect adequate
collateral or to recall
posted collateral.
N/A
Periodic
N/A
measurement of
counterparty credit
exposures for all
companies by the
CDD; Credit
guidelines approved
by RMC; Reporting of
exposures to RMC
4e 1f
4f 1a 2a
3e
2c
4j 4i
4c
3c
Unlikely
4h
INITIATIVES
CRITICAL OBJECTIVE:-
31.3.06
31.3.07
31.3.08
Value
Drivers
GPM
Appointment
Chief
Information
Officer
Content
Re-engineering
31.3.09
Improve Amount,
Frequency
& Sophistication Of MI
Build Global MI
Environment
Define Common
Reporting Library
31.3.10
Appointments
Finance Transformation Director
Finance People Lead
Op-Co
Planning Tool
Implementation
Op-Co
Planning Tool
Implementation
Common Integrated
Global Planning Tool
Feasibility
Study incl Tool
Selection
Implement
Governance
Process
6) Sarbanes Oxley
SoX
Documentation
& Walkthroughs
Partner
Selection
SoX
Testing
ERP
Design
Pilot
Pilot
1st Small
Op-Co
Migration
Migration
& Go Live
1st Large
Op-Co
Migration
2nd Small
Op-Co
Migration
2nd Large
Op-Co
Migration
3rd Small
Op-Co
Migration
3rd Large
Op-Co
Migration
5th
Small
Migration
4th Large
Op-Co
Migration
6th
Small
Migration
7th
Small
Migration
8th
Small
Migration
9th
Small
Migration
Migration
& Go Live
8 PM
Integrate &
Test
Integration
Test
4 PM
Large
Op-Co
Plan
Build
ERP
Build
8 AM
Design
Appointment
Process owners
5) Standardize systems
including implementing
global ERP
12 PM
Feasibility Study
Implement Common
Operating Model including
Business partners
Career
Paths
4 AM
4) Finance shared services
Appointments
Global Lead Teams
Benchmarking/ Revenue Assurance/ Investment
Appraisal
12 AM
Review &
Improve
Talent Mgmt
TODAY’S ENVIRONMENT
REQUIRED
CURRENT
PLANNED
• Working in partnership with the business we will define • Hyperion committee
and deliver Vodafone’s management information
• Local OpCo data
requirements, implementing a robust governance process
warehouses
to ensure continuous business information integrity,
relevance and value
• Common chart of
accounts
• Many country based
piecemeal projects
• Global Performance
Management project
• Global HR Scorecards
• Spend analysis vendor
• One Vodafone
• DCC (Data Centre
Consolidation)
• Group Technology single • Creation of MI function
billing system
• Definition and communication
of role of finance in
management information
• Define data ownership/source/
policy
• Define group, global and OpCo
data and info needs
• Effective MI governance
function
• Clarification and effective
communication of matrix
management roles and
responsibilities
• Select IT infrastructure and
platform
• Build solution
FUTURE – DO WELL
MEASURES
TARGETS
People
• Dedicated management information function
• Clearly defined role for finance in management information
Content and governance
• Strong governance process for management information
• Linked to strategic value drivers
• Agreed criteria for content
• Content optimised on cost and value
• Single, trusted view of performance
Systems
• Single group wide, global data warehouse
• Automated extraction, transformation and loading of data
Functionality
• Delivery of product/segment/customer profitability reporting
• Delivery of real time management information (daily/weekly/monthly)
• Reduced level of ad hoc reporting
• New report requests referred to MI
function
• Speed of data delivery
• Commonality of data definitions across
Vodafone
• Execution of plan to deliver
• < 1 per month per OpCo
• 100%
• Real time
• 100% commonality
• Milestones achieved on time and to budget
31.3.11
Migrate GPM & Hyperion
Into
Common Environment
Source
Data
Op-Co
Planning Tool
Implementation
Group
Planning Tool
Selection
Appointment
Single Owner
Business Planning
3) Developing a great team
Almost
certain
Lessons learned
INSIGHTFUL MANAGEMENT INFORMATION
2) Simplify business
planning
3i
Likely
Use of standardizedUse of standardizedUse of standardizedUse of standardized
Use of standardizedUse of standardized
Use of standardized
contracts with
contracts with
contracts with
contracts with
contracts with
contracts with
contracts with
approved
approved
approved
approved
approved
approved
approved
creditworthiness creditworthiness creditworthiness creditworthiness creditworthiness creditworthiness creditworthiness
clause provisions clause provisions clause provisions clause provisions clause provisions clause provisions clause provisions
Gap analysis
1) Management information
4a
3d
Possible
Periodic
Periodic
measurement of measurement of
counterparty creditcounterparty credit
exposures for all exposures for all
companies by the companies by the
CDD; Credit
CDD; Credit
guidelines approved
guidelines approved
by RMC; Reportingby
ofRMC; Reporting of
exposures to RMC exposures to RMC
Management by credit
Management by credit
Management by credit
Management by credit
Management by credit
Management by credit
& collections group& collections group & collections group& collections group& collections group& collections group
based on credit based on credit
based on credit based on credit based on credit
based on credit
scoring and arrearsscoring and arrearsscoring and arrearsscoring and arrearsscoring and arrears
scoring and arrears
Inappropriate credit CCD reviews
CCD reviews
CCD reviews
CCD reviews
CCD reviews
CCD reviews
CCD reviews
contract terms and procurement and procurement and procurement and procurement and procurement and procurement and procurement and
conditions
- Financial sales contract termssales contract termssales contract termssales contract terms
sales contract termssales contract terms
sales contract terms
losses can result from
for all companies; for all companies; for all companies; for all companies; for all companies; for all companies; for all companies;
failure to develop, Legal contract
Legal contract
Legal contract
Legal contract
Legal contract
Legal contract
Legal contract
licensing group tracks
licensing group tracks
licensing group tracks
licensing group tracks
licensing group tracks
licensing group tracks
review and maintain licensing group tracks
adequate contract contract legal terms;contract legal terms;contract legal terms;contract legal terms;
contract legal terms;contract legal terms;
contract legal terms;
credit provisions.
Remote
1c
5b
5c
3g
3b
Controls Assessment
Risk
SCANA Services
SCE&G
PSNC Energy
SEMI
SCPC
SCANA Comm
Prime South
Inappropriate credit Periodic monitoringPeriodic
of
monitoringPeriodic
of
monitoringPeriodic
of
monitoringPeriodic
of
monitoringPeriodic
of
monitoringPeriodic
of
monitoring of
measurement
credit exposures; credit exposures, credit exposures, credit exposures, credit exposures, credit exposures, credit exposures,
Financial losses canCredit guidelines Credit guidelines Credit guidelines Credit guidelines Credit guidelines Credit guidelines Credit guidelines
result from counterparty
approved by RMC approved by RMC; approved by RMC; approved by RMC; approved by RMC; approved by RMC;approved by RMC;
failure to meet financial
Regulatory rules; Regulatory rules; Regulatory rules; Regulatory rules; Regulatory rules; Regulatory rules;
or operational contract
Standard contact Standard contact Standard contact Standard contact Standard contact Standard contact
terms; Netting
terms; Netting
terms; Netting
terms; Netting
terms; Collateral and
terms; Collateral and
terms.
agreements;
agreements;
agreements;
agreements;
letters of credit; Credit
letters of credit; Credit
Collateral and letters
Collateral and lettersCollateral and letters
Collateral and letters
reserves
reserves
of credit; Credit of credit; Credit
of credit; Credit of credit; Credit
reserves
reserves
reserves
reserves
5a
1b
Major
Insignificant
Catastrophic
Scoping
9.50
80%
40%
Risk Consequence
Esempi di deliverable
• Working in partnership with the business we will define
• Hyperion committee
and deliver Vodafone’s management information
• Local OpCo data
requirements, implementing a robust governance process
warehouses
to ensure continuous business information integrity,
relevance and value
REQUIRED
CURRENT
• Analisi dei gap e
delle aree di
miglioramento
• Training alle risorse
dedicate
Average savings
TODAY’S ENVIRONMENT
• Identificazione di
potenziali aree di
miglioramento
• Reporting
90%
INITIATIVES
CRITICAL OBJECTIVE:INSIGHTFUL MANAGEMENT INFORMATION
• Esecuzione di un
assessment post
implementazione
Risk Consequence
Fasi
Il processo di implementazione del CA/CM
Imp
Strategy
SoX
Remediation
SSC SoX
Compliance
Full SoX SSC
Compliance
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
10
Esempi di Controlli e KPI/KRI su base periodica
Cod
Rischi
Descrizione del Rischio
Breve Descrizione del Controllo
Frequenza del
controllo
1
Mantenere un’anagrafica fornitore fittizia ed emettere una
fattura per il fornitore stesso
Verificare che le modifiche alle coordinate bancarie nell’anagrafiche fornitori
siano autorizzate, in particolare nei casi in cui la stessa persona abbia anche
emesso per lo stesso fornitore una fattura
mensile
2
Mantenere un’anagrafica fornitore fittizia ed effettuare un
pagamento verso lo stesso fornitore
Verificare che le modifiche alle coordinate bancarie nell’anagrafiche fornitori
siano autorizzate, in particolare nei casi in cui la stessa persona abbia anche
emesso un pagamento allo stesso fornitore
mensile
3
Eseguire una fattura fornitore ed emettere contestualmente il
pagamento
Verificare che una stesa persona non abbia eseguito sia una fattura che il
relativo pagamento: nel caso si sia verificato, verificare l’esistenza
dell’autorizzazione all’esecuzione dei pagamenti.
mensile
Processo
Definizione dei
prezzi di vendita e
degli sconti
Gestione delle
spedizioni
Evento
Indicatore di anomalia
Ordini di vendita a prezzi differenti dal
listino e/o con sconti superiori alle
soglie definite.
Lista degli ordini processati
Ordini di vendita evasi parzialmente o
in ritardo rispetto alla data di prevista
consegna
Lista degli ordini evasi parzialmente
Valore degli ordini processati
Valore degli sconti concessi
Valore degli ordini evasi parzialmente
Lista degli ordini evasi in ritardo
Valore degli ordini evasi in ritardo
© 2012 KPMG Advisory S.p.A. è una società per azioni di diritto italiano e fa parte del network KPMG di entità indipendenti affiliate a KPMG International Cooperative ("KPMG
International"), entità di diritto svizzero. Tutti i diritti riservati.
Eccezioni
Follow-up
Rischio
Performance
Perdita economica
Danni reputazionali
Frodi
Performance
Perdite di clienti e di quote di
mercato
Danni reputazionali
Perdite economiche
11
Controlli integrati: di Business e sugli accessi
Esempio di approccio integrato sui controlli business e profili utente.
CONTROLLI BUSINESS
PROCESSO
CONTABILITA GENERALE
CICLO ATTIVO
CICLO PASSIVO
GESTIONE CESPITI
GESTIONE MATERIALI
CONTROLLO DEI
PRIVILEGI (Sod)
CONTROLLI INTEGRATI
(Business + Privilegi)






GESTIONE IVA


GESTIONE ORDINI DI VENDITA




ANAGRAFICHE CLIENTI




FATTURAZIONE



GESTIONE ORDINI DI ACQUISTO



MOVIMENTI MERCI



ANAGRAFICHE FORNITORI



FATTURAZIONE



PAGAMENTI



ANAGRAFICA CESPITE



AMMORTAMENTI



RICHIESTE E APPROVAZIONI


ANAGRAFICHE MATERIALI


ORDINI E APPROVAZIONI


SOTTO PROCESSO
STATICI
(customizing)
DINAMICI
(dati business)
ANAGRAFICA COGE

STRUTTURE BILANCIO
VALUTAZIONE RIMANENZE
GESTIONE UTENTI/RUOLI






ANAGRAFICHE UTENTI



GESTIONE AUTORIZZAZIONI



GESTIONE SICUREZZA



© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.


Esempio di un sistema di Continuous Auditing / Continuous Monitoring
4
3
5
2
4
5
1
1.
2.
3.
4/5.
Definizione delle regole (KPI, controlli, ecc.) nel tool di CA/CM che esegue le query nel sistema informativo ERP.
I risultati del tool sono archiviati in un data base appropriato dove sono svolte le analisi.
Il tool CA/CM alimenta un web server con gli alert prodotti verso gli auditor o il management.
Gli auditor e il management ricevono gli alert e sono reindirizzati verso il “reporting” via web. Il dashboard permette
agli utenti di navigare dentro i grafici prodotti e registrare gli esiti delle investigazioni e delle eccezioni.
Alcuni dei principali sistemi di CA/CM ad oggi sul mercato sono: SAP, Oracle, Approva, Archer, IDEA, ACL, ecc.
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
13
Soluzione su Piattaforma Microsoft
• Alert
• WF
• Registrazioni
esiti eccezioni
• Alert
• WF
• Registrazioni
esiti eccezioni
Import ed Analisi in
SQL - Office
n° livello
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
2° livello
Remote
Function
1° livello
SAP
14
Esempio di reporting
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
Esempio di reporting
Grafico aggregato del rischio lordo e residuo per categoria
Il reporting dei rischi mostra, in un piano probabilità/impatto, il rischio lordo ed il
rischio residuo per ciascuna categoria di rischio. Il colore del simbolo indicato per
ciascuna categoria ha relazione con il “grado di rischio” complessivo, ottenuto
per “media” di tutti i rischi facenti parte della specifica categoria.
In alternativa, è possibile visualizzare il grafico relativo a tutti i singoli rischi
facenti parte della specifica categoria.
Sopra: Grafico di dettaglio dei rischi lordi e residui per la categoria I-Processi.
A destra: Grafici aggregati dei rischi lordo e residuo in base alle categorie di appartenenza.
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
Esempio di reporting
La capacità di “aggregazione” del dato è alla base della funzionalità
strategica del Modello CA/CM.
Esistono differenti report:
■ reportistica di dettaglio su controlli e KPI;
■ reportistica “aggregata”;
■ in relazione alle necessità, è possibile “customizzare” il modello per ottenere
ulteriori rappresentazioni grafiche.
Esempio: cruscotto riassuntivo
Il cruscotto è costituito da un insieme di report grafici che “riassumono” i dati
relativi ai rischi, controlli , KPIe valutazioni.
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.
Riferimenti
Luca Savoia
Armido Pusiol
Senior Manager
Information Risk Management
KPMG Advisory Spa
Senior Manager
Information Risk Management
KPMG Spa
+39 3488217339
+39 3488289052
CISA CRISC
Prince2 CGEIT CRISC
[email protected]
[email protected]
© 2012 KPMG Advisory S.p.A., an Italian limited liability share capital company and a member firm of the KPMG
network of independent member firms affiliated with KPMG International Cooperative ("KPMG International"), a
Swiss entity. All rights reserved.