Recommended
More Related Content
Viewers also liked
Viewers also liked (14)
C.A.A.S. versie klanten versie 2.1
- 2. Unieke dienstverlening voor SAP Kenmerken van Control as a Service (C.a.a.S.): ØWij ontzorgen uw organisatie voor het ‘in control’ zijn. ØDe invulling van de 2nd line of defense / onafhankelijke controle functie. ØContinuous Monitoring van het financieel beheer. 2
- 3. Wat krijgt u met C.a.a.S. 1. Invulling van de 2nd line of defence / interne controle, geheel onafhankelijk van uw organisatie. 2. De uitvoering van periodiek controles en rapportage. 3. Vragen alleen tijd van het management indien nodig (early warnings). 4. Een uitgebreid dossier waaruit blijkt dat de controles zijn uitgevoerd. 5. Een Governance, Risk en Compliance Framework opgezet door zeer ervaren en gecertificeerde auditors. 6. Desgewenst de inrichting van GRC tooling, met de opvolging van signalen 7. Een hoge mate van standaardisatie van controles, waardoor C.a.a.S. tegen betaalbare tarieven kan worden aangeboden. 8. Een volwaardige gesprekpartner voor uw accountant. 9. Ondersteuning bij verbetering van het in control zijn van de organisatie. 10. C.a.a.S. is een groeimodel: start met universele standaard controles voor SAP en breiden die samen met u uit. 3
- 4. SAP is als ERP systeem een goede keuze maar wel veel aandachtspunten bij implementatie en beheer ØAutorisatie inrichting in SAP is een ’uitdaging’ Ø(Te) makkelijk om SAP_ALL uit te delen aan gebruikers en beheerders ØHeel goede Business Controls te implementeren, maar Ø Met bepaalde SAP transacties te omzeilen Ø Met parameters en settings gestuurd => snel uit te schakelen wanneer het change management proces niet goed wordt beheerd Ø Steeds meer steunend op workflow => dedicated voor elke organisatie, niet gebaseerd op TCodes ØSAP biedt veel ondersteuning voor change management, maar Ø Transport mechanisme moet wel beheerst worden Ø Omgevingen moeten niet openstaan voor wijzigingen ØGoede loggingsmogelijkheden, maar Ø Logging is uit te schakelen Ø Logfiles kunnen verloren gaan => niet bewaard in SAP Andere ERP pakketten w.o. Oracle EBS, Microsoft Dynamics missen de meeste door SAP standaard ondersteunde business controls en een transport mechanisme. 4
- 6. Onderdelen C.A.A.S. 1. Intake Is C.a.a.S. geschikt voor u? input voor nulmeting en verbeterplan. 2. Nulmeting Hoe goed bent u ’in control’? Controle Programma’s en verbeterplan. 3. Verbeterplan Ontbrekende beheersmaatregelen belangrijk om op te volgen! 4. Periodieke controles Op basis van Control Programma’s, gestandaardiseerd, vastgelegd in dossiers. 5. Rapportage + early warnings Rapportage naar 1e lijn, early warnings voor het management. 6. Periodieke analyse Key Controls Actualiseren & uitbreiding van de periodieke controles Groei model. 7. Verbeteren beheersmaatregelen De beheersmaatregelen die u dient in te richten / verbeteren in uw organisatie. 8. Uitbreiden Controles Aanpassingen in beheersmaatregelen wij actualiseren de Controle Programma’s. C.a.a.S. is geen eenmalige implementatie. C.a.a.S is wel een product waarmee u ‘in control’ komt en blijft. 6
- 8. 1. Intake toets De intake bestaat uit: o Uw organisatie vult een vragenlijst in. o Interviews met het management, SAP beheerders en key users. o Een documentair onderzoek naar de beveiliging en het beheer van uw SAP systeem. o Opstellen van een verbeterplan. Na de intake is duidelijk welke C.a.a.S. dienstverlening het beste bij uw organisatie past: o De controles waar we direct mee kunnen starten. o De verbetertrajecten waar uw organisatie nog mee aan de slag moet. o Het groeipad dat het beste bij uw organisatie past. 8
- 9. 2. Nulmeting Bij de nulmeting lichten wij u SAP systeem door: o De belangrijkste beveiligingsinstellingen. o De beheerprocessen. o De autorisatie inrichting. o Voor de SAP instellingen en beheerprocessen die wij toereikend hebben bevonden, stellen wij controle programma’s op. o Wij identificeren waar verbeteringen nodig zijn en leggen dit vast in het verbeterplan. De nulmeting is het vertrekpunt voor de periodieke controles. 9
- 10. 3. Verbeterplan In het Verbeterplan staan de beveiligingsinstellingen en beheerprocessen die verbeterd zouden moeten worden om ‘in control’ te zijn. Het verbeterplan dat we voor u opstellen is een dynamisch plan dat op- en bijgesteld wordt op basis van: o Onze constateringen vanuit de intake. o Onze constateringen vanuit de nulmeting. o Onze constateringen vanuit de periodieke controle. o De analyse van de Key controls, wanneer blijkt dat deze niet getroffen zijn. o De doorgevoerde verbeteringen in beveiligingsinstellingen en / of de beheerprocessen. Het is belangrijk dat het management periodiek aandacht besteed aan het Verbeterplan en zorg draagt voor het doorvoeren van de verbeteringen. Desgewenst kunnen we bij het doorvoeren van de verbeteringen ondersteunen. 10
- 11. 4. Periodieke controles De periodieke controles worden uitgevoerd op basis van Controle Programma’s die in voorgaande fases zijn opgesteld. o U verstrekt ons maandelijks de vooraf gevraagde gegevens. o Wij controleren de gegevens en bepalen de deelwaarnemingen. o Wij vragen aanvullende informatie op, waaronder de informatie over de deelwaarnemingen. o Wij verwerken de informatie, voeren het controle programma uit en leggen de uitgevoerde werkzaamheden vast in een digitaal dossier. Het digitaal dossier wordt veilig opgeslagen op uw eigen vertrouwde netwerk of bij een Cloudprovider die aan strenge security eisen voldoet en gedurende ten minste 7 jaar bewaard. 11
- 12. 5. Rapportages Maandelijks ontvangt u van ons een rapportage: o Over de uitgevoerde werkzaamheden. o De belangrijkste bevindingen. o De aanvullende uitgevoerde werkzaamheden en daaraan verbonden kosten. o Over de voortgang van verbeteringen waar wij bij betrokken zijn. Wij nemen slechts contact op met het management, indien managementaandacht noodzakelijk is. 12
- 13. 6. (Periodieke) analyse key controls Periodiek gaan we samen met uw organisatie de Key Controls identificeren: o De Key Controls zijn de beheersmaatregelen die voor de bedrijfsprocessen van de onderneming van essentieel belang zijn. o Samen met u bepalen we op basis van een risico analyse de relevante Key Controls. o De Key Controls betreffen zowel maatregelen in SAP, het IT beheer, in de AO of IC. o De Key Controls kunnen al zijn ingeregeld of nog ontbreken en moeten dan worden ingericht. o Voor de Key Controls die zijn ingeregeld, stellen we Controle Programma’s op. o De Key Controls die nog niet zijn ingeregeld, voegen we toe aan het Verbeterplan. o De Key Controls zijn geen vervanging, maar een aanvulling op de controles die we standaard op SAP en indien afgesproken op infrastructuur niveau hebben ingeregeld. 13
- 14. Product Werkzaamheden Standaard product Plus Intake + Nulmeting + Verbeterplan + Periodieke controles + + Periodieke rapportages + + Managementinformatie (early warnings) + + Ondersteuning verbeteringen + Periodieke analyse Key Controls + 14
- 15. Voordelen voor u Ø De belangrijkste beheerprocessen & de belangrijkste risico’s in SAP worden maandelijks gemonitord op basis van een standaard set van controls. Ø Tijdig signaleren van risico’s en verbeterpunten naar management en 1e lijn. Ø GRC framework, tooling, bemensing 2e lijn wordt u uit handen genomen. Ø Betere uitkomsten uit IT en Financial audits. Ø 2e lijns achtervang, die ondersteunt bij de verbetering en de beheersing van SAP. Ø Kosten reductie omdat gebruik gemaakt wordt van een standaard aanpak en best practices. Ø Focus op key-risks en -controls; geen standaard lijstjes met een oneindig aantal beheersmaatregelen. Ø Minder kosten verbonden aan de accountantscontrole omdat hij / zij kan steunen op onze werkzaamheden. 15