La compliance in un’azienda multinazionale: innovare .... Installation and configuration 1. SoD...
Transcript of La compliance in un’azienda multinazionale: innovare .... Installation and configuration 1. SoD...
Milano, 3 Ottobre 2013
Matteo E. Corsi Group IT Compliance & Security Officer
La compliance in un’azienda multinazionale: innovare nonostante i controlli
4
DI CHE SI TRATTA?
SOX What: cos’è il Sarbanes Oxley Act
COSA COMPORTA?
A CHI SI APPLICA?
Il Sarbanes Oxley Act (SOX) è una normativa emessa nel Luglio 2002
negli USA a seguito degli scandali finanziari di alcune grandi
corporation come ENRON e WORLDCOM.
La normativa introduce la responsabilità penale e societaria in materia di
frodi oltre che un inasprimento delle pene per il Top Management delle
società che si rendono colpevoli di non fornire una rappresentazione
veritiera e corretta del bilancio.
Si applica a tutte le società americane e alle società di diritto estero quotate al NYSE (New York
Stock Exchange).
In particolare, le società quotate al NYSE come Luxottica sono interessate principalmente dalle
sezioni della normativa sulla:
Responsabilità Societaria (Corporate Responsability) – Section 302
Miglioramenti dell’informativa finanziaria – Section 404
5
COSA PREVEDE LA SECTION 302?
COSA PREVEDE LA SECTION 404?
La Section 302 prevede l’attestazione da parte di CEO e CFO della veridicità del
bilancio annuale e delle relazioni finanziarie della società.
La Section 404 richiede al management l’implementazione e la
valutazione del sistema di controllo interno sul financial
reporting.
SOX What: cos’è il Sarbanes Oxley Act
Il sistema di controllo interno sul financial reporting è “un processo, attuato dal top
management della società, con il supporto del consiglio di amministrazione, del
management e tutto il personale aziendale, che ha lo scopo di fornire una
ragionevole garanzia sul raggiungimento degli obiettivi di affidabilità delle
informazioni finanziarie e di corretta redazione del bilancio”.
L’obiettivo è quello di fornire la ragionevole certezza sull’attendibilità
dell’informativa finanziaria indipendentemente dalla corretta applicazione dei
principi contabili.
6
1. Scoping : identificazione delle società e dei processi materiali ai fini SOX Rivisto
semestralmente
Marzo – Aprile 2012
Luglio2012-Marzo
2013
Luglio2012-Marzo
2013
2. Analisi del design dei controlli – WALK-THROUGH e
RAZIONALIZZAZIONE
4. Analisi del funzionamento dei controlli - TESTING
5. Identificazione “gap” e implementazione delle azioni correttive
7. Attestazione da parte del management
8. Attestazione da parte della società di revisione
Aprile 2013
Ottobre 2012 -
Aprile 2013 6. Condivisione dei risultati di test con la società di revisione e con l’Audit
Committee
Maggio - Giugno
2012 3. Analisi del design dei controlli con la società di revisione
SOX Profit: processo continuo
7
Con riferimento all’anno 2011, la metodologia ha individuato 16 società del Gruppo incluse nel
perimetro dell’analisi relativa al sistema di controllo interno sul financial reporting.
SOX Profit: progressione dei controlli
MCU (Material Control Unit) Valutazione del sistema di controllo a livello di processo tramite le RCM
(risk control matrix) e a livello entity tramite un questionario “Entity Level”.
SR (Specific Risk) Valutazione del sistema di controllo a livello di processo attraverso le RCM sui
processi rappresentativi del rischio della società in oggetto e a livello entity tramite un questionario “Entity
Level” con focus sui processi “risk”..
MWA (Material When Aggregated) Valutazione del sistema di controllo a livello di processo e a livello
entity attraverso un questionario “Entity Level” con focus sui processi rilevanti.
La valutazione del sistema di controllo interno è diversa a seconda di come è stata qualificata la società in
scope:
MCU - Material Control Units SR - Specific Risk Entities MWA - Material When Aggregated Entities
Luxottica Retail North America - Retail & dDistribution
Luxottica S.r.l.
Luxottica Italia S.r.l.
Luxottica Group SpA
Oakley Inc.
OPSM Group
Luxottica US Holdings Corp
Managed Vision Care
Luxottica USA LLC
Luxottica Iberica
Luxottica France
Luxottica Extra Limited
Luxottica Brasil
Luxottica Fashion Brillen
Luxottica Tristar Optical
Luxottica Trading and Finance Limited
8
No Material weakness (FY 06: > € 21.2 milioni).
5 Significant deficiency (FY 06: tra € 4.2 e € 21.2 milioni):
1. Income taxes Corporate – North America
2. Ciclo passivo – Corporate – Operation Italia
3. Segregation of duties – Corporate – Operations Italia
4. Non routines transactions – Corporate
5. Revenues recognition. –Retail North America
132 Control deficiencies (FY 06: < € 4.2 milioni) di cui 45 per Luxottica Srl e Group.
Il primo anno di compliance - 2006 - si concluse con la certificazione dell’adeguatezza del sistema di
controllo sul financial reporting secondo quanto previsto dalla SOX.
Sono però emerse le seguenti deficiencies:
SOX Profit: razionalizzazione & miglioramento
9
Nel corso di 6 anni l’Internal Audit insieme alle unità di business hanno proceduto ad una revisione del
sistema di controllo interno sui processi relativi alle SOCIETÀ ITALIANE DEL GRUPPO, razionalizzando i
controlli esistenti con l’obiettivo di renderli sempre più efficaci in linea con i cambiamenti organizzativi,
societari, di sistemi informativi e diminuire il peso di tutte le attività di controllo “a basso valore aggiunto”.
Tale attività ha portato a una riduzione del numero di controlli manuali e automatici di più del 43% (da
592 inseriti nelle matrici del 2006 a soli 338 del 2011).
Financial Closing 43 14 -29 -67%
Expenditure 52 25 -27 -52%
Fixed Asset 42 15 -27 -64%
Inventory 96 57 -39 -41%
Sales & Revenues 90 28 -62 -69%
Sales Commission 22 8 -14 -64%
Royalties 7 10 3 43%
Consolidated Financial closing* 37 57 20 54%
HR & Payroll 21 11 -10 -48%
Finance and Treasury 74 30 -44 -59%
Tax & Legal** 33 35 2 6%
IT OPERATIONS&NETWORK - CB 26 19 -7 -27%
IT COMPANY LEVEL CONTROLS - CA 19 14 -5 -26%
IT PROGRAM DEVELOPMENT - CC 30 15 -15 -50%
Totale complessivo 592 338 -254 -43%
* comprende Consolidated Financial Closing, Stock Option, Goodwill& Intangible
**comprende Tax&Legal, Consolidated Tax, Transfer Price
PROCESSO 20112006
Totale Controlli Delta
n° controlli %
SOX Profit: razionalizzazione & miglioramento
10
La valutazione del sistema di controllo interno sul financial reporting per il 2011 è la seguente:
0 MATERIAL WEAKNESS !!!!
L’assenza di MW comporta l’adeguatezza del sistema di controllo di LUXOTTICA sul financial reporting
secondo quanto previsto dal SARBANES OXLEY ACT – Section 404.
Ricordiamoci che se NON si implementano delle azioni migliorative una Control Deficiency può diventare
una Significant Deficiency e allo stesso modo una Significant Deficiency può diventare una Material
Weakness !
È necessario proseguire nel MIGLIORAMENTO CONTINUO
del nostro sistema di controllo!
Soglie di Materialità FY 2011:
Material Weakness > € 34,8 milioni
Significant Deficiency tra € 7 e € 34,8 milioni
Control Deficiencies < € 7 milioni
SOX Profit: misurabile
12
Gli ITAC (Automated Controls) sono stati divisi in 3 tipologie di controlli:
SOX Loss: automatico vs transitorio
Improved alignement with business needs via formally defined
communication channels (Authorisation workflow, keyusers
acceptance, scheduled meetings, interfunctional project teams)
Strenghtened software development procedure
Priority management (system differentiation & scalable procedure)
Risk management responsabilities may be properly assigned
(instead of rolling onto IT functions)
SOX P/L: trascinamento
What SOX Attestation has introduced in terms of security (and what has
not yet)
Better ICT process
management in terms of:
documentation
understanding
Effectiveness and
Efficiency (processes
improved and
streamlined with quality
control points)
Process ownership
SOX Profit: focus vs effetto trascinamento
What may be improved:
Process elements (Data, Risk, documentation mgmt) ownership
low frequency risks detection & management
Risk monitoring tools adoption ( to support risk mgmt
ownership)
Requirements surveying and monitoring (HIPPA, PCI-DSS, CT-
PAT, AEO...)
inclusion of not-financial objectives
SOX Loss: trascinamento
Gruppo CED Audit – lessons learned
Lack of a clear objectives: poorly defined and conflicting and changing
Management test (audit) requires detachment
Implement controls & procedures documentation deep involvement
Controls & procedures evangelization loneliness
Access to Production control (ChaRM) urgency/critical
SoD decisions in place of Business Process Owners Audit goal, not IT!
He’s becoming IT Help Desk’s Help desk (IT sprue) leading to quality
unbalances
Audit activities needs careful planning: overlapping and urgent/critical
tasks disrupt audit activities (Transport, ChaRM, User HelpDesk
Support, unplanned projects such Scissofusione)
Poor Standing
SOX Loss: dispersione delle risorse
Agenda
• Structure of SAP user authorizations
• The project of role and user definitions in SAP
• Subsidiaries Roll-in and SSC
SoD What: implementing SAP and User Profiling
Transformation Program
2008-2011
2. Installation and configuration
1. SoD Matrix definition
3. Defining role and profiles
4. Training and Test
5. Training and Go-Live 6. Support & Follow up
Finalizzazione e approvazione SoD Matrix standard
Completamento configurazione Suite
Completamento definizione ruoli e profili per test
Test
Training
Go Live
1
2
3
4
Milestones:
5
6
Piano originale
Piano effettivo
Milestone
Forecast
Activities substantially completed
Stage of Assistance and training completed
%
di avanzamento
Consuntivo Pianificato
90%
90%
100%
90%
100%
0%
100%
100%
95%
100%
0%
100%
Milestone effettiva
2008
MAR APR MAG GIU LUG AGO SET OTT NOV DEC JAN FEB MAR
2009
1
2
4 5
6
Profilazione e Implementazione SAP GRC
3
Oggi: 24/03/2009
2
1
SoD Profit: lo strumento SAP GRC
SAP is an ERP of high complexity that is divided into basic elements, called
“transactions”. These transactions allow the execution of a set of operations that are
both accounting relevant and not accounting relevant.
It’s important to note that transactions are never assigned to a single user and, since
they are so numerous (approximately 1000 standard) and in a complex environment,
they must be used by many users with different tasks and activities.
Users access to the transactions through Authorization Roles (ZS_), which define
not only the ability, which is associated with the transaction, to use the transaction, but
above all defines how.
Indeed, transactions operate only through the Authorization Objects which define
how the transactions can be used by the user and are essential.
SoD Loss: la profilazione utenti SAP
Example: the transaction AFAB Record Depreciation is granted through the role Depreciation
Record, which contains the only tr. AFAB and has the authorization object A_PERI_BUK saying
that depreciation can only be registered (Activity 30).
If 2 tr. They use the same authorization object (ie the Company) to operate and this is defined
for the entire role, not for the transaction.
Structure of SAP user authorizations
During the GRC project, a program of meetings was carried out in order to define the
organizational roles.
Some significant decisions:
1. Only custom roles associated to users (ZS_NomeModulo_Numeratore), NEVER standard
roles ;
2. Creation of not enabling collective roles (ZC_NomeModulo_Numeratore) which collect sets
of individual enabling roles;
3. The approach is bottom-up, the opposite of the one adopted to enter microfunctions in
AS400 (for SOXA);
4. The authorization roles are created in a development environment and later distributed (CR
Deployment) to all clients, for this reason roles are the same for all the clients:
SoD Profit: perimetro efficace
SAP GRC Compliance User Provisioning introduction
LUXOTTICA – Creazione nuovo ruolo in SAP – Overview Processo
TB
DT
BD
IT C
ompl
ianc
eIT
Com
plia
nce
Hel
p D
esk
Hel
p D
esk
Res
pons
abile
auto
rizza
to
Res
pons
abile
auto
rizza
to
No
SI
SI
NO
Implementazione
nuovo ruolo su
SAP (ambiente di
sviluppo) da ERM
Modifica autorizzata?
Controllo impatti
SoD in Enterprise
Role Management
Analisi conflitti e
individuazione
possibili soluzioni
Esistono conflitti?
End
Start
Invio richiesta
attraverso HDA
Chiusura ticket e
invio mail al
richiedente
Analisi richiesta e
individuazione
modifiche da
eseguire
Approvazione
nuovo ruolo su
Enterprise Role
Management
Rifiuto della
richiesta su
Enterprise Role
Management
Inserimento dati in
Enterprise Role
Management
Trasporto in
ambiente di test e
produzione
MS Excel con
Ruoli e Profili
SAP Governance & Risk Control – Access Control – Compliance User
Provisioning module allows business owners to own users
authorisations and related risks;
Requires TP settlement (after 2012)
SoD Loss: gestione abilitazioni utenti, una strada lunga
GRC allows to analyze the roles and highlights the risks arising from transactions recorded as risky if
assigned to the same person, with no rilevace if the transitcions are assigned to an individual,
collective or other role. In the following example, the risk is in the collective role ZC:
SoD Loss: gestione abilitazioni utenti, una strada lunga
SAP GRC (formerly Virsa) is an additional module that supports the process of managing access and
authorizations, and it consists of 4 modules:
SoD Loss: gestione abilitazioni utenti, una strada lunga
The definition of authorization roles (ZS) has been realized taking into account
conflicting requirements:
On the one hand:
1. Ensuring users with the necessary authorizations to perform their work , primarily to
grant authorizations according to SOXA assessment (i.e. Control Model ); secondarily
refining progressively the authorizations
2. Reducing as much as possible the sheer number of authorization roles to manage
On the other hand:
1. Implementing the Segregation of Duties to support controls (automatic) previously
defined in the Risk Control Matrix (SOXA) in order to reduce the control risks
2. Reducing control risks using Automatic Controls in palce of Manuals ones (leaner and
more reliable)
3. Implementing management requirements ( "vertical segregation”): for example, each
controller manages only its own cost center, and not the others.
SoD Loss: processi integrati
Luxottica User Management has been integrated with SAP User Management.
› The Authorization Management of entitlements is assigned to the Information Systems, which
require for the implementation of the Internal Control Model informations and settlements from
Process Owners (which can be neither IA or IT)
› The Control Owners test periodically the controls. The Process Owners define the Control and
ensure compliance, effectiveness and efficiency.
SoD Loss: accountability & ownership
LUXOTTICA – Creazione nuovo ruolo in SAP – Overview Processo
TB
DT
BD
IT C
om
plia
nce
IT C
om
plia
nce
He
lp D
esk
He
lp D
esk
Re
sp
on
sa
bile
au
torizza
to
Re
sp
on
sa
bile
au
torizza
to
No
SI
SI
NO
Implementazione
nuovo ruolo su
SAP (ambiente di
sviluppo) da ERM
Modifica autorizzata?
Controllo impatti
SoD in Enterprise
Role Management
Analisi conflitti e
individuazione
possibili soluzioni
Esistono conflitti?
End
Start
Invio richiesta
attraverso HDA
Chiusura ticket e
invio mail al
richiedente
Analisi richiesta e
individuazione
modifiche da
eseguire
Approvazione
nuovo ruolo su
Enterprise Role
Management
Rifiuto della
richiesta su
Enterprise Role
Management
Inserimento dati in
Enterprise Role
Management
Trasporto in
ambiente di test e
produzione
MS Excel con
Ruoli e Profili
SoD Loss: accountability & ownership
› Corrective actions can be:
› 1 Organizational Change,
the most economical and
effective, and which
makes use of the Catalog
Roles( )
› 2 Compensation risk
(description of why it is a
"false positive" and why
the risk is not tangible)
› 3 Request of Risk Control
Object
› 4 Accepting risk
(assessment of
materiality )
SoD Loss: competenze tecniche
• Identifying needs and requirements of Tristar (0053) Roles and Luxottica Wholesale China (0118)
Roles (completed)
• Approval of requirements (completed)
• Chinese users identification
• Creating users in LUS010
• Begin preparation for test environnement
• Definition of naming convention Roles
Main activities( 28 febbraio – 11 marzo 2009)
• Creating Tristar e LWSC Roles (84 ruoli)
• Assignment of Roles (deadline del 23/03)
• Test of Abilitation (settimana del 23/03)
Milestone / Planned activitites
ZS_FI-CO_053_002
Modulo/i
ineressati
Codice
società (3
digit)
Progressivo
= attuale (3
digit)
SoD Loss: complessità; leadership
Presentazione Powerpoint 39
PUNTO
APERTO
Gestione utenti SAP ruoli e
responsabilità
Pro (O) Contro (T)
Descrizione
Chi gestirà gli utenti SAP (creazione
utenti e assegnazione ruoli
autorizzativi)
Va
nta
gg
i (S
)
Abbiamo le risorse
Difficoltà di
comunicaizone lingua e
ritardo (time zone)
Soluzione 1 Lo staff cinese (Zanardo)
Co
sti
(W
)
I ticket devono essere
“indirizzati” completati
tradotti: chi lo fa e per
quanto?
Soluzione 2
Quando? <Q4/12
Showstoppe
rs
Zanardo è d’accordo?
Soluzione
Adottata
SoD Loss: complessità; distribuzione informazioni
40
Il Gruppo CED Audit svolgerà le seguenti funzioni:
Audit sui controlli IT
Creazione e manutenzione Ruoli Autorizzativi SAP (area azzurra) comprese l’avvio
nuove filia
La creazione utenti e l’associazione RA (area verde) sarà svolta da gdl in Cina + BMA
SOD Profit: cambiamenti organizzativi
Presentazione Powerpoint 42
SAP GRC Compliance User Provisioning introduction SAP GRC Compliance User Provisioning introduction
Current status:
• Assessment of pilot department (Product
Development)
• Define Security Policies for Deployment
Print/Fax Copy/Paste Mobile Networks
Product Diagrams Confidential Data
Laptop Theft Wrongly Stored Data Removable Media
Social Security or Credit Card Numbers Price Lists
Customer List
Customer List
Project Objective Luxottica is developing a solution that can protect the data owned by Luxottica from threats as:
• Unlawful removal;
• Improper use;
• Illegal distribution
SOD What: Progetto Data Loss Prevention
Kick-off 1 month 2 months 6 months
PILOT SCOPE
Definition, for the countries in scope (Italy, US and UK in this first part of project), of the supports to be used by country
DEVELOPMENT
Development of the training material and identification, if necessary, of specific e-learning IT tools
VIDEO
Recording of the video-presentation in order to give a worldwide overview of the Privacy Data Management project
COACHING
Identification, for the countries in scope, of the coaching needs. Planning and executing of the coaching sessions
NEWSLETTER
Development of a standard newsletter in order to give updates and spread news about privacy and data management
TRAINING/E-LEARNING
Training delivery (both online and live) for the countries in scope and eventual roll-out / go live of the e-learning platform
WORKSHOP
Organization of specific workshop (both online and live) with Legal Depts in order to aware the key people
Communication
/ Awareness
TIMELINE Protiviti offering
SOD Loss: comunicazione
Deployment in corso nell’Area Corporate Financial Reporting:
• Aggiornamento piattaforma
DLP 11.6.2
• Integrazione policy con
Prototyping
• Endpoint deployment
DLP Loss: perimetro flessibile