Relatório Case de Implementação do SAP GRC …€¦ · sucedidos projetos conduzidos...
Transcript of Relatório Case de Implementação do SAP GRC …€¦ · sucedidos projetos conduzidos...
Relatório
Case de Implementação do SAP GRC Process Control
Votorantim Industrial
Asug Brasil Impact Awards - Julho 2013
2 - 18
Carta de Apresentação
Á
ASUG Brasil Impact Awards 2013.
Prezados Senhores,
É com prazer que a Votorantim Industrial S.A (VID) submete o case “Implementação do SAP GRC Process
Control” ao prêmio Impact Awards 2013.
O trabalho aqui apresentado vem trazer informações sobre a implementação da solução SAP GRC
(Governance, Risk and Compliance), resultados e benefícios obtidos. Este projeto foi um dos mais bem
sucedidos projetos conduzidos recentemente pela Votorantim Industrial no âmbito nacional e internacional,
trazendo o Grupo para um patamar de maior governança, transparência e conforto para os acionistas,
investidores e o mercado como um todo. Queremos compartilhar este sucesso de como a tecnologia
SAP,combinada com um modelo robusto e efetivo de governança, desempenhou um papel relevante para
obtenção dos objetivos traçados.
De acordo com as regras estabelecidas neste concurso, autorizamos a participação desde case e sua
publicação no portal da ASUG Brasil e revista ASUG News, assim como também a participação da empresa na
grade de palestras da 16º Conferência Anual e divulgação da logomarca da empresa.
Atenciosamente,
Votorantim Industrial
3 - 18
Item Página
O Grupo Votorantim – Institucional 4
Introdução – Necessidade de Negócio 6
Objetivos traçados 7
Descrição do Projeto 8
A solução SAP GRC Process Control 10
O que foi implementado 11
Estrutura Organizacional 12
Metodologia de implementação 13
Resultados 14
Road Map de Implementação 16
A evolução planejada 17
Conclusão 18
Índice
Apresentação - Grupo Votorantim (Industrial)
4
Grupo Votorantim (Industrial)
Estados Unidos
Canadá
Peru
Colômbia
Bolívia
Chile Argentina
Bélgica
Inglaterra
Suíça
Alemanha
China
Malásia
Austrália
Portugal Itália
Áustria
México
Bahamas
Uruguai
Paraguai
Brasil
Hungria
Espanha
Japão
40.000 funcionários
Em mais de 250 municípios
Presença em mais de 20 países
4 - 18
Apresentação - Grupo Votorantim (Industrial)
Fonte: Relatório Administração
2012 Votorantim Industrial
Receita Líquida Geração de Caixa (EBITDA)
Investimentos
2012
2011
23,7 24,8
5,3 5,1
4,3 3,7
bilhões R$
5 - 18
Introdução - Necessidade de Negócio
Em 2011 a Votorantim Industrial S.A (VID) e suas unidades industriais, iniciaram um desafiador projeto de fortalecimento
de sua governança e de seu ambiente de controles internos. Com a expansão destas unidades de negócio, tornou-se um
fator chave estabelecer tais mecanismos de forma a garantir o conforto adequado para os investidores, acionistas e para
o mercado em geral. Neste ano, aconteceu a primeira onda de implementação onde foram estabelecidos controles em
suas unidades de negócio no Brasil (Metalurgia de Zinco, Níquel e Alumínio, Energia, Siderurgia, Cimentos), 6 unidades
no exterior e a unidade de soluções compartilhadas (CSC) em Curitiba. Ao final de 2011, a VID definiu 3 unidades para
receber a certificação AT 501 (com os mesmos critérios e metodologia Sarbanes Oxley de um empresa que tem tal
obrigatoriedade): Holding VID, Votorantim Cimentos e Votorantim Metais Zinco.
Desde o início da implementação deste projeto, havia a preocupação de como seria mantida a evolução e resultados
obtidos ao longo do tempo, de forma sustentável e eficiente. A solução SAP GRC Process Control foi selecionada para
estabelecer uma plataforma robusta e inteligente para gestão das práticas de risco, governança e compliance. O projeto
foi executado ao longo de 6 meses, tendo como parceiro a PwC e foi conduzido pela VID em conjunto com as unidades
de negócio. Envolveu etapas de avaliação das melhores práticas, harmonização destas práticas entre suas unidades de
negócio, treinamento de aproximadamente 1.500 control owners e uma forte gestão da mudança e comunicação,
proporcionando alto nível de participação das áreas de negócio no projeto. A implementação do SAP GRC trouxe grande
benefício no sentido de estabelecer um repositório único de riscos e controles e maior eficiência para atividades de
monitoramento dos controles. Este projeto foi um dos mais bem sucedidos projetos dentro da VID, considerando em
especial o seu alcance para as unidades no âmbito internacional.
Fibria - 2006
Implementação de Sox para uma
das unidades de negócio da
Votorantim
2008 – Grupo Votorantim
Implementação do SAP GRC
Access Control
VID
2011
Identificação e avaliação dos Riscos (em uma visão
harmônica entre todas as unidades de negócio do
Grupo Votorantim)
Implementação dos Controle Conduzido pela VID e
unidades de negócio no Brasil (Metalurgia de Zinco,
Níquel e Alumínio, Energia, Siderurgia, Cimentos), 6
unidades no exterior e a unidade de soluções
compartilhadas (CSC) em Curitiba
VID
2012
Implementação SAP GRC Process
Control
Eficiência e sustentabilidade para
o que foi implementado em 2011
6 - 18
Objetivos Traçados
Reduzir o tempo de
monitoramento dos
controles
Redução no tempo para
tomada de ação sobre
falhas de controle
Padronização do processo
de manutenção das
matrizes de controles
Reduzir o impacto de
remediação e re-teste
de controles
Papel primordial na
prevenção contra
fraudes (sobre
informações residentes
no SAP)
Esforços de atuação dos
control owner e controles
internos facilmente
observado através da
ferramenta
Reforçar o conforto de
Que o controle seja
executado na frequência
estabelecida
Identificação em tempo
real de eventuais
desvios e ações de
fraude.
Gestão das respostas e
ações de
endereçamento do
desvio ou fraudes
Forte monitoramento
dos controles de TI
(Gestão de Mudanças,
Gestão de Acessos,
Segurança)
Forte monitoramento
sobre mudanças em
controles de aplicação
SAP (controles
automatizados)
Forte potencial de
uniformizar controles
para diversas UNs
Eficiência Cobertura do Risco
Plataforma para maior
automatização dos controles Aprimoramento dos
Controles de TI
Fortalecer a Matriz de
Controles de TI
A seguir apresentamos os principais objetivos traçados para o projeto:
7 - 18
Descrição do Projeto
VID, VM, VC, VS, VE, Milpo, Cajamarquila, APDR, VCNA, Acerbrag, GmbH
Compras e Contas a Pagar
Vendas e Contas a Receber
Estoque e Custo
Ativo Imobilizado
Tesouraria
Jurídico
Tributário
Folha de Pagamento
Relatórios Financeiros
Processos Envolvidos
Entregável 1
• Padronização dos Controles e Repositório Central
Entregável 2
• Treinamento de aproximadamente 1.500 colaboradores
Entregável 3
• Procedimentos para Gestão e Monitoramento das Atividades
Entregáveis:
Abrangência organizacional: Background:
Controles
harmonizados entre
11 unidades de
negócio em 6
diferentes geografias
Alta participação das
áreas de negócio
Uniformização dos procedimentos de manutenção, monitoramento e gestão dos controles entre todas as unidades, incluindo do exterior
O Grupo Votorantim concluiu o ano da implementação
(2011) com sucesso e obtendo a certificação dos
controles internos .
Porém a atividade de monitoramento dos controles de
forma contínua demandava alto esforço, era
basicamente realizada de forma manual.
Adicionalmente, havia a necessidade de obter maior
participação dos control owners para execução dos
controles de forma pontual e efetiva.
Para atender estas preocupações, o Votorantim
Industrial tomou a decisão de implementação da solução
SAP GRC Process Control e iniciou no final de 2011 sua
implementação, concluindo-a em meados de 2012.
Parceiro da implementação:
Empresas: Grupo 1: VID Curitiba / VS/ VC/VID Grupo 2: VM/ VCNA/ Acerbrag / GMBH /Milpo / CJM / ADPR
Reduced cost of
compliance and
improved process and
control
Organisation wide,
single source
control framework
Repositório
único e
centralizado de
riscos e
controles
Instrumento de
Gestão para
Resposta ao
Mercado
Assurance
interno e
externo
(regulatório)
Gestão Integrada
de
Risco/Auditoria/C
ompliance
Otimização e
automatização de
controles
Reduzir Custos
de Compliance e
aprimorar
processos e
controles
8 - 18
Nov-Dez Jan Fev Mar Abr Mai
BluePrint
Piloto
Treinamento
VID - Grupo 1
Carga de Dados
Treinamento -
Process Owner
Testes (Controles
Int)
Preparação
Cutover
Go-Live
Operação
Assistida
VID - Grupo 2
Carga de Dados
Treinamento
Testes
Preparação
Cutover
Go-Live
Operação
Assistida
S
Suporte Pós Go-
live
Cronograma:
Control Owners e Process Owner: aproximadamente 1.500 usuários da ferramenta, treinados e capacitados em
sessões presenciais de Treinamento.
0
20
40
60
80
100
120
140
160
Descrição do Projeto:
A seguir apresentamos o volume de controles por unidade de negócio que fizeram parte do escopo do projeto:
9 - 18
Quantid
ade d
e C
ontr
ole
s
Brasil
Exterior
A solução SAP GRC
Esforços de atuação dos
control owner e controles
internos baseado na
ocorrência exceções (não
mais sobre o universo total
dos eventos)
Solução SAP GRC (Governance, Risk and Compliance)
Access Control Process Control
(Foco do Projeto)
Risk Management
Mapeamento da Matriz de Segregação de
funções
Solicitação de acessos com a devida avaliação
dos riscos
Gestão de superusuários
Avaliação de riscos nas manutenções de perfis
Repositório central para as matrizes de controles e para a documentação
da avaliação dos controles
Workflow automatizado para controle do Self-
Assessment, do Teste de Efetivade dos Controles e
Signoff
Dashboards e relatorios para monitoramento
Mapeamento dos riscos estratégicos
Matrizes de Heat Map (classificação e exposição
ao risco)
Gestão dos planos de ação
Integração com o Process Control para tratamento
dos riscos através de controles já
implementados
10 - 18
A solução SAP GRC foi selecionada pela Votorantim pois apresentou os requisitos necessários para apoiar o aperfeiçoamento da governança e
transparência junto aos Stakeholders:
O que foi implementado
11 - 18
1. Auto-avaliação
Self Assessment (CSA) 2. Teste de Efetividade dos Controles
Test of Effectiveness (ToE) 3. Signoff (1*)
Revisão
Independente
Falha de
Controle?
Sim
Process Owner
Execução do Controle
Control Owner
Revisão: Controles Internos da unidade de
negócio
Falha de
Controle?
Sim
Process Owner
Freqüência: Trimestral
Teste: Revisão
Independente
Signoff CEO da Unidade de Negócio
Signoff CEO / CFO VID
Freqüência:Anual
Signoff Diretores da Unidade de Negócio
Freqüência: Mensal
A seguir apresentamos o processo implementado na solução SAP GRC Process Control. A solução proporcionou
implementar processos adequados e com alto nível de automatização para gestão dos dados mestres de riscos e
controles, realização das atividades de auto-avaliação, testes e signoff, com alta utilização de funcionalidade que em
muito auxiliam áreas de negócio e de controles internos. Tais como: workflow automatizado para as alçadas de revisão,
alertas automáticos para alertar sobre o prazo de execução de atividades, dashboards e diversas visões das informações
(por unidade de negócio, por processo, por responsável, por status):
Controles Internos
Votorantim Cimentos
Controles Internos
Votorantim Siderurgia
Controles Internos
Votorantim Metais
Controles Internos
Centro de Serviços Compartilhados
(VID Curitiba)
Controles Internos Corporativo VID
Control Owners, Process Owners, Testadores, Revisores
Votorantim
Corporativo (VID)
Corporativo Unidade
de Negócio (Brasil e
Exterior)
Áreas de negócio
(Corporativo,
Plantas, Fábricas)
Estrutura Organizacional envolvida
A seguir demonstramos a estrutura organizacional suportada pela ferramenta nas atividades de manutenção das matrizes de
riscos e controles, auto-avaliação, testes e monitoramento:
12 - 18
Go-Live
Semana 8
Teste & Validação
• Treinamento
• Definição do plano de
teste
• Coordenação de testes e
suporte
5 Entregáveis
• Documentação de treinamento
• Plano e estratégia de teste
• Scripts de teste para
Unidade/Integração e teste de
aceite de usuário
Semana 14
O Process Control implementado
Framework de controle de
uma única fonte, para toda
a organização
Plataforma centralizada de
monitoramento e
planejamento
Plano de trabalho dos
processos de compliance
orientados
Plataforma de testes de
Risco e Controle (Testes e
Avaliação)
Plataforma de
monitoramento e teste
contínuo
Painel de gerenciamento e
relatórios detalhados à
nível de Grupo
Montagem
• Upload de dados mestres
• Funções/Segurança
• Configuração de Sistema
Entregáveis
• Procedimentos de GRC
• Documento de validação de
dados mestres
4
Desenvolvimento
• Preparar o Go-Live
• Plano de Cutover
• Go-live
Entregáveis
• Documento das atividades de
transição
• Procedimentos padrão de
operação
6
Desenho do Sistema
• Especificação técnica
• Conversão de dados mestres
• Design do papel técnico
• Design do conjunto de regras
Entregáveis
• Documento de configuração do desenho
• Documento do desenho papel técnico
• Modelo customizado de dados mestres
• Documento do design técnico do conjunto
de regras
3
Desenho de negócio
• Avaliação de dados mestres
• Especificações funcionais
• desenho do papel funcional
• Requerimentos de relatórios
• Candidados do conjunto de
regras
Entregáveis
• Documento de desenho de dados mestres
• Documento de desenho do negócio/ Fluxogramas
• Desenho dos papéis funcionais
• Personalização da interface
• Documento funcional do desenho do conjunto de
regras
2
Mobilização
• Time do Projeto GRC
• Escopo geral
• Plano de projeto
detalhado
Entregáveis
• Mapa da orgainzação do projeto
• Escopo e guia de trabalho
detalhado
• Documento dos requerimentos de
negócio
1
Semana 24
Go-Live
A metodologia de implementação
13 - 18
Resultados obtidos
Relatórios, Dashboards, workflows, visibilidade e accountability
Automatização do processo de ativação e envio da Auto-Avaliação
e Teste de Efetividade de Controles
Workflows automatizados para as revisões independentes
Alertas avisando sobre os deadlines e atrasos nas atividades
Relatórios e dashboards para monitoramento em tempo
real sobre a situação dos controles internos em todas as
unidades do grupoVotorantim
O Process Control trouxe um portfólio amplo e muito útil para monitoramento das atividades, proporcionando
rapidez, transparência e maior poder de gestão sobre a execução dos controles e dos planos de ação, sejam
eles com base mensal, trimestral ou anual:
14 - 18
A seguir apresentamos os resultados qualitativos e quantitativos obtidos com o projeto:
Sem a Ferramenta (2011)
Onda 1 = 2012
Implementação do Process
Control
Cenário 2011 x Onda1
Saving % 20% de ganho de eficiência
Drivers
Resultados
Matrizes de controles mantidas em um
repositório centralizado
Evidências e documentações de testes
também mantidas em um repositório
centralizado e de fácil acesso
Eliminação de planilhas e controles
manuais
Monitoramento em tempo real do status
dos controles (CSA e ToE)
Transparência
Informação sobre o ambiente de
controles internos acessível para todos
os níveis da organização. Desde
profissionais das fábricas, passando
pelo corporativo da Unidade de Negócio
e indo até o corporativo Votorantim (VID)
Resultados obtidos
15 - 18
Road Map de implementação (curto e longo prazo)
Implementação Sequencial e Gradual
Para estabelecermos a correta Gestão de Mudança nas áreas de Negócio
Onda 1
Automatizar o processo
de Auto avaliação,
Auditoria e Signoff dos
Controles
Repositório centralizado
dos controle
Repositório único para
as evidências de testes
Onda 2
Frente 1
Automatizar os controles Sox (passíveis de automatização)
Controles de Aplicação
Dados Mestres
Dados Transacionais
Frente 2
Prevenção contra Perdas
Onda 3
Integração do PC com o
Risk Management
Integração do PC com o
Access Control
Onda 4
Aplicação do PC e RM nos
trabalhos de auditoria
interna
Automatização de
controles para sistemas
Legados
Cenário 2011
Mapeamento dos riscos
Identificação dos
controles
Mapeamento de
controles
Implementação
Testes dos controles
Abaixo apresentamos o road map de implementação da solução SAP GRC Process Control em uma perspectiva do curto
ao longo prazo. Os resultados colhidos com o projeto nesta Onda 1 são importantes. Esta onda também estabelece uma
plataforma para outras ondas de evolução, tais como automatização de controles, prevenção de perdas , bem como a
expansão do universo de controles para a camada de riscos da operação das unidades de negócio:
16 - 18
Foco deste projeto
PC envia resposta do gestor para área independente
avaliar
Mapeamento dos Riscos
(Risk Based Approach)
SAP (ECC)
Mapeamento dos Controles
Automatização do Controle no PC (robots)
Passível de
automatização?
PC se conecta no(s) ERP(s)e “varre” as tabelas
PC envia email de alerta para Gestor do Usuário responder
a exceção
Exceção
Identificada?
Resposta
aceita?
Solicita ao gestor responsável um plano de
ação
ERP Votorantim
Sim
Não
Rotina periódica do Process Control para Controles
Automatizados
Sim
Próximos passos
Importante ressaltar que este projeto foi implementado tendo como objetivo estabelecer uma plataforma robusta e para a
implementação de automatização de controles (CCM – Continuous Control Monitoring). Nesta abordagem, o Process Control
oferece uma gama de funcionalidades que proporcionará ao Grupo Votorantim usufruir de maior eficiência e maior cobertura do
risco:
17 - 18
Conclusão
18 - 18
O projeto de implementação do SAP GRC Process Control obteve sucesso e forte reconhecimento por parte das unidades
de negócio Votorantim.
A implementação trouxe um visão integrada e padronizada sobre riscos e controles compartilhada entre a Votorantim
Industrial e com todas as unidades de negócio. Contou com a participação de mais de 1.500 profissionais, os quais foram
capacitados no uso da ferramenta, treinamentos os quais ocorreram in loco em todos os países e geografias onde estes
profissionais se encontram.
A Votorantim Industrial é uma das maiores empresas brasileiras a obter a certificação de seus controles internos, sem ter a
obrigatoriedade legal para isto. E a implementação do SAP GRC Process Control tem um papel importante na
sustentabilidade deste resultado.
Foi um dos projetos mais bem sucedidos conduzido pela VID em conjunto com suas unidades de negócio, seja pela
amplitude geográfica que alcançou (Brasil e unidades internacionais), bem como pela transformação que provocou em
todas as áreas de negócio no sentido de trazer para os gestores a importância de implementar e manter o bom nível da
qualidade e da assertividade de seus controles, e com isto, prover aos investidores, acionistas e ao mercado confiança e
transparência sobre as operações da Companhia.
Importante ressaltar também que o projeto estabelece de forma definitiva um plataforma robusta e útil para a evolução
continua do modelo de controles internos, abrindo as portas para continuamente aplicar maior uso da tecnologia na
automatização de controles, prevenção a perdas e monitoramento de riscos no nível da operação dos processos de cada
unidade de negócio do Grupo Votorantim.
Controles Internos Corporativo
www.votorantim.com.br