Präsentation

GRC Multicompliance, Continuous Control
und Riskmanagement mit ServiceNow
Volker Dohr
Manager Governance, Risk & Compliance
AMAG
1
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Agenda
AMAG - Automobil und Motoren AG
GRC – Herausforderungen in der Praxis
Alles aus einer Hand - Datenmodell und Module
Ein Blick auf die Umsetzung
Take Away
2
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Die AMAG – der führende Automobil-Importeur in der Schweiz
GENERALIMPORTEUR
VON 5 VWKONZERNMARKEN
3
FAHRZEUGE
AUS 23
WERKEN
QUALITÄTSKONTROLLZENTRUM
FÜR DEN VWKONZERN
IMPORT:
89.990
FAHRZ.
2014
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
29%
VW:
Marktanteil
Die AMAG ist die grösste Automobil-Verkaufsorganisation der
Schweiz
84
RETAILBETRIEBE
4
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Die AMAG ist Teil des Familienkonzerns Careal Holding
Careal Holding
AMAG
Automobil- und
Motoren AG
5
AMAG
First AG
AMAG
Leasing
AG
AMAG
Services
90%
Diverse
Beteiligungen
Immobilien
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
kennen die
AMAG
Die Herausforderungen mit GRC, IKS und Audit
6
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Die Rahmenbedingungen vor dem IT GRC Projekt
IT MA
120
Serviceprovider
organische
Strukturen
7
5400
Externe
Auditoren
Mitarbeiter
DE/CH
900
MA bei
VertriebsPartner
viele
Systeme
Erfahrung
mit
IT Audits
ISO
Kontrollen
nicht
aktuell
Einfach
sollte es
sein
PWC
KPMG
EY
Risiko
Maturität
Akzeptanz
IT Audit
Findings
Aufwand
kein
etabliertes
IT Kontrollsystem
Kommunikation
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Wie haben wir Audits früher durchgeführt?
Compliance
Einzelaudit
Prüfobjekte
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Wie wollen wir im künftigen Compliancemodell integriert und
redundanzfrei prüfen?
COMPLIANCE
Gesetz
Regulator
Kunde
Lieferant
Servicelevel
Weisungen
IKS
Unternehmen
Applikation
Prozesse
IT & Infrastruktur
CRH
Bereich
Region Abteilung
Abt., Referat
MASSNAHMEN
9
MONITORING
AUDIT
Audit & Feststellungen
Risiko
RISK
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
!  Vorgaben
!  Gruppierung der Kontrollziele
!  Zuweisung zum bestehenden IKS
!  Wiederverwendung
10
Kontrollen Anforderungen
Das Potential von «Multi-Compliance»
Vorgabe 1
Gesetz
Kontrollz
iel 1
Vorgabe 2
Norm
Kontrollz
iel 2
Control
1
Control
5
Vorgabe 3
Norm
Kontrollz
iel 3
Control
2
Control
6
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Kontrollz
iel 4
Kontrollz
iel 5
Control
3
Control
4
Control
7
Control
8
Vorgabe 4
Service
Kontrollz
iel 6
Control
9
Projektauftrag
Reuse bevor Buy
11
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Die Erwartungen der Auftraggeber
USABILITY
12
WIEDERVERWENDUNG
REPORTING
GUTE
WARTBARKEIT
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
REDUNDANZ
VERMEIDEN
Das Projekt: 12 Monate - bei geringem externen Beratungsbedarf
2014
2013
Q4
Q1
Q3
Q2
Q4
Evaluation
MS: Risk
Projekt: GRC
MS:
Massnahme
Reife &
Integration
Geringer
Aufwand
Meilenstein
erreicht
MS:
Compliance
MS: Audit
MS: IKS
13
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Nach den erreichten Projekt-Meilensteinen kommt nun der Rollout in
den Business Units
2015
2014
Q1
Q4
Q2
Q3
IT:
Risk
Holding:
Risk
Import:
Audit
Holding:
Pilot IKS
14
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Q4
Aus den Vorgaben ist das integrierte AMAG Compliance Framework
im ServiceNow Modul GRC eingearbeitet worden
Compliance
Risiko
IKS & Monitoring
Vorschriften
Risiko
Kontrollen
Audit
Audit
Audittempl.
Audittyp
Vorschriftsinhalte
Monitoringzuweisung
Prüfkatalog
Prüfobjekte
Monitoring
Audit Tasks
Massnahmen
Massnahmen
15
90%
100 %
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Feststellungen
Das GRC Modul war bereits bestens vorbereitet
Nur Berechtigungen, Felder und Notifikationen wurden ergänzt
Compliance
Risiko
IKS & Monitoring
Vorschriften
Risiko
Kontrollen
Audit
Audit
Audittempl.
Audittyp
Monitoringzuweisung
Vorschriftsinhalte
Prüfkatalog
Prüfobjekte
Monitoring
Audit
Tasks
Massnahmen
30%
16
40%
Massnahmen
50%
60%
70%
90%
100 %
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Feststellungen
Notifikation
Schutz
6 Rollen
17
Risiko
Audit
Massnahmen
Kontrollen
Vorschriften
Definierte GRC Prozesse visualisieren das Zusammenspiel zwischen
den GRC Stakeholdern
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Beispiel:
Continuous Control Monitoring
18
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Beispiel:
Risikokatalog und Risiko-Kampagnen
19
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Ein Blick auf die Umsetzung mit ServiceNow
20
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Das GRC Modul auch auf dem Tablet
Akzeptanz von GRC steigern bei Audits, IKS und Monitorings
21
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Fazit: Die Erwartungen der Auftraggeber im Hinblick auf Kosten,
Wiederverwendung und Redundanzreduktion wurden erfüllt
USABILITY
22
WIEDER
VERWENDUNG
REPORTING
GUTE
WARTBARKEIT
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
REDUNDANZ
VERMEIDEN
Take away
Wiederverwendung führt
zu Kostenreduktion und
schneller Implementierung
Initiieren Sie moderne
Compliance doch mal aus
der Informatik!
Weitere Informationen: www.servicenow.com/products/it-governance-risk-and-compliance.html
23
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Besten Dank für Ihre Aufmerksamkeit
Volker Dohr
Manager Governance, Risk & Compliance
AMAG Automobil und Motoren AG
24
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance
Referent
Multicompliance, Continuous Control und Riskmanagement mit Service Now
Die Komplexität der IT-Compliance-Anforderungen nimmt zu. Einerseits
geben Lieferanten, Kunden und Wirtschaftsprüfer unterschiedliche Vorgaben
vor - die durch Industriestandards (wie ISO 27001 oder ISO 9001)
implementiert werden, und deren Umsetzung entsprechend belegt werden
muss. Auf der anderen Seite existieren interne Richtlinien, die durch ein IKS
und regelmässige Kontrollen geprüft und überwacht werden müssen. Mit dem
Governance Risk und Compliance-Modul von ServiceNow war es für die
AMAG Automobil- und Motoren AG möglich, die Komplexität zusammen zu
fassen und ein umfassendes Management dieser Anforderungen, sowie der
Risiken und Audits einzuführen. Erfahren Sie, wie die AMAG
Doppelprüfungen gleicher Risiken vermeiden, Abweichungen in Kontrollen
erkennen, und eine integrierte Betrachtung diverser Kundenanforderungen
einfacher durchführen konnte.
LinkedIn Volker Dohr
25
Informatik
Multicompliance, Continuous Control und Riskmanagement mit ServiceNow, 9. Swiss ITSM / BSM / ITSourcing Forum 2015, 19. März 2015
Volker Dohr, Governance Risk & Compliance