Continuous Controls Monitoring
in MAN Group’s GRC Framework
Governance, Risk & Compliance
Jan Schreiner | München | März 2017
< >
Unternehmensstruktur im Überblick
MAN SE | Governance, Risk & Compliance | März 2017 2
MAN Gruppe
Power Engineering Geschäftsfelder
Bereiche
Commercial Vehicles
MAN SE
Beteiligungen Sinotruk (25 % + 1 Aktie), Scania (17,37 % Stimmrechte)
MAN Diesel & Turbo
Umsatz 2016: 3 113 Mio €
MAN Latin America
Umsatz 2016: 861 Mio €
MAN Truck & Bus
Umsatz 2016: 9 243 Mio € Umsatz 2016: 496 Mio €
Renk (76 %)
< >
Die GRC Organisation der MAN Gruppe
GRC-Organisation etabliert im Januar 2016 durch
Zusammenführung mehrerer Abteilungen
Corporate GRC Office in Personalunion zuständig
für MAN SE und VW Truck & Bus GmbH
Alle Mitarbeiter der GRC Organisation diszipli-
narisch dem Head of GRC / CCO zugeordnet
GRC Board:
• Oberstes GRC Gremium (exkl. Compliance)
• CFOs der MAN Holding und Teilkonzerne
• Beschäftigt sich mit Risiko- und Kontrollthemen
sowie Richtlinienmanagement
MAN SE | Governance, Risk & Compliance | März 2017 3
Organisation
< >
Risk & Control Framework
Zentrales Risikomanagementsystem der MAN Gruppe
MAN SE | Governance, Risk & Compliance | März 2017 4
Framework
Risk & Control Framework
Risiko- &
Chancen-
management
Funktionales
Risiko-
management
GRC
Regel-
prozess
Internes
Kontroll-
system/
CCM
Ereignisrisiken
(Budgets, Vorschau, Marktentwicklungen…)
Systemische Risiken
(Prozesse, Kontrollen, Richtlinien…)
Überblick der Risikolage des
Unternehmens
Akute Geschäftsrisiken mit konkreter
Auswirkung auf Budgets und Ziele
Grundlage für Top-5 Risikomeldung
an VW
Spezialisierte Risikomanagement-
prozesse in der Verantwortung von
Fachbereichen (z.B. Finanzen,
Qualität, F&E…)
Jährlicher VW-Prozess
Fokus auf systemische Risiken und
Kontrollen
Sicherstellung klarer Governance-
Strukturen (Zuständigkeiten,
Richtlinien…)
Prozessorientierte Beschreibung und
Evaluierung interner Kontrollen
Kontrollautomatisierung durch
Continuous Controls Monitoring
(CCM)
< >
CCM bei MAN – eine kleine Zeitreise…
MAN SE | Governance, Risk & Compliance | März 2017 5
CCM bei MAN
Ursprüngliche Ziele
Umsetzung des sog.
Compliance Master Plan
Prüfung der Einhaltung von
MAN Richtlinien
IKS Kontrollautomatisierung
(Effizienz)
Härtung von
Geschäftsprozessen
…
Erfolge und Herausforderungen
Rollout in rund 50 Einheiten, die
SAP nutzen
Umfassendes Kontrollset in den
Bereichen PTP, ITGC and AML
Stabiles, gut geführtes System
Sehr hohe Alarm-Zahlen bei
einigen Kontrollen
Technische Limitationen
Benefits nur teilweise realisiert
Wesentliche Treiber des sog.
“Next Generation CCM”
Effizienz
VW
Neuaus-
schreibung
Risiko-
orientierung
Sharepoint
Upgrade
Prozess/ IKS
Verbesserung
PTP: Purchase-to-pay, ITGC: IT general controls, AML: anti-money laundering
Rollout ITGC
2009 2010 2011 2012 2013 2014 2015 2016
IT Rollout PtP AML
1st PTP
Go-Live Timeline:
Concept Tender Contract
1st ITGC
Go-Live
1st AML
Go-Live
Next Generation
CCM
< >
Schematischer Aufbau des CCM
MAN SE | Governance, Risk & Compliance | März 2017 6
CCM Architektur
CCM Extractors
Software-Schnittstellen zur
Extraktion relevanter Daten aus
den SAP-Systemen auf täglicher
Basis
ERP
System Extractors Analytics Cockpit
CCM Alerts
CCM
Reports
CCM Analytics
Definierte Kontroll-Routinen
analysieren den täglichen Daten-
Download im Hinblick auf die
Einhaltung relevanter Richtlinien
Im Falle von Richtlinien-
Verstößen wird ein Alarm
generiert, der zur Prüfung an das
CCM Cockpit übergeben wird
CCM Cockpit
Frontend des Systems zur
Alarm-Bearbeitung durch
definierte Workflow-User
Verschiedene Workflows
werden im CCM Cockpit
durchgeführt (Alert Handling,
Exceptions…)
Verschiedene Standard-
Reports verfügbar zur
Analyse der Alarme
< >
10 Mega-Kontrollen mit 39 Kontrollvarianten im Purchase-to-Pay Cycle
MAN SE | Governance, Risk & Compliance | März 2017 7
CCM Kontrollkatalog
Mega Control C1
Access to master
database is restricted to
employees not involved
in payment process.
Mega Control C7
Purchase order is approved
according to four-eyes-
principle and according to
amount limits.
Approval is documented and
archived.
Mega Control C14
Two-way validation of
purchase order and goods
received.
Mega Control C16
separation of responsibility
of booking and release of
invoice.
Mega Control C23
Validation of payables
against „MAN Disapproved
List“ before payment.
Mega Control C8
Verification of binding order
and if potential vendor is listed
in so-called „MAN
Disapproved List“.
Mega Control C19
Three-way validation of
purchase order, goods
received and invoice
received.
Prices and amount of
goods are within defined
tolerances.
Mega Control C24
Validation for conspicuous
pattern in advance of
payment: (e.g. payment in
high risks country, …)
. Mega Control C20
Invoices with no reference
are blocked and
investigated.
Defined tolerances are
considered.
Mega Control C12
Report for usage of the
„CPD“ (one-time) accounts
is generated and regularly
checked.
Process
Steps
CCM
Mega
Controls
Master Data
Management
Purchase
Requisition
Purchase
Order
Goods
received
Invoice
received
Payment
processing
Procurement Finance Owner
C1 C7
C8
C14 C16 C23
C24 C19
C20 C12
CPD = Conto pro Diverse
Finance
< >
Transaktionales Vorgehen – Standard-Prozess zur Alarm-Bearbeitung
CCM Alert Handling
MAN SE | Governance, Risk & Compliance | März 2017 8
Process
Owner
genehmigt sog. “Exceptions”.
Control
Owner
validiert die Alarm-
Bearbeitung und schließt
den Vorgang.
Measure
Owner
prüft den Vorgang und
wählt den passenden
Workflow zur Alarm-
Bearbeitung.
Standard Workflow
Exception Workflow
Alarm
geschlossen Alarm geschlossen (Exception genehmigt)
Approval
Approval
Alarm Ein CCM-Alarm bezieht sich auf einen Geschäftsvorgang,
der im Hinblick auf Richtlinienkonformität zu prüfen ist.
Verification
Bearbeitung/ “Remediation"
Vorschlag für Ausnahme- Sachverhalt
< >
Analytisches Vorgehen
Typology von Alarm-Trends C20* (beispielhaft)
CCM Reporting
*Kontrolle C20 identifiziert Rechnungen ohne SAP Bestellbezug
Unterschiedliche Ursachen benötigen individuelle Antworten auf lokaler Ebene
MAN SE | Governance, Risk & Compliance | März 2017
Einheit A
Einheit D Einheit E
Einheit B Einheit C
Einheit F
9
„Jahresend-Krankheit“
„Einmaliger Schluckauf“
„Chronisch krank“ „In guter Form“
„Gesundet“ „Rückfall?“
Jan Schreiner Vice President
Governance, Risk & Compliance
VW Truck & Bus GmbH / MAN SE
Top Related