Relatório

Case de Implementação do SAP GRC Process Control

Votorantim Industrial

Asug Brasil Impact Awards - Julho 2013

2 - 18

Carta de Apresentação

Á

ASUG Brasil Impact Awards 2013.

Prezados Senhores,

É com prazer que a Votorantim Industrial S.A (VID) submete o case “Implementação do SAP GRC Process

Control” ao prêmio Impact Awards 2013.

O trabalho aqui apresentado vem trazer informações sobre a implementação da solução SAP GRC

(Governance, Risk and Compliance), resultados e benefícios obtidos. Este projeto foi um dos mais bem

sucedidos projetos conduzidos recentemente pela Votorantim Industrial no âmbito nacional e internacional,

trazendo o Grupo para um patamar de maior governança, transparência e conforto para os acionistas,

investidores e o mercado como um todo. Queremos compartilhar este sucesso de como a tecnologia

SAP,combinada com um modelo robusto e efetivo de governança, desempenhou um papel relevante para

obtenção dos objetivos traçados.

De acordo com as regras estabelecidas neste concurso, autorizamos a participação desde case e sua

publicação no portal da ASUG Brasil e revista ASUG News, assim como também a participação da empresa na

grade de palestras da 16º Conferência Anual e divulgação da logomarca da empresa.

Atenciosamente,

Votorantim Industrial

3 - 18

Item Página

O Grupo Votorantim – Institucional 4

Introdução – Necessidade de Negócio 6

Objetivos traçados 7

Descrição do Projeto 8

A solução SAP GRC Process Control 10

O que foi implementado 11

Estrutura Organizacional 12

Metodologia de implementação 13

Resultados 14

Road Map de Implementação 16

A evolução planejada 17

Conclusão 18

Índice

Apresentação - Grupo Votorantim (Industrial)

4

Grupo Votorantim (Industrial)

Estados Unidos

Canadá

Peru

Colômbia

Bolívia

Chile Argentina

Bélgica

Inglaterra

Suíça

Alemanha

China

Malásia

Austrália

Portugal Itália

Áustria

México

Bahamas

Uruguai

Paraguai

Brasil

Hungria

Espanha

Japão

40.000 funcionários

Em mais de 250 municípios

Presença em mais de 20 países

4 - 18

Apresentação - Grupo Votorantim (Industrial)

Fonte: Relatório Administração

2012 Votorantim Industrial

Receita Líquida Geração de Caixa (EBITDA)

Investimentos

2012

2011

23,7 24,8

5,3 5,1

4,3 3,7

bilhões R$

5 - 18

Introdução - Necessidade de Negócio

Em 2011 a Votorantim Industrial S.A (VID) e suas unidades industriais, iniciaram um desafiador projeto de fortalecimento

de sua governança e de seu ambiente de controles internos. Com a expansão destas unidades de negócio, tornou-se um

fator chave estabelecer tais mecanismos de forma a garantir o conforto adequado para os investidores, acionistas e para

o mercado em geral. Neste ano, aconteceu a primeira onda de implementação onde foram estabelecidos controles em

suas unidades de negócio no Brasil (Metalurgia de Zinco, Níquel e Alumínio, Energia, Siderurgia, Cimentos), 6 unidades

no exterior e a unidade de soluções compartilhadas (CSC) em Curitiba. Ao final de 2011, a VID definiu 3 unidades para

receber a certificação AT 501 (com os mesmos critérios e metodologia Sarbanes Oxley de um empresa que tem tal

obrigatoriedade): Holding VID, Votorantim Cimentos e Votorantim Metais Zinco.

Desde o início da implementação deste projeto, havia a preocupação de como seria mantida a evolução e resultados

obtidos ao longo do tempo, de forma sustentável e eficiente. A solução SAP GRC Process Control foi selecionada para

estabelecer uma plataforma robusta e inteligente para gestão das práticas de risco, governança e compliance. O projeto

foi executado ao longo de 6 meses, tendo como parceiro a PwC e foi conduzido pela VID em conjunto com as unidades

de negócio. Envolveu etapas de avaliação das melhores práticas, harmonização destas práticas entre suas unidades de

negócio, treinamento de aproximadamente 1.500 control owners e uma forte gestão da mudança e comunicação,

proporcionando alto nível de participação das áreas de negócio no projeto. A implementação do SAP GRC trouxe grande

benefício no sentido de estabelecer um repositório único de riscos e controles e maior eficiência para atividades de

monitoramento dos controles. Este projeto foi um dos mais bem sucedidos projetos dentro da VID, considerando em

especial o seu alcance para as unidades no âmbito internacional.

Fibria - 2006

Implementação de Sox para uma

das unidades de negócio da

Votorantim

2008 – Grupo Votorantim

Implementação do SAP GRC

Access Control

VID

2011

Identificação e avaliação dos Riscos (em uma visão

harmônica entre todas as unidades de negócio do

Grupo Votorantim)

Implementação dos Controle Conduzido pela VID e

unidades de negócio no Brasil (Metalurgia de Zinco,

Níquel e Alumínio, Energia, Siderurgia, Cimentos), 6

unidades no exterior e a unidade de soluções

compartilhadas (CSC) em Curitiba

VID

2012

Implementação SAP GRC Process

Control

Eficiência e sustentabilidade para

o que foi implementado em 2011

6 - 18

Objetivos Traçados

Reduzir o tempo de

monitoramento dos

controles

Redução no tempo para

tomada de ação sobre

falhas de controle

Padronização do processo

de manutenção das

matrizes de controles

Reduzir o impacto de

remediação e re-teste

de controles

Papel primordial na

prevenção contra

fraudes (sobre

informações residentes

no SAP)

Esforços de atuação dos

control owner e controles

internos facilmente

observado através da

ferramenta

Reforçar o conforto de

Que o controle seja

executado na frequência

estabelecida

Identificação em tempo

real de eventuais

desvios e ações de

fraude.

Gestão das respostas e

ações de

endereçamento do

desvio ou fraudes

Forte monitoramento

dos controles de TI

(Gestão de Mudanças,

Gestão de Acessos,

Segurança)

Forte monitoramento

sobre mudanças em

controles de aplicação

SAP (controles

automatizados)

Forte potencial de

uniformizar controles

para diversas UNs

Eficiência Cobertura do Risco

Plataforma para maior

automatização dos controles Aprimoramento dos

Controles de TI

Fortalecer a Matriz de

Controles de TI

A seguir apresentamos os principais objetivos traçados para o projeto:

7 - 18

Descrição do Projeto

VID, VM, VC, VS, VE, Milpo, Cajamarquila, APDR, VCNA, Acerbrag, GmbH

Compras e Contas a Pagar

Vendas e Contas a Receber

Estoque e Custo

Ativo Imobilizado

Tesouraria

Jurídico

Tributário

Folha de Pagamento

Relatórios Financeiros

Processos Envolvidos

Entregável 1

• Padronização dos Controles e Repositório Central

Entregável 2

• Treinamento de aproximadamente 1.500 colaboradores

Entregável 3

• Procedimentos para Gestão e Monitoramento das Atividades

Entregáveis:

Abrangência organizacional: Background:

Controles

harmonizados entre

11 unidades de

negócio em 6

diferentes geografias

Alta participação das

áreas de negócio

Uniformização dos procedimentos de manutenção, monitoramento e gestão dos controles entre todas as unidades, incluindo do exterior

O Grupo Votorantim concluiu o ano da implementação

(2011) com sucesso e obtendo a certificação dos

controles internos .

Porém a atividade de monitoramento dos controles de

forma contínua demandava alto esforço, era

basicamente realizada de forma manual.

Adicionalmente, havia a necessidade de obter maior

participação dos control owners para execução dos

controles de forma pontual e efetiva.

Para atender estas preocupações, o Votorantim

Industrial tomou a decisão de implementação da solução

SAP GRC Process Control e iniciou no final de 2011 sua

implementação, concluindo-a em meados de 2012.

Parceiro da implementação:

Empresas: Grupo 1: VID Curitiba / VS/ VC/VID Grupo 2: VM/ VCNA/ Acerbrag / GMBH /Milpo / CJM / ADPR

Reduced cost of

compliance and

improved process and

control

Organisation wide,

single source

control framework

Repositório

único e

centralizado de

riscos e

controles

Instrumento de

Gestão para

Resposta ao

Mercado

Assurance

interno e

externo

(regulatório)

Gestão Integrada

de

Risco/Auditoria/C

ompliance

Otimização e

automatização de

controles

Reduzir Custos

de Compliance e

aprimorar

processos e

controles

8 - 18

Nov-Dez Jan Fev Mar Abr Mai

BluePrint

Piloto

Treinamento

VID - Grupo 1

Carga de Dados

Treinamento -

Process Owner

Testes (Controles

Int)

Preparação

Cutover

Go-Live

Operação

Assistida

VID - Grupo 2

Carga de Dados

Treinamento

Testes

Preparação

Cutover

Go-Live

Operação

Assistida

S

Suporte Pós Go-

live

Cronograma:

Control Owners e Process Owner: aproximadamente 1.500 usuários da ferramenta, treinados e capacitados em

sessões presenciais de Treinamento.

0

20

40

60

80

100

120

140

160

Descrição do Projeto:

A seguir apresentamos o volume de controles por unidade de negócio que fizeram parte do escopo do projeto:

9 - 18

Quantid

ade d

e C

ontr

ole

s

Brasil

Exterior

A solução SAP GRC

Esforços de atuação dos

control owner e controles

internos baseado na

ocorrência exceções (não

mais sobre o universo total

dos eventos)

Solução SAP GRC (Governance, Risk and Compliance)

Access Control Process Control

(Foco do Projeto)

Risk Management

Mapeamento da Matriz de Segregação de

funções

Solicitação de acessos com a devida avaliação

dos riscos

Gestão de superusuários

Avaliação de riscos nas manutenções de perfis

Repositório central para as matrizes de controles e para a documentação

da avaliação dos controles

Workflow automatizado para controle do Self-

Assessment, do Teste de Efetivade dos Controles e

Signoff

Dashboards e relatorios para monitoramento

Mapeamento dos riscos estratégicos

Matrizes de Heat Map (classificação e exposição

ao risco)

Gestão dos planos de ação

Integração com o Process Control para tratamento

dos riscos através de controles já

implementados

10 - 18

A solução SAP GRC foi selecionada pela Votorantim pois apresentou os requisitos necessários para apoiar o aperfeiçoamento da governança e

transparência junto aos Stakeholders:

O que foi implementado

11 - 18

1. Auto-avaliação

Self Assessment (CSA) 2. Teste de Efetividade dos Controles

Test of Effectiveness (ToE) 3. Signoff (1*)

Revisão

Independente

Falha de

Controle?

Sim

Process Owner

Execução do Controle

Control Owner

Revisão: Controles Internos da unidade de

negócio

Falha de

Controle?

Sim

Process Owner

Freqüência: Trimestral

Teste: Revisão

Independente

Signoff CEO da Unidade de Negócio

Signoff CEO / CFO VID

Freqüência:Anual

Signoff Diretores da Unidade de Negócio

Freqüência: Mensal

A seguir apresentamos o processo implementado na solução SAP GRC Process Control. A solução proporcionou

implementar processos adequados e com alto nível de automatização para gestão dos dados mestres de riscos e

controles, realização das atividades de auto-avaliação, testes e signoff, com alta utilização de funcionalidade que em

muito auxiliam áreas de negócio e de controles internos. Tais como: workflow automatizado para as alçadas de revisão,

alertas automáticos para alertar sobre o prazo de execução de atividades, dashboards e diversas visões das informações

(por unidade de negócio, por processo, por responsável, por status):

Controles Internos

Votorantim Cimentos

Controles Internos

Votorantim Siderurgia

Controles Internos

Votorantim Metais

Controles Internos

Centro de Serviços Compartilhados

(VID Curitiba)

Controles Internos Corporativo VID

Control Owners, Process Owners, Testadores, Revisores

Votorantim

Corporativo (VID)

Corporativo Unidade

de Negócio (Brasil e

Exterior)

Áreas de negócio

(Corporativo,

Plantas, Fábricas)

Estrutura Organizacional envolvida

A seguir demonstramos a estrutura organizacional suportada pela ferramenta nas atividades de manutenção das matrizes de

riscos e controles, auto-avaliação, testes e monitoramento:

12 - 18

Go-Live

Semana 8

Teste & Validação

• Treinamento

• Definição do plano de

teste

• Coordenação de testes e

suporte

5 Entregáveis

• Documentação de treinamento

• Plano e estratégia de teste

• Scripts de teste para

Unidade/Integração e teste de

aceite de usuário

Semana 14

O Process Control implementado

Framework de controle de

uma única fonte, para toda

a organização

Plataforma centralizada de

monitoramento e

planejamento

Plano de trabalho dos

processos de compliance

orientados

Plataforma de testes de

Risco e Controle (Testes e

Avaliação)

Plataforma de

monitoramento e teste

contínuo

Painel de gerenciamento e

relatórios detalhados à

nível de Grupo

Montagem

• Upload de dados mestres

• Funções/Segurança

• Configuração de Sistema

Entregáveis

• Procedimentos de GRC

• Documento de validação de

dados mestres

4

Desenvolvimento

• Preparar o Go-Live

• Plano de Cutover

• Go-live

Entregáveis

• Documento das atividades de

transição

• Procedimentos padrão de

operação

6

Desenho do Sistema

• Especificação técnica

• Conversão de dados mestres

• Design do papel técnico

• Design do conjunto de regras

Entregáveis

• Documento de configuração do desenho

• Documento do desenho papel técnico

• Modelo customizado de dados mestres

• Documento do design técnico do conjunto

de regras

3

Desenho de negócio

• Avaliação de dados mestres

• Especificações funcionais

• desenho do papel funcional

• Requerimentos de relatórios

• Candidados do conjunto de

regras

Entregáveis

• Documento de desenho de dados mestres

• Documento de desenho do negócio/ Fluxogramas

• Desenho dos papéis funcionais

• Personalização da interface

• Documento funcional do desenho do conjunto de

regras

2

Mobilização

• Time do Projeto GRC

• Escopo geral

• Plano de projeto

detalhado

Entregáveis

• Mapa da orgainzação do projeto

• Escopo e guia de trabalho

detalhado

• Documento dos requerimentos de

negócio

1

Semana 24

Go-Live

A metodologia de implementação

13 - 18

Resultados obtidos

Relatórios, Dashboards, workflows, visibilidade e accountability

Automatização do processo de ativação e envio da Auto-Avaliação

e Teste de Efetividade de Controles

Workflows automatizados para as revisões independentes

Alertas avisando sobre os deadlines e atrasos nas atividades

Relatórios e dashboards para monitoramento em tempo

real sobre a situação dos controles internos em todas as

unidades do grupoVotorantim

O Process Control trouxe um portfólio amplo e muito útil para monitoramento das atividades, proporcionando

rapidez, transparência e maior poder de gestão sobre a execução dos controles e dos planos de ação, sejam

eles com base mensal, trimestral ou anual:

14 - 18

A seguir apresentamos os resultados qualitativos e quantitativos obtidos com o projeto:

Sem a Ferramenta (2011)

Onda 1 = 2012

Implementação do Process

Control

Cenário 2011 x Onda1

Saving % 20% de ganho de eficiência

Drivers

Resultados

Matrizes de controles mantidas em um

repositório centralizado

Evidências e documentações de testes

também mantidas em um repositório

centralizado e de fácil acesso

Eliminação de planilhas e controles

manuais

Monitoramento em tempo real do status

dos controles (CSA e ToE)

Transparência

Informação sobre o ambiente de

controles internos acessível para todos

os níveis da organização. Desde

profissionais das fábricas, passando

pelo corporativo da Unidade de Negócio

e indo até o corporativo Votorantim (VID)

Resultados obtidos

15 - 18

Road Map de implementação (curto e longo prazo)

Implementação Sequencial e Gradual

Para estabelecermos a correta Gestão de Mudança nas áreas de Negócio

Onda 1

Automatizar o processo

de Auto avaliação,

Auditoria e Signoff dos

Controles

Repositório centralizado

dos controle

Repositório único para

as evidências de testes

Onda 2

Frente 1

Automatizar os controles Sox (passíveis de automatização)

Controles de Aplicação

Dados Mestres

Dados Transacionais

Frente 2

Prevenção contra Perdas

Onda 3

Integração do PC com o

Risk Management

Integração do PC com o

Access Control

Onda 4

Aplicação do PC e RM nos

trabalhos de auditoria

interna

Automatização de

controles para sistemas

Legados

Cenário 2011

Mapeamento dos riscos

Identificação dos

controles

Mapeamento de

controles

Implementação

Testes dos controles

Abaixo apresentamos o road map de implementação da solução SAP GRC Process Control em uma perspectiva do curto

ao longo prazo. Os resultados colhidos com o projeto nesta Onda 1 são importantes. Esta onda também estabelece uma

plataforma para outras ondas de evolução, tais como automatização de controles, prevenção de perdas , bem como a

expansão do universo de controles para a camada de riscos da operação das unidades de negócio:

16 - 18

Foco deste projeto

PC envia resposta do gestor para área independente

avaliar

Mapeamento dos Riscos

(Risk Based Approach)

SAP (ECC)

Mapeamento dos Controles

Automatização do Controle no PC (robots)

Passível de

automatização?

PC se conecta no(s) ERP(s)e “varre” as tabelas

PC envia email de alerta para Gestor do Usuário responder

a exceção

Exceção

Identificada?

Resposta

aceita?

Solicita ao gestor responsável um plano de

ação

ERP Votorantim

Sim

Não

Rotina periódica do Process Control para Controles

Automatizados

Sim

Próximos passos

Importante ressaltar que este projeto foi implementado tendo como objetivo estabelecer uma plataforma robusta e para a

implementação de automatização de controles (CCM – Continuous Control Monitoring). Nesta abordagem, o Process Control

oferece uma gama de funcionalidades que proporcionará ao Grupo Votorantim usufruir de maior eficiência e maior cobertura do

risco:

17 - 18

Conclusão

18 - 18

O projeto de implementação do SAP GRC Process Control obteve sucesso e forte reconhecimento por parte das unidades

de negócio Votorantim.

A implementação trouxe um visão integrada e padronizada sobre riscos e controles compartilhada entre a Votorantim

Industrial e com todas as unidades de negócio. Contou com a participação de mais de 1.500 profissionais, os quais foram

capacitados no uso da ferramenta, treinamentos os quais ocorreram in loco em todos os países e geografias onde estes

profissionais se encontram.

A Votorantim Industrial é uma das maiores empresas brasileiras a obter a certificação de seus controles internos, sem ter a

obrigatoriedade legal para isto. E a implementação do SAP GRC Process Control tem um papel importante na

sustentabilidade deste resultado.

Foi um dos projetos mais bem sucedidos conduzido pela VID em conjunto com suas unidades de negócio, seja pela

amplitude geográfica que alcançou (Brasil e unidades internacionais), bem como pela transformação que provocou em

todas as áreas de negócio no sentido de trazer para os gestores a importância de implementar e manter o bom nível da

qualidade e da assertividade de seus controles, e com isto, prover aos investidores, acionistas e ao mercado confiança e

transparência sobre as operações da Companhia.

Importante ressaltar também que o projeto estabelece de forma definitiva um plataforma robusta e útil para a evolução

continua do modelo de controles internos, abrindo as portas para continuamente aplicar maior uso da tecnologia na

automatização de controles, prevenção a perdas e monitoramento de riscos no nível da operação dos processos de cada

unidade de negócio do Grupo Votorantim.

Controles Internos Corporativo

rogier.hofman@vpar.com.br

andrea.vieira@vpar.com.br

www.votorantim.com.br