Téléchargez le livre blanc

INFORMATION
SYSTEM
CONSULTING
FRAUDE, CONTRÔLE INTERNE
ET GESTION DES RISQUES EN ENTREPRISE
SOLUTIONS
SAP
GRC
AVIS D’EXPERTS ET RETOURS CLIENTS.
(GOUVERNANCE, RISQUE ET CONFORMITÉ)
PRÉVENTION ET DÉTECTION DES RISQUES DE FRAUDE :
les nouvelles technologies renforcent la capacité d’analyse des données et offrent
l’opportunité de mettre en place des systèmes de contrôle plus performants.
Expertises et témoignages dans ce livre blanc signé ileven, acteur majeur de la GRC
(Gouvernance, gestion des Risques et de la Conformité) sur SAP en France.
www.ileven.fr
Janvier 2016
ENVIRONNEMENT SAP :
AUCUNE ENTREPRISE N’EST À
L’ABRI DE LA FRAUDE !
ILEVEN,
PARTENAIRE
DES DIRECTIONS
FINANCIÈRES ET
DES DSI
Alors que plus de la moitié des entreprises françaises sont victimes de fraudes,
la technologie est devenue indispensable pour renforcer la détection et la prévention,
et réduire les activités de contrôle chronophages en interne et coûteuses en externe...
Fraude d’actifs, comptable ou aux achats… 55 % des entreprises françaises ont été victimes de ce type d’escroquerie au cours des 24 derniers mois, selon la 7ème édition de l’étude mondiale de PwC sur le sujet. Un chiffre qui
a presque doublé entre 2009 et 2014, et qui concerne tous les secteurs d’activité et toutes les tailles d’entreprise.
55 % DES ENTREPRISES FRANÇAISES
ont été victimes d’une fraude au cours des 24 derniers mois.
De quelles fraudes sont donc victimes les entreprises ? Dans le top 5 :
70%
29%
27%
24%
22%
Les détournements
d’actifs, les plus
fréquents.
La fraude aux achats
La corruption
La cybercriminalité
La fraude comptable
29 % DES FRAUDES SONT LIÉS AUX PROCESSUS ACHAT.
Ce type de fraude a fortement augmenté, favorisé par la concentration
de la fonction achat et les politiques d’externalisation qui impliquent de
nouveaux modèles de contrôle.
2
ILEVEN • LIVRE BLANC 2016
ILEVEN • LIVRE BLANC 2016
3
Mais d‘où vient la fraude ?
Dans 6 cas sur 10, elle vient de l’intérieur, d’un
collaborateur de l’entreprise ayant une certaine
ancienneté et, qui plus est, la confiance de son
management !
Si les fraudes externes ont attiré récemment l’attention,
notamment celles dites “au président”, qui consistent à se
faire passer pour le président d’une entreprise et à réclamer
des virements bancaires sur un compte à l’étranger, celles
internes demeurent le vecteur majoritaire d’atteinte aux actifs. Elles sont non seulement plus fortes en nombre mais
aussi en montants. Stéphane Cohen, président de l’Ordre
des experts-comptables Paris IDF, indique qu’il est « possible
d’estimer à près de 50 % les entreprises liquidées en raison
du larcin de ces escrocs en col blanc ».
60 % DES FRAUDES VIENNENT DE
L’INTÉRIEUR DE L’ENTREPRISE
Les entreprises ont bien pris conscience de ces risques. Selon Euler Hermes France, qui a aussi conduit une enquête
dans le domaine avec l’association nationale des directeurs financiers et de contrôle de gestion (DFCG), 80 % des
dirigeants d’entreprises considèrent la fraude comme une
menace importante, et 90 % des directeurs financiers déclarent avoir sensibilisé leur comité de direction aux risques.
Un bon point, certes, mais parmi les dispositifs de lutte mis
en place, seuls 28 % disposent d’une cartographie de leurs
risques de fraude et ils ne sont que 38 % à avoir mené un
audit de sécurité de leur système informatique…
PORTRAIT-ROBOT
DU FRAUDEUR
Quel est le profil du fraudeur
français ?
Selon l’étude PwC, il est employé
ou cadre moyen, a entre 41 et 50
ans. Il est en poste depuis plus de
10 ans. Souvent sympathique, il a
donc la confiance de ses supérieurs hiérarchiques…
4
ILEVEN • LIVRE BLANC 2016
LA PRÉVENTION ET
LA DÉTECTION SONT CLÉS
Les dispositifs de prévention et de détection sont
indispensables pour lutter contre la fraude et permettent de détecter 55% des fraudes.
Modes de détection - 2014
en % des entreprises ayant déclaré avoir été victimes
au moins d’une fraude
25%
Identification
des transactions inhabituelles
23%
Culture d’entreprise
(incluant les systèmes d’alerte)
Les particularités de SAP en matière de risque
12%
Audit interne
11%
Evaluation du risque de fraude
5%
Politique de sécurité interne
Rotation du personnel
L’accélération de la détection des fraudes est clairement
corrélée à la montée en puissance de nouveaux modes de
détection que sont l’analyse de données, l’identification des
transactions inhabituelles, et l’utilisation de plateforme GRC.
18%
Autres
NSP
43 % DES FRAUDES REPORTÉES
PAR LES ENTREPRISES FRANÇAISES
ONT ÉTÉ DÉTECTÉES GRÂCE À L’ANALYSE INFORMATIQUE DES DONNÉES
ET 25 % DES FRAUDES SONT DÉTECTÉES PAR DES CONTRÔLES AUTOMATISÉS
4%
2%
(Etude mondiale PwC sur la fraude - 7ème édition - 2014)
43 % DES FRAUDES REPORTÉES
PAR LES ENTREPRISES FRANÇAISES
ONT ÉTÉ DÉTECTÉES GRÂCE À L’ANALYSE INFORMATIQUE DES DONNÉES
ET 25 % DES FRAUDES SONT DÉTECTÉES PAR DES CONTRÔLES AUTOMATISÉS
L’accélération de la détection des fraudes est clairement
corrélée à la montée en puissance de nouveaux modes de
détection que sont l’analyse de données, l’identification des
transactions inhabituelles, et l’utilisation de plateformes GRC.
Les solutions applicatives comme SAP constituent des
environnements à risques compte tenu des flux gérés, du
nombre d’utilisateurs et de leur dimension globale. Les
grands groupes et les PME qui se déploient à l’international ont construit au fil du temps leurs systèmes d’information sur les solutions de l’éditeur allemand, séduits par
la richesse fonctionnelle et les capacités techniques proposées. Chaque jour, des millions d’utilisateurs répartis sur
l’ensemble de la planète y accèdent, saisissent leurs opérations, suivent et stockent les flux financiers et physiques au
sein de ce coffre-fort applicatif indispensable au bon fonctionnement des activités opérationnelles et nécessaire à la
production des comptes.
Si SAP dispose de vraies qualités en termes de robustesse et
de performances techniques, de traçabilité de l’information
et de contrôles embarqués, il reste soumis à une série de
risques qu’il convient d’adresser et de gérer.
Des cas de fraude réalisés au sein de systèmes SAP ont fait
la Une de la presse, comme cette comptable de l’Etablissement Français du Sang qui en 2013 a été condamnée à 7
ans de prison pour avoir détourné plus de 8 millions d’euros
à son employeur. L’arbre qui cache la forêt. En effet le pendant d’un système étendu et multifonctionnel comme SAP
est le risque de donner aux utilisateurs des droits trop larges
leur permettant d’accéder à de l’information confidentielle
ou de manipuler les données et les processus de manière
intentionnelle ou non.
Focalisées sur l’optimisation des processus, les entreprises
ont souvent mis en œuvre des solutions SAP en ne tenant
pas suffisamment compte des objectifs du Contrôle Interne. Et même si le système de contrôle a un temps été
défini, il a du mal à prouver son efficacité dans le temps,
compte tenu de la complexité, du volume de données géré
et de l’évolution permanente des solutions. Pressées par les
audits internes et externes, les entreprises prennent peu à
peu conscience des risques inhérents aux solutions qu’elles
ont mises en place.
Les enjeux pour le contrôle interne
L’application des référentiels relatifs à la gestion des systèmes d’information (ex. : ITIL, ISO 27001/2…) et aux principes de contrôle interne (COSO, CobIT…) aide à améliorer
l’organisation et les processus informatiques supportant
la gestion des applications SAP. Les contraintes réglementaires comme la loi Sarbanes-Oxley aux Etats-Unis et la loi
sur la Sécurité Financière en France concourent également
à renforcer l’exigence de contrôle interne des organisations
et des opérations en appliquant les référentiels connus. Cependant les dispositifs mis en place ne sont pas toujours
suffisants. Les entreprises peinent à apporter des réponses
appropriées au bon niveau de maîtrise des opérations supportées dans les systèmes. Les référentiels de contrôle
sont souvent définis mais leur mise en œuvre est difficile
et couteuse à grande échelle. Les outils bureautiques ou les
solutions « stand-alone » de gestion des risques et/ou du référentiel de contrôle ont leurs limites et ne favorisent pas le
lien vertueux entre le contrôle interne et les opérationnels.
Les outils d’analyse sont également trop limités et utilisés
de manière trop ponctuelle pour être efficaces.
Afin d’atteindre ses objectifs en termes de maîtrise des
risques et d’amélioration de la performance, le contrôle interne doit se doter de solutions technologiques lui permettant de mieux :
- détecter les déficiences,
- prévenir les risques (analyses prédictives),
- animer un processus collaboratif de gestion des risques et
de suivi des contrôles,
- diffuser une culture de contrôle,
- optimiser l’exécution des contrôles (automatisation).
ILEVEN • LIVRE BLANC 2016
5
GÉRER PRO ACTIVEMENT ET DE MANIÈRE CONTINUE
LA SÉPARATION DES TÂCHES
QUELLES SOLUTIONS
SAP POUR RÉPONDRE
AUX PREOCCUPATIONS DU CONTROLE
INTERNE ?
Brique essentielle du contrôle interne destinée à prévenir
le risque de fraude, la séparation des tâches (SoD en anglais pour Segregation of Duties) est un principe clé à appliquer au niveau du système d’information. Le contrôle SoD
vise à s’assurer qu’un unique individu n’a pas le contrôle
sur toutes les phases d’un processus, sans l’intervention
d’acteurs tiers, afin de limiter les risques liés au cumul des
droits. Par exemple, la gestion des données fournisseurs
(dont l’enregistrement du RIB) et la fonction de paiement de
ces fournisseurs ne peuvent être cumulées.
Particulièrement surveillés par les auditeurs internes et
externes, la gestion des accès et le respect du principe de
séparation des tâches sont devenus une nécessité pour les
organisations.
Elle gère également les demandes d’accès utilisateur en
automatisant leurs affectations à travers les systèmes SAP
et non SAP tout en empêchant les violations SoD à l’aide
d’une analyse des risques intégrée. En matière de gestion
des rôles, cette solution permet de définir et maintenir les
rôles avec une terminologie métier adaptée à l’entreprise.
Grâce à cette solution et à son reporting intégré, l’entreprise
a en permanence une vision du niveau de risque utilisateur
et peut prendre les mesures d’atténuation adéquates (correction des accès, contrôles compensatoires, etc.). Pour la
gestion des accès d’urgence, la solution permet d’autoriser
les utilisateurs à effectuer des opérations en dehors de leur
rôle en utilisant des identifiants «pompier» dans un environnement contrôlé et auditable.
La brique SAP GRC Access Control permet de gérer cette
séparation des tâches (SoD) en modes détectif et préventif.
Elle cadre, structure et automatise le processus de gestion
des demandes d’accès et des droits. Pour cela, la solution
SAP GRC Access Control propose plusieurs fonctionnalités
clés à commencer par l’analyse des risques d’accès pour
identifier précisément les utilisateurs conflictuels et proposer des mesures de remédiation adaptées.
Les avantages de la mise en place de cette solution sont
de plusieurs ordres pour les entreprises : elle limite les
risques de fraude interne et de perte de revenus à cause
d’erreurs humaines. Elle réduit les coûts de gestion des accès à l’échelle de l’entreprise. Enfin, elle permet de réduire
les coûts d’audit.
MÉTHODOLOGIE DE MISE EN ŒUVRE DES DIFFÉRENTES BRIQUES
DE LA SOLUTION SAP GRC ACCESS CONTROL
PREPARE
LES SOLUTIONS SAP SONT DES ENVIRONNEMENTS À
RISQUES COMPTE TENU DES FLUX GÉRÉS, DU NOMBRE
D’UTILISATEURS ET DE LEUR DIMENSION GLOBALE. LA
SUITE SAP GRC OFFRE UN PROGRAMME EFFICACE DE
GESTION DES RISQUES ET DE MISE EN CONFORMITÉ.
Définir le référentiel de risques et
conduire les analyses SoD
GET CLEAN
Remédier les risques aux niveaux rôles et
utilisateurs
STAY CLEAN
Sécuriser le cycle de vie de l’utilisateur
et optimiser la maintenance
des autorisations
Emergency Access
Management (EAM)
Access Request
Management (ARM)
Permet de tracer l’accès
aux comptes élargis
Gère le cycle de vie
de l’utilisateur
Access Risk Analysis (ARA)
Business Role
Management (BRM)
Analyse et gère les rôles
Moteur de la solution
Détecte les risques liés aux conflits de séparation des tâches
6
ILEVEN • LIVRE BLANC 2016
ILEVEN • LIVRE BLANC 2016
7
LES 10 RÈGLES
D’OR D’UN PROJET
GRC
Mathieu Chastre, expert SAP GRC,
synthétise ici les étapes essentielles à appliquer pour réussir
votre projet GRC.
1. Commencez par une phase
préalable d’audit pour évaluer le
niveau de risque et mieux cadrer
les objectifs du projet.
2. Mettez en place un fort sponsorship aussi bien métier (Contrôle
Interne, DAF) que IT et prévoyez
un accompagnement pluridisciplinaire (expertise contrôle interne SI
et expertise SAP GRC).
3. Gérez la communication en
amont et pendant le projet pour
accompagner les changements
imposés au niveau de l’organisation du travail.
4. Concevez une matrice de
risques portant dans un premier
temps sur 30 à 50 des plus critiques d’entre eux pour l’entreprise
(flux achats, logistiques, ventes
et financiers). Enrichissez ensuite
cette matrice lorsque tous ces
risques sont sous contrôle.
PARTAGE D’EXPÉRIENCE DE SERCEL (GROUPE CGG),
SPÉCIALISTE DES ÉQUIPEMENTS SISMIQUES
5. Faites contrôler la matrice
SoD par les Commissaires aux
Comptes.
6. Construisez une solution autorisations SAP sans risque SoD à
tous les niveaux (rôles simples et
rôles composites).
7. Ne vous fixez pas d’objectifs
inatteignables : le niveau de
risque zéro n’existe pas au niveau
des utilisateurs. Prenez le temps
de remédier les utilisateurs, phase
la plus longue et complexe.
8. Remédiez une première organisation pilote qui servira d’exemple
pour le déploiement au niveau du
Groupe.
9. Couplez la remédiation des
utilisateurs avec la mise en place
d’une bibliothèque de contrôles
compensatoires gérés dans Process Control.
10. Mettez en place une gouvernance GRC et des outils pour pérenniser les efforts de remédiation.
RISQUE THÉORIQUE VERSUS RISQUE RÉEL
Le contrôle interne dispose désormais d’outils permettant une
vision globale des risques SoD au sein de son système d’information. Mais les grands groupes ayant mis en place ce type
d’outillage, de par leur taille (nombre élevé d’utilisateurs) et la
diversité du périmètre applicatif, rencontrent deux nouvelles problématiques : le besoin de contrôle des risques « réels » ainsi que
le besoin d’ouverture sur les risques inter applications.
La remédiation SoD (mise sous contrôle des risques SoD) pour
le contrôle interne peut vite se transformer en un vrai cassetête. En effet, la volumétrie importante des risques SoD à corriger peut décourager les personnes en charge de la remédiation.
« Souvent, on ne sait pas par où commencer » observait un responsable d’une filiale locale d’un grand producteur de bières, «
notre métier c’est de produire de la bière et pas de passer notre
temps à la remédiation SoD ». Il ne s’agit donc plus de lister simplement les risques SoD au niveau des utilisateurs.
8
ILEVEN • LIVRE BLANC 2016
Les outils GRC de SAP s’étoffent et évoluent vers plus d’efficacité, afin de pouvoir limiter les résultats aux risques « réels », ceux
ayant un impact immédiat et chiffré en termes de sortie de cash
tout en diminuant la priorité de traitement des risques
« théoriques » (dont les accès sont possibles mais jamais ou rarement utilisés). Cette évolution est primordiale pour accroître
l’efficacité de la remédiation SoD et optimiser les temps de traitement.
Les solutions SAP GRC proposent également de connecter des
systèmes non SAP afin de gérer les risques SoD inter-applicatifs.
Le développement et l’amélioration des dispositifs de détection
de fraudes contribuent incontestablement à une réduction de la
fraude financière et à une meilleure maîtrise des flux financiers.
Hélène Lozahic, Group Internal Control, explique les bénéfices de la solution GRC Access Control mise en place dans
l’entreprise.
« Evoluant dans un cadre réglementaire strict, soumis notamment à la réglementation Sarbanes-Oxley, nous avions
besoin d’un outil pour nous aider à gérer, optimiser et documenter les utilisateurs, leurs accès SAP avec leurs rôles
attribués et la séparation des tâches dans notre système.
Nous souhaitions également supprimer et/ou réduire les
risques d’erreur et/ou de fraude en suivant l’usage des transactions sensibles et en détectant les irrégularités et/ou incompatibilités de tâches. La mise en place de SAP avait eu
lieu sans outil intégré de gestion des autorisations mais en
utilisant Excel.
Très vite, la nécessité de se doter d’un outil spécifique s’est
avérée indispensable compte tenu de la complexité d’un
suivi manuel.
La mise en place de GRC Access Control nous a permis de :
- Redéfinir et préciser les rôles et métiers de nos utilisateurs,
- Définir une matrice de séparation des tâches que nous faisons évoluer régulièrement dans le système,
- Monitorer l’application de la séparation des tâches au niveau des quelques 2 000 utilisateurs de notre organisation
grâce aux différents reporting,
- Documenter et affecter les contrôles compensatoires
aux rôles et utilisateurs en cas de conflit de séparation de
tâches,
- Aider à la création de nouveaux utilisateurs grâce aux outils de simulations.
- Suivre les accès privilégiés accordés aux responsables solutions et aux experts SAP en production, et suivre l’utilisation des transactions dites sensibles.
Nous projetons de lancer un projet pour monter en version
10.1 d’ici la fin de l’année. »
PAR OÙ COMMENCER
VOTRE PROJET SAP GRC
PROCESS CONTROL ?
ANALYSER ET METTRE SOUS CONTRÔLE
LES DONNÉES ET LES PROCESSUS
Un dispositif de contrôle interne concourt à mieux maîtriser les risques et à renforcer l’efficacité des opérations. Il passe par
la mise en place d’une organisation de contrôles pour un périmètre donné – l’ensemble d’une organisation ou certaines de
ses entités – et sur la base d’un référentiel de contrôles.
Ce dernier document décrit tous les contrôles à couvrir pour les activités de l’entreprise. Il est basé sur une approche par les
risques et par les processus.
FOCUS SUR
LES CONTRÔLES EMBARQUÉS
Benoit Pachot, expert Audit et Contrôle
SAP chez ileven, rappelle les activités
de contrôles réalisées par les responsables opérationnels qui peuvent être
exécutées sur et avec leur solution
SAP, de façon manuelle et automatique.
la gestion des périodes comptables).
Les contrôles semi-automatiques sont
des contrôles qui nécessitent un paramétrage et l’action d’un utilisateur
(exemple : le rapprochement bancaire
ou le workflow d’approbation des commandes d’achat).
Il existe des contrôles automatiques de
deux types :
Dans le cadre d’une volonté d’automatisation des contrôles, plusieurs
niveaux d’états et d’outils sont disponibles sur SAP :
- Les contrôles inhérents qui sont
des contrôles propres au système
SAP et qui ne sont pas configurables
(exemple: le débit d’une écriture comptable est égal à son crédit),
- Les contrôles paramétrables qui sont
des contrôles configurés dans SAP et
qui ne sont pas modifiables par les utilisateurs (exemple : l’enregistrement
impossible d’un stock négatif).
- Revue des paramètres de contrôles
sensibles (contrôle de configuration)
- Rapports d’exceptions
(contrôle des données de base et transactionnelles)
-Etats de pilotage
(«contrôle des contrôles» et tableau de
bord des risques).
Il est possible aussi de distinguer les
contrôles manuels des contrôles semi-automatiques portés par SAP.
Les contrôles manuels sont des
contrôles exécutés par les utilisateurs
métiers via des transactions (exemple
: transaction OB52 pour le contrôle et
10
ILEVEN • LIVRE BLANC 2016
Comment mettre en œuvre un tel dispositif au
sein de votre environnement SAP ?
Pour s’assurer d’un minimum de contrôles sur les données et processus gérés dans SAP, les contrôles embarqués constituent un premier niveau de contrôle qu’il
convient d’adresser avec méthode et rigueur.
S’ils s’avèrent importants, les contrôles embarqués SAP
restent néanmoins insuffisants, car partiels, rarement
documentés et peu automatisés. C’est là qu’entre en jeu
la brique de la suite GRC SAP Process Control qui, à travers ses fonctions de création et d’automatisation des
contrôles, ou encore grâce à ses capacités de reporting
étendues, aide à avoir un aperçu exhaustif et continu du
dispositif de contrôle interne.
En effet, SAP GRC Process Control permet d’adresser les
besoins de documentation et de gestion du référentiel
de contrôle dans un souci de conformité avec les réglementations et les bonnes pratiques de contrôle interne.
A l’image des autres logiciels du marché, il permet de
maintenir et de suivre une bibliothèque centrale de
risques et de contrôles propres à chaque organisation et
processus de l’entreprise. Mais au-delà de la gestion des
contrôles, Process Control permet également de les automatiser de façon détective ou préventive, de les évaluer via des questionnaires ou plans de test et surtout de
piloter la remédiation des déficiences détectées par le
biais de workflow entre les parties prenantes.
D’une manière générale, Process Control peut répondre à de nombreux objectifs de contrôle et offre
une approche de mise en œuvre flexible et progressive. Wassim Ben Mansour, expert SAP GRC chez
ileven, vous livre 4 pistes pour approcher le sujet.
1. Vous n’avez pas de base unifiée pour gérer votre
référentiel de contrôle interne. SAP GRC Process
Control vous aide à organiser, documenter et diffuser vos contrôles au sein de votre organisation.
2. Vous avez mis en place SAP GRC Access Control,
ajoutez de nouvelles fonctions pour améliorer le
niveau de contrôle de vos risques SoD. (voir encadré ci après : « SAP GRC : les bénéfices de Process
Control intégré avec Access Control »).
3. Vous souhaitez mettre sous contrôle le processus P2P tout en optimisant les différentes étapes
du flux, mettez en place les fonctions de contrôle
des données et des documents de Process Control
permettant d’alerter les opérationnels en continu :
contrôle des commandes créées après la date de
facture, contrôles des factures sans commande,
contrôles des double paiements, contrôle de la modification des RIB fournisseurs, etc.
4. Vous souhaitez utiliser la fonctionnalité de
Contrôle Continu pour sécuriser vos points de paramétrage SAP et adresser des problématiques telles
que : le contrôle des comptes super utilisateurs, le
contrôle de la stratégie de transport, le contrôle du
code productif, etc.
Cette distribution des responsabilités entre l’audit, le
contrôle interne, les équipes SI et les métiers permet
de sensibiliser l’ensemble des acteurs aux questions de
contrôle interne au sein de votre entreprise et de ne pas
cantonner le contrôle interne à un sujet de conformité.
A terme, SAP GRC Process Control permet véritablement de mettre en place un environnement de contrôle
permanent (CCM pour Continuous Control Monitoring)
devenu nécessaire au vu du degré encore excessif des
contrôles manuels, des coûts élevés d’évaluation, du
trop grand nombre d’erreurs détectées lors d’audits internes ou externes, de contrôles plus détectifs que préventifs, d’exceptions, de détournements de contrôles
trop nombreux et de la prise en compte insuffisante des
risques opérationnels.
ILEVEN • LIVRE BLANC 2016
11
AVIS D’EXPERT : LES BÉNÉFICES DE PROCESS
CONTROL INTÉGRÉ AVEC ACCESS CONTROL
De nombreuses sociétés utilisatrices de SAP ont déjà mis en
place ou envisagent de mettre
en place SAP GRC Access
Control pour automatiser le
processus de gestion des demandes d’accès mais surtout
pour gérer le risque de fraude
en adressant l’un des principes
clés du Contrôle Interne : la séparation des tâches.
Selon Nicolas Richard, expert GRC chez ileven, si SAP
GRC Access Control propose
de nombreuses fonctionnalités, son
couplage avec la solution SAP GRC Process Control apporte de multiples avantages décrits ci-dessous.
La gestion des contrôles
compensatoires
Dans la pratique, le risque zéro au niveau
de la séparation des tâches est difficilement atteignable. Par manque de personnel sur certains sites ou pour toute
autre raison organisationnelle, il est fréquent qu’un utilisateur SAP ait accès à
des fonctions SAP incompatibles entre
elles d’un point de vue SoD. Pour adresser
ces risques souvent critiques, le Contrôle
Interne encourage la mise en place de
contrôles compensatoires sous la forme
de mesures de vérification conduites à
posteriori.
La solution Process Control connectée à
Access Control offre une gestion documentée et collaborative de ces contrôles
compensatoires. Le « contrôleur » reçoit,
à fréquence prédéfinie, une alerte afin
de procéder au test du contrôle demandé avant de renseigner le résultat directement dans l’outil. Le processus de
contrôle est optimisé.
12
ILEVEN • LIVRE BLANC 2016
Suivi des actions de remédiation
En cas d’exception ou de besoin d’investigation, le contrôleur peut déclencher dans
Process Control un circuit de remédiation
impliquant les acteurs concernés. L’activité de remédiation est mieux suivie.
Contrôle automatisé sur Access Control
L’utilisation de SAP GRC Process Control
pour contrôler directement le système
GRC permet une optimisation de l’utilisation du module Access Control. Ainsi,
la définition de contrôles sur la non revue
des logs d’utilisateurs à pouvoirs étendus
ou la détection d’une fin de date d’affectation pour un contrôle compensatoire,
permet d’automatiser leur revue par une
remonté automatique de ces déficiences.
Diffusion d’une culture de contrôle
Tout comme Access Control, Process
Control est une solution centrale pouvant être déployée à grande échelle sur
la base d’un référentiel et des processus
de contrôle communs. Les activités de
contrôle liées au risque SoD sont ainsi
mieux suivies tant au niveau local qu’au
niveau central. Le reporting associé offre
des éléments de preuve rapidement et facilement accessibles lors des campagnes
d’audit.
L’utilisation de Process Control dans la
continuité d’Access Control est un premier pas qui permet de tester et d’envisager le potentiel de cette solution capable
d’adresser plus globalement la gestion
du référentiel de contrôle de l’entreprise : contrôles généraux informatiques,
contrôles applicatifs, etc.
Au-delà de la gestion des droits d’accès, les autres solutions GRC de SAP
permettent d’améliorer les processus de
contrôle autour des systèmes SAP.
Le CCM dans quel objectif ?
L’objectif du CCM est de réaliser les tests des contrôles de manière automatique et semi-automatique, selon une fréquence
à définir, sur les données et processus sur lesquels des objectifs de contrôle sont attendus. Les anomalies identifiées sont
ainsi transmises aux responsables de processus associés en fonction des conditions d’alertes.
On distingue 3 catégories de contrôles automatiques ou semi-automatiques :
• Le paramétrage (modifications liées aux points de paramétrage SAP)
• Les données de base (clients, fournisseurs, articles, immobilisations,...)
• Les transactions (commandes, factures, écritures comptables,…)
BONNES PRATIQUES
QUELQUES ASTUCES POUR MIEUX UTILISER
SAP GRC PROCESS CONTROL
Les conseils pratiques de Mathieu BERTRAND, expert SAP
GRC, autour de l’activation des fonctionnalités de Process
Control.
Fonction 1 : Matrice des risques et contrôles, et cartographie de l’organisation et des processus
• Utilisez la fonction d’import/export Excel pour faciliter
l’initialisation des données de base.
• Utilisez la structure existante de reporting et/ou de
signature des comptes pour définir votre organisation.
• Pour éviter toute incohérence dans le reporting, tenez
compte des périodes comptables lors de la modification des données de base.
Fonction 2 : Evaluation des contrôles, risques et procédures par des questionnaires
• Activez la fonction de récurrence pour automatiser, à
fréquence donnée, les plans d’évaluation à destination
des acteurs concernés.
• Modifiez le nom des fonctions d’évaluation dans le
paramétrage pour les utiliser à d’autres fins.
Fonction 3 : Contrôles automatiques basés sur des règles
de déficience
• Utilisez SAP Query ou le moteur de règles métiers
« BRF+ » pour contourner les limites du moteur standard de création des contrôles.
• Développez des programmes ABAP pour les contrôles
les plus complexes et utilisez les workflows de remédiation des déficiences pour les adresser.
Fonction 4 : Workflow de traitement des déficiences
• Utilisez la fonction de revue de soumission des déficiences pour une meilleure responsabilisation des
managers.
• Activez les notifications de rappel ainsi que l’escalade
hiérarchique pour réduire le temps de remédiation et
respecter ainsi les échéances.
• Proposez des fréquences de rappel en rapport avec les
enjeux tout en évitant un rejet par le Métier du fait de
trop nombreux emails.
• Ne modifiez les workflows préconfigurés basés sur la
notion de rôle qu’en cas de besoin très spécifique.
Fonction 5 : Ordonnanceur
• Ne faites surtout pas commencer dans le passé une
période d’évaluation plus grande que la fréquence
d’exécution d’un contrôle automatique, au risque de
dupliquer les notifications pour une même déficience.
Fonction 6 : Signature des comptes
•
Vérifiez l’assignation des responsabilités préalablement au lancement du processus de signature des
comptes.
ILEVEN • LIVRE BLANC 2016
13
En fonction des objectifs de contrôle poursuivis (détection de la fraude, contrôle opérationnel du processus, qualité des
données, etc.), les indicateurs utilisés varieront : identification des demandes d’achat non traitées depuis x mois, analyse
des OD supérieures à un montant donné, contrôle des doubles paiements sur la base de critères avancés, contrôle de la
modification des RIB, etc.
TENDRE VERS UNE PLATEFORME GRC INTÉGRÉE
POUR OPTIMISER LE PROCESSUS DE CONTRÔLE
A la clé du CCM, une efficacité renforcée, une automatisation visible des alertes, une forte prévention, et la baisse des anomalies détectées au cours des audits.
Pour tendre vers une cible plus efficace combinant gestion
des risques et contrôle interne, une plateforme technologique unifiée permettra de partager les processus, les objectifs de contrôle, les informations organisationnelles et
plus encore pour adresser toutes les activités de risque, de
contrôle et de gestion de la conformité. Elle assurera un langage commun entre les directions de gestion des risques,
de contrôle interne et d’audit et offrira l’objectif d’un reporting intégré pour la direction générale et les membres du
conseil d’administration. Risk Management, pour l’identification et l’évaluation des risques, peut ainsi s’associer à
Access Control pour la protection des données et à Process
Control pour la protection des processus critiques ainsi que
la détection des erreurs et des fraudes. Pour accroitre la pertinence en matière de fraude, Fraud Management permettra
de réaliser des analyses prédictives, et de se mettre dans
une logique de prévention versus détection des risques.
De la détection classique du double-paiement fournisseur à la mise en place de méthodes prédictives de détection de
fraude, les entreprises peuvent renforcer leur système de contrôles et d’alertes en temps réel.
Pour améliorer les capacités de prévention et de détection du risque de fraude en entreprise, SAP s’appuie, au-delà de Process Control, sur sa solution Fraud Management.
Cette solution s’appuie sur la puissante base de données HANA de l’éditeur pour offrir une performance d’analyse optimale
à partir de très grands volumes de données issues des systèmes SAP mais aussi d’autres sources d’information.
Fraud Management est une solution flexible qui permet de construire, à partir de modèles embarqués, des stratégies d’analyse complexes pour mieux investiguer les risques de fraude. Les fonctions de simulation en temps réel permettent de tester
rapidement les impacts des changements d’options d’analyse pour ajuster au mieux les scripts de détection.
Cette rapidité d’analyse permet donc d’agir directement sur les opérations en bloquant d’éventuelles transactions suspicieuses. Fraud Management est une solution performante et conviviale, destinée à être prise en main par des auditeurs et/
ou des équipes métiers épaulés de data scientists ayant un accès illimité aux données de l’entreprise. Les champs d’application sont infinis et la solution pourra s’adapter pour répondre aux nouvelles menaces auxquelles les organisations doivent
faire face.
Parmi les bénéfices d’une plateforme automatisée, on retiendra d’abord qu’elle améliore la maîtrise des risques : le
contrôle opérationnel s’effectue en temps réel sur les anomalies et exceptions, les contrôles et alertes sont automatisés, la séparation des tâches et le blocage des accès sont
assurés. Ensuite, elle optimise l’efficacité opérationnelle
de gestion des risques et des contrôles par la réduction du
temps d’exécution des opérations, la documentation et le
test des contrôles. Enfin, elle crée de la valeur ajoutée pour
l’entreprise en proposant des indicateurs, en offrant une
meilleure indentification des risques et en favorisant leur
traitement via l’optimisation des processus. Des bénéfices à
compléter par celui de la réduction des coûts (implémentation, administration et maintenance) apportée par une telle
plateforme.
Plateforme SAP GRC intégrée : les solutions pour surveiller les risques
de vos processus d’un bout à l’autre
Exemples de contrôles
Besoins/Solutions SAP
Qualité des référentiels
Procure
to Pay
Finance
Order to
Cash
HR
14
Analyse
qualitative des
fournisseurs
Incohérence sur
les taux
de TVA
Analyse
de la
validité
des Notes
de Frais
Contrôle
sur doublon
données
Comptes
actifs
inutilisés
Analyse
qualitative des
clients
Identification des
impayés de
long terme
Cohérence
des
informations
entre
tout les
référentiels
Décorrélation entre
feuille de
temps et
temps de
travail
ILEVEN • LIVRE BLANC 2016
Contrôles détectifs
d’erreurs et/ou de fraudes
Analyse des processus
Analyse
qualitative
sur les
prix de
vente
Contrôle
sur les
validations des
DA et CA
Analyse des
temps de
traitement
des process
Analyse
des
avances
aux fournisseurs
Contrôle sur
les avoirs
fournisseurs
Schéma
comptable
atypique
Analyse
productivité de la
comptabilité
Contrôle
CA /
Facture
rapprochée
Cohérence
type de
pièce /
montant /
écriture
Analyse
de la cohérence
des
périodes
de saisie
des écritures
Statistiques sur
les paiements /
dettes
Statistiques
sur les
temps de
livraison
Contrôle sur
les limites
de crédits
clients
Cohérence
entre
facturation et
devis
Analyse
des
temps de
présence
Contrôle
entre
période
travaillée et
période
payée
Contrôle
réconciliation
des paiements
Doublon ou
données
fictives
sur personnel
Analyse
similitude
employé /
fournisseur
Contrôle
sur double
paiement
/ saisie
facture
Contrôle
sur double
facturation
Risk Management
Access Control
Process Control
Fraud Management
Identification et
évaluation des risques
Protection des données
Protection des processus critiques via la
diffusion des règles et
procédures de contrôle
interne
Détection des erreurs
et des risques de fraude
via le contrôle des transactions :
- contrôle continu
- investigation (analyse
prédictive)
Prévention des risques
(ex. : blocage de transactions suspectes)
ILEVEN • LIVRE BLANC 2016
15
La mise en œuvre d’une plateforme intégrée sera réalisée en fonction de la maturité de l’entreprise,
dont les efforts devront portés sur les deux axes « Métier » et « Solution » comme on peut le voir sur le schéma ci-dessous.
Plateforme
GRC intégrée
Environnement de contrôle
optimisé
GRC intégrée
Contrôle continu
Utilisation de la technologie
Description des processus et
des contrôles dans un outil centralisé
Contrôles
opérés mais non formalisés
Contrôles
non opérés
Absence d’outil
Environnement de contrôle
Contrôles non opérés
UN ACTEUR MAJEUR DE LA GRC
Société de conseil créée en 2010, partenaire services SAP, ileven intervient dans les domaines suivants : GRC
Consulting, Finance Consulting et IT Consulting.
Partenaire des directions financières et des DSI, ileven est un acteur spécialisé en accompagnement de la mise
en œuvre des solutions GRC et Finance de SAP et contribue à l’optimisation des processus informatiques.
GRC CONSULTING
En 2014, ileven est devenu le premier partenaire SAP en Europe à recevoir le label «Recognized Expertise» sur
les solutions GRC, certificat donné par l’éditeur allemand pour reconnaître la spécialisation, l’expertise et les
références de ses partenaires.
L’équipe ileven combine des compétences d’Audit et de Contrôle Interne, et, une expertise d’intégration de la
suite logicielle SAP GRC autour des modules « Risk Management », « Process Control » et « Access Control ».
Documentation des contrôles
via des outils bureautiques
Risques non
maîtrisés
ileven,
Contrôles alignés sur les risques
AUDIT ET CONTRÔLE
INTÉGRATION ET SERVICES
-Gestion des risques et de la conformité (SOX)
-SAP GRC Access Control et gestion des accès SAP
-Optimisation du référentiel de Contrôle interne (COSO,
(IDM/SSO)
COBIT)
-SAP GRC Process Control
-Evaluation de la sécurité et des contrôles SAP
-SAP GRC Risk Management
De contrôles non effectifs, ou opérés mais non finalisés, à ceux réellement optimisés, dans les 5 ans qui viennent, les
entreprises seront nécessairement passées à une plateforme intégrée GRC pour surveiller les risques de leurs processus
d’un bout à l’autre.
-SAP Fraud Management
+ de 50 clients nous font
confiance du grand groupe
international à la PME
PARTAGE D’EXPÉRIENCE DU GROUPE AIR FRANCE/KLM
Mise sous contrôle de la gestion des accès SAP dans le domaine Finance du groupe Air France/KLM : Catherine DrayGaston, Overall Project Manager du projet SoD, a mandaté
les expert GRC d’ileven.
« Dans le cadre du projet de remédiation SoD (Segregation
of Duties) des habilitations SAP pour le domaine Finance du
groupe Air France/KLM, nous avons souhaité réalisé un PoC
(Proof of Concept) de la solution SAP GRC Access Control
afin de nous assurer que la solution pouvait répondre à nos
besoins en termes de mise sous contrôle de la gestion des
accès SAP. Nous avons mandaté les experts GRC de la société ileven pour la réalisation de ce PoC et le résultat a répondu précisément à nos attentes »
16
ILEVEN • LIVRE BLANC 2016
2.4 M€
CA 2015
Une équipe de 25 personnes
qui combine des compétences
d’audit et de contrôle Interne,
la connaissance des processus
métier & SI et l’expertise SAP
POUR EN SAVOIR PLUS
http://www.ileven.fr/
ILEVEN • LIVRE BLANC 2016
17
www.ileven.fr
Agence Vu Par
INFORMATION
SYSTEM
CONSULTING