Téléchargez le livre blanc
Transcription
Téléchargez le livre blanc
INFORMATION SYSTEM CONSULTING FRAUDE, CONTRÔLE INTERNE ET GESTION DES RISQUES EN ENTREPRISE SOLUTIONS SAP GRC AVIS D’EXPERTS ET RETOURS CLIENTS. (GOUVERNANCE, RISQUE ET CONFORMITÉ) PRÉVENTION ET DÉTECTION DES RISQUES DE FRAUDE : les nouvelles technologies renforcent la capacité d’analyse des données et offrent l’opportunité de mettre en place des systèmes de contrôle plus performants. Expertises et témoignages dans ce livre blanc signé ileven, acteur majeur de la GRC (Gouvernance, gestion des Risques et de la Conformité) sur SAP en France. www.ileven.fr Janvier 2016 ENVIRONNEMENT SAP : AUCUNE ENTREPRISE N’EST À L’ABRI DE LA FRAUDE ! ILEVEN, PARTENAIRE DES DIRECTIONS FINANCIÈRES ET DES DSI Alors que plus de la moitié des entreprises françaises sont victimes de fraudes, la technologie est devenue indispensable pour renforcer la détection et la prévention, et réduire les activités de contrôle chronophages en interne et coûteuses en externe... Fraude d’actifs, comptable ou aux achats… 55 % des entreprises françaises ont été victimes de ce type d’escroquerie au cours des 24 derniers mois, selon la 7ème édition de l’étude mondiale de PwC sur le sujet. Un chiffre qui a presque doublé entre 2009 et 2014, et qui concerne tous les secteurs d’activité et toutes les tailles d’entreprise. 55 % DES ENTREPRISES FRANÇAISES ont été victimes d’une fraude au cours des 24 derniers mois. De quelles fraudes sont donc victimes les entreprises ? Dans le top 5 : 70% 29% 27% 24% 22% Les détournements d’actifs, les plus fréquents. La fraude aux achats La corruption La cybercriminalité La fraude comptable 29 % DES FRAUDES SONT LIÉS AUX PROCESSUS ACHAT. Ce type de fraude a fortement augmenté, favorisé par la concentration de la fonction achat et les politiques d’externalisation qui impliquent de nouveaux modèles de contrôle. 2 ILEVEN • LIVRE BLANC 2016 ILEVEN • LIVRE BLANC 2016 3 Mais d‘où vient la fraude ? Dans 6 cas sur 10, elle vient de l’intérieur, d’un collaborateur de l’entreprise ayant une certaine ancienneté et, qui plus est, la confiance de son management ! Si les fraudes externes ont attiré récemment l’attention, notamment celles dites “au président”, qui consistent à se faire passer pour le président d’une entreprise et à réclamer des virements bancaires sur un compte à l’étranger, celles internes demeurent le vecteur majoritaire d’atteinte aux actifs. Elles sont non seulement plus fortes en nombre mais aussi en montants. Stéphane Cohen, président de l’Ordre des experts-comptables Paris IDF, indique qu’il est « possible d’estimer à près de 50 % les entreprises liquidées en raison du larcin de ces escrocs en col blanc ». 60 % DES FRAUDES VIENNENT DE L’INTÉRIEUR DE L’ENTREPRISE Les entreprises ont bien pris conscience de ces risques. Selon Euler Hermes France, qui a aussi conduit une enquête dans le domaine avec l’association nationale des directeurs financiers et de contrôle de gestion (DFCG), 80 % des dirigeants d’entreprises considèrent la fraude comme une menace importante, et 90 % des directeurs financiers déclarent avoir sensibilisé leur comité de direction aux risques. Un bon point, certes, mais parmi les dispositifs de lutte mis en place, seuls 28 % disposent d’une cartographie de leurs risques de fraude et ils ne sont que 38 % à avoir mené un audit de sécurité de leur système informatique… PORTRAIT-ROBOT DU FRAUDEUR Quel est le profil du fraudeur français ? Selon l’étude PwC, il est employé ou cadre moyen, a entre 41 et 50 ans. Il est en poste depuis plus de 10 ans. Souvent sympathique, il a donc la confiance de ses supérieurs hiérarchiques… 4 ILEVEN • LIVRE BLANC 2016 LA PRÉVENTION ET LA DÉTECTION SONT CLÉS Les dispositifs de prévention et de détection sont indispensables pour lutter contre la fraude et permettent de détecter 55% des fraudes. Modes de détection - 2014 en % des entreprises ayant déclaré avoir été victimes au moins d’une fraude 25% Identification des transactions inhabituelles 23% Culture d’entreprise (incluant les systèmes d’alerte) Les particularités de SAP en matière de risque 12% Audit interne 11% Evaluation du risque de fraude 5% Politique de sécurité interne Rotation du personnel L’accélération de la détection des fraudes est clairement corrélée à la montée en puissance de nouveaux modes de détection que sont l’analyse de données, l’identification des transactions inhabituelles, et l’utilisation de plateforme GRC. 18% Autres NSP 43 % DES FRAUDES REPORTÉES PAR LES ENTREPRISES FRANÇAISES ONT ÉTÉ DÉTECTÉES GRÂCE À L’ANALYSE INFORMATIQUE DES DONNÉES ET 25 % DES FRAUDES SONT DÉTECTÉES PAR DES CONTRÔLES AUTOMATISÉS 4% 2% (Etude mondiale PwC sur la fraude - 7ème édition - 2014) 43 % DES FRAUDES REPORTÉES PAR LES ENTREPRISES FRANÇAISES ONT ÉTÉ DÉTECTÉES GRÂCE À L’ANALYSE INFORMATIQUE DES DONNÉES ET 25 % DES FRAUDES SONT DÉTECTÉES PAR DES CONTRÔLES AUTOMATISÉS L’accélération de la détection des fraudes est clairement corrélée à la montée en puissance de nouveaux modes de détection que sont l’analyse de données, l’identification des transactions inhabituelles, et l’utilisation de plateformes GRC. Les solutions applicatives comme SAP constituent des environnements à risques compte tenu des flux gérés, du nombre d’utilisateurs et de leur dimension globale. Les grands groupes et les PME qui se déploient à l’international ont construit au fil du temps leurs systèmes d’information sur les solutions de l’éditeur allemand, séduits par la richesse fonctionnelle et les capacités techniques proposées. Chaque jour, des millions d’utilisateurs répartis sur l’ensemble de la planète y accèdent, saisissent leurs opérations, suivent et stockent les flux financiers et physiques au sein de ce coffre-fort applicatif indispensable au bon fonctionnement des activités opérationnelles et nécessaire à la production des comptes. Si SAP dispose de vraies qualités en termes de robustesse et de performances techniques, de traçabilité de l’information et de contrôles embarqués, il reste soumis à une série de risques qu’il convient d’adresser et de gérer. Des cas de fraude réalisés au sein de systèmes SAP ont fait la Une de la presse, comme cette comptable de l’Etablissement Français du Sang qui en 2013 a été condamnée à 7 ans de prison pour avoir détourné plus de 8 millions d’euros à son employeur. L’arbre qui cache la forêt. En effet le pendant d’un système étendu et multifonctionnel comme SAP est le risque de donner aux utilisateurs des droits trop larges leur permettant d’accéder à de l’information confidentielle ou de manipuler les données et les processus de manière intentionnelle ou non. Focalisées sur l’optimisation des processus, les entreprises ont souvent mis en œuvre des solutions SAP en ne tenant pas suffisamment compte des objectifs du Contrôle Interne. Et même si le système de contrôle a un temps été défini, il a du mal à prouver son efficacité dans le temps, compte tenu de la complexité, du volume de données géré et de l’évolution permanente des solutions. Pressées par les audits internes et externes, les entreprises prennent peu à peu conscience des risques inhérents aux solutions qu’elles ont mises en place. Les enjeux pour le contrôle interne L’application des référentiels relatifs à la gestion des systèmes d’information (ex. : ITIL, ISO 27001/2…) et aux principes de contrôle interne (COSO, CobIT…) aide à améliorer l’organisation et les processus informatiques supportant la gestion des applications SAP. Les contraintes réglementaires comme la loi Sarbanes-Oxley aux Etats-Unis et la loi sur la Sécurité Financière en France concourent également à renforcer l’exigence de contrôle interne des organisations et des opérations en appliquant les référentiels connus. Cependant les dispositifs mis en place ne sont pas toujours suffisants. Les entreprises peinent à apporter des réponses appropriées au bon niveau de maîtrise des opérations supportées dans les systèmes. Les référentiels de contrôle sont souvent définis mais leur mise en œuvre est difficile et couteuse à grande échelle. Les outils bureautiques ou les solutions « stand-alone » de gestion des risques et/ou du référentiel de contrôle ont leurs limites et ne favorisent pas le lien vertueux entre le contrôle interne et les opérationnels. Les outils d’analyse sont également trop limités et utilisés de manière trop ponctuelle pour être efficaces. Afin d’atteindre ses objectifs en termes de maîtrise des risques et d’amélioration de la performance, le contrôle interne doit se doter de solutions technologiques lui permettant de mieux : - détecter les déficiences, - prévenir les risques (analyses prédictives), - animer un processus collaboratif de gestion des risques et de suivi des contrôles, - diffuser une culture de contrôle, - optimiser l’exécution des contrôles (automatisation). ILEVEN • LIVRE BLANC 2016 5 GÉRER PRO ACTIVEMENT ET DE MANIÈRE CONTINUE LA SÉPARATION DES TÂCHES QUELLES SOLUTIONS SAP POUR RÉPONDRE AUX PREOCCUPATIONS DU CONTROLE INTERNE ? Brique essentielle du contrôle interne destinée à prévenir le risque de fraude, la séparation des tâches (SoD en anglais pour Segregation of Duties) est un principe clé à appliquer au niveau du système d’information. Le contrôle SoD vise à s’assurer qu’un unique individu n’a pas le contrôle sur toutes les phases d’un processus, sans l’intervention d’acteurs tiers, afin de limiter les risques liés au cumul des droits. Par exemple, la gestion des données fournisseurs (dont l’enregistrement du RIB) et la fonction de paiement de ces fournisseurs ne peuvent être cumulées. Particulièrement surveillés par les auditeurs internes et externes, la gestion des accès et le respect du principe de séparation des tâches sont devenus une nécessité pour les organisations. Elle gère également les demandes d’accès utilisateur en automatisant leurs affectations à travers les systèmes SAP et non SAP tout en empêchant les violations SoD à l’aide d’une analyse des risques intégrée. En matière de gestion des rôles, cette solution permet de définir et maintenir les rôles avec une terminologie métier adaptée à l’entreprise. Grâce à cette solution et à son reporting intégré, l’entreprise a en permanence une vision du niveau de risque utilisateur et peut prendre les mesures d’atténuation adéquates (correction des accès, contrôles compensatoires, etc.). Pour la gestion des accès d’urgence, la solution permet d’autoriser les utilisateurs à effectuer des opérations en dehors de leur rôle en utilisant des identifiants «pompier» dans un environnement contrôlé et auditable. La brique SAP GRC Access Control permet de gérer cette séparation des tâches (SoD) en modes détectif et préventif. Elle cadre, structure et automatise le processus de gestion des demandes d’accès et des droits. Pour cela, la solution SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs conflictuels et proposer des mesures de remédiation adaptées. Les avantages de la mise en place de cette solution sont de plusieurs ordres pour les entreprises : elle limite les risques de fraude interne et de perte de revenus à cause d’erreurs humaines. Elle réduit les coûts de gestion des accès à l’échelle de l’entreprise. Enfin, elle permet de réduire les coûts d’audit. MÉTHODOLOGIE DE MISE EN ŒUVRE DES DIFFÉRENTES BRIQUES DE LA SOLUTION SAP GRC ACCESS CONTROL PREPARE LES SOLUTIONS SAP SONT DES ENVIRONNEMENTS À RISQUES COMPTE TENU DES FLUX GÉRÉS, DU NOMBRE D’UTILISATEURS ET DE LEUR DIMENSION GLOBALE. LA SUITE SAP GRC OFFRE UN PROGRAMME EFFICACE DE GESTION DES RISQUES ET DE MISE EN CONFORMITÉ. Définir le référentiel de risques et conduire les analyses SoD GET CLEAN Remédier les risques aux niveaux rôles et utilisateurs STAY CLEAN Sécuriser le cycle de vie de l’utilisateur et optimiser la maintenance des autorisations Emergency Access Management (EAM) Access Request Management (ARM) Permet de tracer l’accès aux comptes élargis Gère le cycle de vie de l’utilisateur Access Risk Analysis (ARA) Business Role Management (BRM) Analyse et gère les rôles Moteur de la solution Détecte les risques liés aux conflits de séparation des tâches 6 ILEVEN • LIVRE BLANC 2016 ILEVEN • LIVRE BLANC 2016 7 LES 10 RÈGLES D’OR D’UN PROJET GRC Mathieu Chastre, expert SAP GRC, synthétise ici les étapes essentielles à appliquer pour réussir votre projet GRC. 1. Commencez par une phase préalable d’audit pour évaluer le niveau de risque et mieux cadrer les objectifs du projet. 2. Mettez en place un fort sponsorship aussi bien métier (Contrôle Interne, DAF) que IT et prévoyez un accompagnement pluridisciplinaire (expertise contrôle interne SI et expertise SAP GRC). 3. Gérez la communication en amont et pendant le projet pour accompagner les changements imposés au niveau de l’organisation du travail. 4. Concevez une matrice de risques portant dans un premier temps sur 30 à 50 des plus critiques d’entre eux pour l’entreprise (flux achats, logistiques, ventes et financiers). Enrichissez ensuite cette matrice lorsque tous ces risques sont sous contrôle. PARTAGE D’EXPÉRIENCE DE SERCEL (GROUPE CGG), SPÉCIALISTE DES ÉQUIPEMENTS SISMIQUES 5. Faites contrôler la matrice SoD par les Commissaires aux Comptes. 6. Construisez une solution autorisations SAP sans risque SoD à tous les niveaux (rôles simples et rôles composites). 7. Ne vous fixez pas d’objectifs inatteignables : le niveau de risque zéro n’existe pas au niveau des utilisateurs. Prenez le temps de remédier les utilisateurs, phase la plus longue et complexe. 8. Remédiez une première organisation pilote qui servira d’exemple pour le déploiement au niveau du Groupe. 9. Couplez la remédiation des utilisateurs avec la mise en place d’une bibliothèque de contrôles compensatoires gérés dans Process Control. 10. Mettez en place une gouvernance GRC et des outils pour pérenniser les efforts de remédiation. RISQUE THÉORIQUE VERSUS RISQUE RÉEL Le contrôle interne dispose désormais d’outils permettant une vision globale des risques SoD au sein de son système d’information. Mais les grands groupes ayant mis en place ce type d’outillage, de par leur taille (nombre élevé d’utilisateurs) et la diversité du périmètre applicatif, rencontrent deux nouvelles problématiques : le besoin de contrôle des risques « réels » ainsi que le besoin d’ouverture sur les risques inter applications. La remédiation SoD (mise sous contrôle des risques SoD) pour le contrôle interne peut vite se transformer en un vrai cassetête. En effet, la volumétrie importante des risques SoD à corriger peut décourager les personnes en charge de la remédiation. « Souvent, on ne sait pas par où commencer » observait un responsable d’une filiale locale d’un grand producteur de bières, « notre métier c’est de produire de la bière et pas de passer notre temps à la remédiation SoD ». Il ne s’agit donc plus de lister simplement les risques SoD au niveau des utilisateurs. 8 ILEVEN • LIVRE BLANC 2016 Les outils GRC de SAP s’étoffent et évoluent vers plus d’efficacité, afin de pouvoir limiter les résultats aux risques « réels », ceux ayant un impact immédiat et chiffré en termes de sortie de cash tout en diminuant la priorité de traitement des risques « théoriques » (dont les accès sont possibles mais jamais ou rarement utilisés). Cette évolution est primordiale pour accroître l’efficacité de la remédiation SoD et optimiser les temps de traitement. Les solutions SAP GRC proposent également de connecter des systèmes non SAP afin de gérer les risques SoD inter-applicatifs. Le développement et l’amélioration des dispositifs de détection de fraudes contribuent incontestablement à une réduction de la fraude financière et à une meilleure maîtrise des flux financiers. Hélène Lozahic, Group Internal Control, explique les bénéfices de la solution GRC Access Control mise en place dans l’entreprise. « Evoluant dans un cadre réglementaire strict, soumis notamment à la réglementation Sarbanes-Oxley, nous avions besoin d’un outil pour nous aider à gérer, optimiser et documenter les utilisateurs, leurs accès SAP avec leurs rôles attribués et la séparation des tâches dans notre système. Nous souhaitions également supprimer et/ou réduire les risques d’erreur et/ou de fraude en suivant l’usage des transactions sensibles et en détectant les irrégularités et/ou incompatibilités de tâches. La mise en place de SAP avait eu lieu sans outil intégré de gestion des autorisations mais en utilisant Excel. Très vite, la nécessité de se doter d’un outil spécifique s’est avérée indispensable compte tenu de la complexité d’un suivi manuel. La mise en place de GRC Access Control nous a permis de : - Redéfinir et préciser les rôles et métiers de nos utilisateurs, - Définir une matrice de séparation des tâches que nous faisons évoluer régulièrement dans le système, - Monitorer l’application de la séparation des tâches au niveau des quelques 2 000 utilisateurs de notre organisation grâce aux différents reporting, - Documenter et affecter les contrôles compensatoires aux rôles et utilisateurs en cas de conflit de séparation de tâches, - Aider à la création de nouveaux utilisateurs grâce aux outils de simulations. - Suivre les accès privilégiés accordés aux responsables solutions et aux experts SAP en production, et suivre l’utilisation des transactions dites sensibles. Nous projetons de lancer un projet pour monter en version 10.1 d’ici la fin de l’année. » PAR OÙ COMMENCER VOTRE PROJET SAP GRC PROCESS CONTROL ? ANALYSER ET METTRE SOUS CONTRÔLE LES DONNÉES ET LES PROCESSUS Un dispositif de contrôle interne concourt à mieux maîtriser les risques et à renforcer l’efficacité des opérations. Il passe par la mise en place d’une organisation de contrôles pour un périmètre donné – l’ensemble d’une organisation ou certaines de ses entités – et sur la base d’un référentiel de contrôles. Ce dernier document décrit tous les contrôles à couvrir pour les activités de l’entreprise. Il est basé sur une approche par les risques et par les processus. FOCUS SUR LES CONTRÔLES EMBARQUÉS Benoit Pachot, expert Audit et Contrôle SAP chez ileven, rappelle les activités de contrôles réalisées par les responsables opérationnels qui peuvent être exécutées sur et avec leur solution SAP, de façon manuelle et automatique. la gestion des périodes comptables). Les contrôles semi-automatiques sont des contrôles qui nécessitent un paramétrage et l’action d’un utilisateur (exemple : le rapprochement bancaire ou le workflow d’approbation des commandes d’achat). Il existe des contrôles automatiques de deux types : Dans le cadre d’une volonté d’automatisation des contrôles, plusieurs niveaux d’états et d’outils sont disponibles sur SAP : - Les contrôles inhérents qui sont des contrôles propres au système SAP et qui ne sont pas configurables (exemple: le débit d’une écriture comptable est égal à son crédit), - Les contrôles paramétrables qui sont des contrôles configurés dans SAP et qui ne sont pas modifiables par les utilisateurs (exemple : l’enregistrement impossible d’un stock négatif). - Revue des paramètres de contrôles sensibles (contrôle de configuration) - Rapports d’exceptions (contrôle des données de base et transactionnelles) -Etats de pilotage («contrôle des contrôles» et tableau de bord des risques). Il est possible aussi de distinguer les contrôles manuels des contrôles semi-automatiques portés par SAP. Les contrôles manuels sont des contrôles exécutés par les utilisateurs métiers via des transactions (exemple : transaction OB52 pour le contrôle et 10 ILEVEN • LIVRE BLANC 2016 Comment mettre en œuvre un tel dispositif au sein de votre environnement SAP ? Pour s’assurer d’un minimum de contrôles sur les données et processus gérés dans SAP, les contrôles embarqués constituent un premier niveau de contrôle qu’il convient d’adresser avec méthode et rigueur. S’ils s’avèrent importants, les contrôles embarqués SAP restent néanmoins insuffisants, car partiels, rarement documentés et peu automatisés. C’est là qu’entre en jeu la brique de la suite GRC SAP Process Control qui, à travers ses fonctions de création et d’automatisation des contrôles, ou encore grâce à ses capacités de reporting étendues, aide à avoir un aperçu exhaustif et continu du dispositif de contrôle interne. En effet, SAP GRC Process Control permet d’adresser les besoins de documentation et de gestion du référentiel de contrôle dans un souci de conformité avec les réglementations et les bonnes pratiques de contrôle interne. A l’image des autres logiciels du marché, il permet de maintenir et de suivre une bibliothèque centrale de risques et de contrôles propres à chaque organisation et processus de l’entreprise. Mais au-delà de la gestion des contrôles, Process Control permet également de les automatiser de façon détective ou préventive, de les évaluer via des questionnaires ou plans de test et surtout de piloter la remédiation des déficiences détectées par le biais de workflow entre les parties prenantes. D’une manière générale, Process Control peut répondre à de nombreux objectifs de contrôle et offre une approche de mise en œuvre flexible et progressive. Wassim Ben Mansour, expert SAP GRC chez ileven, vous livre 4 pistes pour approcher le sujet. 1. Vous n’avez pas de base unifiée pour gérer votre référentiel de contrôle interne. SAP GRC Process Control vous aide à organiser, documenter et diffuser vos contrôles au sein de votre organisation. 2. Vous avez mis en place SAP GRC Access Control, ajoutez de nouvelles fonctions pour améliorer le niveau de contrôle de vos risques SoD. (voir encadré ci après : « SAP GRC : les bénéfices de Process Control intégré avec Access Control »). 3. Vous souhaitez mettre sous contrôle le processus P2P tout en optimisant les différentes étapes du flux, mettez en place les fonctions de contrôle des données et des documents de Process Control permettant d’alerter les opérationnels en continu : contrôle des commandes créées après la date de facture, contrôles des factures sans commande, contrôles des double paiements, contrôle de la modification des RIB fournisseurs, etc. 4. Vous souhaitez utiliser la fonctionnalité de Contrôle Continu pour sécuriser vos points de paramétrage SAP et adresser des problématiques telles que : le contrôle des comptes super utilisateurs, le contrôle de la stratégie de transport, le contrôle du code productif, etc. Cette distribution des responsabilités entre l’audit, le contrôle interne, les équipes SI et les métiers permet de sensibiliser l’ensemble des acteurs aux questions de contrôle interne au sein de votre entreprise et de ne pas cantonner le contrôle interne à un sujet de conformité. A terme, SAP GRC Process Control permet véritablement de mettre en place un environnement de contrôle permanent (CCM pour Continuous Control Monitoring) devenu nécessaire au vu du degré encore excessif des contrôles manuels, des coûts élevés d’évaluation, du trop grand nombre d’erreurs détectées lors d’audits internes ou externes, de contrôles plus détectifs que préventifs, d’exceptions, de détournements de contrôles trop nombreux et de la prise en compte insuffisante des risques opérationnels. ILEVEN • LIVRE BLANC 2016 11 AVIS D’EXPERT : LES BÉNÉFICES DE PROCESS CONTROL INTÉGRÉ AVEC ACCESS CONTROL De nombreuses sociétés utilisatrices de SAP ont déjà mis en place ou envisagent de mettre en place SAP GRC Access Control pour automatiser le processus de gestion des demandes d’accès mais surtout pour gérer le risque de fraude en adressant l’un des principes clés du Contrôle Interne : la séparation des tâches. Selon Nicolas Richard, expert GRC chez ileven, si SAP GRC Access Control propose de nombreuses fonctionnalités, son couplage avec la solution SAP GRC Process Control apporte de multiples avantages décrits ci-dessous. La gestion des contrôles compensatoires Dans la pratique, le risque zéro au niveau de la séparation des tâches est difficilement atteignable. Par manque de personnel sur certains sites ou pour toute autre raison organisationnelle, il est fréquent qu’un utilisateur SAP ait accès à des fonctions SAP incompatibles entre elles d’un point de vue SoD. Pour adresser ces risques souvent critiques, le Contrôle Interne encourage la mise en place de contrôles compensatoires sous la forme de mesures de vérification conduites à posteriori. La solution Process Control connectée à Access Control offre une gestion documentée et collaborative de ces contrôles compensatoires. Le « contrôleur » reçoit, à fréquence prédéfinie, une alerte afin de procéder au test du contrôle demandé avant de renseigner le résultat directement dans l’outil. Le processus de contrôle est optimisé. 12 ILEVEN • LIVRE BLANC 2016 Suivi des actions de remédiation En cas d’exception ou de besoin d’investigation, le contrôleur peut déclencher dans Process Control un circuit de remédiation impliquant les acteurs concernés. L’activité de remédiation est mieux suivie. Contrôle automatisé sur Access Control L’utilisation de SAP GRC Process Control pour contrôler directement le système GRC permet une optimisation de l’utilisation du module Access Control. Ainsi, la définition de contrôles sur la non revue des logs d’utilisateurs à pouvoirs étendus ou la détection d’une fin de date d’affectation pour un contrôle compensatoire, permet d’automatiser leur revue par une remonté automatique de ces déficiences. Diffusion d’une culture de contrôle Tout comme Access Control, Process Control est une solution centrale pouvant être déployée à grande échelle sur la base d’un référentiel et des processus de contrôle communs. Les activités de contrôle liées au risque SoD sont ainsi mieux suivies tant au niveau local qu’au niveau central. Le reporting associé offre des éléments de preuve rapidement et facilement accessibles lors des campagnes d’audit. L’utilisation de Process Control dans la continuité d’Access Control est un premier pas qui permet de tester et d’envisager le potentiel de cette solution capable d’adresser plus globalement la gestion du référentiel de contrôle de l’entreprise : contrôles généraux informatiques, contrôles applicatifs, etc. Au-delà de la gestion des droits d’accès, les autres solutions GRC de SAP permettent d’améliorer les processus de contrôle autour des systèmes SAP. Le CCM dans quel objectif ? L’objectif du CCM est de réaliser les tests des contrôles de manière automatique et semi-automatique, selon une fréquence à définir, sur les données et processus sur lesquels des objectifs de contrôle sont attendus. Les anomalies identifiées sont ainsi transmises aux responsables de processus associés en fonction des conditions d’alertes. On distingue 3 catégories de contrôles automatiques ou semi-automatiques : • Le paramétrage (modifications liées aux points de paramétrage SAP) • Les données de base (clients, fournisseurs, articles, immobilisations,...) • Les transactions (commandes, factures, écritures comptables,…) BONNES PRATIQUES QUELQUES ASTUCES POUR MIEUX UTILISER SAP GRC PROCESS CONTROL Les conseils pratiques de Mathieu BERTRAND, expert SAP GRC, autour de l’activation des fonctionnalités de Process Control. Fonction 1 : Matrice des risques et contrôles, et cartographie de l’organisation et des processus • Utilisez la fonction d’import/export Excel pour faciliter l’initialisation des données de base. • Utilisez la structure existante de reporting et/ou de signature des comptes pour définir votre organisation. • Pour éviter toute incohérence dans le reporting, tenez compte des périodes comptables lors de la modification des données de base. Fonction 2 : Evaluation des contrôles, risques et procédures par des questionnaires • Activez la fonction de récurrence pour automatiser, à fréquence donnée, les plans d’évaluation à destination des acteurs concernés. • Modifiez le nom des fonctions d’évaluation dans le paramétrage pour les utiliser à d’autres fins. Fonction 3 : Contrôles automatiques basés sur des règles de déficience • Utilisez SAP Query ou le moteur de règles métiers « BRF+ » pour contourner les limites du moteur standard de création des contrôles. • Développez des programmes ABAP pour les contrôles les plus complexes et utilisez les workflows de remédiation des déficiences pour les adresser. Fonction 4 : Workflow de traitement des déficiences • Utilisez la fonction de revue de soumission des déficiences pour une meilleure responsabilisation des managers. • Activez les notifications de rappel ainsi que l’escalade hiérarchique pour réduire le temps de remédiation et respecter ainsi les échéances. • Proposez des fréquences de rappel en rapport avec les enjeux tout en évitant un rejet par le Métier du fait de trop nombreux emails. • Ne modifiez les workflows préconfigurés basés sur la notion de rôle qu’en cas de besoin très spécifique. Fonction 5 : Ordonnanceur • Ne faites surtout pas commencer dans le passé une période d’évaluation plus grande que la fréquence d’exécution d’un contrôle automatique, au risque de dupliquer les notifications pour une même déficience. Fonction 6 : Signature des comptes • Vérifiez l’assignation des responsabilités préalablement au lancement du processus de signature des comptes. ILEVEN • LIVRE BLANC 2016 13 En fonction des objectifs de contrôle poursuivis (détection de la fraude, contrôle opérationnel du processus, qualité des données, etc.), les indicateurs utilisés varieront : identification des demandes d’achat non traitées depuis x mois, analyse des OD supérieures à un montant donné, contrôle des doubles paiements sur la base de critères avancés, contrôle de la modification des RIB, etc. TENDRE VERS UNE PLATEFORME GRC INTÉGRÉE POUR OPTIMISER LE PROCESSUS DE CONTRÔLE A la clé du CCM, une efficacité renforcée, une automatisation visible des alertes, une forte prévention, et la baisse des anomalies détectées au cours des audits. Pour tendre vers une cible plus efficace combinant gestion des risques et contrôle interne, une plateforme technologique unifiée permettra de partager les processus, les objectifs de contrôle, les informations organisationnelles et plus encore pour adresser toutes les activités de risque, de contrôle et de gestion de la conformité. Elle assurera un langage commun entre les directions de gestion des risques, de contrôle interne et d’audit et offrira l’objectif d’un reporting intégré pour la direction générale et les membres du conseil d’administration. Risk Management, pour l’identification et l’évaluation des risques, peut ainsi s’associer à Access Control pour la protection des données et à Process Control pour la protection des processus critiques ainsi que la détection des erreurs et des fraudes. Pour accroitre la pertinence en matière de fraude, Fraud Management permettra de réaliser des analyses prédictives, et de se mettre dans une logique de prévention versus détection des risques. De la détection classique du double-paiement fournisseur à la mise en place de méthodes prédictives de détection de fraude, les entreprises peuvent renforcer leur système de contrôles et d’alertes en temps réel. Pour améliorer les capacités de prévention et de détection du risque de fraude en entreprise, SAP s’appuie, au-delà de Process Control, sur sa solution Fraud Management. Cette solution s’appuie sur la puissante base de données HANA de l’éditeur pour offrir une performance d’analyse optimale à partir de très grands volumes de données issues des systèmes SAP mais aussi d’autres sources d’information. Fraud Management est une solution flexible qui permet de construire, à partir de modèles embarqués, des stratégies d’analyse complexes pour mieux investiguer les risques de fraude. Les fonctions de simulation en temps réel permettent de tester rapidement les impacts des changements d’options d’analyse pour ajuster au mieux les scripts de détection. Cette rapidité d’analyse permet donc d’agir directement sur les opérations en bloquant d’éventuelles transactions suspicieuses. Fraud Management est une solution performante et conviviale, destinée à être prise en main par des auditeurs et/ ou des équipes métiers épaulés de data scientists ayant un accès illimité aux données de l’entreprise. Les champs d’application sont infinis et la solution pourra s’adapter pour répondre aux nouvelles menaces auxquelles les organisations doivent faire face. Parmi les bénéfices d’une plateforme automatisée, on retiendra d’abord qu’elle améliore la maîtrise des risques : le contrôle opérationnel s’effectue en temps réel sur les anomalies et exceptions, les contrôles et alertes sont automatisés, la séparation des tâches et le blocage des accès sont assurés. Ensuite, elle optimise l’efficacité opérationnelle de gestion des risques et des contrôles par la réduction du temps d’exécution des opérations, la documentation et le test des contrôles. Enfin, elle crée de la valeur ajoutée pour l’entreprise en proposant des indicateurs, en offrant une meilleure indentification des risques et en favorisant leur traitement via l’optimisation des processus. Des bénéfices à compléter par celui de la réduction des coûts (implémentation, administration et maintenance) apportée par une telle plateforme. Plateforme SAP GRC intégrée : les solutions pour surveiller les risques de vos processus d’un bout à l’autre Exemples de contrôles Besoins/Solutions SAP Qualité des référentiels Procure to Pay Finance Order to Cash HR 14 Analyse qualitative des fournisseurs Incohérence sur les taux de TVA Analyse de la validité des Notes de Frais Contrôle sur doublon données Comptes actifs inutilisés Analyse qualitative des clients Identification des impayés de long terme Cohérence des informations entre tout les référentiels Décorrélation entre feuille de temps et temps de travail ILEVEN • LIVRE BLANC 2016 Contrôles détectifs d’erreurs et/ou de fraudes Analyse des processus Analyse qualitative sur les prix de vente Contrôle sur les validations des DA et CA Analyse des temps de traitement des process Analyse des avances aux fournisseurs Contrôle sur les avoirs fournisseurs Schéma comptable atypique Analyse productivité de la comptabilité Contrôle CA / Facture rapprochée Cohérence type de pièce / montant / écriture Analyse de la cohérence des périodes de saisie des écritures Statistiques sur les paiements / dettes Statistiques sur les temps de livraison Contrôle sur les limites de crédits clients Cohérence entre facturation et devis Analyse des temps de présence Contrôle entre période travaillée et période payée Contrôle réconciliation des paiements Doublon ou données fictives sur personnel Analyse similitude employé / fournisseur Contrôle sur double paiement / saisie facture Contrôle sur double facturation Risk Management Access Control Process Control Fraud Management Identification et évaluation des risques Protection des données Protection des processus critiques via la diffusion des règles et procédures de contrôle interne Détection des erreurs et des risques de fraude via le contrôle des transactions : - contrôle continu - investigation (analyse prédictive) Prévention des risques (ex. : blocage de transactions suspectes) ILEVEN • LIVRE BLANC 2016 15 La mise en œuvre d’une plateforme intégrée sera réalisée en fonction de la maturité de l’entreprise, dont les efforts devront portés sur les deux axes « Métier » et « Solution » comme on peut le voir sur le schéma ci-dessous. Plateforme GRC intégrée Environnement de contrôle optimisé GRC intégrée Contrôle continu Utilisation de la technologie Description des processus et des contrôles dans un outil centralisé Contrôles opérés mais non formalisés Contrôles non opérés Absence d’outil Environnement de contrôle Contrôles non opérés UN ACTEUR MAJEUR DE LA GRC Société de conseil créée en 2010, partenaire services SAP, ileven intervient dans les domaines suivants : GRC Consulting, Finance Consulting et IT Consulting. Partenaire des directions financières et des DSI, ileven est un acteur spécialisé en accompagnement de la mise en œuvre des solutions GRC et Finance de SAP et contribue à l’optimisation des processus informatiques. GRC CONSULTING En 2014, ileven est devenu le premier partenaire SAP en Europe à recevoir le label «Recognized Expertise» sur les solutions GRC, certificat donné par l’éditeur allemand pour reconnaître la spécialisation, l’expertise et les références de ses partenaires. L’équipe ileven combine des compétences d’Audit et de Contrôle Interne, et, une expertise d’intégration de la suite logicielle SAP GRC autour des modules « Risk Management », « Process Control » et « Access Control ». Documentation des contrôles via des outils bureautiques Risques non maîtrisés ileven, Contrôles alignés sur les risques AUDIT ET CONTRÔLE INTÉGRATION ET SERVICES -Gestion des risques et de la conformité (SOX) -SAP GRC Access Control et gestion des accès SAP -Optimisation du référentiel de Contrôle interne (COSO, (IDM/SSO) COBIT) -SAP GRC Process Control -Evaluation de la sécurité et des contrôles SAP -SAP GRC Risk Management De contrôles non effectifs, ou opérés mais non finalisés, à ceux réellement optimisés, dans les 5 ans qui viennent, les entreprises seront nécessairement passées à une plateforme intégrée GRC pour surveiller les risques de leurs processus d’un bout à l’autre. -SAP Fraud Management + de 50 clients nous font confiance du grand groupe international à la PME PARTAGE D’EXPÉRIENCE DU GROUPE AIR FRANCE/KLM Mise sous contrôle de la gestion des accès SAP dans le domaine Finance du groupe Air France/KLM : Catherine DrayGaston, Overall Project Manager du projet SoD, a mandaté les expert GRC d’ileven. « Dans le cadre du projet de remédiation SoD (Segregation of Duties) des habilitations SAP pour le domaine Finance du groupe Air France/KLM, nous avons souhaité réalisé un PoC (Proof of Concept) de la solution SAP GRC Access Control afin de nous assurer que la solution pouvait répondre à nos besoins en termes de mise sous contrôle de la gestion des accès SAP. Nous avons mandaté les experts GRC de la société ileven pour la réalisation de ce PoC et le résultat a répondu précisément à nos attentes » 16 ILEVEN • LIVRE BLANC 2016 2.4 M€ CA 2015 Une équipe de 25 personnes qui combine des compétences d’audit et de contrôle Interne, la connaissance des processus métier & SI et l’expertise SAP POUR EN SAVOIR PLUS http://www.ileven.fr/ ILEVEN • LIVRE BLANC 2016 17 www.ileven.fr Agence Vu Par INFORMATION SYSTEM CONSULTING