www.ileven.fr Janvier 2016

INFORMATIONSYSTEMCONSULTING

FRAUDE, CONTRLE INTERNE ET GESTION DES RISQUES EN ENTREPRISE

(GOUVERNANCE, RISQUE ET CONFORMIT)

SOLUTIONS SAP GRCAVIS DEXPERTS ET RETOURS CLIENTS.

PRVENTION ET DTECTION DES RISQUES DE FRAUDE : les nouvelles technologies renforcent la capacit danalyse des donnes et offrent lopportunit de mettre en place des systmes de contrle plus performants.Expertises et tmoignages dans ce livre blanc sign ileven, acteur majeur de la GRC (Gouvernance, gestion des Risques et de la Conformit) sur SAP en France.

32 ILEVEN LIVRE BLANC 2016ILEVEN LIVRE BLANC 2016

ENVIRONNEMENT SAP: AUCUNE ENTREPRISE NEST LABRI DE LA FRAUDE !Alors que plus de la moiti des entreprises franaises sont victimes de fraudes, la technologie est devenue indispensable pour renforcer la dtection et la prvention, et rduire les activits de contrle chronophages en interne et coteuses en externe...

Fraude dactifs, comptable ou aux achats 55 % des entreprises franaises ont t victimes de ce type descro-querie au cours des 24 derniers mois, selon la 7me dition de ltude mondiale de PwC sur le sujet. Un chiffre qui a presque doubl entre 2009 et 2014, et qui concerne tous les secteurs dactivit et toutes les tailles dentreprise.

55 % DES ENTREPRISES FRANAISES ont t victimes dune fraude au cours des 24 derniers mois.

De quelles fraudes sont donc victimes les entreprises ? Dans le top 5:

29 % DES FRAUDES SONT LIS AUX PROCESSUS ACHAT. Ce type de fraude a fortement augment, favoris par la concentration de la fonction achat et les politiques dexternalisation qui impliquent de nouveaux modles de contrle.

ILEVEN, PARTENAIRE DES DIRECTIONS FINANCIRES ET DES DSI

Les dtournements dactifs, les plus

frquents.

La fraude aux achats La corruption La cybercriminalit La fraude comptable

70% 29% 27% 24% 22%

54 ILEVEN LIVRE BLANC 2016ILEVEN LIVRE BLANC 2016

Mais do vient la fraude? Dans 6 cas sur 10, elle vient de lintrieur, dun collaborateur de lentreprise ayant une certaine anciennet et, qui plus est, la confiance de son management!

Si les fraudes externes ont attir rcemment lattention, notamment celles dites au prsident, qui consistent se faire passer pour le prsident dune entreprise et rclamer des virements bancaires sur un compte ltranger, celles internes demeurent le vecteur majoritaire datteinte aux ac-tifs. Elles sont non seulement plus fortes en nombre mais aussi en montants. Stphane Cohen, prsident de lOrdre des experts-comptables Paris IDF, indique quil est possible destimer prs de 50 % les entreprises liquides en raison du larcin de ces escrocs en col blanc .

60 % DES FRAUDES VIENNENT DE LINTRIEUR DE LENTREPRISE

Les entreprises ont bien pris conscience de ces risques. Se-lon Euler Hermes France, qui a aussi conduit une enqute dans le domaine avec lassociation nationale des direc-teurs financiers et de contrle de gestion (DFCG), 80 % des dirigeants dentreprises considrent la fraude comme une menace importante, et 90 % des directeurs financiers d-clarent avoir sensibilis leur comit de direction aux risques. Un bon point, certes, mais parmi les dispositifs de lutte mis en place, seuls 28 % disposent dune cartographie de leurs risques de fraude et ils ne sont que 38 % avoir men un audit de scurit de leur systme informatique

43 % DES FRAUDES REPORTES PAR LES ENTREPRISES FRANAISES ONT T DTECTES GRCE LANA-LYSE INFORMATIQUE DES DONNES ET 25 % DES FRAUDES SONT D-TECTES PAR DES CONTRLES AU-TOMATISS

Lacclration de la dtection des fraudes est clairement corrle la monte en puissance de nouveaux modes de dtection que sont lanalyse de donnes, lidentification des transactions inhabituelles, et lutilisation de plateformes GRC.

LA PRVENTION ET LA DTECTION SONT CLS Les dispositifs de prvention et de dtection sont indispensables pour lutter contre la fraude et per-mettent de dtecter 55% des fraudes.

Modes de dtection - 2014en % des entreprises ayant dclar avoir t victimes au moins dune fraude

(Etude mondiale PwC sur la fraude - 7me dition - 2014)

Identification des transactions inhabituelles

Culture dentreprise (incluant les systmes dalerte)

Autres

Audit interne

Evaluation du risque de fraude

Politique de scurit interne

NSP

Rotation du personnel

25%

23%

18%

12%

11%

5%

4%

2%

PORTRAIT-ROBOT DU FRAUDEURQuel est le profil du fraudeur franais ?Selon ltude PwC, il est employ ou cadre moyen, a entre 41 et 50 ans. Il est en poste depuis plus de 10 ans. Souvent sympathique, il a donc la confiance de ses sup-rieurs hirarchiques

43 % DES FRAUDES REPORTES PAR LES ENTREPRISES FRANAISES ONT T DTECTES GRCE LANA-LYSE INFORMATIQUE DES DONNES ET 25 % DES FRAUDES SONT D-TECTES PAR DES CONTRLES AU-TOMATISS

Lacclration de la dtection des fraudes est clairement corrle la monte en puissance de nouveaux modes de dtection que sont lanalyse de donnes, lidentification des transactions inhabituelles, et lutilisation de plateforme GRC.

Les particularits de SAP en matire de risque

Les solutions applicatives comme SAP constituent des environnements risques compte tenu des flux grs, du nombre dutilisateurs et de leur dimension globale. Les grands groupes et les PME qui se dploient linternatio-nal ont construit au fil du temps leurs systmes dinfor-mation sur les solutions de lditeur allemand, sduits par la richesse fonctionnelle et les capacits techniques pro-poses. Chaque jour, des millions dutilisateurs rpartis sur lensemble de la plante y accdent, saisissent leurs opra-tions, suivent et stockent les flux financiers et physiques au sein de ce coffre-fort applicatif indispensable au bon fonc-tionnement des activits oprationnelles et ncessaire la production des comptes. Si SAP dispose de vraies qualits en termes de robustesse et de performances techniques, de traabilit de linformation et de contrles embarqus, il reste soumis une srie de risques quil convient dadresser et de grer.Des cas de fraude raliss au sein de systmes SAP ont fait la Une de la presse, comme cette comptable de lEtablisse-ment Franais du Sang qui en 2013 a t condamne 7 ans de prison pour avoir dtourn plus de 8 millions deuros son employeur. Larbre qui cache la fort. En effet le pen-dant dun systme tendu et multifonctionnel comme SAP est le risque de donner aux utilisateurs des droits trop larges leur permettant daccder de linformation confidentielle ou de manipuler les donnes et les processus de manire intentionnelle ou non.Focalises sur loptimisation des processus, les entreprises ont souvent mis en uvre des solutions SAP en ne tenant pas suffisamment compte des objectifs du Contrle In-terne. Et mme si le systme de contrle a un temps t dfini, il a du mal prouver son efficacit dans le temps, compte tenu de la complexit, du volume de donnes gr et de lvolution permanente des solutions. Presses par les audits internes et externes, les entreprises prennent peu peu conscience des risques inhrents aux solutions quelles ont mises en place.

Les enjeux pour le contrle interne

Lapplication des rfrentiels relatifs la gestion des sys-tmes dinformation (ex. : ITIL, ISO 27001/2) et aux prin-cipes de contrle interne (COSO, CobIT) aide amliorer lorganisation et les processus informatiques supportant la gestion des applications SAP. Les contraintes rglemen-taires comme la loi Sarbanes-Oxley aux Etats-Unis et la loi sur la Scurit Financire en France concourent galement renforcer lexigence de contrle interne des organisations et des oprations en appliquant les rfrentiels connus. Ce-pendant les dispositifs mis en place ne sont pas toujours suffisants. Les entreprises peinent apporter des rponses appropries au bon niveau de matrise des oprations sup-portes dans les systmes. Les rfrentiels de contrle sont souvent dfinis mais leur mise en uvre est difficile et couteuse grande chelle. Les outils bureautiques ou les solutions stand-alone de gestion des risques et/ou du r-frentiel de contrle ont leurs limites et ne favorisent pas le lien vertueux entre le contrle interne et les oprationnels. Les outils danalyse sont galement trop limits et utiliss de manire trop ponctuelle pour tre efficaces.

Afin datteindre ses objectifs en termes de matrise des risques et damlioration de la performance, le contrle in-terne doit se doter de solutions technologiques lui permet-tant de mieux:

- dtecter les dficiences,- prvenir les risques (analyses prdictives),- animer un processus collaboratif de gestion des risques et de suivi des contrles,- diffuser une culture de contrle,- optimiser lexcution des contrles (automatisation).

76 ILEVEN LIVRE BLANC 2016ILEVEN LIVRE BLANC 2016

QUELLES SOLUTIONS SAP POUR RPONDRE AUX PREOCCUPA-TIONS DU CONTROLE INTERNE?

Brique essentielle du contrle interne destine prvenir le risque de fraude, la sparation des tches (SoD en an-glais pour Segregation of Duties) est un principe cl appli-quer au niveau du systme dinformation. Le contrle SoD vise sassurer quun unique individu na pas le contrle sur toutes les phases dun processus, sans lintervention dacteurs tiers, afin de limiter les risques lis au cumul des droits. Par exemple, la gestion des donnes fournisseurs (dont lenregistrement du RIB) et la fonction de paiement de ces fournisseurs ne peuvent tre cumules.Particulirement surveills par les auditeurs internes et externes, la gestion des accs et le respect du principe de sparation des tches sont devenus une ncessit pour les organisations.

La brique SAP GRC Access Control permet de grer cette sparation des tches (SoD) en modes dtectif et prventif. Elle cadre, structure et automatise le processus de gestion des demandes daccs et des droits. Pour cela, la solution SAP GRC Access Control propose plusieurs fonctionnalits cls commencer par lanalyse des risques daccs pour identifier prcisment les utilisateurs conflictuels et propo-ser des mesures de remdiation adaptes.

MTHODOLOGIE DE MISE EN UVRE DES DIFFRENTES BRIQUES DE LA SOLUTION SAP GRC ACCESS CONTROL

GRER PRO ACTIVEMENT ET DE MANIRE CONTINUE LA SPARATION DES TCHES

LES SOLUTIONS SAP SONT DES ENVIRONNEMENTS RISQUES COMPTE TENU DES FLUX GRS, DU NOMBRE DUTILISATEURS ET DE LEUR DIMENSION GLOBALE. LA SUITE SAP GRC OFFRE UN PROGRAMME EFFICACE DE GESTION DES RISQUES ET DE MISE EN CONFORMIT.

Elle gre galement les demandes daccs utilisateur en automatisant leurs affectations travers les systmes SAP et non SAP tout en empchant les violations SoD laide dune analyse des risques intgre. En matire de gestion des rles, cette solution permet de dfinir et maintenir les rles avec une terminologie mtier adapte lentreprise. Grce cette solution et son reporting intgr, lentreprise a en permanence une vision du niveau de risque utilisateur et peut prendre les mesures dattnuation adquates (cor-rection des accs, contrles compensatoires, etc.). Pour la gestion des accs durgence, la solution permet dautoriser les utilisateurs effectuer des oprations en dehors de leur rle en utilisant des identifiants pompier dans un environ-nement contrl et auditable.

Les avantages de la mise en place de cette solution sont de plusieurs ordres pour les entreprises : elle limite les risques de fraude interne et de perte de revenus cause derreurs humaines. Elle rduit les cots de gestion des ac-cs lchelle de lentreprise. Enfin, elle permet de rduire les cots daudit.

PREPARE GET CLEAN STAY CLEAN

Dfinir le rfrentiel de risques et conduire les analyses SoD

Remdier les risques aux niveaux rles et utilisateurs

Emergency Access Management (EAM)Permet de tracer laccs

aux comptes largis

Access Risk Analysis (ARA)

Moteur de la solution Dtecte les risques lis aux conflits de sparation des tches

Access Request Management (ARM)

Gre le cycle de vie de lutilisateur

Business Role Management (BRM)Analyse et gre les rles

Scuriser le cycle de vie de lutilisateur et optimiser la maintenance

des autorisations

8 ILEVEN LIVRE BLANC 2016

LES 10 RGLES DOR DUN PROJET GRC

Mathieu Chastre, expert SAP GRC, synthtise ici les tapes essen-tielles appliquer pour russir votre projet GRC.

1. Commencez par une phase pralable daudit pour valuer le niveau de risque et mieux cadrer les objectifs du projet.

2. Mettez en place un fort spon-sorship aussi bien mtier (Contrle Interne, DAF) que IT et prvoyez un accompagnement pluridiscipli-naire (expertise contrle interneSI et expertise SAP GRC).

3. Grez la communication en amont et pendant le projet pour accompagner les changements imposs au niveau de lorganisa-tion du travail.

4. Concevez une matrice de risques portant dans un premier temps sur 30 50 des plus cri-tiques dentre eux pour lentreprise (flux achats, logistiques, ventes et financiers). Enrichissez ensuite cette matrice lorsque tous ces risques sont sous contrle.

5. Faites contrler la matrice SoD par les Commissaires aux Comptes.

6. Construisez une solution auto-risations SAP sans risque SoD tous les niveaux (rles simples et rles composites).

7. Ne vous fixez pas dobjectifs inatteignables: le niveau de risque zro nexiste pas au niveau des utilisateurs. Prenez le temps de remdier les utilisateurs, phase la plus longue et complexe.

8. Remdiez une premire organi-sation pilote qui servira dexemple pour le dploiement au niveau du Groupe.

9. Couplez la remdiation des utilisateurs avec la mise en place dune bibliothque de contrles compensatoires grs dans Pro-cess Control.

10. Mettez en place une gouver-nance GRC et des outils pour p-renniser les efforts de remdiation.

PARTAGE DEXPRIENCE DE SERCEL (GROUPE CGG), SPCIALISTE DES QUIPEMENTS SISMIQUES

Hlne Lozahic, Group Internal Control, explique les bn-fices de la solution GRC Access Control mise en place dans lentreprise. Evoluant dans un cadre rglementaire strict, soumis no-tamment la rglementation Sarbanes-Oxley, nous avions besoin dun outil pour nous aider grer, optimiser et do-cumenter les utilisateurs, leurs accs SAP avec leurs rles attribus et la sparation des tches dans notre systme. Nous souhaitions galement supprimer et/ou rduire les risques derreur et/ou de fraude en suivant lusage des tran-sactions sensibles et en dtectant les irrgularits et/ou in-compatibilits de tches. La mise en place de SAP avait eu lieu sans outil intgr de gestion des autorisations mais en utilisant Excel.

Trs vite, la ncessit de se doter dun outil spcifique sest avre indispensable compte tenu de la complexit dun suivi manuel.

La mise en place de GRC Access Control nous a permis de :

- Redfinir et prciser les rles et mtiers de nos utilisateurs,

- Dfinir une matrice de sparation des tches que nous fai-sons voluer rgulirement dans le systme,

- Monitorer lapplication de la sparation des tches au ni-veau des quelques 2 000 utilisateurs de notre organisation grce aux diffrents reporting,

- Documenter et affecter les contrles compensatoires aux rles et utilisateurs en cas de conflit de sparation de tches,

- Aider la cration de nouveaux utilisateurs grce aux ou-tils de simulations.

- Suivre les accs privilgis accords aux responsables so-lutions et aux experts SAP en production, et suivre lutilisa-tion des transactions dites sensibles.

Nous projetons de lancer un projet pour monter en version 10.1 dici la fin de lanne.

RISQUE THORIQUE VERSUS RISQUE RELLe contrle interne dispose dsormais doutils permettant une vision globale des risques SoD au sein de son systme dinfor-mation. Mais les grands groupes ayant mis en place ce type doutillage, de par leur taille (nombre lev dutilisateurs) et la diversit du primtre applicatif, rencontrent deux nouvelles pro-blmatiques : le besoin de contrle des risques rels ainsi que le besoin douverture sur les risques inter applications.La remdiation SoD (mise sous contrle des risques SoD) pour le contrle interne peut vite se transformer en un vrai casse-tte. En effet, la volumtrie importante des risques SoD corri-ger peut dcourager les personnes en charge de la remdiation. Souvent, on ne sait pas par o commencer observaitun res-ponsable dune filiale locale dun grand producteur de bires, notre mtier cest de produire de la bire et pas de passer notre temps la remdiation SoD . Il ne sagit donc plus de lister sim-plement les risques SoD au niveau des utilisateurs.

Les outils GRC de SAP stoffent et voluent vers plus defficaci-t, afin de pouvoir limiter les rsultats aux risques rels , ceux ayant un impact immdiat et chiffr en termes de sortie de cash tout en diminuant la priorit de traitement des risques thoriques (dont les accs sont possibles mais jamais ou ra-rement utiliss). Cette volution est primordiale pour accrotre lefficacit de la remdiation SoD et optimiser les temps de trai-tement.Les solutions SAP GRC proposent galement de connecter des systmes non SAP afin de grer les risques SoD inter-applicatifs. Le dveloppement et lamlioration des dispositifs de dtection de fraudes contribuent incontestablement une rduction de la fraude financire et une meilleure matrise des flux financiers.

1110 ILEVEN LIVRE BLANC 2016ILEVEN LIVRE BLANC 2016

Un dispositif de contrle interne concourt mieux matriser les risques et renforcer lefficacit des oprations. Il passe par la mise en place dune organisation de contrles pour un primtre donn lensemble dune organisation ou certaines de ses entits et sur la base dun rfrentiel de contrles. Ce dernier document dcrit tous les contrles couvrir pour les activits de lentreprise. Il est bas sur une approche par les risques et par les processus.

ANALYSER ET METTRE SOUS CONTRLE LES DONNES ET LES PROCESSUS

Benoit Pachot, expert Audit et Contrle SAP chez ileven, rappelle les activits de contrles ralises par les respon-sables oprationnels qui peuvent tre excutes sur et avec leur solution SAP, de faon manuelle et automa-tique.

Il existe des contrles automatiques de deux types :

- Les contrles inhrents qui sont des contrles propres au systme SAP et qui ne sont pas configurables (exemple: le dbit dune criture comp-table est gal son crdit),

- Les contrles paramtrables qui sont des contrles configurs dans SAP et qui ne sont pas modifiables par les uti-lisateurs (exemple : lenregistrement impossible dun stock ngatif).

Il est possible aussi de distinguer les contrles manuels des contrles se-mi-automatiques ports par SAP. Les contrles manuels sont des contrles excuts par les utilisateurs mtiers via des transactions (exemple : transaction OB52 pour le contrle et

la gestion des priodes comptables). Les contrles semi-automatiques sont des contrles qui ncessitent un pa-ramtrage et laction dun utilisateur (exemple : le rapprochement bancaire ou le workflow dapprobation des com-mandes dachat).

Dans le cadre dune volont dauto-matisation des contrles, plusieurs niveaux dtats et doutils sont dispo-nibles sur SAP :

- Revue des paramtres de contrles sensibles (contrle de configuration)- Rapports dexceptions (contrle des donnes de base et tran-sactionnelles)-Etats de pilotage (contrle des contrles et tableau de bord des risques).

Dune manire gnrale, Process Control peut r-pondre de nombreux objectifs de contrle et offre une approche de mise en uvre flexible et progres-sive. Wassim Ben Mansour, expert SAP GRC chez ileven, vous livre 4 pistes pour approcher le sujet.

1. Vous navez pas de base unifie pour grer votre rfrentiel de contrle interne. SAP GRC Process Control vous aide organiser, documenter et dif-fuser vos contrles au sein de votre organisation.

2. Vous avez mis en place SAP GRC Access Control, ajoutez de nouvelles fonctions pour amliorer le niveau de contrle de vos risques SoD. (voir enca-dr ci aprs: SAP GRC: les bnfices de Process Control intgr avec Access Control).

3. Vous souhaitez mettre sous contrle le proces-sus P2P tout en optimisant les diffrentes tapes du flux, mettez en place les fonctions de contrle des donnes et des documents de Process Control permettant dalerter les oprationnels en continu : contrle des commandes cres aprs la date de facture, contrles des factures sans commande, contrles des double paiements, contrle de la mo-dification des RIB fournisseurs, etc.

4. Vous souhaitez utiliser la fonctionnalit de Contrle Continu pour scuriser vos points de para-mtrage SAP et adresser des problmatiques telles que: le contrle des comptes super utilisateurs, le contrle de la stratgie de transport, le contrle du code productif, etc.

FOCUS SUR LES CONTRLES EMBARQUS

PAR O COMMENCER VOTRE PROJET SAP GRC PROCESS CONTROL?

Comment mettre en uvre un tel dispositif au sein de votre environnement SAP?

Pour sassurer dun minimum de contrles sur les don-nes et processus grs dans SAP, les contrles em-barqus constituent un premier niveau de contrle quil convient dadresser avec mthode et rigueur.

Sils savrent importants, les contrles embarqus SAP restent nanmoins insuffisants, car partiels, rarement documents et peu automatiss. Cest l quentre en jeu la brique de la suite GRC SAP Process Control qui, tra-vers ses fonctions de cration et dautomatisation des contrles, ou encore grce ses capacits de reporting tendues, aide avoir un aperu exhaustif et continu du dispositif de contrle interne.En effet, SAP GRC Process Control permet dadresser les besoins de documentation et de gestion du rfrentiel de contrle dans un souci de conformit avec les rgle-mentations et les bonnes pratiques de contrle interne. A limage des autres logiciels du march, il permet de maintenir et de suivre une bibliothque centrale de risques et de contrles propres chaque organisation et processus de lentreprise. Mais au-del de la gestion des contrles, Process Control permet galement de les au-tomatiser de faon dtective ou prventive, de les va-luer via des questionnaires ou plans de test et surtout de piloter la remdiation des dficiences dtectes par le biais de workflow entre les parties prenantes.

Cette distribution des responsabilits entre laudit, le contrle interne, les quipes SI et les mtiers permet de sensibiliser lensemble des acteurs aux questions de contrle interne au sein de votre entreprise et de ne pas cantonner le contrle interne un sujet de conformit.

A terme, SAP GRC Process Control permet vritable-ment de mettre en place un environnement de contrle permanent (CCM pour Continuous Control Monitoring) devenu ncessaire au vu du degr encore excessif des contrles manuels, des cots levs dvaluation, du trop grand nombre derreurs dtectes lors daudits in-ternes ou externes, de contrles plus dtectifs que pr-ventifs, dexceptions, de dtournements de contrles trop nombreux et de la prise en compte insuffisante des risques oprationnels.

1312 ILEVEN LIVRE BLANC 2016ILEVEN LIVRE BLANC 2016

Lobjectif du CCM est de raliser les tests des contrles de manire automatique et semi-automatique, selon une frquence dfinir, sur les donnes et processus sur lesquels des objectifs de contrle sont attendus. Les anomalies identifies sont ainsi transmises aux responsables de processus associs en fonction des conditions dalertes.

On distingue 3 catgories de contrles automatiques ou semi-automatiques : Le paramtrage (modifications lies aux points de paramtrage SAP) Les donnes de base (clients, fournisseurs, articles, immobilisations,...) Les transactions (commandes, factures, critures comptables,)

Les conseils pratiques de Mathieu BERTRAND, expert SAP GRC, autour de lactivation des fonctionnalits de Process Control.

Fonction 1: Matrice des risques et contrles, et cartogra-phie de lorganisation et des processus

Utilisez la fonction dimport/export Excel pour faciliter linitialisation des donnes de base.

Utilisez la structure existante de reporting et/ou de signature des comptes pour dfinir votre organisation.

Pour viter toute incohrence dans le reporting, tenez compte des priodes comptables lors de la modifica-tion des donnes de base.

Fonction 2: Evaluation des contrles, risques et proc-dures par des questionnaires

Activez la fonction de rcurrence pour automatiser, frquence donne, les plans dvaluation destination des acteurs concerns.

Modifiez le nom des fonctions dvaluation dans le paramtrage pour les utiliser dautres fins.

Fonction 3: Contrles automatiques bass sur des rgles de dficience

Utilisez SAP Query ou le moteur de rgles mtiers BRF+ pour contourner les limites du moteur stan-dard de cration des contrles.

Dveloppez des programmes ABAP pour les contrles les plus complexes et utilisez les workflows de rem-diation des dficiences pour les adresser.

Fonction 4: Workflow de traitement des dficiences

Utilisez la fonction de revue de soumission des d-ficiences pour une meilleure responsabilisation des managers.

Activez les notifications de rappel ainsi que lescalade hirarchique pour rduire le temps de remdiation et respecter ainsi les chances.

Proposez des frquences de rappel en rapport avec les enjeux tout en vitant un rejet par le Mtier du fait de trop nombreux emails.

Ne modifiez les workflows prconfigurs bass sur la notion de rle quen cas de besoin trs spcifique.

Fonction 5: Ordonnanceur

Ne faites surtout pas commencer dans le pass une priode dvaluation plus grande que la frquence dexcution dun contrle automatique, au risque de dupliquer les notifications pour une mme dficience.

Fonction 6: Signature des comptes

Vrifiez lassignation des responsabilits pralable-ment au lancement du processus de signature des comptes.

Le CCM dans quel objectif ?

De nombreuses socits utili-satrices de SAP ont dj mis en place ou envisagent de mettre en place SAP GRC Access Control pour automatiser le processus de gestion des de-mandes daccs mais surtout pour grer le risque de fraude en adressant lun des principes cls du Contrle Interne: la s-paration des tches.

Selon Nicolas Richard, ex-pert GRC chez ileven, si SAP GRC Access Control propose

de nombreuses fonctionnalits, son couplage avec la solution SAP GRC Pro-cess Control apporte de multiples avan-tages dcrits ci-dessous.

La gestion des contrles compensatoires

Dans la pratique, le risque zro au niveau de la sparation des tches est difficile-ment atteignable. Par manque de per-sonnel sur certains sites ou pour toute autre raison organisationnelle, il est fr-quent quun utilisateur SAP ait accs des fonctions SAP incompatibles entre elles dun point de vue SoD. Pour adresser ces risques souvent critiques, le Contrle Interne encourage la mise en place de contrles compensatoires sous la forme de mesures de vrification conduites posteriori.La solution Process Control connecte Access Control offre une gestion docu-mente et collaborative de ces contrles compensatoires. Le contrleur reoit, frquence prdfinie, une alerte afin de procder au test du contrle deman-d avant de renseigner le rsultat di-rectement dans loutil. Le processus de contrle est optimis.

Suivi des actions de remdiationEn cas dexception ou de besoin dinvesti-gation, le contrleur peut dclencher dans Process Control un circuit de remdiation impliquant les acteurs concerns. Lacti-vit de remdiation est mieux suivie.

Contrle automatis sur Access ControlLutilisation de SAP GRC Process Control pour contrler directement le systme GRC permet une optimisation de lutili-sation du module Access Control. Ainsi, la dfinition de contrles sur la non revue des logs dutilisateurs pouvoirs tendus ou la dtection dune fin de date daffec-tation pour un contrle compensatoire, permet dautomatiser leur revue par une remont automatique de ces dficiences.

Diffusion dune culture de contrleTout comme Access Control, Process Control est une solution centrale pou-vant tre dploye grande chelle sur la base dun rfrentiel et des processus de contrle communs. Les activits de contrle lies au risque SoD sont ainsi mieux suivies tant au niveau local quau niveau central. Le reporting associ offre des lments de preuve rapidement et fa-cilement accessibles lors des campagnes daudit.

Lutilisation de Process Control dans la continuit dAccess Control est un pre-mier pas qui permet de tester et denvisa-ger le potentiel de cette solution capable dadresser plus globalement la gestion du rfrentiel de contrle de lentre-prise: contrles gnraux informatiques, contrles applicatifs, etc.Au-del de la gestion des droits dac-cs, les autres solutions GRC de SAP permettent damliorer les processus de contrle autour des systmes SAP.

AVIS DEXPERT : LES BNFICES DE PROCESS CONTROL INTGR AVEC ACCESS CONTROL

BONNES PRATIQUESQUELQUES ASTUCES POUR MIEUX UTILISER SAP GRC PROCESS CONTROL

1514 ILEVEN LIVRE BLANC 2016ILEVEN LIVRE BLANC 2016

En fonction des objectifs de contrle poursuivis (dtection de la fraude, contrle oprationnel du processus, qualit des donnes, etc.), les indicateurs utiliss varieront: identification des demandes dachat non traites depuis x mois, analyse des OD suprieures un montant donn, contrle des doubles paiements sur la base de critres avancs, contrle de la modification des RIB, etc.

A la cl du CCM, une efficacit renforce, une automatisation visible des alertes, une forte prvention, et la baisse des ano-malies dtectes au cours des audits.

De la dtection classique du double-paiement fournisseur la mise en place de mthodes prdictives de dtection de fraude, les entreprises peuvent renforcer leur systme de contrles et dalertes en temps rel.Pour amliorer les capacits de prvention et de dtection du risque de fraude en entreprise, SAP sappuie, au-del de Pro-cess Control, sur sa solution Fraud Management.

Cette solution sappuie sur la puissante base de donnes HANA de lditeur pour offrir une performance danalyse optimale partir de trs grands volumes de donnes issues des systmes SAP mais aussi dautres sources dinformation.Fraud Management est une solution flexible qui permet de construire, partir de modles embarqus, des stratgies dana-lyse complexes pour mieux investiguer les risques de fraude. Les fonctions de simulation en temps rel permettent de tester rapidement les impacts des changements doptions danalyse pour ajuster au mieux les scripts de dtection.Cette rapidit danalyse permet donc dagir directement sur les oprations en bloquant dventuelles transactions suspi-cieuses. Fraud Management est une solution performante et conviviale, destine tre prise en main par des auditeurs et/ou des quipes mtiers pauls de data scientists ayant un accs illimit aux donnes de lentreprise. Les champs dappli-cation sont infinis et la solution pourra sadapter pour rpondre aux nouvelles menaces auxquelles les organisations doivent faire face.

Pour tendre vers une cible plus efficace combinant gestion des risques et contrle interne, une plateforme technolo-gique unifie permettra de partager les processus, les ob-jectifs de contrle, les informations organisationnelles et plus encore pour adresser toutes les activits de risque, de contrle et de gestion de la conformit. Elle assurera un lan-gage commun entre les directions de gestion des risques, de contrle interne et daudit et offrira lobjectif dun repor-ting intgr pour la direction gnrale et les membres du conseil dadministration. Risk Management, pour lidenti-fication et lvaluation des risques, peut ainsi sassocier Access Control pour la protection des donnes et Process Control pour la protection des processus critiques ainsi que la dtection des erreurs et des fraudes. Pour accroitre la per-tinence en matire de fraude, Fraud Management permettra de raliser des analyses prdictives, et de se mettre dans une logique de prvention versus dtection des risques.

Parmi les bnfices dune plateforme automatise, on re-tiendra dabord quelle amliore la matrise des risques: le contrle oprationnel seffectue en temps rel sur les ano-malies et exceptions, les contrles et alertes sont automa-tiss, la sparation des tches et le blocage des accs sont assurs. Ensuite, elle optimise lefficacit oprationnelle de gestion des risques et des contrles par la rduction du temps dexcution des oprations, la documentation et le test des contrles. Enfin, elle cre de la valeur ajoute pour lentreprise en proposant des indicateurs, en offrant une meilleure indentification des risques et en favorisant leur traitement via loptimisation des processus. Des bnfices complter par celui de la rduction des cots (implmenta-tion, administration et maintenance) apporte par une telle plateforme.

Besoins/Solutions SAP Risk Management Access Control Process Control Fraud Management

Identification et valuation des risques

Protection des donnes

Protection des pro-cessus critiques via la diffusion des rgles et procdures de contrle

interne

Dtection des erreurs et des risques de fraude via le contrle des tran-

sactions :- contrle continu

- investigation (analyse prdictive)

Prvention des risques (ex. : blocage de tran-sactions suspectes)

TENDRE VERS UNE PLATEFORME GRC INTGRE POUR OPTIMISER LE PROCESSUS DE CONTRLE

Qualit des rfrentiels Analyse des processusContrles dtectifs

derreurs et/ou de fraudes

Procure to Pay

Analyse qualita-tive des fournis-

seurs

Contrle sur doublon

donnes

Analyse de la

validit des Notes de Frais

Contrle sur les valida-

tions des DA et CA

Analyse des temps de traitement

des process

Analyse des

avances aux four-nisseurs

Contrle sur les avoirs

fournisseurs

Analyse similitude employ / fournis-

seur

Finance

Incoh-rence sur les taux de TVA

Comptes actifs

inutiliss

Analyse producti-vit de la compta-

bilit

Contrle CA /

Facture rappro-

che

Cohrence type de pice /

montant / criture

Analyse de la co-hrence

des priodes de saisie des cri-

tures

Schma comptable atypique

Contrle sur double paiement / saisie facture

Order to Cash

Analyse qualita-tive des clients

Identifica-tion des

impays de long terme

Ana-lyse

quali-tative sur les prix de vente

Statis-tiques sur les paie-ments / dettes

Statis-tiques sur les

temps de livraison

Contrle sur les limites de crdits

clients

Coh-rence entre

factura-tion et devis

Contrle rconciliation

des paiements

Contrle sur double factura-

tion

HR

Coh-rence des

infor-mations

entre tout les rfren-

tiels

Dcorrla-tion entre feuille de temps et temps de

travail

Analyse des

temps de prsence

Contrle entre

priode travail-le et

priode paye

Doublon ou donnes fictives

sur personnel

Exemples de contrles

Plateforme SAP GRC intgre: les solutions pour surveiller les risques de vos processus dun bout lautre

1716 ILEVEN LIVRE BLANC 2016ILEVEN LIVRE BLANC 2016

La mise en uvre dune plateforme intgre sera ralise en fonction de la maturit de lentreprise, dont les efforts devront ports sur les deux axes Mtier et Solution comme on peut le voir sur le schma ci-dessous.

De contrles non effectifs, ou oprs mais non finaliss, ceux rellement optimiss, dans les 5 ans qui viennent, les entreprises seront ncessairement passes une plateforme intgre GRC pour surveiller les risques de leurs processus dun bout lautre.

Uti

lisat

ion

de la

tech

nolo

gie

Plateforme GRC intgre

Absence doutil

Contrles non oprs Contrles aligns sur les risques

Environnement de contrle

Environnement de contrleoptimis

Risques non matriss

Contrles non oprs

Contrlesoprs mais non formaliss

Documentation des contrlesvia des outils bureautiques

Description des processus et des contrles dans un outil centralis

Contrle continu

GRC intgre

ileven,UN ACTEUR MAJEUR DE LA GRC

Une quipe de 25 personnesqui combine des comptences daudit et de contrle Interne, la connaissance des processus mtier & SI et lexpertise SAP

+ de 50 clients nous font confiance du grand groupe

international la PME

CA 2015

GRC CONSULTINGEn 2014,ilevenest devenu le premier partenaire SAP en Europe recevoir le label Recognized Expertisesur les solutions GRC, certificat donn par lditeur allemand pour reconnatre la spcialisation, lexpertise et les rfrences de ses partenaires.Lquipe ileven combine des comptences dAudit et de Contrle Interne, et, une expertise dintgration de la suite logicielle SAP GRC autour des modules Risk Management , Process Control et Access Control .

POUR EN SAVOIR PLUShttp://www.ileven.fr/

AUDIT ET CONTRLE-Gestion des risques et de la conformit (SOX)

-Optimisation du rfrentiel de Contrle interne (COSO,

COBIT)

-Evaluation de la scurit et des contrles SAP

INTGRATION ET SERVICES-SAP GRC Access Control et gestion des accs SAP

(IDM/SSO)

-SAP GRC Process Control

-SAP GRC Risk Management

-SAP Fraud Management

Socit de conseil cre en 2010, partenaire services SAP, ileven intervient dans les domaines suivants : GRC Consulting, Finance Consulting et IT Consulting. Partenaire des directions financires et des DSI, ileven est un acteur spcialis en accompagnement de la mise en uvre des solutions GRC et Finance de SAP et contribue loptimisation des processus informatiques.

2.4 MPARTAGE DEXPRIENCE DU GROUPE AIR FRANCE/KLM Mise sous contrle de la gestion des accs SAP dans le do-maine Finance du groupe Air France/KLM : Catherine Dray-Gaston, Overall Project Manager du projet SoD, a mandat les expert GRC dileven. Dans le cadre du projet de remdiation SoD (Segregation of Duties) des habilitations SAP pour le domaine Finance du groupe Air France/KLM, nous avons souhait ralis un PoC (Proof of Concept) de la solution SAP GRC Access Control afin de nous assurer que la solution pouvait rpondre nos besoins en termes de mise sous contrle de la gestion des accs SAP. Nous avons mandat les experts GRC de la so-cit ileven pour la ralisation de ce PoC et le rsultat a r-pondu prcisment nos attentes

INFORMATIONSYSTEMCONSULTING

www.ileven.fr

Age

nce

Vu P

ar