SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer...

10
www.ileven.fr Janvier 2016 INFORMATION SYSTEM CONSULTING FRAUDE, CONTRÔLE INTERNE ET GESTION DES RISQUES EN ENTREPRISE (GOUVERNANCE, RISQUE ET CONFORMITÉ) SOLUTIONS SAP GRC AVIS D’EXPERTS ET RETOURS CLIENTS. PRÉVENTION ET DÉTECTION DES RISQUES DE FRAUDE : les nouvelles technologies renforcent la capacité d’analyse des données et offrent l’opportunité de mettre en place des systèmes de contrôle plus performants. Expertises et témoignages dans ce livre blanc signé ileven, acteur majeur de la GRC (Gouvernance, gestion des Risques et de la Conformité) sur SAP en France.

Transcript of SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer...

Page 1: SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs

www.ileven.fr Janvier 2016

INFORMATIONSYSTEMCONSULTING

FRAUDE, CONTRÔLE INTERNE ET GESTION DES RISQUES EN ENTREPRISE

(GOUVERNANCE, RISQUE ET CONFORMITÉ)

SOLUTIONS SAP GRCAVIS D’EXPERTS ET RETOURS CLIENTS.

PRÉVENTION ET DÉTECTION DES RISQUES DE FRAUDE : les nouvelles technologies renforcent la capacité d’analyse des données et offrent l’opportunité de mettre en place des systèmes de contrôle plus performants.Expertises et témoignages dans ce livre blanc signé ileven, acteur majeur de la GRC (Gouvernance, gestion des Risques et de la Conformité) sur SAP en France.

Page 2: SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs

32 ILEVEN • LIVRE BLANC 2016ILEVEN • LIVRE BLANC 2016

ENVIRONNEMENT SAP : AUCUNE ENTREPRISE N’EST À L’ABRI DE LA FRAUDE !Alors que plus de la moitié des entreprises françaises sont victimes de fraudes, la technologie est devenue indispensable pour renforcer la détection et la prévention, et réduire les activités de contrôle chronophages en interne et coûteuses en externe...

Fraude d’actifs, comptable ou aux achats… 55 % des entreprises françaises ont été victimes de ce type d’escro-querie au cours des 24 derniers mois, selon la 7ème édition de l’étude mondiale de PwC sur le sujet. Un chiffre qui a presque doublé entre 2009 et 2014, et qui concerne tous les secteurs d’activité et toutes les tailles d’entreprise.

55 % DES ENTREPRISES FRANÇAISES ont été victimes d’une fraude au cours des 24 derniers mois.

De quelles fraudes sont donc victimes les entreprises ? Dans le top 5 :

29 % DES FRAUDES SONT LIÉS AUX PROCESSUS ACHAT. Ce type de fraude a fortement augmenté, favorisé par la concentration de la fonction achat et les politiques d’externalisation qui impliquent de nouveaux modèles de contrôle.

ILEVEN, PARTENAIRE DES DIRECTIONS FINANCIÈRES ET DES DSI

Les détournements d’actifs, les plus

fréquents.

La fraude aux achats La corruption La cybercriminalité La fraude comptable

70% 29% 27% 24% 22%

Page 3: SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs

54 ILEVEN • LIVRE BLANC 2016ILEVEN • LIVRE BLANC 2016

Mais d‘où vient la fraude ? Dans 6 cas sur 10, elle vient de l’intérieur, d’un collaborateur de l’entreprise ayant une certaine ancienneté et, qui plus est, la confiance de son management !

Si les fraudes externes ont attiré récemment l’attention, notamment celles dites “au président”, qui consistent à se faire passer pour le président d’une entreprise et à réclamer des virements bancaires sur un compte à l’étranger, celles internes demeurent le vecteur majoritaire d’atteinte aux ac-tifs. Elles sont non seulement plus fortes en nombre mais aussi en montants. Stéphane Cohen, président de l’Ordre des experts-comptables Paris IDF, indique qu’il est « possible d’estimer à près de 50 % les entreprises liquidées en raison du larcin de ces escrocs en col blanc ».

60 % DES FRAUDES VIENNENT DE L’INTÉRIEUR DE L’ENTREPRISE

Les entreprises ont bien pris conscience de ces risques. Se-lon Euler Hermes France, qui a aussi conduit une enquête dans le domaine avec l’association nationale des direc-teurs financiers et de contrôle de gestion (DFCG), 80 % des dirigeants d’entreprises considèrent la fraude comme une menace importante, et 90 % des directeurs financiers dé-clarent avoir sensibilisé leur comité de direction aux risques. Un bon point, certes, mais parmi les dispositifs de lutte mis en place, seuls 28 % disposent d’une cartographie de leurs risques de fraude et ils ne sont que 38 % à avoir mené un audit de sécurité de leur système informatique…

43 % DES FRAUDES REPORTÉES PAR LES ENTREPRISES FRANÇAISES ONT ÉTÉ DÉTECTÉES GRÂCE À L’ANA-LYSE INFORMATIQUE DES DONNÉES ET 25 % DES FRAUDES SONT DÉ-TECTÉES PAR DES CONTRÔLES AU-TOMATISÉS

L’accélération de la détection des fraudes est clairement corrélée à la montée en puissance de nouveaux modes de détection que sont l’analyse de données, l’identification des transactions inhabituelles, et l’utilisation de plateformes GRC.

LA PRÉVENTION ET LA DÉTECTION SONT CLÉS Les dispositifs de prévention et de détection sont indispensables pour lutter contre la fraude et per-mettent de détecter 55% des fraudes.

Modes de détection - 2014en % des entreprises ayant déclaré avoir été victimes au moins d’une fraude

(Etude mondiale PwC sur la fraude - 7ème édition - 2014)

Identification des transactions inhabituelles

Culture d’entreprise (incluant les systèmes d’alerte)

Autres

Audit interne

Evaluation du risque de fraude

Politique de sécurité interne

NSP

Rotation du personnel

25%

23%

18%

12%

11%

5%

4%

2%

PORTRAIT-ROBOT DU FRAUDEURQuel est le profil du fraudeur français ?Selon l’étude PwC, il est employé ou cadre moyen, a entre 41 et 50 ans. Il est en poste depuis plus de 10 ans. Souvent sympathique, il a donc la confiance de ses supé-rieurs hiérarchiques…

43 % DES FRAUDES REPORTÉES PAR LES ENTREPRISES FRANÇAISES ONT ÉTÉ DÉTECTÉES GRÂCE À L’ANA-LYSE INFORMATIQUE DES DONNÉES ET 25 % DES FRAUDES SONT DÉ-TECTÉES PAR DES CONTRÔLES AU-TOMATISÉS

L’accélération de la détection des fraudes est clairement corrélée à la montée en puissance de nouveaux modes de détection que sont l’analyse de données, l’identification des transactions inhabituelles, et l’utilisation de plateforme GRC.

Les particularités de SAP en matière de risque

Les solutions applicatives comme SAP constituent des environnements à risques compte tenu des flux gérés, du nombre d’utilisateurs et de leur dimension globale. Les grands groupes et les PME qui se déploient à l’internatio-nal ont construit au fil du temps leurs systèmes d’infor-mation sur les solutions de l’éditeur allemand, séduits par la richesse fonctionnelle et les capacités techniques pro-posées. Chaque jour, des millions d’utilisateurs répartis sur l’ensemble de la planète y accèdent, saisissent leurs opéra-tions, suivent et stockent les flux financiers et physiques au sein de ce coffre-fort applicatif indispensable au bon fonc-tionnement des activités opérationnelles et nécessaire à la production des comptes. Si SAP dispose de vraies qualités en termes de robustesse et de performances techniques, de traçabilité de l’information et de contrôles embarqués, il reste soumis à une série de risques qu’il convient d’adresser et de gérer.Des cas de fraude réalisés au sein de systèmes SAP ont fait la Une de la presse, comme cette comptable de l’Etablisse-ment Français du Sang qui en 2013 a été condamnée à 7 ans de prison pour avoir détourné plus de 8 millions d’euros à son employeur. L’arbre qui cache la forêt. En effet le pen-dant d’un système étendu et multifonctionnel comme SAP est le risque de donner aux utilisateurs des droits trop larges leur permettant d’accéder à de l’information confidentielle ou de manipuler les données et les processus de manière intentionnelle ou non.Focalisées sur l’optimisation des processus, les entreprises ont souvent mis en œuvre des solutions SAP en ne tenant pas suffisamment compte des objectifs du Contrôle In-terne. Et même si le système de contrôle a un temps été défini, il a du mal à prouver son efficacité dans le temps, compte tenu de la complexité, du volume de données géré et de l’évolution permanente des solutions. Pressées par les audits internes et externes, les entreprises prennent peu à peu conscience des risques inhérents aux solutions qu’elles ont mises en place.

Les enjeux pour le contrôle interne

L’application des référentiels relatifs à la gestion des sys-tèmes d’information (ex.  : ITIL, ISO 27001/2…) et aux prin-cipes de contrôle interne (COSO, CobIT…) aide à améliorer l’organisation et les processus informatiques supportant la gestion des applications SAP. Les contraintes réglemen-taires comme la loi Sarbanes-Oxley aux Etats-Unis et la loi sur la Sécurité Financière en France concourent également à renforcer l’exigence de contrôle interne des organisations et des opérations en appliquant les référentiels connus. Ce-pendant les dispositifs mis en place ne sont pas toujours suffisants. Les entreprises peinent à apporter des réponses appropriées au bon niveau de maîtrise des opérations sup-portées dans les systèmes. Les référentiels de contrôle sont souvent définis mais leur mise en œuvre est difficile et couteuse à grande échelle. Les outils bureautiques ou les solutions « stand-alone » de gestion des risques et/ou du ré-férentiel de contrôle ont leurs limites et ne favorisent pas le lien vertueux entre le contrôle interne et les opérationnels. Les outils d’analyse sont également trop limités et utilisés de manière trop ponctuelle pour être efficaces.

Afin d’atteindre ses objectifs en termes de maîtrise des risques et d’amélioration de la performance, le contrôle in-terne doit se doter de solutions technologiques lui permet-tant de mieux :

- détecter les déficiences,- prévenir les risques (analyses prédictives),- animer un processus collaboratif de gestion des risques et de suivi des contrôles,- diffuser une culture de contrôle,- optimiser l’exécution des contrôles (automatisation).

Page 4: SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs

76 ILEVEN • LIVRE BLANC 2016ILEVEN • LIVRE BLANC 2016

QUELLES SOLUTIONS SAP POUR RÉPONDRE AUX PREOCCUPA-TIONS DU CONTROLE INTERNE ?

Brique essentielle du contrôle interne destinée à prévenir le risque de fraude, la séparation des tâches (SoD en an-glais pour Segregation of Duties) est un principe clé à appli-quer au niveau du système d’information. Le contrôle SoD vise à s’assurer qu’un unique individu n’a pas le contrôle sur toutes les phases d’un processus, sans l’intervention d’acteurs tiers, afin de limiter les risques liés au cumul des droits. Par exemple, la gestion des données fournisseurs (dont l’enregistrement du RIB) et la fonction de paiement de ces fournisseurs ne peuvent être cumulées.Particulièrement surveillés par les auditeurs internes et externes, la gestion des accès et le respect du principe de séparation des tâches sont devenus une nécessité pour les organisations.

La brique SAP GRC Access Control permet de gérer cette séparation des tâches (SoD) en modes détectif et préventif. Elle cadre, structure et automatise le processus de gestion des demandes d’accès et des droits. Pour cela, la solution SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs conflictuels et propo-ser des mesures de remédiation adaptées.

MÉTHODOLOGIE DE MISE EN ŒUVRE DES DIFFÉRENTES BRIQUES DE LA SOLUTION SAP GRC ACCESS CONTROL

GÉRER PRO ACTIVEMENT ET DE MANIÈRE CONTINUE LA SÉPARATION DES TÂCHES

LES SOLUTIONS SAP SONT DES ENVIRONNEMENTS À RISQUES COMPTE TENU DES FLUX GÉRÉS, DU NOMBRE D’UTILISATEURS ET DE LEUR DIMENSION GLOBALE. LA SUITE SAP GRC OFFRE UN PROGRAMME EFFICACE DE GESTION DES RISQUES ET DE MISE EN CONFORMITÉ.

Elle gère également les demandes d’accès utilisateur en automatisant leurs affectations à travers les systèmes SAP et non SAP tout en empêchant les violations SoD à l’aide d’une analyse des risques intégrée. En matière de gestion des rôles, cette solution permet de définir et maintenir les rôles avec une terminologie métier adaptée à l’entreprise. Grâce à cette solution et à son reporting intégré, l’entreprise a en permanence une vision du niveau de risque utilisateur et peut prendre les mesures d’atténuation adéquates (cor-rection des accès, contrôles compensatoires, etc.). Pour la gestion des accès d’urgence, la solution permet d’autoriser les utilisateurs à effectuer des opérations en dehors de leur rôle en utilisant des identifiants «pompier» dans un environ-nement contrôlé et auditable.

Les avantages de la mise en place de cette solution sont de plusieurs ordres pour les entreprises  : elle limite les risques de fraude interne et de perte de revenus à cause d’erreurs humaines. Elle réduit les coûts de gestion des ac-cès à l’échelle de l’entreprise. Enfin, elle permet de réduire les coûts d’audit.

PREPARE GET CLEAN STAY CLEAN

Définir le référentiel de risques et conduire les analyses SoD

Remédier les risques aux niveaux rôles et utilisateurs

Emergency Access Management (EAM)Permet de tracer l’accès

aux comptes élargis

Access Risk Analysis (ARA)

Moteur de la solution Détecte les risques liés aux conflits de séparation des tâches

Access Request Management (ARM)

Gère le cycle de vie de l’utilisateur

Business Role Management (BRM)Analyse et gère les rôles

Sécuriser le cycle de vie de l’utilisateur et optimiser la maintenance

des autorisations

Page 5: SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs

8 ILEVEN • LIVRE BLANC 2016

LES 10 RÈGLES D’OR D’UN PROJET GRC

Mathieu Chastre, expert SAP GRC, synthétise ici les étapes essen-tielles à appliquer pour réussir votre projet GRC.

1. Commencez par une phase préalable d’audit pour évaluer le niveau de risque et mieux cadrer les objectifs du projet.

2. Mettez en place un fort spon-sorship aussi bien métier (Contrôle Interne, DAF) que IT et prévoyez un accompagnement pluridiscipli-naire (expertise contrôle interne SI et expertise SAP GRC).

3. Gérez la communication en amont et pendant le projet pour accompagner les changements imposés au niveau de l’organisa-tion du travail.

4. Concevez une matrice de risques portant dans un premier temps sur 30 à 50 des plus cri-tiques d’entre eux pour l’entreprise (flux achats, logistiques, ventes et financiers). Enrichissez ensuite cette matrice lorsque tous ces risques sont sous contrôle.

5. Faites contrôler la matrice SoD par les Commissaires aux Comptes.

6. Construisez une solution auto-risations SAP sans risque SoD à tous les niveaux (rôles simples et rôles composites).

7. Ne vous fixez pas d’objectifs inatteignables : le niveau de risque zéro n’existe pas au niveau des utilisateurs. Prenez le temps de remédier les utilisateurs, phase la plus longue et complexe.

8. Remédiez une première organi-sation pilote qui servira d’exemple pour le déploiement au niveau du Groupe.

9. Couplez la remédiation des utilisateurs avec la mise en place d’une bibliothèque de contrôles compensatoires gérés dans Pro-cess Control.

10. Mettez en place une gouver-nance GRC et des outils pour pé-renniser les efforts de remédiation.

PARTAGE D’EXPÉRIENCE DE SERCEL (GROUPE CGG), SPÉCIALISTE DES ÉQUIPEMENTS SISMIQUES

Hélène Lozahic, Group Internal Control, explique les béné-fices de la solution GRC Access Control mise en place dans l’entreprise. « Evoluant dans un cadre réglementaire strict, soumis no-tamment à la réglementation Sarbanes-Oxley, nous avions besoin d’un outil pour nous aider à gérer, optimiser et do-cumenter les utilisateurs, leurs accès SAP avec leurs rôles attribués et la séparation des tâches dans notre système. Nous souhaitions également supprimer et/ou réduire les risques d’erreur et/ou de fraude en suivant l’usage des tran-sactions sensibles et en détectant les irrégularités et/ou in-compatibilités de tâches. La mise en place de SAP avait eu lieu sans outil intégré de gestion des autorisations mais en utilisant Excel.

Très vite, la nécessité de se doter d’un outil spécifique s’est avérée indispensable compte tenu de la complexité d’un suivi manuel.

La mise en place de GRC Access Control nous a permis de :

- Redéfinir et préciser les rôles et métiers de nos utilisateurs,

- Définir une matrice de séparation des tâches que nous fai-sons évoluer régulièrement dans le système,

- Monitorer l’application de la séparation des tâches au ni-veau des quelques 2 000 utilisateurs de notre organisation grâce aux différents reporting,

- Documenter et affecter les contrôles compensatoires aux rôles et utilisateurs en cas de conflit de séparation de tâches,

- Aider à la création de nouveaux utilisateurs grâce aux ou-tils de simulations.

- Suivre les accès privilégiés accordés aux responsables so-lutions et aux experts SAP en production, et suivre l’utilisa-tion des transactions dites sensibles.

Nous projetons de lancer un projet pour monter en version 10.1 d’ici la fin de l’année. »

RISQUE THÉORIQUE VERSUS RISQUE RÉELLe contrôle interne dispose désormais d’outils permettant une vision globale des risques SoD au sein de son système d’infor-mation. Mais les grands groupes ayant mis en place ce type d’outillage, de par leur taille (nombre élevé d’utilisateurs) et la diversité du périmètre applicatif, rencontrent deux nouvelles pro-blématiques : le besoin de contrôle des risques « réels » ainsi que le besoin d’ouverture sur les risques inter applications.La remédiation SoD (mise sous contrôle des risques SoD) pour le contrôle interne peut vite   se transformer en un vrai casse-tête. En effet, la volumétrie importante des risques SoD à corri-ger peut décourager les personnes en charge de la remédiation. « Souvent, on ne sait pas par où commencer » observait  un res-ponsable d’une filiale locale d’un grand producteur de bières, « notre métier c’est de produire de la bière et pas de passer notre temps à la remédiation SoD ». Il ne s’agit donc plus de lister sim-plement les risques SoD au niveau des utilisateurs.

Les outils GRC de SAP s’étoffent et évoluent vers plus d’efficaci-té, afin de pouvoir limiter les résultats aux risques « réels », ceux ayant un impact immédiat et chiffré en termes de sortie de cash tout en diminuant la priorité de traitement des risques « théoriques » (dont les accès sont possibles mais jamais ou ra-rement utilisés). Cette évolution est primordiale pour accroître l’efficacité de la remédiation SoD et optimiser les temps de trai-tement.Les solutions SAP GRC proposent également de connecter des systèmes non SAP afin de gérer les risques SoD inter-applicatifs. Le développement et l’amélioration des dispositifs de détection de fraudes contribuent incontestablement à une réduction de la fraude financière et à une meilleure maîtrise des flux financiers.

Page 6: SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs

1110 ILEVEN • LIVRE BLANC 2016ILEVEN • LIVRE BLANC 2016

Un dispositif de contrôle interne concourt à mieux maîtriser les risques et à renforcer l’efficacité des opérations. Il passe par la mise en place d’une organisation de contrôles pour un périmètre donné – l’ensemble d’une organisation ou certaines de ses entités – et sur la base d’un référentiel de contrôles. Ce dernier document décrit tous les contrôles à couvrir pour les activités de l’entreprise. Il est basé sur une approche par les risques et par les processus.

ANALYSER ET METTRE SOUS CONTRÔLE LES DONNÉES ET LES PROCESSUS

Benoit Pachot, expert Audit et Contrôle SAP chez ileven, rappelle les activités de contrôles réalisées par les respon-sables opérationnels qui peuvent être exécutées sur et avec leur solution SAP, de façon manuelle et automa-tique.

Il existe des contrôles automatiques de deux types :

- Les contrôles inhérents qui sont des contrôles propres au système SAP et qui ne sont pas configurables (exemple: le débit d’une écriture comp-table est égal à son crédit),

- Les contrôles paramétrables qui sont des contrôles configurés dans SAP et qui ne sont pas modifiables par les uti-lisateurs (exemple : l’enregistrement impossible d’un stock négatif).

Il est possible aussi de distinguer les contrôles manuels des contrôles se-mi-automatiques portés par SAP. Les contrôles manuels sont des contrôles exécutés par les utilisateurs métiers via des transactions (exemple : transaction OB52 pour le contrôle et

la gestion des périodes comptables). Les contrôles semi-automatiques sont des contrôles qui nécessitent un pa-ramétrage et l’action d’un utilisateur (exemple : le rapprochement bancaire ou le workflow d’approbation des com-mandes d’achat).

Dans le cadre d’une volonté d’auto-matisation des contrôles, plusieurs niveaux d’états et d’outils sont dispo-nibles sur SAP :

- Revue des paramètres de contrôles sensibles (contrôle de configuration)- Rapports d’exceptions (contrôle des données de base et tran-sactionnelles)-Etats de pilotage («contrôle des contrôles» et tableau de bord des risques).

D’une manière générale, Process Control peut ré-pondre à de nombreux objectifs de contrôle et offre une approche de mise en œuvre flexible et progres-sive. Wassim Ben Mansour, expert SAP GRC chez ileven, vous livre 4 pistes pour approcher le sujet.

1. Vous n’avez pas de base unifiée pour gérer votre référentiel de contrôle interne. SAP GRC Process Control vous aide à organiser, documenter et dif-fuser vos contrôles au sein de votre organisation.

2. Vous avez mis en place SAP GRC Access Control, ajoutez de nouvelles fonctions pour améliorer le niveau de contrôle de vos risques SoD. (voir enca-dré ci après : « SAP GRC : les bénéfices de Process Control intégré avec Access Control »).

3. Vous souhaitez mettre sous contrôle le proces-sus P2P tout en optimisant les différentes étapes du flux, mettez en place les fonctions de contrôle des données et des documents de Process Control permettant d’alerter les opérationnels en continu : contrôle des commandes créées après la date de facture, contrôles des factures sans commande, contrôles des double paiements, contrôle de la mo-dification des RIB fournisseurs, etc.

4.  Vous souhaitez utiliser la fonctionnalité de Contrôle Continu pour sécuriser vos points de para-métrage SAP et adresser des problématiques telles que : le contrôle des comptes super utilisateurs, le contrôle de la stratégie de transport, le contrôle du code productif, etc.

FOCUS SUR LES CONTRÔLES EMBARQUÉS

PAR OÙ COMMENCER VOTRE PROJET SAP GRC PROCESS CONTROL ?

Comment mettre en œuvre un tel dispositif au sein de votre environnement SAP ?

Pour s’assurer d’un minimum de contrôles sur les don-nées et processus gérés dans SAP, les contrôles em-barqués constituent un premier niveau de contrôle qu’il convient d’adresser avec méthode et rigueur.

S’ils s’avèrent importants, les contrôles embarqués SAP restent néanmoins insuffisants, car partiels, rarement documentés et peu automatisés. C’est là qu’entre en jeu la brique de la suite GRC SAP Process Control qui, à tra-vers ses fonctions de création et d’automatisation des contrôles, ou encore grâce à ses capacités de reporting étendues, aide à avoir un aperçu exhaustif et continu du dispositif de contrôle interne.En effet, SAP GRC Process Control permet d’adresser les besoins de documentation et de gestion du référentiel de contrôle dans un souci de conformité avec les régle-mentations et les bonnes pratiques de contrôle interne. A l’image des autres logiciels du marché, il permet de maintenir et de suivre une bibliothèque centrale de risques et de contrôles propres à chaque organisation et processus de l’entreprise. Mais au-delà de la gestion des contrôles, Process Control permet également de les au-tomatiser de façon détective ou préventive, de les éva-luer via des questionnaires ou plans de test et surtout de piloter la remédiation des déficiences détectées par le biais de workflow entre les parties prenantes.

Cette distribution des responsabilités entre l’audit, le contrôle interne, les équipes SI et les métiers permet de sensibiliser l’ensemble des acteurs aux questions de contrôle interne au sein de votre entreprise et de ne pas cantonner le contrôle interne à un sujet de conformité.

A terme, SAP GRC Process Control permet véritable-ment de mettre en place un environnement de contrôle permanent (CCM pour Continuous Control Monitoring) devenu nécessaire au vu du degré encore excessif des contrôles manuels, des coûts élevés d’évaluation, du trop grand nombre d’erreurs détectées lors d’audits in-ternes ou externes, de contrôles plus détectifs que pré-ventifs, d’exceptions, de détournements de contrôles trop nombreux et de la prise en compte insuffisante des risques opérationnels.

Page 7: SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs

1312 ILEVEN • LIVRE BLANC 2016ILEVEN • LIVRE BLANC 2016

L’objectif du CCM est de réaliser les tests des contrôles de manière automatique et semi-automatique, selon une fréquence à définir, sur les données et processus sur lesquels des objectifs de contrôle sont attendus. Les anomalies identifiées sont ainsi transmises aux responsables de processus associés en fonction des conditions d’alertes.

On distingue 3 catégories de contrôles automatiques ou semi-automatiques : • Le paramétrage (modifications liées aux points de paramétrage SAP)• Les données de base (clients, fournisseurs, articles, immobilisations,...)• Les transactions (commandes, factures, écritures comptables,…)

Les conseils pratiques de Mathieu BERTRAND, expert SAP GRC, autour de l’activation des fonctionnalités de Process Control.

Fonction 1 : Matrice des risques et contrôles, et cartogra-phie de l’organisation et des processus

• Utilisez la fonction d’import/export Excel pour faciliter l’initialisation des données de base.

• Utilisez la structure existante de reporting et/ou de signature des comptes pour définir votre organisation.

• Pour éviter toute incohérence dans le reporting, tenez compte des périodes comptables lors de la modifica-tion des données de base.

Fonction 2 : Evaluation des contrôles, risques et procé-dures par des questionnaires

• Activez la fonction de récurrence pour automatiser, à fréquence donnée, les plans d’évaluation à destination des acteurs concernés.

• Modifiez le nom des fonctions d’évaluation dans le paramétrage pour les utiliser à d’autres fins.

Fonction 3 : Contrôles automatiques basés sur des règles de déficience

• Utilisez SAP Query ou le moteur de règles métiers « BRF+ » pour contourner les limites du moteur stan-dard de création des contrôles.

• Développez des programmes ABAP pour les contrôles les plus complexes et utilisez les workflows de remé-diation des déficiences pour les adresser.

Fonction 4 : Workflow de traitement des déficiences

• Utilisez la fonction de revue de soumission des dé-ficiences pour une meilleure responsabilisation des managers.

• Activez les notifications de rappel ainsi que l’escalade hiérarchique pour réduire le temps de remédiation et respecter ainsi les échéances.

• Proposez des fréquences de rappel en rapport avec les enjeux tout en évitant un rejet par le Métier du fait de trop nombreux emails.

• Ne modifiez les workflows préconfigurés basés sur la notion de rôle qu’en cas de besoin très spécifique.

Fonction 5 : Ordonnanceur

• Ne faites surtout pas commencer dans le passé une période d’évaluation plus grande que la fréquence d’exécution d’un contrôle automatique, au risque de dupliquer les notifications pour une même déficience.

Fonction 6 : Signature des comptes

• Vérifiez l’assignation des responsabilités préalable-ment au lancement du processus de signature des comptes.

Le CCM dans quel objectif ?

De nombreuses sociétés utili-satrices de SAP ont déjà mis en place ou envisagent de mettre en place SAP GRC Access Control pour automatiser le processus de gestion des de-mandes d’accès mais surtout pour gérer le risque de fraude en adressant l’un des principes clés du Contrôle Interne : la sé-paration des tâches.

Selon Nicolas Richard, ex-pert GRC chez ileven, si SAP GRC Access Control propose

de nombreuses fonctionnalités, son couplage avec la solution SAP GRC Pro-cess Control apporte de multiples avan-tages décrits ci-dessous.

La gestion des contrôles compensatoires

Dans la pratique, le risque zéro au niveau de la séparation des tâches est difficile-ment atteignable. Par manque de per-sonnel sur certains sites ou pour toute autre raison organisationnelle, il est fré-quent qu’un utilisateur SAP ait accès à des fonctions SAP incompatibles entre elles d’un point de vue SoD. Pour adresser ces risques souvent critiques, le Contrôle Interne encourage la mise en place de contrôles compensatoires sous la forme de mesures de vérification conduites à posteriori.La solution Process Control connectée à Access Control offre une gestion docu-mentée et collaborative de ces contrôles compensatoires. Le «  contrôleur  » reçoit, à fréquence prédéfinie, une alerte afin de procéder au test du contrôle deman-dé avant de renseigner le résultat di-rectement dans l’outil. Le processus de contrôle est optimisé.

Suivi des actions de remédiationEn cas d’exception ou de besoin d’investi-gation, le contrôleur peut déclencher dans Process Control un circuit de remédiation impliquant les acteurs concernés. L’acti-vité de remédiation est mieux suivie.

Contrôle automatisé sur Access ControlL’utilisation de SAP GRC Process Control pour contrôler directement le système GRC permet une optimisation de l’utili-sation du module Access Control. Ainsi, la définition de contrôles sur la non revue des logs d’utilisateurs à pouvoirs étendus ou la détection d’une fin de date d’affec-tation pour un contrôle compensatoire, permet d’automatiser leur revue par une remonté automatique de ces déficiences.

Diffusion d’une culture de contrôleTout comme Access Control, Process Control est une solution centrale pou-vant être déployée à grande échelle sur la base d’un référentiel et des processus de contrôle communs. Les activités de contrôle liées au risque SoD sont ainsi mieux suivies tant au niveau local qu’au niveau central. Le reporting associé offre des éléments de preuve rapidement et fa-cilement accessibles lors des campagnes d’audit.

L’utilisation de Process Control dans la continuité d’Access Control est un pre-mier pas qui permet de tester et d’envisa-ger le potentiel de cette solution capable d’adresser plus globalement la gestion du référentiel de contrôle de l’entre-prise : contrôles généraux informatiques, contrôles applicatifs, etc.Au-delà de la gestion des droits d’ac-cès, les autres solutions GRC de SAP permettent d’améliorer les processus de contrôle autour des systèmes SAP.

AVIS D’EXPERT : LES BÉNÉFICES DE PROCESS CONTROL INTÉGRÉ AVEC ACCESS CONTROL

BONNES PRATIQUESQUELQUES ASTUCES POUR MIEUX UTILISER SAP GRC PROCESS CONTROL

Page 8: SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs

1514 ILEVEN • LIVRE BLANC 2016ILEVEN • LIVRE BLANC 2016

En fonction des objectifs de contrôle poursuivis (détection de la fraude, contrôle opérationnel du processus, qualité des données, etc.), les indicateurs utilisés varieront : identification des demandes d’achat non traitées depuis x mois, analyse des OD supérieures à un montant donné, contrôle des doubles paiements sur la base de critères avancés, contrôle de la modification des RIB, etc.

A la clé du CCM, une efficacité renforcée, une automatisation visible des alertes, une forte prévention, et la baisse des ano-malies détectées au cours des audits.

De la détection classique du double-paiement fournisseur à la mise en place de méthodes prédictives de détection de fraude, les entreprises peuvent renforcer leur système de contrôles et d’alertes en temps réel.Pour améliorer les capacités de prévention et de détection du risque de fraude en entreprise, SAP s’appuie, au-delà de Pro-cess Control, sur sa solution Fraud Management.

Cette solution s’appuie sur la puissante base de données HANA de l’éditeur pour offrir une performance d’analyse optimale à partir de très grands volumes de données issues des systèmes SAP mais aussi d’autres sources d’information.Fraud Management est une solution flexible qui permet de construire, à partir de modèles embarqués, des stratégies d’ana-lyse complexes pour mieux investiguer les risques de fraude. Les fonctions de simulation en temps réel permettent de tester rapidement les impacts des changements d’options d’analyse pour ajuster au mieux les scripts de détection.Cette rapidité d’analyse permet donc d’agir directement sur les opérations en bloquant d’éventuelles transactions suspi-cieuses. Fraud Management est une solution performante et conviviale, destinée à être prise en main par des auditeurs et/ou des équipes métiers épaulés de data scientists ayant un accès illimité aux données de l’entreprise. Les champs d’appli-cation sont infinis et la solution pourra s’adapter pour répondre aux nouvelles menaces auxquelles les organisations doivent faire face.

Pour tendre vers une cible plus efficace combinant gestion des risques et contrôle interne, une plateforme technolo-gique unifiée permettra de partager les processus, les ob-jectifs de contrôle, les informations organisationnelles et plus encore pour adresser toutes les activités de risque, de contrôle et de gestion de la conformité. Elle assurera un lan-gage commun entre les directions de gestion des risques, de contrôle interne et d’audit et offrira l’objectif d’un repor-ting intégré pour la direction générale et les membres du conseil d’administration. Risk Management, pour l’identi-fication et l’évaluation des risques, peut ainsi s’associer à Access Control pour la protection des données et à Process Control pour la protection des processus critiques ainsi que la détection des erreurs et des fraudes. Pour accroitre la per-tinence en matière de fraude, Fraud Management permettra de réaliser des analyses prédictives, et de se mettre dans une logique de prévention versus détection des risques.

Parmi les bénéfices d’une plateforme automatisée, on re-tiendra d’abord qu’elle améliore la maîtrise des risques : le contrôle opérationnel s’effectue en temps réel sur les ano-malies et exceptions, les contrôles et alertes sont automa-tisés, la séparation des tâches et le blocage des accès sont assurés. Ensuite, elle optimise l’efficacité opérationnelle de gestion des risques et des contrôles par la réduction du temps d’exécution des opérations, la documentation et le test des contrôles. Enfin, elle crée de la valeur ajoutée pour l’entreprise en proposant des indicateurs, en offrant une meilleure indentification des risques et en favorisant leur traitement via l’optimisation des processus. Des bénéfices à compléter par celui de la réduction des coûts (implémenta-tion, administration et maintenance) apportée par une telle plateforme.

Besoins/Solutions SAP Risk Management Access Control Process Control Fraud Management

Identification et évaluation des risques

Protection des données

Protection des pro-cessus critiques via la diffusion des règles et procédures de contrôle

interne

Détection des erreurs et des risques de fraude via le contrôle des tran-

sactions :- contrôle continu

- investigation (analyse prédictive)

Prévention des risques (ex. : blocage de tran-sactions suspectes)

TENDRE VERS UNE PLATEFORME GRC INTÉGRÉE POUR OPTIMISER LE PROCESSUS DE CONTRÔLE

Qualité des référentiels Analyse des processusContrôles détectifs

d’erreurs et/ou de fraudes

Procure to Pay

Analyse qualita-tive des fournis-

seurs

Contrôle sur doublon

données

Analyse de la

validité des Notes de Frais

Contrôle sur les valida-

tions des DA et CA

Analyse des temps de traitement

des process

Analyse des

avances aux four-nisseurs

Contrôle sur les avoirs

fournisseurs

Analyse similitude employé / fournis-

seur

Finance

Incohé-rence sur les taux de TVA

Comptes actifs

inutilisés

Analyse producti-vité de la compta-

bilité

Contrôle CA /

Facture rappro-

chée

Cohérence type de pièce /

montant / écriture

Analyse de la co-hérence

des périodes de saisie des écri-

tures

Schéma comptable atypique

Contrôle sur double paiement / saisie facture

Order to Cash

Analyse qualita-tive des clients

Identifica-tion des

impayés de long terme

Ana-lyse

quali-tative sur les prix de vente

Statis-tiques sur les paie-ments / dettes

Statis-tiques sur les

temps de livraison

Contrôle sur les limites de crédits

clients

Cohé-rence entre

factura-tion et devis

Contrôle réconciliation

des paiements

Contrôle sur double factura-

tion

HR

Cohé-rence des

infor-mations

entre tout les référen-

tiels

Décorréla-tion entre feuille de temps et temps de

travail

Analyse des

temps de présence

Contrôle entre

période travail-lée et

période payée

Doublon ou données fictives

sur personnel

Exemples de contrôles

Plateforme SAP GRC intégrée : les solutions pour surveiller les risques de vos processus d’un bout à l’autre

Page 9: SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs

1716 ILEVEN • LIVRE BLANC 2016ILEVEN • LIVRE BLANC 2016

La mise en œuvre d’une plateforme intégrée sera réalisée en fonction de la maturité de l’entreprise, dont les efforts devront portés sur les deux axes « Métier » et « Solution » comme on peut le voir sur le schéma ci-dessous.

De contrôles non effectifs, ou opérés mais non finalisés, à ceux réellement optimisés, dans les 5 ans qui viennent, les entreprises seront nécessairement passées à une plateforme intégrée GRC pour surveiller les risques de leurs processus d’un bout à l’autre.

Uti

lisat

ion

de la

tech

nolo

gie

Plateforme GRC intégrée

Absence d’outil

Contrôles non opérés Contrôles alignés sur les risques

Environnement de contrôle

Environnement de contrôleoptimisé

Risques non maîtrisés

Contrôles non opérés

Contrôlesopérés mais non formalisés

Documentation des contrôlesvia des outils bureautiques

Description des processus et des contrôles dans un outil centralisé

Contrôle continu

GRC intégrée

ileven,UN ACTEUR MAJEUR DE LA GRC

Une équipe de 25 personnesqui combine des compétences d’audit et de contrôle Interne, la connaissance des processus métier & SI et l’expertise SAP

+ de 50 clients nous font confiance du grand groupe

international à la PME

CA 2015

GRC CONSULTINGEn 2014, ileven est devenu le premier partenaire SAP en Europe à recevoir le label «Recognized Expertise» sur les solutions  GRC, certificat donné par l’éditeur allemand pour reconnaître la spécialisation, l’expertise et les références de ses partenaires.L’équipe ileven combine des compétences d’Audit et de Contrôle Interne, et, une expertise d’intégration de la suite logicielle SAP GRC autour des modules « Risk Management », « Process Control » et « Access Control ».

POUR EN SAVOIR PLUShttp://www.ileven.fr/

AUDIT ET CONTRÔLE-Gestion des risques et de la conformité (SOX)

-Optimisation du référentiel de Contrôle interne (COSO,

COBIT)

-Evaluation de la sécurité et des contrôles SAP

INTÉGRATION ET SERVICES-SAP GRC Access Control et gestion des accès SAP

(IDM/SSO)

-SAP GRC Process Control

-SAP GRC Risk Management

-SAP Fraud Management

Société de conseil créée en 2010, partenaire services SAP, ileven intervient dans les domaines suivants : GRC Consulting, Finance Consulting et IT Consulting. Partenaire des directions financières et des DSI, ileven est un acteur spécialisé en accompagnement de la mise en œuvre des solutions GRC et Finance de SAP et contribue à l’optimisation des processus informatiques.

2.4 M€PARTAGE D’EXPÉRIENCE DU GROUPE AIR FRANCE/KLM Mise sous contrôle de la gestion des accès SAP dans le do-maine Finance du groupe Air France/KLM : Catherine Dray-Gaston, Overall Project Manager du projet SoD, a mandaté les expert GRC d’ileven. « Dans le cadre du projet de remédiation SoD (Segregation of Duties) des habilitations SAP pour le domaine Finance du groupe Air France/KLM, nous avons souhaité réalisé un PoC (Proof of Concept) de la solution SAP GRC Access Control afin de nous assurer que la solution pouvait répondre à nos besoins en termes de mise sous contrôle de la gestion des accès SAP. Nous avons mandaté les experts GRC de la so-ciété ileven pour la réalisation de ce PoC et le résultat a ré-pondu précisément à nos attentes »

Page 10: SOLUTIONS SAP GRC · SAP GRC Access Control propose plusieurs fonctionnalités clés à commencer par l’analyse des risques d’accès pour identifier précisément les utilisateurs

INFORMATIONSYSTEMCONSULTING

www.ileven.fr

Age

nce

Vu P

ar