SAP Business Information Consulting

A contrario des directions financières, les directions informatiques, très grandes entreprises mises à part, demeurent assez peu familières avec une approche d’audit. Pourquoi sommes-nous audités ? Qui est à l’origine de cet audit ? Qu’est-ce que cela va apporter ? Autant de questions que se posent nombre d’acteurs des projets informatiques.

La nécessité de l’audit informatique apparaît avec la prise de conscience du caractère stratégique des systèmes pour l’entreprise (fonctions opérationnelles, financières, analytiques…). L’audit informatique répond également à des exigences normatives en matière de contrôle interne (Sarbanes-Oxley, Loi de Sécurité Financière….).

L’audit informatique intéresse donc en premier lieu la Direction Générale de l’entreprise afin de s’assurer que les projets et les systèmes supportent bien toutes les dimensions de ces enjeux clés. L’audit informatique intéresse également la Direction des Systèmes d’Information, parce que cette direction est en premier chef concernée par les constats, les risques et les recommandations formulés par les auditeurs, mais surtout parce que les conclusions d’audit doivent constituer un levier de progrès continu.

Les principaux points d’attention des auditeurs informatiques se portent généralement d’abord sur la sécurité logique (accès, mots de passe, protection réseau…), puis sur les problématiques de sauvegarde (back-up, restore, disaster recovery plan et business continuity plan), viennent ensuite les questions de méthodologie projet et les contrôles métiers automatisées dans les systèmes.

Si les accès intéressent en premier les auditeurs, c’est à la fois parce que

- les enjeux et la perception de ces risques sont clairs pour les acteurs métiers et IT,

- l’approche d’audit est maîtrisée,

- les expertises techniques sont les plus développées sur ces points.

Pour répondre aux exigences des auditeurs, et notamment en matière d’accès, la mise en place de procédures documentées constitue la meilleure façon de répondre aux questions.

La fréquence des changements d’organisation et des mouvements humains dans l’entreprise rendent difficile voire quasi impossible une gestion efficace de ses procédures sans recourir à des outils de gestion. La mise en place de tels outils constitue donc un moyen efficace pour fiabiliser ses procédures et fournir une documentation consistante aux auditeurs qui en sont friands.

Par exemple, la mise en place d’un outil de gestion des incidents permet de tracer les actions correctives, de suivre les délais de résolution, de piloter les ressources et mesurer l’efficacité des prestataires.

Autre exemple, l’utilisation d’outil de gestion des accès doit permettre de vérifier les procédures de gestion des comptes utilisateurs, de contrôler la cohérence de la liste des utilisateurs avec les personnes travaillant pour l’entreprise, de s’assurer de la correcte déclinaison des droits d’accès dans le système en fonction des responsabilités dans l’entreprise.

En conclusion, l’audit informatique doit constituer un moyen de faire progresser l’entreprise. Il s’agit d’une approche au service du management qui doit pour être mise en œuvre pour améliorer les méthodes de la direction informatique et de ses clients.

Censio peut vous aider à préparer vos audits, sur l’ensemble des aspects de l’audit informatique. Expert SAP, Censio vous propose également Smart qui peut aussi bien être utilisé comme système de gestion des accès SAP ERP que comme un outil d’audit pour vos missions d’audit interne.

Pour plus d’informations, n’hésitez pas à nous contacter et à consulter notre page web dédié à SMART.

SAP a annoncé le lancement de nouvelles versions de SAP BO Process Control et SAP BO Risk Management.

Si l’effet d’annonce porte principalement sur le renforcement de l’intégration entre Process Control et Risk Management, ces nouvelles versions consacrent une intégration renforcée des solutions GRC avec les solutions décisionnelles. SAP avait déjà mis à disposition dans Netweaver BI des business contents dédiés à GRC, mais c’est maintenant une communication accrue sur les intérêts du reporting décisionnel dans le pilotage de la GRC qui est maintenant mis en avant, avec notamment les capacités de restitution d’Xcelsius.

Source: TechTarget

Au-delà de la qualité des restitutions offerte par Xcelsius, les solutions décisionnelles présentent des atouts indéniables pour la GRC :
o utilisation d’alertes pour prévenir la survenance d’un risque,
o mise en place d’indicateurs de performance : suivi des risques opérationnels, taux de non qualité taux de conformité, suivi des déficiences de contrôle interne…
o nécessité d’avoir une approche mutli-axes : processus, entités, systèmes, marché….

Mais bien plus que l’intérêt d’obtenir des indicateurs de performance sur la conformité, ou la compliance pour reprendre l’appellation consacrée, ce sont pour les dimensions de Governance et de Risk Management que la BI présente le plus d’intérêt. L’approche de SAP est en effet assez novatrice dans la gestion du risque et de la governance : SAP ne cherche pas avec GRC à proposer un outil qui se superpose comme une couche supplémentaire nécessaire au respect de la conformité mais plutôt un levier permettant une gestion combinant la performance et maîtrise du risque.

Dans cette optique, les solutions GRC constituent un outil destiné au management de l’entreprise et non pas au seul contrôle interne. Ces solutions devront permettre aux managers d’optimiser leur performance tout en maîtrisant leurs risques : l’intérêt des solutions décisionnelles devient alors évident afin de fournir aux managers tous les KPIs, les alertes et les états de synthèse nécessaires.

Avec une telle approche, SAP fait le pari que la gestion des risques est une tendance durable qui va influencer profondément le management opérationnel de demain….

Censio annonce aujourd'hui le lancement de SMART, Security Management And Risk Tracker.

La solution permettra aux entreprises d'automatiser l’analyse des accès SAP ERP et le contrôle de la séparation des tâches, et d'impliquer les managers dans une démarche intégrée de contrôle interne grâce à une forte orientation métier.

Communiqué de Presse

COMMENT LUTTER CONTRE LA FRAUDE DANS SAP ?

Censio lance SMART, une solution qui permet d’accroitre la maîtrise des risques liés aux accès dans SAP tout en diminuant les coûts de contrôle.

Portée au devant de la scène par les fraudes et les récentes règlementations (SOX, LSF…), la maîtrise des accès SAP demeure largement perçue comme un sujet IT. Par temps de crise et de restructuration forte des organisations, de tels enjeux doivent pourtant impliquer aussi bien le management de l’entreprise que le contrôle interne pour lutter efficacement contre la fraude et les risques d’erreur.

Censio a pour cela développé SMART, Security Management And Risk Tracker, une solution de reporting supportée par SAP Netweaver BI (BW) pour : - automatiser l’analyse des accès SAP ERP et le contrôle de la séparation des tâches, - impliquer les managers grâce une forte orientation métier et une interface simple, - assister les responsables du contrôle interne et de la sécurité informatique dans la définition de leur plan d’actions, - permettre aux auditeurs internes de réaliser une revue des risques liés aux accès et à la séparation des tâches.

Système intégré ou service à la demande ! Avec une double compétence, contrôle interne et SAP, les équipes de Censio peuvent intégrer SMART à votre environnement SAP. Censio peut également réaliser à la demande et à distance des revues périodiques rapides de vos environnements SAP qui vous permettront d’établir un diagnostic précis ou de supporter vos missions d’audit interne.

Pour plus d’informations sur SMART sur http://www.censio.fr/FR/smart/

Lors du Printemps de l’USF (Utilisateurs SAP Francophone) de Mars dernier, le thème abordé fut celui du développement durable. SAP matérialise cette démarche à travers son offre SAP GRC (Governance Risk Compliance).

Cette année, à l’occasion du Cebit 2009, salon allemand réunissant tous les grands acteurs des technologies de l’information dans le monde, SAP a de nouveau abordé ce thème. Son co-PDG, Léo Apotheker, a invoqué les technologies de l’information et de la communication pour affronter les grands défis économiques, sociaux, sanitaires et environnementaux du moment. Il s’est donc engagé à réduire l’empreinte carbone de son entreprise d’ici 2020, en prévoyant de ramener ses émissions de gaz à effet de serre au niveau de ce qu’il se produisait en 2000, soit à réduire de 60% l’empreinte carbone de chaque collaborateur de SAP !

Par son tout premier rapport développement durable (http://www.sap.com/about/pdf/0411_OM_Sustainability_Report.pdf), SAP fait un premier état des lieux de son entreprise d’un point de vue économique, environnemental et social :

• sa consommation énergétique totale ? 403,8 GW/h, soit la consommation d’électricité d’une ville de 50 000 habitants !
• son émission de CO₂ ? 406 000 tonnes, dont 70% proviennent des déplacements professionnels
• son entreprise ? 51 000 employés dans 50 pays
• la parité homme/femme ? les femmes ne représentent que 28,8% de la société
• turnover des employés ? 10,6%
• …

Grâce à Peter Graf, en charge de la nouvelle direction transversale pour le développement durable chez SAP, des mesures telles que la réduction de la facture d’électricité vont être mise en place, mesures qu’il compte appliquer aux autres secteurs de l’industrie.

En effet, celui-ci est en charge de son nouveau produit EHS (Environnement, Health and Safety). Cette solution, intégrée à SAP GRC, va permettre aux entreprises de vérifier que leurs activités sont en phase avec leur politique de développement durable ou avec la législation, telle que la directive européenne REACH (Registration, Evaluation, and Authorization CHemicals).

SAP réussira-t-il à instaurer les bonnes pratiques en matière de développement durable ? Réponse dans le prochain rapport de développement durable…

La séparation des tâches est une problématique en vogue :

1. Différentes normes de type Sarbanes-Oxley, Loi de Sécurité Financière ou J-SOX ont poussé les entreprises à mettre en place un référentiel de séparation des tâches.
2. La généralisation des ERP dans les entreprises a accru les risques potentiels liés à une mauvaise séparation des tâches. Par son caractère transverse et son approche par processus intégrés, l'ERP peut facilement conduire l'entreprise à diffuser des droits d'accès aux utilisateurs qui pourraient d'aller au delà de leurs attributions métiers.
3. Enfin, certaines fraudes retentissantes ont exposé des entreprises à une campagne médiatique, et donc à des coûts qui ont été bien au delà du simple montant de la fraude elle-même.

Les risques liés à la séparation des tâches se manifestent suite à une série d'actions réalisées par une même personne qui entraînent une erreur ou une fraude. Par exemple, un utilisateur ayant accès aux transactions de création/modification du référentiel fournisseurs et aux transactions de paiement pourrait créer un fournisseur fictif, ou modifier les coordonnées bancaires d'un fournisseur existant, et initier un paiement.

Pour être efficace, un référentiel de séparation des tâches doit donc être décliné dans les systèmes d'information afin de s'assurer que les privilèges attribués aux utilisateurs dans le système sont conformes aux règles de séparation des tâches et aux délégations de pouvoirs accordées dans l'entreprise.

Si d'autres mécanismes de contrôle dans l'entreprise peuvent souvent empêcher une telle fraude, comme pour notre exemple une validation manuelle de tous les paiements, ces contrôles resteront néanmoins des actions détectives, et dont l'efficacité même pourrait être mise à mal par l'auteur de la fraude si celui-ci maîtrise bien les mécanismes de contrôle interne. L'intérêt de la mise en place d'un référentiel de séparation des tâches dans ses systèmes consiste donc avant tout à mettre en place des contrôles automatiques et préventifs.

Selon les centres d'intérêt, et selon les normes applicables, les objectifs de la séparation des tâches peuvent diverger. Dans un contexte Sarbanes-Oxley, la séparation des tâches devra avant tout permettre de se focaliser sur la prévention des risques ayant un impact financier. Dans la perspective de la Loi de Sécurité Financière, tout risque ayant un impact opérationnel devrait être pris en compte. In fine, c'est en fait la notion de risque qui doit animer un projet de mise en conformité.

Une approche par les risques de la séparation des tâches va permettre de focaliser un projet sur les risques clés définis par l'organisation (financier, opérationnel, juridique, humain, commercial...). La majorité des organisations ne dispose pas à ce jour d'un référentiel complet en matière de séparation des tâches, bien souvent ce ne sont que quelques règles basiques formalisées par le contrôle interne et sans transcription dans les SI. Un projet de séparation des tâches va donc pousser les entreprises à identifier et qualifier leurs risques liés à la séparation des tâches d'un point de vue purement métier.

Les gains associés à la mise en place de la séparation des tâches sont donc multiples:

- identification et qualification des risques métiers liés à la séparation des tâches,

- définition d'un cadre clair et formalisé des tâches incompatibles dans l'organisation,

- réduction du nombre de contrôles détectifs manuels,

- automatisation de contrôles préventifs,

- rationalisation / simplification du processus d'administration des accès,

- mise en place de processus de contrôle continu,

- diminution des findings d'audit.

En conclusion, la mise en place de la séparation des tâches permet non seulement de mettre son entreprise en conformité avec des normes externes, mais surtout de s'assurer que les règles de l'organisation sont clairement définies, correctement déclinées dans les SI et que celles-ci le sont de manière optimisées, c'est à dire automatique et préventive. Un projet de séparation des tâches comporte donc bien un volet technique qui nécessite une parfaite maîtrise de la sécurité du SI, mais un tel projet s'inscrit avant tout dans une démarche fonctionnelle pour traiter des problématiques et des risques métier.

SAP a lancé une offre GRC, qui inclut un module Access Control, permettant de traiter cette problématique. D'autres acteurs se sont également positionnés sur le marché afin de proposer des solutions alternatives. Nous reviendrons sur les étapes clés d'un projet de mise en conformité ainsi que sur les pré-requis nécessaires à la sélection d'une solution de contrôle des accès et de gestion de la séparation des tâches.

Pour toute information complémentaire, n'hésitez pas à nous contacter.

SAP Governance Risk and Compliance, dit SAP GRC, est la solution proposée par SAP pour permettre aux entreprises de maîtriser leurs risques et de construire une croissance durable, c’est-à-dire se donner l’assurance que l’occurrence d’une erreur ou d’une fraude ne remettra pas en cause de manière significative le développement de l’entreprise à long terme. Les scandales comme Enron en son temps, ou celui de la Société Générale plus récemment, sont les illustrations les plus évidentes de l’impact potentiel de ce type de risques.

SAP GRC va donc aider le management de l’entreprise à:

- identifier, évaluer et gérer les risques (financiers, opérationnels, légaux…),

- mettre en place un cadre et des outils de contrôle unifiés, collaboratifs et partagés dans l’ensemble de l’organisation et des systèmes d’information, et aussi automatisés et préventifs que possible,

- renforcer la production d’une information fiable et transparente.

Les domaines concernés sont vastes: le contrôle interne, l’environnement, la santé et la sécurité, les échanges internationaux et la confidentialité des données.

La suite GRC a donc été constituée de plusieurs modules :

- Risk Management, pour mesurer l’ensemble des risques associés à une opportunité métier (financier, légal, opérationnel)

- Access Control, pour identifier et maîtriser les risques de fraude et réduire les coûts de maintenance associés à la gestion des droits d’accès et à la séparation des tâches

- Process Control, pour s’assurer que les contrôles clés dans les processus métiers sont correctement définis et réalisés efficacement tout au long de l’exercice

- Global Trade Services, pour s’assurer du respect des règles douanières et optimiser le recours aux accords commerciaux

- Environment Health and Safety, pour aligner les processus métiers avec les normes environnementales, de santé et de sécurité

- Data Privacy, pour respecter les normes internationales en matière de transfert de données, pour respecter la propriété intellectuelle et la préservation de la confidentialité des informations stratégiques de l’entreprise.

Cette solution s’inscrit dans le périmètre de l’offre Office of the CFO, aux côtés de l’Enterprise Performance Management (BPC, Strategy Manager, Finance et Activity Analysis) et de la Business Intelligence Platform (BW et l’ensemble des outils de restitution).

SAP GRC cherche à intégrer parfaitement les systèmes SAP traditionnels (Business Suite, BW) avec les autres environnements (Oracle, IBM, Microsoft…): le but est bien de mettre en place un outil unique pour couvrir de manière centralisée l’ensemble des environnements applicatifs de votre entreprise et de se doter ainsi d’une approche et d’une maîtrise globale des risques.

SAP a également mis en place des packages sectoriels, notamment pour les aspects liés à l’environnement, la santé et la sécurité dans les secteurs High Tech, Automobile, ou Chimie.

A ce stade, tous les modules de cette suite n’en sont pas au même niveau de maturité : Process Control est encore en phase de ramp up (fin prévue en octobre 2008) tandis qu’Access Control semble aujourd’hui le module le plus attendu pour réduire les coûts d’administration des droits d’accès des systèmes et maîtriser les problématiques de séparation des tâches. Nous reviendrons plus en détail sur Access Control.

N'hésitez pas à nous contacter pour tout complément d'information sur SAP GRC.