SAP Business Information Consulting

CCM, SOD, CA, GRC....autant d'acronymes qui donnent le vertige aux utilisateurs, mais surtout aux clients qui ont beaucoup de mal à se retrouver dans les offres des éditeurs autour de la gouvernance et du contrôle interne.

Une des dernières études de Gartner (Gartner RAS Core Research Note G00174594, French Caldwell, Paul E. Proctor, 23 mars 2010) vous aide à y voir un peu plus clair : rappel des concepts et des notions clés, présentation des principales offres sur le marché avec leurs atouts et leurs limites.

L'étude rappelle bien que les lois et autres régulations contraignantes (type SOX) constituent le facteur majeur de la décision d'investissement des entreprises: 70% du marché est en effet nord-américain, 20% européen et 10% pour le reste du monde....Reste que ces chiffres cachent encore de larges disparités, notamment entre les pays européens.

Retrouvez la note de Gartner ici

Gartner ne cite pas encore SMART ...Reste que la vocation de la solution proposée par Censio est moins ambitieuse et globale que la majeure partie des solutions de CCM existantes, mais celle-ci tente avant tout d'apporter une solution simple et rapide aux problématiques de séparation des tâches et de contrôle des risques dans SAP.

A contrario des directions financières, les directions informatiques, très grandes entreprises mises à part, demeurent assez peu familières avec une approche d’audit. Pourquoi sommes-nous audités ? Qui est à l’origine de cet audit ? Qu’est-ce que cela va apporter ? Autant de questions que se posent nombre d’acteurs des projets informatiques.

La nécessité de l’audit informatique apparaît avec la prise de conscience du caractère stratégique des systèmes pour l’entreprise (fonctions opérationnelles, financières, analytiques…). L’audit informatique répond également à des exigences normatives en matière de contrôle interne (Sarbanes-Oxley, Loi de Sécurité Financière….).

L’audit informatique intéresse donc en premier lieu la Direction Générale de l’entreprise afin de s’assurer que les projets et les systèmes supportent bien toutes les dimensions de ces enjeux clés. L’audit informatique intéresse également la Direction des Systèmes d’Information, parce que cette direction est en premier chef concernée par les constats, les risques et les recommandations formulés par les auditeurs, mais surtout parce que les conclusions d’audit doivent constituer un levier de progrès continu.

Les principaux points d’attention des auditeurs informatiques se portent généralement d’abord sur la sécurité logique (accès, mots de passe, protection réseau…), puis sur les problématiques de sauvegarde (back-up, restore, disaster recovery plan et business continuity plan), viennent ensuite les questions de méthodologie projet et les contrôles métiers automatisées dans les systèmes.

Si les accès intéressent en premier les auditeurs, c’est à la fois parce que

- les enjeux et la perception de ces risques sont clairs pour les acteurs métiers et IT,

- l’approche d’audit est maîtrisée,

- les expertises techniques sont les plus développées sur ces points.

Pour répondre aux exigences des auditeurs, et notamment en matière d’accès, la mise en place de procédures documentées constitue la meilleure façon de répondre aux questions.

La fréquence des changements d’organisation et des mouvements humains dans l’entreprise rendent difficile voire quasi impossible une gestion efficace de ses procédures sans recourir à des outils de gestion. La mise en place de tels outils constitue donc un moyen efficace pour fiabiliser ses procédures et fournir une documentation consistante aux auditeurs qui en sont friands.

Par exemple, la mise en place d’un outil de gestion des incidents permet de tracer les actions correctives, de suivre les délais de résolution, de piloter les ressources et mesurer l’efficacité des prestataires.

Autre exemple, l’utilisation d’outil de gestion des accès doit permettre de vérifier les procédures de gestion des comptes utilisateurs, de contrôler la cohérence de la liste des utilisateurs avec les personnes travaillant pour l’entreprise, de s’assurer de la correcte déclinaison des droits d’accès dans le système en fonction des responsabilités dans l’entreprise.

En conclusion, l’audit informatique doit constituer un moyen de faire progresser l’entreprise. Il s’agit d’une approche au service du management qui doit pour être mise en œuvre pour améliorer les méthodes de la direction informatique et de ses clients.

Censio peut vous aider à préparer vos audits, sur l’ensemble des aspects de l’audit informatique. Expert SAP, Censio vous propose également Smart qui peut aussi bien être utilisé comme système de gestion des accès SAP ERP que comme un outil d’audit pour vos missions d’audit interne.

Pour plus d’informations, n’hésitez pas à nous contacter et à consulter notre page web dédié à SMART.

Censio annonce aujourd'hui le lancement de SMART, Security Management And Risk Tracker.

La solution permettra aux entreprises d'automatiser l’analyse des accès SAP ERP et le contrôle de la séparation des tâches, et d'impliquer les managers dans une démarche intégrée de contrôle interne grâce à une forte orientation métier.

Communiqué de Presse

COMMENT LUTTER CONTRE LA FRAUDE DANS SAP ?

Censio lance SMART, une solution qui permet d’accroitre la maîtrise des risques liés aux accès dans SAP tout en diminuant les coûts de contrôle.

Portée au devant de la scène par les fraudes et les récentes règlementations (SOX, LSF…), la maîtrise des accès SAP demeure largement perçue comme un sujet IT. Par temps de crise et de restructuration forte des organisations, de tels enjeux doivent pourtant impliquer aussi bien le management de l’entreprise que le contrôle interne pour lutter efficacement contre la fraude et les risques d’erreur.

Censio a pour cela développé SMART, Security Management And Risk Tracker, une solution de reporting supportée par SAP Netweaver BI (BW) pour : - automatiser l’analyse des accès SAP ERP et le contrôle de la séparation des tâches, - impliquer les managers grâce une forte orientation métier et une interface simple, - assister les responsables du contrôle interne et de la sécurité informatique dans la définition de leur plan d’actions, - permettre aux auditeurs internes de réaliser une revue des risques liés aux accès et à la séparation des tâches.

Système intégré ou service à la demande ! Avec une double compétence, contrôle interne et SAP, les équipes de Censio peuvent intégrer SMART à votre environnement SAP. Censio peut également réaliser à la demande et à distance des revues périodiques rapides de vos environnements SAP qui vous permettront d’établir un diagnostic précis ou de supporter vos missions d’audit interne.

Pour plus d’informations sur SMART sur http://www.censio.fr/FR/smart/

La séparation des tâches est une problématique en vogue :

1. Différentes normes de type Sarbanes-Oxley, Loi de Sécurité Financière ou J-SOX ont poussé les entreprises à mettre en place un référentiel de séparation des tâches.
2. La généralisation des ERP dans les entreprises a accru les risques potentiels liés à une mauvaise séparation des tâches. Par son caractère transverse et son approche par processus intégrés, l'ERP peut facilement conduire l'entreprise à diffuser des droits d'accès aux utilisateurs qui pourraient d'aller au delà de leurs attributions métiers.
3. Enfin, certaines fraudes retentissantes ont exposé des entreprises à une campagne médiatique, et donc à des coûts qui ont été bien au delà du simple montant de la fraude elle-même.

Les risques liés à la séparation des tâches se manifestent suite à une série d'actions réalisées par une même personne qui entraînent une erreur ou une fraude. Par exemple, un utilisateur ayant accès aux transactions de création/modification du référentiel fournisseurs et aux transactions de paiement pourrait créer un fournisseur fictif, ou modifier les coordonnées bancaires d'un fournisseur existant, et initier un paiement.

Pour être efficace, un référentiel de séparation des tâches doit donc être décliné dans les systèmes d'information afin de s'assurer que les privilèges attribués aux utilisateurs dans le système sont conformes aux règles de séparation des tâches et aux délégations de pouvoirs accordées dans l'entreprise.

Si d'autres mécanismes de contrôle dans l'entreprise peuvent souvent empêcher une telle fraude, comme pour notre exemple une validation manuelle de tous les paiements, ces contrôles resteront néanmoins des actions détectives, et dont l'efficacité même pourrait être mise à mal par l'auteur de la fraude si celui-ci maîtrise bien les mécanismes de contrôle interne. L'intérêt de la mise en place d'un référentiel de séparation des tâches dans ses systèmes consiste donc avant tout à mettre en place des contrôles automatiques et préventifs.

Selon les centres d'intérêt, et selon les normes applicables, les objectifs de la séparation des tâches peuvent diverger. Dans un contexte Sarbanes-Oxley, la séparation des tâches devra avant tout permettre de se focaliser sur la prévention des risques ayant un impact financier. Dans la perspective de la Loi de Sécurité Financière, tout risque ayant un impact opérationnel devrait être pris en compte. In fine, c'est en fait la notion de risque qui doit animer un projet de mise en conformité.

Une approche par les risques de la séparation des tâches va permettre de focaliser un projet sur les risques clés définis par l'organisation (financier, opérationnel, juridique, humain, commercial...). La majorité des organisations ne dispose pas à ce jour d'un référentiel complet en matière de séparation des tâches, bien souvent ce ne sont que quelques règles basiques formalisées par le contrôle interne et sans transcription dans les SI. Un projet de séparation des tâches va donc pousser les entreprises à identifier et qualifier leurs risques liés à la séparation des tâches d'un point de vue purement métier.

Les gains associés à la mise en place de la séparation des tâches sont donc multiples:

- identification et qualification des risques métiers liés à la séparation des tâches,

- définition d'un cadre clair et formalisé des tâches incompatibles dans l'organisation,

- réduction du nombre de contrôles détectifs manuels,

- automatisation de contrôles préventifs,

- rationalisation / simplification du processus d'administration des accès,

- mise en place de processus de contrôle continu,

- diminution des findings d'audit.

En conclusion, la mise en place de la séparation des tâches permet non seulement de mettre son entreprise en conformité avec des normes externes, mais surtout de s'assurer que les règles de l'organisation sont clairement définies, correctement déclinées dans les SI et que celles-ci le sont de manière optimisées, c'est à dire automatique et préventive. Un projet de séparation des tâches comporte donc bien un volet technique qui nécessite une parfaite maîtrise de la sécurité du SI, mais un tel projet s'inscrit avant tout dans une démarche fonctionnelle pour traiter des problématiques et des risques métier.

SAP a lancé une offre GRC, qui inclut un module Access Control, permettant de traiter cette problématique. D'autres acteurs se sont également positionnés sur le marché afin de proposer des solutions alternatives. Nous reviendrons sur les étapes clés d'un projet de mise en conformité ainsi que sur les pré-requis nécessaires à la sélection d'une solution de contrôle des accès et de gestion de la séparation des tâches.

Pour toute information complémentaire, n'hésitez pas à nous contacter.

SAP Governance Risk and Compliance, dit SAP GRC, est la solution proposée par SAP pour permettre aux entreprises de maîtriser leurs risques et de construire une croissance durable, c’est-à-dire se donner l’assurance que l’occurrence d’une erreur ou d’une fraude ne remettra pas en cause de manière significative le développement de l’entreprise à long terme. Les scandales comme Enron en son temps, ou celui de la Société Générale plus récemment, sont les illustrations les plus évidentes de l’impact potentiel de ce type de risques.

SAP GRC va donc aider le management de l’entreprise à:

- identifier, évaluer et gérer les risques (financiers, opérationnels, légaux…),

- mettre en place un cadre et des outils de contrôle unifiés, collaboratifs et partagés dans l’ensemble de l’organisation et des systèmes d’information, et aussi automatisés et préventifs que possible,

- renforcer la production d’une information fiable et transparente.

Les domaines concernés sont vastes: le contrôle interne, l’environnement, la santé et la sécurité, les échanges internationaux et la confidentialité des données.

La suite GRC a donc été constituée de plusieurs modules :

- Risk Management, pour mesurer l’ensemble des risques associés à une opportunité métier (financier, légal, opérationnel)

- Access Control, pour identifier et maîtriser les risques de fraude et réduire les coûts de maintenance associés à la gestion des droits d’accès et à la séparation des tâches

- Process Control, pour s’assurer que les contrôles clés dans les processus métiers sont correctement définis et réalisés efficacement tout au long de l’exercice

- Global Trade Services, pour s’assurer du respect des règles douanières et optimiser le recours aux accords commerciaux

- Environment Health and Safety, pour aligner les processus métiers avec les normes environnementales, de santé et de sécurité

- Data Privacy, pour respecter les normes internationales en matière de transfert de données, pour respecter la propriété intellectuelle et la préservation de la confidentialité des informations stratégiques de l’entreprise.

Cette solution s’inscrit dans le périmètre de l’offre Office of the CFO, aux côtés de l’Enterprise Performance Management (BPC, Strategy Manager, Finance et Activity Analysis) et de la Business Intelligence Platform (BW et l’ensemble des outils de restitution).

SAP GRC cherche à intégrer parfaitement les systèmes SAP traditionnels (Business Suite, BW) avec les autres environnements (Oracle, IBM, Microsoft…): le but est bien de mettre en place un outil unique pour couvrir de manière centralisée l’ensemble des environnements applicatifs de votre entreprise et de se doter ainsi d’une approche et d’une maîtrise globale des risques.

SAP a également mis en place des packages sectoriels, notamment pour les aspects liés à l’environnement, la santé et la sécurité dans les secteurs High Tech, Automobile, ou Chimie.

A ce stade, tous les modules de cette suite n’en sont pas au même niveau de maturité : Process Control est encore en phase de ramp up (fin prévue en octobre 2008) tandis qu’Access Control semble aujourd’hui le module le plus attendu pour réduire les coûts d’administration des droits d’accès des systèmes et maîtriser les problématiques de séparation des tâches. Nous reviendrons plus en détail sur Access Control.

N'hésitez pas à nous contacter pour tout complément d'information sur SAP GRC.