SAP Business Information Consulting

A contrario des directions financières, les directions informatiques, très grandes entreprises mises à part, demeurent assez peu familières avec une approche d’audit. Pourquoi sommes-nous audités ? Qui est à l’origine de cet audit ? Qu’est-ce que cela va apporter ? Autant de questions que se posent nombre d’acteurs des projets informatiques.

La nécessité de l’audit informatique apparaît avec la prise de conscience du caractère stratégique des systèmes pour l’entreprise (fonctions opérationnelles, financières, analytiques…). L’audit informatique répond également à des exigences normatives en matière de contrôle interne (Sarbanes-Oxley, Loi de Sécurité Financière….).

L’audit informatique intéresse donc en premier lieu la Direction Générale de l’entreprise afin de s’assurer que les projets et les systèmes supportent bien toutes les dimensions de ces enjeux clés. L’audit informatique intéresse également la Direction des Systèmes d’Information, parce que cette direction est en premier chef concernée par les constats, les risques et les recommandations formulés par les auditeurs, mais surtout parce que les conclusions d’audit doivent constituer un levier de progrès continu.

Les principaux points d’attention des auditeurs informatiques se portent généralement d’abord sur la sécurité logique (accès, mots de passe, protection réseau…), puis sur les problématiques de sauvegarde (back-up, restore, disaster recovery plan et business continuity plan), viennent ensuite les questions de méthodologie projet et les contrôles métiers automatisées dans les systèmes.

Si les accès intéressent en premier les auditeurs, c’est à la fois parce que

- les enjeux et la perception de ces risques sont clairs pour les acteurs métiers et IT,

- l’approche d’audit est maîtrisée,

- les expertises techniques sont les plus développées sur ces points.

Pour répondre aux exigences des auditeurs, et notamment en matière d’accès, la mise en place de procédures documentées constitue la meilleure façon de répondre aux questions.

La fréquence des changements d’organisation et des mouvements humains dans l’entreprise rendent difficile voire quasi impossible une gestion efficace de ses procédures sans recourir à des outils de gestion. La mise en place de tels outils constitue donc un moyen efficace pour fiabiliser ses procédures et fournir une documentation consistante aux auditeurs qui en sont friands.

Par exemple, la mise en place d’un outil de gestion des incidents permet de tracer les actions correctives, de suivre les délais de résolution, de piloter les ressources et mesurer l’efficacité des prestataires.

Autre exemple, l’utilisation d’outil de gestion des accès doit permettre de vérifier les procédures de gestion des comptes utilisateurs, de contrôler la cohérence de la liste des utilisateurs avec les personnes travaillant pour l’entreprise, de s’assurer de la correcte déclinaison des droits d’accès dans le système en fonction des responsabilités dans l’entreprise.

En conclusion, l’audit informatique doit constituer un moyen de faire progresser l’entreprise. Il s’agit d’une approche au service du management qui doit pour être mise en œuvre pour améliorer les méthodes de la direction informatique et de ses clients.

Censio peut vous aider à préparer vos audits, sur l’ensemble des aspects de l’audit informatique. Expert SAP, Censio vous propose également Smart qui peut aussi bien être utilisé comme système de gestion des accès SAP ERP que comme un outil d’audit pour vos missions d’audit interne.

Pour plus d’informations, n’hésitez pas à nous contacter et à consulter notre page web dédié à SMART.

SAP a annoncé le lancement de nouvelles versions de SAP BO Process Control et SAP BO Risk Management.

Si l’effet d’annonce porte principalement sur le renforcement de l’intégration entre Process Control et Risk Management, ces nouvelles versions consacrent une intégration renforcée des solutions GRC avec les solutions décisionnelles. SAP avait déjà mis à disposition dans Netweaver BI des business contents dédiés à GRC, mais c’est maintenant une communication accrue sur les intérêts du reporting décisionnel dans le pilotage de la GRC qui est maintenant mis en avant, avec notamment les capacités de restitution d’Xcelsius.

Source: TechTarget

Au-delà de la qualité des restitutions offerte par Xcelsius, les solutions décisionnelles présentent des atouts indéniables pour la GRC :
o utilisation d’alertes pour prévenir la survenance d’un risque,
o mise en place d’indicateurs de performance : suivi des risques opérationnels, taux de non qualité taux de conformité, suivi des déficiences de contrôle interne…
o nécessité d’avoir une approche mutli-axes : processus, entités, systèmes, marché….

Mais bien plus que l’intérêt d’obtenir des indicateurs de performance sur la conformité, ou la compliance pour reprendre l’appellation consacrée, ce sont pour les dimensions de Governance et de Risk Management que la BI présente le plus d’intérêt. L’approche de SAP est en effet assez novatrice dans la gestion du risque et de la governance : SAP ne cherche pas avec GRC à proposer un outil qui se superpose comme une couche supplémentaire nécessaire au respect de la conformité mais plutôt un levier permettant une gestion combinant la performance et maîtrise du risque.

Dans cette optique, les solutions GRC constituent un outil destiné au management de l’entreprise et non pas au seul contrôle interne. Ces solutions devront permettre aux managers d’optimiser leur performance tout en maîtrisant leurs risques : l’intérêt des solutions décisionnelles devient alors évident afin de fournir aux managers tous les KPIs, les alertes et les états de synthèse nécessaires.

Avec une telle approche, SAP fait le pari que la gestion des risques est une tendance durable qui va influencer profondément le management opérationnel de demain….

Censio annonce aujourd'hui le lancement de SMART, Security Management And Risk Tracker.

La solution permettra aux entreprises d'automatiser l’analyse des accès SAP ERP et le contrôle de la séparation des tâches, et d'impliquer les managers dans une démarche intégrée de contrôle interne grâce à une forte orientation métier.

Communiqué de Presse

COMMENT LUTTER CONTRE LA FRAUDE DANS SAP ?

Censio lance SMART, une solution qui permet d’accroitre la maîtrise des risques liés aux accès dans SAP tout en diminuant les coûts de contrôle.

Portée au devant de la scène par les fraudes et les récentes règlementations (SOX, LSF…), la maîtrise des accès SAP demeure largement perçue comme un sujet IT. Par temps de crise et de restructuration forte des organisations, de tels enjeux doivent pourtant impliquer aussi bien le management de l’entreprise que le contrôle interne pour lutter efficacement contre la fraude et les risques d’erreur.

Censio a pour cela développé SMART, Security Management And Risk Tracker, une solution de reporting supportée par SAP Netweaver BI (BW) pour : - automatiser l’analyse des accès SAP ERP et le contrôle de la séparation des tâches, - impliquer les managers grâce une forte orientation métier et une interface simple, - assister les responsables du contrôle interne et de la sécurité informatique dans la définition de leur plan d’actions, - permettre aux auditeurs internes de réaliser une revue des risques liés aux accès et à la séparation des tâches.

Système intégré ou service à la demande ! Avec une double compétence, contrôle interne et SAP, les équipes de Censio peuvent intégrer SMART à votre environnement SAP. Censio peut également réaliser à la demande et à distance des revues périodiques rapides de vos environnements SAP qui vous permettront d’établir un diagnostic précis ou de supporter vos missions d’audit interne.

Pour plus d’informations sur SMART sur http://www.censio.fr/FR/smart/

La séparation des tâches est une problématique en vogue :

1. Différentes normes de type Sarbanes-Oxley, Loi de Sécurité Financière ou J-SOX ont poussé les entreprises à mettre en place un référentiel de séparation des tâches.
2. La généralisation des ERP dans les entreprises a accru les risques potentiels liés à une mauvaise séparation des tâches. Par son caractère transverse et son approche par processus intégrés, l'ERP peut facilement conduire l'entreprise à diffuser des droits d'accès aux utilisateurs qui pourraient d'aller au delà de leurs attributions métiers.
3. Enfin, certaines fraudes retentissantes ont exposé des entreprises à une campagne médiatique, et donc à des coûts qui ont été bien au delà du simple montant de la fraude elle-même.

Les risques liés à la séparation des tâches se manifestent suite à une série d'actions réalisées par une même personne qui entraînent une erreur ou une fraude. Par exemple, un utilisateur ayant accès aux transactions de création/modification du référentiel fournisseurs et aux transactions de paiement pourrait créer un fournisseur fictif, ou modifier les coordonnées bancaires d'un fournisseur existant, et initier un paiement.

Pour être efficace, un référentiel de séparation des tâches doit donc être décliné dans les systèmes d'information afin de s'assurer que les privilèges attribués aux utilisateurs dans le système sont conformes aux règles de séparation des tâches et aux délégations de pouvoirs accordées dans l'entreprise.

Si d'autres mécanismes de contrôle dans l'entreprise peuvent souvent empêcher une telle fraude, comme pour notre exemple une validation manuelle de tous les paiements, ces contrôles resteront néanmoins des actions détectives, et dont l'efficacité même pourrait être mise à mal par l'auteur de la fraude si celui-ci maîtrise bien les mécanismes de contrôle interne. L'intérêt de la mise en place d'un référentiel de séparation des tâches dans ses systèmes consiste donc avant tout à mettre en place des contrôles automatiques et préventifs.

Selon les centres d'intérêt, et selon les normes applicables, les objectifs de la séparation des tâches peuvent diverger. Dans un contexte Sarbanes-Oxley, la séparation des tâches devra avant tout permettre de se focaliser sur la prévention des risques ayant un impact financier. Dans la perspective de la Loi de Sécurité Financière, tout risque ayant un impact opérationnel devrait être pris en compte. In fine, c'est en fait la notion de risque qui doit animer un projet de mise en conformité.

Une approche par les risques de la séparation des tâches va permettre de focaliser un projet sur les risques clés définis par l'organisation (financier, opérationnel, juridique, humain, commercial...). La majorité des organisations ne dispose pas à ce jour d'un référentiel complet en matière de séparation des tâches, bien souvent ce ne sont que quelques règles basiques formalisées par le contrôle interne et sans transcription dans les SI. Un projet de séparation des tâches va donc pousser les entreprises à identifier et qualifier leurs risques liés à la séparation des tâches d'un point de vue purement métier.

Les gains associés à la mise en place de la séparation des tâches sont donc multiples:

- identification et qualification des risques métiers liés à la séparation des tâches,

- définition d'un cadre clair et formalisé des tâches incompatibles dans l'organisation,

- réduction du nombre de contrôles détectifs manuels,

- automatisation de contrôles préventifs,

- rationalisation / simplification du processus d'administration des accès,

- mise en place de processus de contrôle continu,

- diminution des findings d'audit.

En conclusion, la mise en place de la séparation des tâches permet non seulement de mettre son entreprise en conformité avec des normes externes, mais surtout de s'assurer que les règles de l'organisation sont clairement définies, correctement déclinées dans les SI et que celles-ci le sont de manière optimisées, c'est à dire automatique et préventive. Un projet de séparation des tâches comporte donc bien un volet technique qui nécessite une parfaite maîtrise de la sécurité du SI, mais un tel projet s'inscrit avant tout dans une démarche fonctionnelle pour traiter des problématiques et des risques métier.

SAP a lancé une offre GRC, qui inclut un module Access Control, permettant de traiter cette problématique. D'autres acteurs se sont également positionnés sur le marché afin de proposer des solutions alternatives. Nous reviendrons sur les étapes clés d'un projet de mise en conformité ainsi que sur les pré-requis nécessaires à la sélection d'une solution de contrôle des accès et de gestion de la séparation des tâches.

Pour toute information complémentaire, n'hésitez pas à nous contacter.