Segregation of Duties (SoD) : contrôle interne et séparation des tâches

Identifiez et résolvez les conflits au sein de vos différents ERP

La digitalisation des processus s’est accélérée et la multiplication des ERP rend de plus en plus complexe la gestion des risques liée à une correcte séparation des tâches. Si certains ERP proposent des modules d’analyse des droits conférés, peu permettent de pointer les zones de risques, en particulier lorsque plusieurs applications sont concernées sur un même processus. 

PwC investit depuis plusieurs années dans les technologies afin d’adresser les principaux ERP du marché (SAP, Oracle, Microsoft, Salesforce...) et contribuer à la digitalisation du contrôle interne de nos clients. Des partenariats viennent compléter les solutions propriétaires de PwC et vous permettent ainsi de traiter l’ensemble de vos ERP.

Séparation des tâches (SoD) : comment fonctionnent ces outils ?

Playback of this video is not currently available

0:00:40

SoD as a Service

Les outils de séparation des tâches (SoD) nécessitent l’obtention de deux catégories d’information.

  • Le détail des accès conférés par utilisateur aux différentes applications. Chaque système dispose de mécanismes spécifiques pour attribuer les accès, via un couple “transactions” et “données”. Par exemple, l’accès à la transaction permettant de passer une commande fournisseur peut être limitée à certains utilisateurs et à certaines catégories d’achat. Il faut donc disposer de la capacité à extraire ces éléments des environnements de production pour analyse.
  • Des matrices d’incompatibilité d’accès, mettant en évidence les tâches incompatibles lorsqu’elles sont conférées à un même individu. Ces matrices, basées pour la plupart sur des visions de bout en bout des processus et donnant les couples “d’activités” incompatibles au sein du processus, permettent de maintenir votre fichier fournisseur et de valider les commandes d’achat. Elles sont ainsi traduites en “transactions” dans les systèmes concernés afin de faire le lien entre “l’activité” et la/les “transactions”.

Les outils qu’utilise PwC comprennent des matrices standards élaborées pour chaque système et permettent de mener l’essentiel des analyses nécessaires. Ces matrices d’incompatibilité d’accès sont adaptables afin de prendre en compte des “transactions” spécifiques développées par les clients. 

L’outil de séparation des tâches (SoD) permet d’analyser les droits d’accès conférés et de mettre en évidence les zones de risques.

Comment mettre en oeuvre une analyse via des outils de séparation des tâches ?

L’analyse nécessite une implication très limitée de vos équipes technologiques à travers 4 étapes :

  • L’extraction des tables de gestion des accès. PwC vous fournit les requêtes d’extraction ou utilise un connecteur existant pour adresser vos applications SaaS.

  • Le lancement des analyses. PwC dispose de matrices types de séparation des tâches afin de cibler les zones prioritaires. Nous les adaptons pour prendre en compte les risques spécifiques à votre contexte si nécessaire.

  • L’évaluation des résultats et la restitution à vos équipes grâce à des tableaux de bord dynamiques. PwC utilise des tableaux type Power BI lors d’ateliers qui permettent d’identifier les zones de risques prioritaires et de discuter des mesures existantes ou à prendre pour réduire l’exposition aux risques.

  • L’analyse de suivi après la mise en place des corrections éventuelles des droits d’accès dans les systèmes. PwC peut relancer les analyses à périodicité régulière pour mesurer l’avancement des actions de remédiation décidées.

connaissances apprises collaboration

Quels sont les bénéfices ?

  • La rapidité et la simplicité de mise en place : les données pour analyse sont simples à obtenir et les solutions ne nécessitent pas d’installation lourde sur vos infrastructures IT ; 

  • La protection de vos données : les données sont exploitées dans un environnement sécurisé. PwC peut également utiliser des données pseudonymisées ; 

  • La souplesse : un budget compétitif pour un round d’analyse et une capacité à mesurer la courbe de progrès à moindre coût.

les avantages de la sod
exemple application

Quelques exemples d'application

  • Analyse de la séparation des fonctions sous l’ERP SAP ECC6 “on premise” : PwC utilise son progiciel pour identifier les risques de séparation des tâches. Il prend en compte les spécificités de SAP et permet d’éviter de nombreux “faux positifs”. 
  • Analyse de la séparation des fonctions d’ERP en mode SaaS (Microsoft Dynamics 365, Salesforce…) : PwC utilise son progiciel qui permet d’adresser plusieurs ERP du marché, avec des matrices standards pour la plupart.
Suivez-nous !

Contactez-nous

Jean de Laforcade

Jean de Laforcade

Associé Technology Risk, PwC France et Maghreb

Tel : +33 1 56 57 64 19

Masquer