Embed Size (px)
Citation preview
Petit Guide de laSéparation des Tâches
Définir la « SoD » pour les non-initiés
Définition« Faire en sorte que la réalisation d’un processus critique, dans un SI ou non, mobilise au moins deux personnes différentes »
Prévenir la fraude et les erreursLa probabilité d’une fraude est réduite si elle nécessite l’implication de plus d’une personneLes erreurs sont moins fréquentes grâce à la double vérification
Création defacturesfournisseurs
Lancement depaiementsfournisseurs
Modification deRIB/IBANfournisseurs
Lancement depaiementsfournisseurs
Paiement de fausses factures fournisseurs
… dans les Processus de l’organisation
Détournement de paiements fournisseurs
… dans les Systèmes d’Information
Quelle solution ?
Comment procéder ?
Quels résultats ?
> Séparer les Tâches <
Définir sa matricede séparationdes tâches
Audit Interne DirectionFinancière
ContrôleInterne
DSI
1 Identifier les parties prenantes
2 Définir les risques de séparation des tâches
Tâche 1
Tâche 2
Tâche 1
Tâche 2
Tâche 4
Tâche 3
Pas de risque
Risque élevé
Risque faible
+++
===
3 Contextualiser sa matrice à l’organisation
4 Analyser les risques de conflits de tâches
D’un point de vue IT : quel programme de mon Système d’Information/ERP permet de réaliser le risque ?
D’un point de vue métier : Comment se décline le processus risqué dans une entité spécifique ?
Obtenir une liste de conflits à résoudre de différents types :
Problème de droits non restreints sur un Système d’Information
Problème de ressources insuffisantes pour séparer les tâches dans le processus
Problème d’organisation à revoir
Auditer lesrisques de
l’organisation
Remédier auxrisques identifiés
5 Lancer des plans d’actions en fonction destypes de risques identifiés
Technique Réel
Potentiel
Réel
Fonctionnel
Revoir l’architecture des rôles surles SI afin de permettre une meilleureséparation des tâches
Retirer les droits pour la tâche nonutilisée par l’employé/utilisateur
Revoir l’organisation pour que l’une des deux tâches soit retirée et que le conflitn’existe plus.
Les risques de séparationdes tâches cartographiés
Des contrôles sur les risques de fraude au coeur desprocessus sensibles
Séparation des tâches dansles Processus et les
Systèmes d’Information
Une automatisation descontrôles et une maîtrise
des coûts de sécurité
Vision 360° de la fraudedans l’entrepriseLes risques de séparation des tâchessont identifiés, des contrôles appliqués.L’ensemble du dispositif est clarifié,auditable, efficace
Eliminer les risquespotentiels dans les SI
des risques potentiels/réelséliminés lors d’un projet deséparation des tâches
Jusqu’à
90%
Pourquoi ?
« SoD » vient de « Segregations of Duties », qui est latraduction anglaise de « Séparation des Tâches »
Pourquoi utilise-t-onl’« Abréviation SoD » ?
Exemples
Fraude
On peut définir les risques en se basant sur les recommandations de l’audit interne, sur les bonnes pratiques de son industrie en termes de processus, ou encore en fonction de schémas de fraude possibles sur un Système d’Information.
Le « Plus »
• Une matrice de séparation des tâches est toujours adaptée à un contexte particulier, et donc à une organisation spécifique.• Le travail d’adaptation doit se faire en partenariat avec les métiers, les fonctions d’audit (ou de contrôle interne), et la direction informatique.
Important !
Un outillage spécifique permet d’auditer aisément les risques de séparation des tâches, en fonction de la taille de l’organisation :• Outils d’analyse de schémas de fraude (ex. ACL)• Outils de gestion des droits d’accès (ex. SAP GRC)
Pour aller plus loin…
