Petit Guide de laSéparation des Tâches

Définir la « SoD » pour les non-initiés

Définition« Faire en sorte que la réalisation d’un processus critique, dans un SI ou non, mobilise au moins deux personnes différentes »

Prévenir la fraude et les erreursLa probabilité d’une fraude est réduite si elle nécessite l’implication de plus d’une personneLes erreurs sont moins fréquentes grâce à la double vérification

Création defacturesfournisseurs

Lancement depaiementsfournisseurs

Modification deRIB/IBANfournisseurs

Lancement depaiementsfournisseurs

Paiement de fausses factures fournisseurs

… dans les Processus de l’organisation

Détournement de paiements fournisseurs

… dans les Systèmes d’Information

Quelle solution ?

Comment procéder ?

Quels résultats ?

> Séparer les Tâches <

Définir sa matricede séparationdes tâches

Audit Interne DirectionFinancière

ContrôleInterne

DSI

1 Identifier les parties prenantes

2 Définir les risques de séparation des tâches

Tâche 1

Tâche 2

Tâche 1

Tâche 2

Tâche 4

Tâche 3

Pas de risque

Risque élevé

Risque faible

+++

===

3 Contextualiser sa matrice à l’organisation

4 Analyser les risques de conflits de tâches

D’un point de vue IT : quel programme de mon Système d’Information/ERP permet de réaliser le risque ?

D’un point de vue métier : Comment se décline le processus risqué dans une entité spécifique ?

Obtenir une liste de conflits à résoudre de différents types :

Problème de droits non restreints sur un Système d’Information

Problème de ressources insuffisantes pour séparer les tâches dans le processus

Problème d’organisation à revoir

Auditer lesrisques de

l’organisation

Remédier auxrisques identifiés

5 Lancer des plans d’actions en fonction destypes de risques identifiés

Technique Réel

Potentiel

Réel

Fonctionnel

Revoir l’architecture des rôles surles SI afin de permettre une meilleureséparation des tâches

Retirer les droits pour la tâche nonutilisée par l’employé/utilisateur

Revoir l’organisation pour que l’une des deux tâches soit retirée et que le conflitn’existe plus.

Les risques de séparationdes tâches cartographiés

Des contrôles sur les risques de fraude au coeur desprocessus sensibles

Séparation des tâches dansles Processus et les

Systèmes d’Information

Une automatisation descontrôles et une maîtrise

des coûts de sécurité

Vision 360° de la fraudedans l’entrepriseLes risques de séparation des tâchessont identifiés, des contrôles appliqués.L’ensemble du dispositif est clarifié,auditable, efficace

Eliminer les risquespotentiels dans les SI

des risques potentiels/réelséliminés lors d’un projet deséparation des tâches

Jusqu’à

90%

Pourquoi ?

« SoD » vient de « Segregations of Duties », qui est latraduction anglaise de « Séparation des Tâches »

Pourquoi utilise-t-onl’« Abréviation SoD » ?

Exemples

Fraude

On peut définir les risques en se basant sur les recommandations de l’audit interne, sur les bonnes pratiques de son industrie en termes de processus, ou encore en fonction de schémas de fraude possibles sur un Système d’Information.

Le « Plus »

• Une matrice de séparation des tâches est toujours adaptée à un contexte particulier, et donc à une organisation spécifique.• Le travail d’adaptation doit se faire en partenariat avec les métiers, les fonctions d’audit (ou de contrôle interne), et la direction informatique.

Important !

Un outillage spécifique permet d’auditer aisément les risques de séparation des tâches, en fonction de la taille de l’organisation :• Outils d’analyse de schémas de fraude (ex. ACL)• Outils de gestion des droits d’accès (ex. SAP GRC)

Pour aller plus loin…