skip to Main Content

GRC Rulesets

Gouvernance, Risques et Conformité (GRC) – Comprendre les règles

De nombreux aspects de notre vie sont soumis à des règles. Le code de la route a pour objet de réduire les risques pour les conducteurs et les piétons, et de réduire également les primes d’assurance. Les associations de copropriétaires se sont dotées de règles prévoyant les couleurs que vous êtes autorisés à utiliser sur les façades extérieures de vos maisons ou même des tapis visant à amortir le bruit dans les escaliers des immeubles. Bien que de telles règles soient édictées avec les meilleures intentions, elles peuvent parfois s’avérer excessives au regard du désagrément ou du risque réellement encouru. Elles deviennent alors un fardeau plutôt qu’un outil de sécurité et de conformité.

Il en va de même dans un environnement SAP. Les groupes de règles de GRC (Gouvernance, Risques et Conformité) sont instaurés afin de veiller à ce que les entreprises respectent les règlementations en vigueur, protègent les données de valeur et réduisent les risques de vol et de fraude. Les fonctions et processus opérationnels font l’objet d’un examen minutieux afin de déterminer le niveau et la sévérité du risque. Les groupes de règles sont développés en se basant sur une combinaison de risques et de degrés de sévérité, de sorte que les violations de séparation des tâches (SoD) puissent être identifiées et résolues.

Par exemple, un processus qui contient deux fonctions – l’une permettant à un salarié de créer et de tenir à jour une liste principale des fournisseurs, et l’autre lui permettant d’émettre des bons de commande ou d’exécuter des paiements – constitue une violation manifeste de la séparation des tâches (SoD). Ces deux fonctions devraient être séparées et toute combinaison possible de ces rôles devrait faire l’objet d’un groupe de règles, de sorte que les tentatives d’accorder accès et permissions pour ces deux fonctions à une même personne déclenchent des alertes de violation de la SoD.

C’est la raison pour laquelle les groupes de règles de GRC sont déterminants pour l’efficacité des contrôles d’accès et de l’analyse des risques. Les groupes de règles permettent des rapports exhaustifs et informatifs et la réduction des coûts liés à la conformité et à la gestion des risques. Ils garantissent qu’il n’y aura pas de surprises au niveau des audits. Les groupes de règles de GRC sont une composante essentielle à la protection de l’entreprise. Ils doivent clairement refléter la politique de l’entreprise en termes de fonctions et de processus. Cela passe par le suivi des risques pertinents et leur corrélation avec les niveaux de sévérité appropriés.

Les processus internes et les dispositions de normes externes telles que SOX et HIPAA devront être inclus. Les groupes de règles et l’identification du risque dans la GRC de SAP doivent répondre aux exigences des auditeurs internes comme externes. Bien que semblant couler de source, cette fonction importante pose de plus en plus de problèmes dans l’économie numérique d’aujourd’hui.

Groupes de règles de GRC – C’est compliqué

Les entreprises d’aujourd’hui procèdent à des changements et transformations ininterrompus pour rester en phase avec le paysage en constante évolution de l’économie numérique mondiale. Le climat réglementaire mute également afin de s’adapter à cette économie numérique, comme l’illustre le Règlement général sur la protection des données (RGPD) qui vient d’être adopté par l’Union européenne.

Cet environnement dynamique exerce une pression sur les équipes informatiques afin qu’elles adaptent les groupes de règles de GRC aux évolutions organisationnelles et réglementaires. Cela peut devenir rapidement une charge importante et potentiellement causer une restriction excessive de certaines fonctions opérationnelles, ou une restriction insuffisante de certaines autres.

Même en l’absence de changements permanents, le développement de groupes de règles de GRC peut être un processus compliqué. Et bien que SAP fournisse des groupes de règles clé en main, dédiés aux fonctions (par exemple, aux achats et à l’approvisionnement), ceux-ci peuvent s’avérer inadaptés aux besoins spécifiques d’une entreprise. Cela signifie que les groupes de règles doivent être personnalisés afin de correspondre aux fonctions et processus opérationnels et refléter ainsi fidèlement les opérations de l’entreprise.

La création et la personnalisation de groupes de règles de GRC qui associent minutieusement l’impact des risques et leur degré de probabilité pour chaque processus opérationnel peut parfois entraîner l’application d’un nombre excessif de groupes de règles à des fonctions et processus à faible risque. La génération en masse de rapports portant sur des risques n’ayant pas d’impact significatif sur l’entreprise génère ce que l’on pourrait appeler un « bruit parasite ».

Ce bruit peut s’avérer gênant pour les utilisateurs SAP, le personnel informatique et les auditeurs, lesquels devront consulter de nombreuses pages de rapports pour y trouver des risques à faible impact.  Cette complexité grandit en parallèle à l’ajout de combinaisons potentielles de transactions et de permissions, et les transactions personnalisées se multiplient face aux changements organisationnels et réglementaires.

Les fonctions non SAP et l’intégration de nouvelles applications (telles que SAP S/4 Fiori) poussent cette complexification encore plus loin. SAP Fiori est une puissante alternative de remplacement à l’interface utilisateur graphique (GUI) de SAP. Toutefois, il doit être minutieusement intégré à la SoD pour permettre aux activités de GRC de s’exécuter correctement et offrir une bonne lisibilité à l’échelle de l’entreprise.

ControlPanelGRC – Simplifier le processus de groupe de règles

Le module d’analyse des risques (Risk Analyzer) de Symmetry ControlPanelGRC simplifie considérablement la mise en place de groupes de règles de GRC et facilite l’intégration de SAP Fiori. Les livrets de règles (Rulebooks) de Risk Analyzer sont composés d’un groupe de règles de base reprenant les autorisations sensibles les plus fréquemment utilisées ainsi que les règles de SoD communes à tous les secteurs d’activité. Les livrets de règles sont extensibles et peuvent être facilement personnalisés pour s’adapter aux processus opérationnels ou répondre aux besoins des auditeurs, permettant ainsi une configuration et une maintenance des groupes de règles plus faciles. Les livrets de règles prédéfinis comprennent également des contrôles des risques d’accès basés sur les normes SOX, HIPPA ou le règlement RGPD ainsi que sur d’autres dispositions réglementaires. Risk Analyzer définit les risques en tant que fonctions conflictuelles et fournit des informations et descriptions faciles à comprendre.

Il offre également un niveau élevé de granularité permettant de définir les risques par autorisation et niveau de transaction. Il révèle automatiquement les transactions personnalisées et incorpore les applications SAP Fiori, en utilisant un ensemble de règles de SAP pour SAP S/4HANA. Risk Analyzer révèle et capture automatiquement les utilisations des applications SAP Fiori et redistribue les données d’analyses SoD aux utilisateurs appropriés pour examen ou suppression.

Le facteur de différenciation de Symmetry – Aller toujours plus loin

Outre les puissantes capacités et fonctionnalités de ControlPanelGRC, Symmetry offre un déploiement rapide s’appuyant sur un service d’assistance hors pair et des services administrés. Avec le meilleur taux de satisfaction client Net Promoter Score de l’industrie et 22 années d’expérience en gestion des systèmes SAP, vous avez l’assurance que la mise en œuvre de votre suite de contrôle d’accès ControlPanelGRC, dotée du module Risk Analyzer, sera non seulement un succès, mais que vos délais de rentabilisation seront considérablement réduits.

Les groupes de règles de GRC sont essentiels pour assurer la sécurité des données, la gestion des risques et la conformité réglementaire d’une entreprise. Ils peuvent s’avérer complexes, mais ne doivent pas pour autant peser sur les équipes informatiques. ControlPanelGRC apporte aux entreprises une grande tranquillité d’esprit en automatisant les fonctions GRC, en réduisant les conflits de SoD et en assurant un bon niveau de préparation aux audits. Les entreprises peuvent ainsi relever efficacement les défis posés par l’économie numérique et ses évolutions constantes.

Contactez Symmetry pour en savoir plus sur la façon dont ControlPanelGRC peut vous aider à transformer votre processus de règles de GRC en ressource stratégique.

 

Symmetry