fbpx
skip to Main Content

séparation des tâchesLa séparation des tâches fait partie des concepts commerciaux un peu abstraits. Mais la vérité est que vous y faites face tous les jours, peut-être sans vous en rendre compte. Officiellement, la séparation des tâches (SoD) est un ensemble de contrôles et de politiques visant à garantir une certaine précision et à maintenir la conformité des entreprises par rapport à la législation, par exemple la loi Sarbanes Oxley. En termes simples, la SoD vise toutefois à s’assurer que les contrôles sont correctement effectués et à empêcher des combinaisons spécifiques de rôles susceptibles de faciliter la fraude ou le détournement de fonds, par exemple en empêchant une seule personne de créer et de payer un fournisseur.

Qu’est-ce que la séparation des tâches ?

Avez-vous déjà vécu la situation où un caissier d’un magasin demande à un responsable de faire une « annulation » sur la caisse pour annuler votre transaction ? C’est un exemple quotidien de SoD. Les responsabilités du caissier l’empêchent d’annuler les transactions de la caisse. C’est le devoir exclusif du responsable. Si le caissier pouvait annuler une transaction, le magasin serait exposé au vol de ses employés.

Les gens ne sont pas parfaits, ils font des erreurs, manquent de jugement et cèdent à la tentation. Mais lorsque les gens ont accès à l’ERP, les conséquences peuvent être considérables. Les employés peuvent détourner des millions appartenant à des investisseurs, compromettre la sécurité des consommateurs avec des erreurs non détectées et exposer les employeurs à des responsabilités civiles et pénales.

Votre politique de séparation des tâches divise les transactions afin d’empêcher les erreurs de passer inaperçues et de responsabiliser les employés et les dirigeants. Même si ce n’est pas agréable à envisager, un risque de fraude est réel et la « confiance » ne constitue pas un contrôle. Les entreprises responsables veillent à réduire ces risques avec la SoD sur les systèmes ERP et autres contrôles.

Le but de la SoD est d’empêcher toute combinaison de rôles pouvant faciliter la fraude ou le détournement de fonds. Dans la comptabilité d’entreprise, la SoD se manifeste par des séparations entre les personnes qui doivent s’occuper de certaines étapes dans une transaction donnée pour être sûr qu’elle soit terminée avec précision. Les exemples comprennent :

  • La personne qui approuve les nouveaux fournisseurs ne peut pas autoriser un bon de commande aux fournisseurs
  • La personne qui approuve les bons de commande ne peut autoriser la rédaction de chèques
  • La personne qui prépare les factures ne peut pas également saisir des transactions de vente dans le grand livre comptable

Politique de séparation des tâches en conformité

La SoD figure parmi les priorités dans la conformité à la loi Sarbanes Oxley (SOX). La loi SOX oblige les sociétés cotées en bourse à documenter et à certifier leurs contrôles sur l’information financière, y compris la SoD. Après un audit minutieux, le directeur général et le directeur financier de la société ouverte doivent signer une attestation de contrôle. Ils peuvent être tenus responsables des inexactitudes contenues dans ces déclarations. S’il est déterminé qu’ils ont délibérément falsifié la SoD, ils pourraient même aller en prison !

La réglementation 21 CFR partie 11 du gouvernement fédéral (CFR signifie « Code des règlements fédéraux ») dépend également de la SoD pour ce qui est de la conformité. Cela concerne la recherche médicale et d’autres industries, où une vie peut dépendre de la tenue de registres et de rapports sur les contrôles. La SoD veille à ce que les registres ne soient créés et modifiés que par des personnes autorisées.

matrice de séparation des tâches

La matrice de séparation des tâches

Il existe de nombreuses façons de concevoir et de mettre en œuvre la séparation des tâches. Auparavant, il était question de papier. Par exemple, la copie rose d’une facture allait à la personne A, tandis que la copie jaune allait à la personne B. Si les copies jaune et rose ne correspondaient pas, il y avait un problème. Nous avons fait beaucoup de progrès.

Désormais, la SoD est mise en place via des autorisations d’accès liées aux rôles d’utilisateur sur les systèmes SAP. Si le commis aux comptes n’est pas censé autoriser un chèque, son rôle rendra impossible d’accéder à la partie de la solution ERP permettant d’autoriser les chèques.

Cela semble assez simple, mais le faire peut se compliquer assez rapidement. Dans les entreprises modernes, vous pouvez avoir des dizaines de rôles sur plusieurs sites et unités d’affaires. En d’autres termes, lorsque nous travaillons avec un client pour établir ses règles de SoD, beaucoup sont « prêtes à l’emploi » avec ControlPanelGRC. Le principe suit ce qu’on appelle une « matrice de séparation des tâches ». Les règles sont normalisées et suivent généralement une approche matricielle, comme celle présentée ci-dessous, permettant d’identifier les parties incompatibles des transactions commerciales.

Comment vérifier les conflits de SoD dans le SAP

La grille affiche les conflits de rôle potentiels, tout en indiquant les rôles complémentaires dans la réalisation des transactions. En suivant la matrice, vous pouvez voir qui doit être autorisé ou non à accéder aux fonctions du système. Vous pouvez utiliser la grille pour détecter les conflits de la SoD dans votre environnement SAP. Par exemple, le rôle « entrée de coupon AP » ne peut pas accéder à la fonctionnalité ERP définie pour le rôle « paiements AP » et ainsi de suite.

Contrôles compensatoires dans la SoD

Dans certains cas, un audit de séparation des tâches révèle un conflit qui ne peut tout simplement pas être résolu par des contrôles. Pour résoudre ce problème, l’entreprise peut établir un contrôle compensatoire. Ce contrôle sert à réduire les risques créés par le conflit. Par exemple, si une entreprise a un seul employé qui définit les fournisseurs et les paye, un contrôle compensatoire peut impliquer un examen hebdomadaire des transactions des fournisseurs.

SAP GRC, une nécessité pour la SoD

SAP GRC fournit des fonctionnalités de base pour la mise en œuvre des contrôles de SoD. Toutefois, étant donné que les contrôles ne sont fiables que s’ils sont testés, examinés et audités régulièrement, le logiciel SAP GRC automatise ces tâches fastidieuses. Il centralise également les contrôles de SoD. Notre suite ControlPanelGRC vous emmène plus loin avec l’analyse des risques de SoD de SAP qui détecte les risques potentiels avant qu’ils n’apparaissent.

ControlPanelGRC surveille en permanence les conflits de SoD en temps réel. De cette façon, vous pouvez détecter et résoudre les conflits dès qu’ils apparaissent. La suite logicielle crée automatiquement des rapports d’audit complets et les achemine pour approbation dans l’entreprise.

Les fonctionnalités spécifiques de ControlPanelGRC incluent :

  • Analyse des risques de séparation des tâches (SoD) de SAP : définit la SoD en temps réel via une analyse des risques SAP, en déterminant l’autorisation sensible et en empêchant un accès excessif des utilisateurs.
  • Analyse de l’utilisation des transactions de SAP : rationalise les processus opérationnels avec les données d’utilisation des transactions SAP GRC, remédie aux risques de conformité et économise du temps et de l’argent grâce aux portées des mises à jour qui maximisent l’utilisation des licences de SAP en même temps.
  • Gestion des accès d’urgence de SAP : maintient un état de préparation continu pour l’audit en consignant toutes les activités de l’utilisateur au cours d’une session « firecall » du SAP.
  • Prestations aux utilisateurs et gestion des rôles de SAP : accélère l’administration quotidienne de la sécurité SAP et maintient le statut prêt pour l’audit.
  • Automatisation de l’examen des accès utilisateurs de SAP : fournit une solution automatisée pour l’accès des utilisateurs et la certification de rôle.
  • Gestion des audits SAP : réduit le temps et les efforts nécessaires pour la préparation d’audit en automatisant la rédaction, la livraison et la validation du rapport d’audit SAP.
  • Automatisation de la sécurité RH de SAP : permet aux utilisateurs de SAP Human Capital Management (HCM) de répondre aux besoins en matière de sécurité des ressources humaines, comme la surveillance et la protection des données de personnel sensibles et la mise à jour sécurisée des fichiers RH.

Découvrez comment les commandes automatisées ControlPanelGRC de Symmetry peuvent vous aider à atteindre une meilleure SoD tout en réduisant vos coûts de mise en conformité.

Scott Goolik - VP, Compliance and Security Services

Scott Goolik is VP of Compliance and Security Services at Symmetry. A recognized expert in the field of SAP security and compliance, Scott has over 20 years of expertise in SAP security and is a regular presenter at SAP industry tradeshows and ASUG events. His experience includes working for one of the Big Four accounting firms and developing auditing tools, including those for segregation of duties (SOD). Scott is also responsible for architecting the ControlPanelGRC® solution which provides audit automation and acceleration of security and control processes.