Petit Guide de la Séparation des Tâches Définir la « SoD » pour les non-initiés Définition « Faire en sorte que la réalisation d’un processus critique, dans un SI ou non, mobilise au moins deux personnes différentes » Prévenir la fraude et les erreurs La probabilité d’une fraude est réduite si elle nécessite l’implication de plus d’une personne Les erreurs sont moins fréquentes grâce à la double vérification Création de factures fournisseurs Lancement de paiements fournisseurs Modification de RIB/IBAN fournisseurs Lancement de paiements fournisseurs Paiement de fausses factures fournisseurs … dans les Processus de l’organisation Détournement de paiements fournisseurs … dans les Systèmes d’Information Quelle solution ? Comment procéder ? Quels résultats ? > Séparer les Tâches < Définir sa matrice de séparation des tâches Audit Interne Direction Financière Contrôle Interne DSI 1 Identifier les parties prenantes 2 Définir les risques de séparation des tâches Tâche 1 Tâche 2 Tâche 1 Tâche 2 Tâche 4 Tâche 3 Pas de risque Risque élevé Risque faible + + + = = = 3 Contextualiser sa matrice à l’organisation 4 Analyser les risques de conflits de tâches D’un point de vue IT : quel programme de mon Système d’Information/ERP permet de réaliser le risque ? D’un point de vue métier : Comment se décline le processus risqué dans une entité spécifique ? Obtenir une liste de conflits à résoudre de différents types : Problème de droits non restreints sur un Système d’Information Problème de ressources insuffisantes pour séparer les tâches dans le processus Problème d’organisation à revoir Auditer les risques de l’organisation Remédier aux risques identifiés 5 Lancer des plans d’actions en fonction des types de risques identifiés Technique Réel Potentiel Réel Fonctionnel Revoir l’architecture des rôles sur les SI afin de permettre une meilleure séparation des tâches Retirer les droits pour la tâche non utilisée par l’employé/utilisateur Revoir l’organisation pour que l’une des deux tâches soit retirée et que le conflit n’existe plus. Les risques de séparation des tâches cartographiés Des contrôles sur les risques de fraude au coeur des processus sensibles Séparation des tâches dans les Processus et les Systèmes d’Information Une automatisation des contrôles et une maîtrise des coûts de sécurité Vision 360° de la fraude dans l’entreprise Les risques de séparation des tâches sont identifiés, des contrôles appliqués. L’ensemble du dispositif est clarifié, auditable, efficace Eliminer les risques potentiels dans les SI des risques potentiels/réels éliminés lors d’un projet de séparation des tâches Jusqu’à 90% Pourquoi ? « SoD » vient de « Segregations of Duties », qui est la traduction anglaise de « Séparation des Tâches » Pourquoi utilise-t-on l’« Abréviation SoD » ? Exemples Fraude On peut définir les risques en se basant sur les recommandations de l’audit interne, sur les bonnes pratiques de son industrie en termes de processus, ou encore en fonction de schémas de fraude possibles sur un Système d’Information. Le « Plus » • Une matrice de séparation des tâches est toujours adaptée à un contexte particulier, et donc à une organisation spécifique. • Le travail d’adaptation doit se faire en partenariat avec les métiers, les fonctions d’audit (ou de contrôle interne), et la direction informatique. Important ! Un outillage spécifique permet d’auditer aisément les risques de séparation des tâches, en fonction de la taille de l’organisation : • Outils d’analyse de schémas de fraude (ex. ACL) • Outils de gestion des droits d’accès (ex. SAP GRC) Pour aller plus loin…