Date post: | 04-Apr-2015 |
Category: |
Documents |
Upload: | nicolette-paillard |
View: | 123 times |
Download: | 5 times |
Automatiser la gestion des risques d’entreprise, du contrôle interne, et de la conformité
Exemple de la gestion des autorisations
mySAP
…
Risk & Control RepositoryRisk & Control Repository
Risk & Control DocumentationRisk & Control Documentation
L’architecture
Adaptor Framework (RFC, JDBC, FTP, SOAP)Adaptor Framework (RFC, JDBC, FTP, SOAP)
AuthorizationModel
AuthorizationModel
AuthorizationData
AuthorizationData
Users&
Groups
Users&
Groups
Access Controls
TransactionData
TransactionData
LogDataLogData
Process Controls
Normalized Access Control Model
Normalized Access Control Model
Normalized Process Control Model
Normalized Process Control Model
Access RulesAccess Rules Process RulesProcess Rules
WorkflowWorkflow
…
LDAP IDM…
GR
C F
ou
nd
atio
nG
RC
Fo
un
dat
ion
Mobile
Analytics
Duet
GRCApplications
xApps
Industrialiser et sécuriser les autorisations
Les conséquences disproportionnées des risques de fraude
Premium de 14% pour les sociétés bien gérée d’un point de vue gouvernance (McKinsey Global Investor Survey, 2005)
Etude PWC 2005 sur la fraude interne liée à l’informatique: coûte 4.5m Euros par société (taille moyenne)! Insiste sur la Prévention!
Risque en terme d’image, de réputation!! Exemple de Parmalat et France Telecom.
Exemples 2004-2005 Evennement Déclin
% / Mkt Cap
Adecco SA
$12.6 miard Jan. 12
La société a décalé ses annonces, dû à des déficiences de contrôles constatés par les auditeurs externes
-38%
$4.9 billion
Goodyear Tire & Rubber
$1.7 miards Feb. 11
La société n’a pas terminé l’implémentation de son plan pour améliorer ses contrôles internes
-18%
$320m
MCI
$5.4 miards Apr. 29
Déclaration de l’autiteur externe de “Material weaknesses” : manque de contrôles internes systématiques
-17%
$935m
% de prime pour de la bonne gouvernance
Exemple de remarques de l’auditeurs au DAF et au DSI, tous les 6 mois:
Vous avez trop de SAP ALL, SAP NEW, et on ne trace rien de ce que ces personnes font avec leur SAP ALL!
Trop d’utilisateurs ont des conflits du type : créer un fournisseur et payer les fournisseurs (danger de fraude en créant un fournisseur fictif)
Toutes les tâches de création de rôles, d’assignation de rôles aux utilisateurs sont manuelles, papier, non documentées ou tracées!
La gestion quotidienne fait exploser les risques :
Un rôle est affecté à un utilisateurs sans vérifier si ce nouveau rôle va créer des conflits
On ajoute des transactions/objets dans des rôles, sans vérifier l’impact sur les utilisateurs utilisant ces rôles
.. Vous avez 2 mois pour résoudre cette situation!!
Pourquoi ces risques?
Lors des démarrages/roll-out d’ERP ou de refontes de rôles :
La sécurité est secondaire
La notion de Contrôle Interne préventif est oubliée
Lors de la vie des projets :
Pas de procédures pour empêcher l’entropie
Pas d’outil pour prévenir
L’informatique récupère le bébé seule
Le coût des risques en mode réactif versus en mode préventif
Resources/Effort
Cost
/ R
isk
Development
Testing
Production
Most expensive: Catching violations during auditDefinitionAnalyse
La solution SAP
Le coût des risques en mode réactif versus en mode préventif
Resources/Effort
Cost
/ R
isk
Development
Testing
Production
Most expensive: Catching violations during auditDefinitionAnalyse
SAP Authorization:
Maintain Vendor Master
Oracle Authorization:
Pay Vendor Invoice
Heterogeneous IT Landscape
L’analyse multi-systèmes
Legacy Custom
Financials and
Accounting
Inventory and purchasing
!RISK
VIRSA Cross-enterprise Rule Set
La Solution SAP pour la maîtrise des risques
Détection des risques
Etablissement des rapports
Elimination des risques
documenter
Analyses d’impact
SAP Calibratror
SAP firefighter
Access Enforcer
Role expert
Réduction des Super Users
Traçabilité des actions des Supers Users
Gestion des rôles et cycle de vie ( Workflow d’approbation )
documentation des rôles
Prévention des risques et impacts sur les rôles
Gestion du cycle de vie des utilisateurs
Documenter
Prévention des risques avant les changements sur les rôles
Alerter ( Workflow )
1 solution de 4 composants pour répondre aux besoins des entreprises et à leurs problématiques
IND
EN
TIF
IER
CO
RR
IGE
R
GE
RE
R
PR
EV
EN
IR
SAP Virsa
Risks & Business Functions
Function A
Function B
+Risk 1
Risk 2
Risk n
Function C
+
Combination ofActions & Permissions
Combination ofActions & Permissions
Combination ofActions & Permissions
....
........
Virsa Compliance Calibrator for SAPRapid Risk Resolution
Virsa Role Expert for SAP Overview
Virsa Firefighter for SAP Overview
Virsa Access Enforcer for SAP Overview
Key FunctionalityKey Functionality
Self Service Password ResetSelf Service Password Reset
Auditable ReportingAuditable Reporting
Flexible Role SelectionFlexible Role Selection
Identity Management IntegrationIdentity Management Integration
Automated Request InitiationAutomated Request Initiation
Access Re-AffirmAccess Re-Affirm
Automated ProvisioningAutomated ProvisioningDyn
amic
Wo
rkfl
ow
Rep
ort
ing
Use
r A
dm
in.
Ser
vice
s
Real-time Risk Analysis InterfaceReal-time Risk Analysis Interface
Ris
kA
nal
ysis
Compliant end-to-end provisioning — “hire to retire”
Access Request
Manager Approval
Role Owner
IT Security
Manual Provisioning
spreadsheets, paper forms
spreadsheets, paper forms
Current Approach—Inefficient, Not Compliant
Request Generated
Automated Provisioning
Mgr Approval
Risk Analysis
Path Workflow
Escalation Workflow
Exception Workflow
HR Event
Employee Hired/Retired
1 “Click” Preventive Simulation
Compliant Provisioning through Dynamic Workflow