Automatiser la gestion des risques d’entreprise, du contrôle interne, et de la conformité

Exemple de la gestion des autorisations

mySAP

…

Risk & Control RepositoryRisk & Control Repository

Risk & Control DocumentationRisk & Control Documentation

L’architecture

Adaptor Framework (RFC, JDBC, FTP, SOAP)Adaptor Framework (RFC, JDBC, FTP, SOAP)

AuthorizationModel

AuthorizationModel

AuthorizationData

AuthorizationData

Users&

Groups

Users&

Groups

Access Controls

TransactionData

TransactionData

LogDataLogData

Process Controls

Normalized Access Control Model

Normalized Access Control Model

Normalized Process Control Model

Normalized Process Control Model

Access RulesAccess Rules Process RulesProcess Rules

WorkflowWorkflow

…

LDAP IDM…

GR

C F

ou

nd

atio

nG

RC

Fo

un

dat

ion

Mobile

Analytics

Duet

GRCApplications

xApps

Industrialiser et sécuriser les autorisations

Les conséquences disproportionnées des risques de fraude

Premium de 14% pour les sociétés bien gérée d’un point de vue gouvernance (McKinsey Global Investor Survey, 2005)

Etude PWC 2005 sur la fraude interne liée à l’informatique: coûte 4.5m Euros par société (taille moyenne)! Insiste sur la Prévention!

Risque en terme d’image, de réputation!! Exemple de Parmalat et France Telecom.

Exemples 2004-2005 Evennement Déclin

% / Mkt Cap

Adecco SA

$12.6 miard Jan. 12

La société a décalé ses annonces, dû à des déficiences de contrôles constatés par les auditeurs externes

-38%

$4.9 billion

Goodyear Tire & Rubber

$1.7 miards Feb. 11

La société n’a pas terminé l’implémentation de son plan pour améliorer ses contrôles internes

-18%

$320m

MCI

$5.4 miards Apr. 29

Déclaration de l’autiteur externe de “Material weaknesses” : manque de contrôles internes systématiques

-17%

$935m

% de prime pour de la bonne gouvernance

Exemple de remarques de l’auditeurs au DAF et au DSI, tous les 6 mois:

Vous avez trop de SAP ALL, SAP NEW, et on ne trace rien de ce que ces personnes font avec leur SAP ALL!

Trop d’utilisateurs ont des conflits du type : créer un fournisseur et payer les fournisseurs (danger de fraude en créant un fournisseur fictif)

Toutes les tâches de création de rôles, d’assignation de rôles aux utilisateurs sont manuelles, papier, non documentées ou tracées!

La gestion quotidienne fait exploser les risques :

Un rôle est affecté à un utilisateurs sans vérifier si ce nouveau rôle va créer des conflits

On ajoute des transactions/objets dans des rôles, sans vérifier l’impact sur les utilisateurs utilisant ces rôles

.. Vous avez 2 mois pour résoudre cette situation!!

Pourquoi ces risques?

Lors des démarrages/roll-out d’ERP ou de refontes de rôles :

La sécurité est secondaire

La notion de Contrôle Interne préventif est oubliée

Lors de la vie des projets :

Pas de procédures pour empêcher l’entropie

Pas d’outil pour prévenir

L’informatique récupère le bébé seule

Le coût des risques en mode réactif versus en mode préventif

Resources/Effort

Cost

/ R

isk

Development

Testing

Production

Most expensive: Catching violations during auditDefinitionAnalyse

La solution SAP

Le coût des risques en mode réactif versus en mode préventif

Resources/Effort

Cost

/ R

isk

Development

Testing

Production

Most expensive: Catching violations during auditDefinitionAnalyse

SAP Authorization:

Maintain Vendor Master

Oracle Authorization:

Pay Vendor Invoice

Heterogeneous IT Landscape

L’analyse multi-systèmes

Legacy Custom

Financials and

Accounting

Inventory and purchasing

!RISK

VIRSA Cross-enterprise Rule Set

La Solution SAP pour la maîtrise des risques

Détection des risques

Etablissement des rapports

Elimination des risques

documenter

Analyses d’impact

SAP Calibratror

SAP firefighter

Access Enforcer

Role expert

Réduction des Super Users

Traçabilité des actions des Supers Users

Gestion des rôles et cycle de vie ( Workflow d’approbation )

documentation des rôles

Prévention des risques et impacts sur les rôles

Gestion du cycle de vie des utilisateurs

Documenter

Prévention des risques avant les changements sur les rôles

Alerter ( Workflow )

1 solution de 4 composants pour répondre aux besoins des entreprises et à leurs problématiques

IND

EN

TIF

IER

CO

RR

IGE

R

GE

RE

R

PR

EV

EN

IR

SAP Virsa

Risks & Business Functions

Function A

Function B

+Risk 1

Risk 2

Risk n

Function C

+

Combination ofActions & Permissions

Combination ofActions & Permissions

Combination ofActions & Permissions

....

........

Virsa Compliance Calibrator for SAPRapid Risk Resolution

Virsa Role Expert for SAP Overview

Virsa Firefighter for SAP Overview

Virsa Access Enforcer for SAP Overview

Key FunctionalityKey Functionality

Self Service Password ResetSelf Service Password Reset

Auditable ReportingAuditable Reporting

Flexible Role SelectionFlexible Role Selection

Identity Management IntegrationIdentity Management Integration

Automated Request InitiationAutomated Request Initiation

Access Re-AffirmAccess Re-Affirm

Automated ProvisioningAutomated ProvisioningDyn

amic

Wo

rkfl

ow

Rep

ort

ing

Use

r A

dm

in.

Ser

vice

s

Real-time Risk Analysis InterfaceReal-time Risk Analysis Interface

Ris

kA

nal

ysis

Compliant end-to-end provisioning — “hire to retire”

Access Request

Manager Approval

Role Owner

IT Security

Manual Provisioning

email

email

spreadsheets, paper forms

spreadsheets, paper forms

Current Approach—Inefficient, Not Compliant

Request Generated

Automated Provisioning

Mgr Approval

Risk Analysis

Path Workflow

Escalation Workflow

Exception Workflow

HR Event

Employee Hired/Retired

1 “Click” Preventive Simulation

Compliant Provisioning through Dynamic Workflow