<\/p>\n
Si la r\u00e9duction des risques li\u00e9s \u00e0 vos autorisations SAP et le maintien durable en conformit\u00e9 devenaient simples ?<\/p>\n
<\/p>\n\n
Les organisations sont oblig\u00e9es de renforcer leur vigilance pour limiter au maximum les possibilit\u00e9s d\u2019erreur, de fraude ou de malversation qui pourraient nuire aux donn\u00e9es financi\u00e8res ou \u00e0 la confiance des salari\u00e9s, actionnaires et investisseurs.<\/p>\n\n
Bien souvent, dans les fraudes constat\u00e9es, le danger vient de l\u2019int\u00e9rieur, des utilisateurs qui cumulent trop de droits leur permettant d\u2019agir en toute tranquillit\u00e9\u2026<\/p>\n
<\/p>\n\n
Pour garder la ma\u00eetrise des risques (SoD : Segregation of Duties et actions sensibles) et r\u00e9pondre aux attentes des auditeurs, il devient essentiel de d\u00e9finir cette matrice.<\/p>\n\n
Mais il est tout aussi important de penser \u00e0 int\u00e9grer les \u00e9ventuels flux que vous pr\u00e9voyez d\u2019impl\u00e9menter et surtout les fonctions que vous jugez critiques ou sensibles, sans oublier vos d\u00e9veloppements sp\u00e9cifiques.<\/p>\n\n
Pour \u00e9viter d\u2019obtenir de nombreux risques non av\u00e9r\u00e9s (\u2018faux positifs\u2019), il est imp\u00e9ratif que la composition des actions composant le risque soit la plus fine possible.<\/p>\n\n
Ne la n\u00e9gligez pas, chaque organisation est diff\u00e9rente et les risques qui s\u2019appliquent chez les uns ne concernant pas forc\u00e9ment les autres\u00a0!<\/p>\n
<\/p>\n\n
Vous avez maintenant une matrice de risques qui correspond \u00e0 vos contraintes r\u00e9glementaires, c\u2019est un tr\u00e8s bon d\u00e9but, reste \u00e0 choisir la solution disposant d\u2019un moteur d\u2019analyses de risques, rapide et puissant car il n\u2019est pas possible de les mesurer manuellement.<\/p>\n\n
La rapidit\u00e9 de calcul et les capacit\u00e9s de personnalisation des rapports et tableaux de bord vous permettront de disposer de diff\u00e9rents niveaux d\u2019analyse en fonction des interlocuteurs.<\/p>\n\n
En effet, un consultant en charge de la rem\u00e9diation des r\u00f4les et utilisateurs aura besoin d\u2019analyses tr\u00e8s d\u00e9taill\u00e9es, alors que les responsables et sponsors tendront plus naturellement vers des \u00e9tats synth\u00e9tiques r\u00e9sumant l\u2019avancement du projet et l\u2019\u00e9volution des risques globalement\u00a0!<\/p>\n\n
Les possibilit\u00e9s d\u2019int\u00e9gration dans votre paysage syst\u00e8me est un autre crit\u00e8re ne devant pas \u00eatre n\u00e9glig\u00e9 si vous envisagez une interface avec d\u2019autres logiciels \u00e0 termes\u2026<\/p>\n\n
La solution SWAWE RISK<\/a> effectue une lecture en temps r\u00e9el des informations li\u00e9es aux autorisations dans SAP. L\u2019information est donc en permanence \u00e0 jour et fiable. De plus, SWAWE RISK permet de retraiter ces informations rapidement pour en avoir une vision synth\u00e9tique sous forme de reports, graphiques ou tableaux de bord.<\/p>\n <\/p>\n\n Vous disposez maintenant du premier r\u00e9sultat montrant votre niveau d\u2019exposition aux risques, c\u2019est parfait, mais en fonction de ce constat plus ou moins alarmant, que convient-il de faire pour am\u00e9liorer rapidement cette situation\u00a0?<\/p>\n\n Les r\u00f4les distribu\u00e9s aux utilisateurs permettent-ils de respecter ces contraintes de s\u00e9paration des t\u00e2ches et de ma\u00eetrise des acc\u00e8s aux fonctions critiques\u00a0?<\/p>\n\n La r\u00e9ponse semble \u00e9vidente lorsque l\u2019on constate que les r\u00f4les individuels cumulent \u00e0 eux-seuls un certain nombre de risques SoD (par exemple, un r\u00f4le donnant acc\u00e8s \u00e0 10 fonctions de la matrice devra \u00eatre s\u00e9par\u00e9 en minimum 10 r\u00f4les distincts pour assurer une bonne r\u00e9partition fonctionnelle, sans compter les contraintes op\u00e9rationnelles), avoir des r\u00f4les sans risque SoD est un pr\u00e9requis \u00e0 la r\u00e9ussite d\u2019une d\u00e9marche de rem\u00e9diation\u00a0!<\/p>\n\n Si le nombre de r\u00f4les \u00ab\u00a0\u00e0 risques\u00a0\u00bb est trop \u00e9lev\u00e9, une refonte s\u2019impose\u2026<\/p>\n\n Nous avons constat\u00e9 une diminution des risques SoD de l\u2019ordre de 60 % par le simple fait de ne donner aux utilisateurs que des r\u00f4les sans conflits.<\/p>\n\n Il conviendra ensuite de faire l\u2019effort au niveau utilisateurs pour continuer cette r\u00e9duction de risques en fonction des capacit\u00e9s de l\u2019organisation, puis de mettre en place des contr\u00f4les compensatoires pour les risques r\u00e9siduels accept\u00e9s.<\/p>\n\n N\u2019h\u00e9sitez pas \u00e0 consulter nos cas clients\u00a0!<\/a><\/p>\n <\/p>\n\n Vous \u00eates arriv\u00e9s \u00e0 un niveau de risques acceptable, mais il faut maintenant prouver qu\u2019ils sont parfaitement sous contr\u00f4le\u00a0!<\/p>\n\n Bien souvent, nous constatons que les clients disposent d\u00e9j\u00e0 de proc\u00e9dures internes qui couvrent parfaitement ces risques r\u00e9siduels, il ne reste donc plus qu\u2019\u00e0 les identifier et les d\u00e9crire pour satisfaire les auditeurs (et s\u2019assurer qu\u2019ils sont correctement faits, mais nous en reparlerons point 7).<\/p>\n\n Il existe aussi certaines fonctionnalit\u00e9s dans SAP\u00ae qui peuvent vous aider \u00e0 maitriser nativement certaines fonctions sensibles (comme la mise en place du \u00ab\u00a0Dual Control\u00a0\u00bb pour syst\u00e9matiser la validation des changements de donn\u00e9es sensibles des fiches client et fournisseur\u2026).<\/p>\n\n Lisez notre cas d\u2019usage\u00a0: Suivre les recommandations d\u2019audit et le prouver aux auditeurs<\/a><\/p>\n <\/p>\n\n Il arrive souvent que des acc\u00e8s plus larges soient conserv\u00e9s pour des raisons de confort et de besoins op\u00e9rationnels urgents.<\/p>\n\n Effectivement, il n\u2019est pas question de bloquer une cl\u00f4ture comptable ou les interventions d\u2019administrateurs par manque de droits.<\/p>\n\n Il existe des solutions de gestion des droits \u00e0 privil\u00e8ges (PAM) qui permettent non-seulement de transf\u00e9rer les droits dont vos utilisateurs ont besoin ponctuellement ou de fa\u00e7on urgente (avec ou sans un workflow d\u2019approbation), mais aussi d\u2019ajouter des contr\u00f4les suppl\u00e9mentaires\u00a0: toutes les actions r\u00e9alis\u00e9es sont trac\u00e9es et historis\u00e9es dans l\u2019outil pour qu\u2019ils soient revus et contr\u00f4l\u00e9s ult\u00e9rieurement.<\/p>\n\n Alors pourquoi s\u2019en priver si cela permet de r\u00e9duire encore les risques de vos utilisateurs tout en garantissant l\u2019autonomie de vos utilisateurs\u00a0?<\/p>\n\n Regardez la solution SWAWE PAM<\/a> pour de plus amples informations.<\/p>\n\n <\/p>\n Maintenant que tous vos risques sont r\u00e9duits et sous contr\u00f4le, comment \u00e9viter de nouvelles d\u00e9rives\u00a0?<\/p>\n\n Par la mise en place d\u2019une solution d\u2019automatisation de la gestion des utilisateurs\u00a0 !<\/p>\n\n En plus du retour sur investissement, ces solutions vont vous apporter un gain significatif de temps de traitement des demandes, de satisfaction des utilisateurs et de maitrise des risques avec la mise en place de simulation pr\u00e9ventive.<\/p>\n\n Les managers en charge de la validation des demandes sont avertis de l\u2019impact en termes de risques de la demande en cours en fonction des droits d\u00e9j\u00e0 existants de l\u2019utilisateur.<\/p>\n\n Avec la tra\u00e7abilit\u00e9 de ce genre de solution, vous \u00e9liminez \u00e9galement les probl\u00e8mes de d\u00e9lais d\u2019archivage des comptes (si l\u2019information arrive bien d\u2019une source de donn\u00e9es de type SI RH) et vous am\u00e9liorez tr\u00e8s significativement votre capacit\u00e9 de r\u00e9ponse aux attentes des auditeurs\u00a0!<\/p>\n <\/p>\n\n Et pour terminer, la solution ultime qui vous permettra une supervision optimum de vos contr\u00f4les, le CCM (Continuous Control monitoring).<\/p>\n\n Qu\u2019il s\u2019agisse de contr\u00f4les compensatoires, RGPD, SAPIN2, SOX, ITGC,\u2026 Le CCM permet de mat\u00e9rialiser ces contr\u00f4les sous forme d\u2019une liste de t\u00e2ches p\u00e9riodiques pour que ces derniers soient attribu\u00e9s aux interlocuteurs d\u00e9di\u00e9s et r\u00e9alis\u00e9s \u00e0 l\u2019\u00e9ch\u00e9ance (dans le cas contraire, une proc\u00e9dure de relance et d\u2019escalade est personnalisable).<\/p>\n\n Une fois le contr\u00f4le r\u00e9alis\u00e9, le r\u00e9sultat est stock\u00e9 et tout le cycle de vie de chaque t\u00e2che reste accessible avec des tableaux de bord assurant un suivi parfait.<\/p>\n <\/p>\n\n Pour finir, le niveau de conformit\u00e9 est \u00e9galement garanti par ce processus, alors, pourquoi s\u2019en priver\u00a0?<\/p>\n <\/p>\n\n Le cas de notre client ARAYMOND<\/a> pourrait vous int\u00e9resser.<\/p>\n <\/p>\n <\/p>\n[\/et_pb_text][\/et_pb_column][\/et_pb_row][\/et_pb_section]\n","protected":false},"excerpt":{"rendered":" Si la r\u00e9duction des risques li\u00e9s \u00e0 vos autorisations SAP et le maintien durable en conformit\u00e9 devenaient simples ? Les organisations sont oblig\u00e9es de renforcer leur vigilance pour limiter au maximum les possibilit\u00e9s d\u2019erreur, de fraude ou de malversation qui pourraient nuire aux donn\u00e9es financi\u00e8res ou \u00e0 la confiance des salari\u00e9s, actionnaires et […]<\/p>\n","protected":false},"author":5,"featured_media":1583,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"\n Si la r\u00e9duction des risques li\u00e9s \u00e0 vos autorisations SAP et le maintien durable en conformit\u00e9 devenaient simples ?<\/p>\n\n\n\n Les organisations sont oblig\u00e9es de renforcer leur vigilance pour limiter au maximum les possibilit\u00e9s d\u2019erreur, de fraude ou de malversation qui pourraient nuire aux donn\u00e9es financi\u00e8res ou \u00e0 la confiance des salari\u00e9s, actionnaires et investisseurs.<\/p>\n\n\n\n Bien souvent, dans les fraudes constat\u00e9es, le danger vient de l\u2019int\u00e9rieur, des utilisateurs qui cumulent trop de droits leur permettant d\u2019agir en toute tranquillit\u00e9\u2026<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Pour garder la ma\u00eetrise des risques (SoD : Segregation of Duties et actions sensibles) et r\u00e9pondre aux attentes des auditeurs, il devient essentiel de d\u00e9finir cette matrice.<\/p>\n\n\n\n Mais il est tout aussi important de penser \u00e0 int\u00e9grer les \u00e9ventuels flux que vous pr\u00e9voyez d\u2019impl\u00e9menter et surtout les fonctions que vous jugez critiques ou sensibles, sans oublier vos d\u00e9veloppements sp\u00e9cifiques.<\/p>\n\n\n\n Pour \u00e9viter d\u2019obtenir de nombreux risques non av\u00e9r\u00e9s (\u2018faux positifs\u2019), il est imp\u00e9ratif que la composition des actions composant le risque soit la plus fine possible. <\/p>\n\n\n\n Ne la n\u00e9gligez pas, chaque organisation est diff\u00e9rente et les risques qui s\u2019appliquent chez les uns ne concernant pas forc\u00e9ment les autres !<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Vous avez maintenant une matrice de risques qui correspond \u00e0 vos contraintes r\u00e9glementaires, c\u2019est un tr\u00e8s bon d\u00e9but, reste \u00e0 choisir la solution disposant d\u2019un moteur d\u2019analyses de risques, rapide et puissant car il n\u2019est pas possible de les mesurer manuellement.<\/p>\n\n\n\n La rapidit\u00e9 de calcul et les capacit\u00e9s de personnalisation des rapports et tableaux de bord vous permettront de disposer de diff\u00e9rents niveaux d\u2019analyse en fonction des interlocuteurs.<\/p>\n\n\n\n En effet, un consultant en charge de la rem\u00e9diation des r\u00f4les et utilisateurs aura besoin d\u2019analyses tr\u00e8s d\u00e9taill\u00e9es, alors que les responsables et sponsors tendront plus naturellement vers des \u00e9tats synth\u00e9tiques r\u00e9sumant l\u2019avancement du projet et l\u2019\u00e9volution des risques globalement !<\/p>\n\n\n\n Les possibilit\u00e9s d\u2019int\u00e9gration dans votre paysage syst\u00e8me est un autre crit\u00e8re ne devant pas \u00eatre n\u00e9glig\u00e9 si vous envisagez une interface avec d\u2019autres logiciels \u00e0 termes\u2026<\/p>\n\n\n\n La solution SWAWE RISK<\/a> effectue une lecture en temps r\u00e9el des informations li\u00e9es aux autorisations dans SAP. L\u2019information est donc en permanence \u00e0 jour et fiable. De plus, SWAWE RISK permet de retraiter ces informations rapidement pour en avoir une vision synth\u00e9tique sous forme de reports, graphiques ou tableaux de bord.<\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Vous disposez maintenant du premier r\u00e9sultat montrant votre niveau d\u2019exposition aux risques, c\u2019est parfait, mais en fonction de ce constat plus ou moins alarmant, que convient-il de faire pour am\u00e9liorer rapidement cette situation ?<\/p>\n\n\n\n Les r\u00f4les distribu\u00e9s aux utilisateurs permettent-ils de respecter ces contraintes de s\u00e9paration des t\u00e2ches et de ma\u00eetrise des acc\u00e8s aux fonctions critiques ?<\/p>\n\n\n\n La r\u00e9ponse semble \u00e9vidente lorsque l\u2019on constate que les r\u00f4les individuels cumulent \u00e0 eux-seuls un certain nombre de risques SoD (par exemple, un r\u00f4le donnant acc\u00e8s \u00e0 10 fonctions de la matrice devra \u00eatre s\u00e9par\u00e9 en minimum 10 r\u00f4les distincts pour assurer une bonne r\u00e9partition fonctionnelle, sans compter les contraintes op\u00e9rationnelles), avoir des r\u00f4les sans risque SoD est un pr\u00e9requis \u00e0 la r\u00e9ussite d\u2019une d\u00e9marche de rem\u00e9diation !<\/p>\n\n\n\n Si le nombre de r\u00f4les \u00ab \u00e0 risques \u00bb est trop \u00e9lev\u00e9, une refonte s\u2019impose\u2026<\/p>\n\n\n\n Nous avons constat\u00e9 une diminution des risques SoD de l\u2019ordre de 60 % par le simple fait de ne donner aux utilisateurs que des r\u00f4les sans conflits.<\/p>\n\n\n\n Il conviendra ensuite de faire l\u2019effort au niveau utilisateurs pour continuer cette r\u00e9duction de risques en fonction des capacit\u00e9s de l\u2019organisation, puis de mettre en place des contr\u00f4les compensatoires pour les risques r\u00e9siduels accept\u00e9s.<\/p>\n\n\n\n N\u2019h\u00e9sitez pas \u00e0 consulter nos cas clients !<\/a><\/p>\n\n\n\n <\/p>\n\n\n\n <\/p>\n\n\n\n Vous \u00eates arriv\u00e9s \u00e0 un niveau de risques acceptable, mais il faut maintenant prouver qu\u2019ils sont parfaitement sous contr\u00f4le !<\/p>\n\n\n\n Bien souvent, nous constatons que les clients disposent d\u00e9j\u00e0 de proc\u00e9dures internes qui couvrent parfaitement ces risques r\u00e9siduels, il ne reste donc plus qu\u2019\u00e0 les identifier et les d\u00e9crire pour satisfaire les auditeurs (et s\u2019assurer qu\u2019ils sont correctement faits, mais nous en reparlerons point 7).<\/p>\n\n\n\n Il existe aussi certaines fonctionnalit\u00e9s dans SAP\u00ae qui peuvent vous aider \u00e0 maitriser nativement certaines fonctions sensibles (comme la mise en place du \u00ab Dual Control \u00bb pour syst\u00e9matiser la validation des changements de donn\u00e9es sensibles des fiches client et fournisseur\u2026).<\/p>\n\n\n\n\n
<\/ol>\n<\/ol>\n
\n
\n
\n
<\/ol>\n<\/ol>\n
\n
\n
\n
<\/ol>\n<\/ol>\n
\n
\n
\n
<\/ol>\n<\/ol>\n
\n
\n
\n
<\/ol>\n<\/ol>\n
\n
\n
\n
\n
\n
\n