Aujourd’hui, nous allons vous parler des risques de fraude et d’erreur au sein des entreprises, et notamment en environnement SAP : « séparation des tâches » (ou ségrégation des tâches, en anglais Segregation of Duties – SoD). Ce concept de sécurité et de contrôle interne vise à réduire le risque de fraudes et d’erreurs. Il est inscrit dans certains cadres législatifs tels que la loi de Sécurité Financière ou la loi Sarbanes-Oxley (SOx). C’est à ce titre que le principe de la SoD est au cœur des enjeux de sécurité et de conformité en matière de gestion des droits d’accès SAP.
La SoD vise à assurer qu’un utilisateur ne dispose pas des privilèges lui permettant de réaliser deux tâches critiques (également appelées « fonctions incompatibles») associées à un processus métier et représentant un risque important de fraude ou d’erreur.
Par exemple, le fait pour un seul utilisateur de pouvoir passer une commande, la valider et de modifier les coordonnées bancaires d’un fournisseur accroît le risque d’erreur ou de fraude. En séparant ces activités entre plusieurs personnes/services, ce risque est réduit.
En l’occurence, SAP propose un « référentiel SoD » (ou « matrice SoD ») standard avec son module SAP GRC Access Control. Cette matrice regroupe une liste d’ incompatibilités standard en environnement SAP. Cependant, elle ne tient pas compte des transactions et programmes spécifiques que vous avez pu développer au sein de votre entreprise, ni des particularités de votre organisation.
La prévention et la mise sous contrôle de vos risques d’erreurs ou de fraudes passent donc par la définition d’une matrice SoD adaptée à votre contexte et à l’utilisation de vos applications SAP. Pour vous accompagner dans cette tâche, ArtimIS vous propose ses activités du conseil et est en mesure d’organiser des ateliers de conception par processus avec vos différentes équipes (représentants métiers, analystes SAP, membre du contrôle interne).