La gestion des risques via SAP GRC est un pilier fondamental pour la sécurité de vos applications SAP. VASPP a développé une solution de contrôle simplifiée.

05/01/2022

SAP GRC

Qu'est-ce que la GRC et Pourquoi en avez-vous Besoin ?

10 minutes de lecture

Gouvernance, Risque et Conformité

Cela ne vous dit peut-être rien mais ce terme apparu au début des années 2000 est aujourd’hui incontournable dans le monde du business, particulièrement dans l’écosystème SAP

Souvenez-vous d’Enron, cette entreprise américaine du secteur de l’énergie qui a fait faillite en 2001 à cause de nombreuses opérations spéculatives et une falsification massive de ses comptes. 

L’issue aurait-elle été la même si l’entreprise avait eu une approche GRC complète ? Personne ne peut le dire mais cela aurait sûrement changer le destin de cette grande société.

Aujourd’hui, dans un environnement en constante évolution avec le boom des nouvelles technologies et des systèmes d’information comme SAP S4 Hana, les entreprises doivent sans cesse se réorganiser, anticiper les risques SoD possibles et se conformer aux réglementations en vigueur. 

L’application GRC au sein de votre logiciel ERP SAP est la solution de gestion idéale pour vous permettre de faire face à cela.

Qu’est-ce qui se Cache Derrière l’Acronyme GRC ?

Souvent confondue avec la Gestion Relation Client, la GRC fait partie de la gestion d’entreprise et se réfère à trois idées spécifiques. 

G comme Gouvernance

Il s’agit des moyens mis en place pour diriger et contrôler votre organisation et ses infrastructures telles que les ERP comme SAP avec la nouvelle version S/4 Hana dotée d’une base en-mémoire (in-memory). Une gouvernance efficace implique de contrôler et coordonner les ressources mais également de responsabiliser les collaborateurs et employés.

R comme Risque

Il y a toujours des imprévus ou des événements qui sont susceptibles de vous faire réaliser des actions manuelles à la dernière minute, voire de vous empêcher de réaliser vos objectifs

Pendant longtemps, les risques les plus importants étaient les risques financiers comme le risque de fraude et les détournements de fonds au sein de votre paysage SAP S4 Hana, ECC, SRM, CRM et maintenant d’autres applications Cloud telles que SuccessFactors, Ariba et bien d’autres.

Il faut y ajouter aujourd’hui tous ceux liés à la cybersécurité et aux attaques malveillantes venant de l’extérieur de l’entreprise. Il est donc important d’avoir un programme de gestion complète des risques.

C comme Conformité

Que vous soyez une startup, une PMI ou une grande entreprise, vous devez toujours veiller à être en accord au sein de votre système d’information avec les différentes bonnes pratiques en terme de sécurité, les lois et réglementations en vigueur. 

D’ailleurs, ces dernières années, les investisseurs mettent de plus en plus la pression sur les sociétés pour que les contrôles internes soient plus réguliers et efficaces dans SAP S4 Hana, et ceci dans le but d’améliorer la confiance des parties prenantes et notamment des partenaires et actionnaires. 

Dans le cas contraire, vous pourriez vous exposer à des sanctions telles que de lourdes pénalités financières.

Ainsi, la GRC est le terme général pour tous les processus et mesures qui aident les entreprises à atteindre leurs objectifs de contrôle, à identifier les risques possibles et à y répondre tout en se conformant à toutes les lois et normes applicables dans la vie quotidienne de l’établissement.

Controlez la conformité de votre entreprise et identifier les risques SoD

Comment Fonctionne la GRC ?

La GRC s’appuie sur la logique de contrôle et d’audit des processus métiers intégrés dans S4 Hana. Elle peut prendre diverses formes comme des tableaux d’analyse ou un logiciel qui offre une solution GRC complète, dont le leader est SAP GRC Access Control.

En théorie, quelle qu’elle soit, une solution GRC doit fournir un compte rendu détaillé du processus métier dans SAP S4 Hana, de conformité des entreprises grâce à la mise en place d’une matrice SoD et d’une cartographie des risques en temps réel

L’analyse de cette dernière permet d’apporter une aide à la décision pour une remédiation des rôles et accès SAP pour S4 Hana et d’assurer ainsi une meilleure productivité pour la société.

Quelles sont les Étapes de Mise en Place d’une Solution GRC ?

ETAPE 1

Même si vous ne le savez pas encore, votre entreprise respecte un framework GRC. Mais il est possible que cela soit fait de façon aléatoire par différents logiciels de gestion qui vous proposent de nombreux tableaux de bord d’analyse pas forcément mis en relation les uns avec les autres. 

Il faudra réaliser l’état des lieux de ce que vous avez déjà mis en place, puis réfléchir à vos objectifs mais aussi à vos exigences pour mettre en avant les tâches incompatibles de vos processus métier dans S/4Hana (SAP Roles, SAP Transactions, Business Functions and SoD violations) qui pourraient être le plus affectées par les risques et les problèmes de conformité. 

Seule l’évaluation détaillée de ces failles et lacunes pourra permettre aux décideurs de votre organisation de choisir l’approche GRC adaptée au sein de votre ERP SAP

Elle sera également analysée selon les solutions SAP déployées dans l’entreprise comme S/4 HanaECC, SCM, CRM, SRM, BI/BW et bien d’autres.

ETAPE 2

Le processus peut prendre du temps et est souvent coûteux mais il faut y voir un investissement à long terme

Une solution GRC efficace adaptée à votre entreprise permettra à vos employés et responsables de plus se concentrer sur le développement des processus dans SAP et cela sans que la conformité au sein de l’organisation soit impactée négativement. 

VASPP propose des solutions certifiées pour améliorer l’utilisation, et le design des interfaces SAP GRC Access Control, en modernisant et offrant la possibilité d’apporter de nouvelles fonctionnalités à la solution GRC Access Control.

ETAPE 3

Une fois que vous avez fait tout cela, il faudra prendre une décision et choisir une solution adaptée. Actuellement, la plus répandue est l’outil SAP GRC Access Control

Ensuite il faudra identifier et se mettre d’accord sur l’approche la plus adaptée. Il s’agira de la mettre en place directement au sein de votre entreprise : 

  • L’intégration à vos outils existants, à votre progiciel de gestion SAP et à vos autres applications Cloud ou non-SAP.
  • L’implémentation et l’adaptation à un référentiel de risques SoD SAP en fonction du secteur d’activité et des processus métiers.
  • La définition des rôles SAP et des responsabilités au niveau des transactions et autorisations (Get Clean).

Quelle est le Secret de la Réussite d'une GRC ?

Hiérarchiser les risques

Cela passe forcément par une gestion et une évaluation de ces derniers par rapport à la sévérité. Il existe toujours un grand nombre de menaces potentielles. Une entreprise ne pourra être en mesure de toutes les traiter, d’où la mise en place de Contrôle Compensatoire (Mitigation Controls)

Une bonne hiérarchisation permet non seulement de mieux comprendre ce qu’il faut faire (répartition des responsabilités, séparation des fonctions (SoD), suivi des accès sensibles, activation du workflow de validation…) mais aussi de démontrer l’impact de chaque risque sur l’organisation.

La confiance en l'exécutif

Cette hiérarchisation doit être partagée avec les acteurs clés afin d’assurer une prise en charge adéquate. Cela permet d’enclencher le processus décisionnel de remédiation et d’identifier ce qui doit être protégé ou investir les budgets nécessaires.

Il est donc important que la relation entre les décideurs et les autres membres de l’organisation soit pérenne, et basée sur la confiance pour la gestion et la correction des risques.

Le leadership est la clé du succès pour le changement de culture qui inclut les actions suivantes :

  • Conception : définition de la feuille de route, puis l’identification des risques par rapport au secteur d’activité, et du processus métier
  • Mise en place : activation de la gestion des risques et matrice SoD (Risk Management)
  • Exceptions : clarification au sein du framework sécurité pour les accès privilégiés – PAM (Privileged access management)
  • Plan d’action : processus de remédiation des accès à risques afin d’être en accord avec la phase de nettoyer les violations SoD (Get clean)
  • Clean On-boarding : gestion des identités via un flux de validation hiérarchique à travers l’outil ARM (Access Request Management) afin de rester conforme aux principes de sécurité (Stay Clean)
Protégez votre environnement SAP avec une solution GRC

Qui est Concerné par la GRC ?

La réponse est très simple : tout le monde;  l’intégralité des salariés peuvent être impactés au niveau des risques SoD, et l’ensemble des utilisateurs doivent être sensibilisés  pour une adoption réussie de l’approche GRC. 

Les éléments de gouvernance, de gestion des risques et de conformité s’étendent du plus haut niveau de l’organisation aux départements et équipes métiers SAP, et la version S4 Hana.

Les membres d’une direction ne peuvent individuellement appréhender en détail, et assumer la responsabilité de toutes les questions liées à la gestion des séparations des fonctions (SoD), des risques et à la conformité des accès et habilitations SAP.

Les règles de gestion sont nombreuses car plus l’entreprise active des modules SAP tels que, SAP-FI, SAP-MM, SAP-WM, SAP-RH et bien d’autres, la mise en place et leur gestion devient de plus en plus complexe pour les responsables des entités (Business Unit) et les responsables de la conformité comme le contrôle interne.

On pourrait classifier les entreprises selon trois niveaux de maturité :

Réactif
Les processus sont peu existants et les problèmes sont gérés au moment où ils surviennent. Les risques opérationnelles ne sont pas ou peu connus.
Automatisé
Une analyse des données et des risques est effectuée et certains outils sont mis en place pour gérer les difficultés qui peuvent survenir.
Préventif
L'évaluation est complète et permet non seulement une identification des risques mais également une anticipation.
Précédent
Suivant

Aujourd’hui, la plupart des entreprises ont un niveau de maturité automatisé via des outils de type GRC Access Control et seulement quelques entreprises sont préventives et maintiennent ce niveau de maturité exemplaire. 

Il reste encore de gros progrès à accomplir en termes de supervision et contrôle sur les accès SAP S/4 Hana et la gestion de la cybersécurité pour les accès cloud sur SAP BTP , Microsoft Azure, AWS ou autres plateformes.

Quelle que soit la taille de votre entreprise, il faut avoir une pratique active de la GRC. Il est évident qu’elle ne va pas s’exercer de la même manière suivant que vous soyez une PME ou une multinationale.

Ainsi, selon une étude 2019 publiée par l’AFA dans le guide La fonction conformité anticorruption dans l’entreprise, 72% des sociétés du CAC 40 avaient créé une fonction compliance au sein de leur société. Certaines sont totalement indépendantes tandis que d’autres sont rattachées au service des risques et du contrôle interne. 

Cette tendance a marqué une évolution en termes de maturité et de GRC pour les entreprises.

Pour les plus petites entreprises, c’est souvent la direction juridique qui est chargée de la compliance voire la direction financière ou même un juriste unique. 

Mais cela peut avoir des inconvénients avec des personnes qui vont avoir l’habitude de moins interagir avec d’autres directions fonctionnelles telles que la finance, le contrôle interne ou encore les ressources humaines.

Tendances GRC

Quelles sont les Principales Certifications et Réglementations GRC ?

Élément central de toute organisation, aujourd’hui, la GRC peut se mettre en place et s’appliquer sous différentes formes. 

Néanmoins, elle se doit de respecter un certain nombre de choses et peut être optimisée par le passage de nombreuses certifications. Nous allons vous aider à y voir un peu plus clair parmi toutes les offres existantes.

Quelles sont les meilleures certifications GRC et à qui sont-elles destinées ?

Il existe de nombreuses certifications GRC qui ont toutes leurs spécificités. Voici notre liste des cinq meilleures certifications actuelles.

CRISC : Certified in Risk and Information Systems Control. Elle permet d’acquérir de nombreuses compétences sur la gestion des risques informatiques et de l’entreprise. Il s’agit d’un examen de 3 heures pour 150 questions dans 4 domaines principaux : identification des risques, évaluation des risques, atténuation des risques, surveillance et reporting.

ITIL : IT Infrastructure Library. Elle développe les concepts de gestion des services informatiques et d’identification des processus majeurs, des fonctions et des modèles de gestion de service des nouvelles technologies

Elle a la particularité d’avoir plusieurs niveaux qu’il faut progressivement valider (ITIL Foundation, ITIL Expert, Master ITIL…) .

CGEIT : Certified in the Governance of Enterprise IT : principalement destinée aux gestionnaires des nouvelles technologies, elle traite de la gouvernance de ces dernières au sein d’une entreprise et de son alignement avec les besoins et les objectifs de la société

Il y a 4 domaines principaux : gouvernance du service informatique, ressources informatiques, réalisation de bénéfices et optimisation des risques.

GRCP : GRC professionnal. Elle est proposée par l’OSBL OCEG pour comprendre les bases des processus de la GRC et ainsi acquérir les compétences nécessaires pour intégrer la gouvernance, la gestion des performances et des risques ainsi que le contrôle interne.

CRMA : Certification in Risk Management Assurance. Elle reconnaît les personnes impliquées dans la gestion et l’assurance des risques, la gouvernance et l’autoévaluation des contrôles et les place ainsi comme des conseillers de confiance auprès de la haute direction. 

Il s’agit d’un examen en deux parties : 125 questions sur des notions de base de l’audit interne (2 heures 30) et 100 questions sur les pratiques de l’audit.

Ces certifications s’adressent à tous les professionnels de l’IT, des spécialistes de la sécurité en passant par les business analysts, aux chefs de projet et bien entendu aux responsables de la conformité en entreprise. 

Certaines certifications peuvent concerner des postes plus spécifiques comme les Risk Managers qui passeront souvent en priorité la CRMA.

Les Réglementations qui Régissent la GRC?

Jusqu’au début des années 1990, la GRC n’était que très peu encadrée par la législation. Les premiers véritables référentiels de contrôle interne viennent des Etats-Unis.

Ainsi, le COSO (Committee Of Sponsoring Organizations of the Treadway Commission) et le COBIT (Control Objectives for Information and Related Technology), respectivement créés en 1992 et 1993 vont être les premiers vrais cadres pour le contrôle interne et son évaluation.

En France, c’est finalement au début des années 2000 après les gros scandales financiers qu’ont été introduits les deux lois et l’institution qui régissent la GRC aujourd’hui :

La loi de sécurité financière
(LSF) est parue JO nᵒ 177 du 2 août 2003 a apporté un vrai cadre juridique national sur le contrôle et la maîtrise des processus de flux financier

Elle met surtout en avant la notion d’implication et de responsabilisation avec des sanctions pénales lourdes prévues en cas de manquement.

La loi Sapin 2 : la loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique est entrée en vigueur en 2017 en France. 

On y retrouve notamment l’obligation d’établir une cartographie de risque de corruption, de sensibiliser l’ensemble de ses collaborateurs à cette problématique sans oublier l’instauration d’une plus grande transparence dans les prises de décisions économiques.

L’autorité des marchés financiers (AMF) régule les produits de la place financière française tout comme ses acteurs pour s’assurer du bon fonctionnement des marchés. Elle s’occupe aussi de sanctionner ceux qui ne respectent pas la loi.

Enfin, il est important d’évoquer les nombreuses contraintes liées au contexte géopolitique. Ainsi, de nombreuses mesures de restrictions commerciales sont mises en œuvre de la part de l’Union Européenne, de l’ONU ou encore de différentes lois votées dans le cadre de la politique étrangère et de sécurité commune

A noter que les produits concernés sont souvent ciblés (armes, pétroles, équipements technologiques…) et concernent des pays spécifiques comme la Russie, la Corée du Nord ou encore le Venezuela. 

Pour plus de facilité, la Commission européenne met régulièrement à jour régulièrement une map interactive recensant l’ensemble des restrictions selon les pays 

Nos Experts VASPP à votre service pour une solution SAP GRC Adaptée

Chez VASPP, nous mettons tout en œuvre pour accompagner et faciliter votre entreprise dans la mise en place de solutions GRC adaptées à vos besoins, et selon la version SAP que vous avez.

Avec SAP GRC Access Control, gagnez en maturité en prévenant et en évaluant vos risques SoD. En peu de temps, votre organisation atteindra un niveau de conformité plus rigoureux.

Finis les formulaires longs et fastidieux, les logiciels qui demandent des connaissances techniques… 

Avec notre solution SAP GRC, vous allez gagner du temps et simplifier tous les processus de la phase de demande d’accès à la phase d’audit.

 N’hésitez pas à prendre contact avec nous pour toutes vos questions à ce sujet.

Avez-vous également besoin d’accorder des droits d’accès privilégiés ? Alors FireFighter est fait pour vous. 

Notre solution vous offre la possibilité d’accorder des accès privilégiés à travers l’ensemble de votre environnement SAP et vous pourrez déclencher instantanément le processus d’approbation.

Des tableaux de bord disponibles sur tout type d'appareilEnfin, GRC Analytics vous propose des tableaux de bord clef-en-main qui vous donnent en un coup d’œil et en temps réel l’ensemble des risques SoD et des droits d’accès sensibles

Avec son interface facile à utiliser, cette solution professionnelle vous aide à vous conformer aux exigences des audits concernant le processus de gestion des utilisateurs. 

Elle garantit également la prise en charge de la sécurité du traitement des données de l’entreprise et la mise en place des meilleures pratiques.

Retrouvez plus en détails toutes nos solutions GRC sur notre site internet 

Les derniers articles publiés :

LA GOUVERNANCE D’ENTREPRISE

Gérer une entreprise, c’est bien, le faire de manière éthique, c’est encore mieux. La gouvernance d’entreprise est un pôle important

La gestion des risques requiert un grand travail dans leur identification et leur évaluation. Toutes les entreprises sont confrontés à des risques

Gérer une entreprise, c’est bien, le faire de manière éthique, c’est encore mieux. La gouvernance d’entreprise est un pôle important de la

De plus en plus d’entreprise se voient dans l’obligation de réaliser des controles internes pour protéger les actifs et prévenir les risques.

L’ERP et le CRM permettent le gestion et l’échange des donnée des entreprise mais sont sensiblement différents par le fait que le

Retour haut de page