Tous les enjeux de la gestion des risques, de la conformité et de la gouvernance dans les entreprises. Notre article vous présente les outils et les bonnes pratiques pour mettre en place une stratégie efficace de GRC. Optimisez votre gestion d’entreprise et renforcez votre conformité réglementaire grâce à notre guide pratique
05/01/2022
10 minutes de lecture
Un projet ? Une question ?
Contactez nos experts sans plus attendre
Cela ne vous dit peut-être rien mais ce terme apparu au début des années 2000 est aujourd’hui incontournable dans le monde du business, particulièrement dans l’écosystème SAP.
Souvenez-vous d’Enron, cette entreprise américaine du secteur de l’énergie qui a fait faillite en 2001 à cause de nombreuses opérations spéculatives et une falsification massive de ses comptes.
L’issue aurait-elle été la même si l’entreprise avait eu une approche gouvernance, gestion des risques et conformité complète ? Personne ne peut le dire mais cela aurait sûrement changer le destin de cette grande société.
Aujourd’hui, dans un environnement en constante évolution avec le boom des nouvelles technologies et des systèmes d’information comme SAP S/4Hana, les entreprises doivent sans cesse se réorganiser, anticiper les risques SoD possibles et se conformer aux réglementations en vigueur.
L’application GRC au sein de votre progiciel de gestion intégré SAP est la solution de gestion idéale pour vous permettre de faire face à cela.
Souvent confondue avec la Gestion Relation Client, la GRC fait partie de la gestion d’entreprise et se réfère à trois idées spécifiques.
Il s’agit des moyens mis en place pour diriger et contrôler votre organisation et ses infrastructures telles que les ERP comme SAP avec la nouvelle version S/4Hana dotée d’une base en-mémoire (in-memory). Une gouvernance efficace implique de contrôler et coordonner les ressources mais également de responsabiliser les collaborateurs et employés.
Il y a toujours des imprévus ou des événements qui sont susceptibles de vous faire réaliser des actions manuelles à la dernière minute, voire de vous empêcher de réaliser vos objectifs.
Pendant longtemps, les risques les plus importants étaient financiers comme le risque de fraude et les détournements de fonds au sein de votre paysage SAP S4 Hana, ECC, SRM, CRM et maintenant d’autres applications Cloud telles que SuccessFactors, Ariba et bien d’autres.
Il faut y ajouter aujourd’hui tous ceux liés à la cybersécurité et aux attaques malveillantes venant de l’extérieur de l’entreprise. Il est donc important d’avoir un programme de gestion complète de ceux-ci.
Que vous soyez une startup, une PMI ou une grande entreprise, vous devez toujours veiller à être en accord au sein de votre système d’information avec les différentes bonnes pratiques en terme de sécurité, les lois et réglementations en vigueur.
D’ailleurs, ces dernières années, les investisseurs mettent de plus en plus la pression sur les sociétés pour que les contrôles internes soient plus réguliers et efficaces dans S4 Hana, et ceci dans le but d’améliorer la confiance des parties prenantes et notamment des partenaires et actionnaires.
Dans le cas contraire, vous pourriez vous exposer à des sanctions telles que de lourdes pénalités financières.
Ainsi, la GRC est le terme général pour tous les processus et mesures qui aident les entreprises à atteindre leurs objectifs de contrôle, à identifier les risques possibles et à y répondre tout en se conformant à toutes les lois et normes applicables dans la vie quotidienne de l’établissement.
La Gouvernance, gestion des risques et conformité s’appuie sur la logique de contrôle et d’audit des processus métiers intégrés dans SAP S/4Hana. Elle peut prendre diverses formes comme des tableaux d’analyse ou un logiciel qui offre une solution gouvernance, gestion des risques et conformité complète, dont le leader est SAP GRC Access Control.
En théorie, quelle qu’elle soit, une solution GRC doit fournir un compte rendu détaillé du processus métier dans S/4Hana, de conformité des entreprises grâce à la mise en place d’une matrice SoD et d’une cartographie des risques en temps réel.
L’analyse de cette dernière permet d’apporter une aide à la décision pour une remédiation des rôles et accès SAP pour S4 Hana et d’assurer ainsi une meilleure productivité pour la société.
Même si vous ne le savez pas encore, votre entreprise respecte un framework GRC. Mais il est possible que cela soit fait de façon aléatoire par différents logiciels de gestion qui vous proposent de nombreux tableaux de bord d’analyse pas forcément mis en relation les uns avec les autres.
Il faudra réaliser l’état des lieux de ce que vous avez déjà mis en place, puis réfléchir à vos objectifs mais aussi à vos exigences pour mettre en avant les tâches incompatibles de vos processus métier dans S/4Hana (SAP Roles, SAP Transactions, Business Functions and SoD violations) qui pourraient être le plus affectées par les risques et les problèmes de conformité.
Seule l’évaluation détaillée de ces failles et lacunes pourra permettre aux décideurs de votre organisation de choisir l’approche GRC adaptée au sein de votre ERP.
Elle sera également analysée selon les solutions déployées dans l’entreprise comme SAP S/4HANA, ECC, SCM, CRM, SRM, BI/BW et bien d’autres.
Le processus peut prendre du temps et est souvent coûteux mais il faut y voir un investissement à long terme.
Une solution GRC efficace adaptée à votre entreprise permettra à vos employés et responsables de plus se concentrer sur le développement des processus dans SAP et cela sans que la conformité au sein de l’organisation soit impactée négativement.
Une fois que vous avez fait tout cela, il faudra prendre une décision et choisir une solution adaptée. Actuellement, la plus répandue est l’outil SAP GRC Access Control.
VASPP propose des solutions certifiées pour améliorer l’utilisation, et le design des interfaces de cette solution, en modernisant et offrant la possibilité d’apporter de nouvelles fonctionnalités.
Ensuite il faudra identifier et se mettre d’accord sur l’approche la plus adaptée. Il s’agira de la mettre en place directement au sein de votre entreprise :
Cela passe forcément par une gestion et une évaluation de ces derniers par rapport à la sévérité. Il existe toujours un grand nombre de menaces potentielles. Une entreprise ne pourra être en mesure de toutes les traiter, d’où la mise en place de Contrôle Compensatoire (Mitigation Controls)
Une bonne hiérarchisation permet non seulement de mieux comprendre ce qu’il faut faire (répartition des responsabilités, séparation des fonctions (SoD), suivi des accès sensibles, activation du workflow de validation…) mais aussi de démontrer l’impact de chaque risque sur l’organisation.
Cette hiérarchisation doit être partagée avec les acteurs clés afin d’assurer une prise en charge adéquate. Cela permet d’enclencher le processus décisionnel de remédiation et d’identifier ce qui doit être protégé ou investir les budgets nécessaires.
Il est donc important que la relation entre les décideurs et les autres membres de l’organisation soit pérenne, et basée sur la confiance pour la gestion et la correction des risques.
Le leadership est la clé du succès pour le changement de culture qui inclut les actions suivantes :
La réponse est très simple : tout le monde; l’intégralité des salariés peuvent être impactés au niveau SoD et l’ensemble des utilisateurs doivent être sensibilisés pour une adoption réussie de l’approche GRC.
Les éléments de gouvernance, de gestion des risques et de conformité s’étendent du plus haut niveau de l’organisation aux départements et équipes métiers, et la version S4 Hana.
Les membres d’une direction ne peuvent individuellement appréhender en détail, et assumer la responsabilité de toutes les questions liées à la gestion des séparations des fonctions (SoD), des risques et à la conformité des accès et habilitations.
Les règles de gestion sont nombreuses car plus l’entreprise active des modules SAP tels que, SAP-FI, SAP-MM, SAP-WM, SAP-RH et bien d’autres, la mise en place et leur gestion devient de plus en plus complexe pour les responsables des entités (Business Unit) et les responsables de la conformité comme le contrôle interne.
On pourrait classifier les entreprises selon trois niveaux de maturité :
Aujourd’hui, la plupart des entreprises ont un niveau de maturité automatisé via des outils de type GRC Access Control et seulement quelques entreprises sont préventives et maintiennent ce niveau de maturité exemplaire.
Il reste encore de gros progrès à accomplir en termes de supervision et contrôle sur les accès SAP S/4Hana et la gestion de la cybersécurité pour les accès cloud sur SAP BTP , Microsoft Azure, AWS ou autres plateformes.
Quelle que soit la taille de votre entreprise, il faut avoir une pratique active de la GRC. Il est évident qu’elle ne va pas s’exercer de la même manière suivant que vous soyez une PME ou une multinationale.
Ainsi, selon une étude 2019 publiée par l’AFA dans le guide La fonction conformité anticorruption dans l’entreprise, 72% des sociétés du CAC 40 avaient créé une fonction compliance au sein de leur société. Certaines sont totalement indépendantes tandis que d’autres sont rattachées au service du contrôle interne.
Cette tendance a marqué une évolution en termes de maturité et de GRC pour les entreprises.
Pour les plus petites entreprises, c’est souvent la direction juridique qui est chargée de la compliance voire la direction financière ou même un juriste unique.
Mais cela peut avoir des inconvénients avec des personnes qui vont avoir l’habitude de moins interagir avec d’autres directions fonctionnelles telles que la finance, le contrôle interne ou encore les ressources humaines.
Élément central de toute organisation, aujourd’hui, elle peut se mettre en place et s’appliquer sous différentes formes.
Néanmoins, elle se doit de respecter un certain nombre de choses et peut être optimisée par le passage de nombreuses certifications. Nous allons vous aider à y voir un peu plus clair parmi toutes les offres existantes.
Il existe de nombreuses certifications qui ont toutes leurs spécificités. Voici notre liste des cinq meilleures certifications actuelles.
CRISC : Certified in Risk and Information Systems Control. Elle permet d’acquérir de nombreuses compétences sur la gestion des risques informatiques et de l’entreprise. Il s’agit d’un examen de 3 heures pour 150 questions dans 4 domaines principaux : identification, évaluation et atténuation des risques, surveillance et reporting.
ITIL : IT Infrastructure Library. Elle développe les concepts de gestion des services informatiques et d’identification des processus majeurs, des fonctions et des modèles de gestion de service des nouvelles technologies.
Elle a la particularité d’avoir plusieurs niveaux qu’il faut progressivement valider (ITIL Foundation, ITIL Expert, Master ITIL…) .
CGEIT : Certified in the Governance of Enterprise IT : principalement destinée aux gestionnaires des nouvelles technologies, elle traite de la gouvernance de ces dernières au sein d’une entreprise et de son alignement avec les besoins et les objectifs de la société
Il y a 4 domaines principaux : gouvernance du service informatique, ressources informatiques, réalisation de bénéfices et optimisation des risques.
GRCP : GRC professionnal. Elle est proposée par l’OSBL OCEG pour comprendre les bases des processus de la GRC et ainsi acquérir les compétences nécessaires pour intégrer la gouvernance, la gestion des performances et des risques ainsi que le contrôle interne.
CRMA : Certification in Risk Management Assurance. Elle reconnaît les personnes impliquées dans la gestion et l’assurance des risques, la gouvernance et l’autoévaluation des contrôles et les place ainsi comme des conseillers de confiance auprès de la haute direction.
Il s’agit d’un examen en deux parties : 125 questions sur des notions de base de l’audit interne (2 heures 30) et 100 questions sur les pratiques de l’audit.
Ces certifications s’adressent à tous les professionnels de l’IT, des spécialistes de la sécurité en passant par les business analysts, aux chefs de projet et bien entendu aux responsables de la conformité en entreprise.
Certaines certifications peuvent concerner des postes plus spécifiques comme les Risk Managers qui passeront souvent en priorité la CRMA.
Jusqu’au début des années 1990, la GRC n’était que très peu encadrée par la législation. Les premiers véritables référentiels de contrôle interne viennent des Etats-Unis.
Ainsi, le COSO (Committee Of Sponsoring Organizations of the Treadway Commission) et le COBIT (Control Objectives for Information and Related Technology), respectivement créés en 1992 et 1993 vont être les premiers vrais cadres pour le contrôle interne et son évaluation.
En France, c’est finalement au début des années 2000 après les gros scandales financiers qu’ont été introduits les deux lois et l’institution qui régissent la GRC aujourd’hui :
La loi de sécurité financière (LSF) est parue JO nᵒ 177 du 2 août 2003 a apporté un vrai cadre juridique national sur le contrôle et la maîtrise des processus de flux financier.
Elle met surtout en avant la notion d’implication et de responsabilisation avec des sanctions pénales lourdes prévues en cas de manquement.
La loi Sapin 2 : la loi sur la transparence, la lutte contre la corruption et la modernisation de la vie économique est entrée en vigueur en 2017 en France.
On y retrouve notamment l’obligation d’établir une cartographie de risque de corruption, de sensibiliser l’ensemble de ses collaborateurs à cette problématique sans oublier l’instauration d’une plus grande transparence dans les prises de décisions économiques.
L’autorité des marchés financiers (AMF) régule les produits de la place financière française tout comme ses acteurs pour s’assurer du bon fonctionnement des marchés. Elle s’occupe aussi de sanctionner ceux qui ne respectent pas la loi.
Enfin, il est important d’évoquer les nombreuses contraintes liées au contexte géopolitique. Ainsi, de nombreuses mesures de restrictions commerciales sont mises en œuvre de la part de l’Union Européenne, de l’ONU ou encore de différentes lois votées dans le cadre de la politique étrangère et de sécurité commune.
A noter que les produits concernés sont souvent ciblés (armes, pétroles, équipements technologiques…) et concernent des pays spécifiques comme la Russie, la Corée du Nord ou encore le Venezuela.
Pour plus de facilité, la Commission européenne met régulièrement à jour régulièrement une map interactive recensant l’ensemble des restrictions selon les pays
Chez VASPP, nous mettons tout en œuvre pour accompagner et faciliter votre entreprise dans la mise en place de solutions GRC adaptées à vos besoins.
Nos add-ons GRC pour SAP GRC Access Control offrent des solutions pratiques, efficaces et optimisées pour la gestion des accès et l’analyse des risques, facilitant ainsi le travail des utilisateurs finaux et des managers GRC tout en améliorant la sécurité et la gouvernance de votre entreprise.
Ces add-ons incluent des fonctionnalités telles que la gestion des demandes d’accès, l’analyse des risques SoD, la documentation détaillée pour chaque risque avec scénario de fraude et objectif de contrôle, la validation des accès privilégiés, etc.
Pour en apprendre davantage, découvrez notre page dédiée à GRC Access Enforced.
Notre solution offre une vue globale et détaillée des risques et des bonnes pratiques de sécurité au sein de l’entreprise. Elle fournit des tableaux de bord et des rapports d’audit pour aider les entreprises à mieux comprendre et analyser les risques. Elle permet également une surveillance précise des risques SoD et une gestion efficace des permissions accordées aux utilisateurs.
De plus, elle offre un suivi clair et transparent des demandes d’accès ainsi que des activités d’urgence effectuées via FireFighter.
Retrouvez plus en détails toutes les informations sur notre solution GRC Smart Analytics.
Découvrir plus d’articles VASPP
Dans un protocole GRC optimisé, le rapport SoD constitue un élément clé lors de l’audit interne de sécurité. Il permet de mettre à jour, d’assurer
L’évaluation des risques SoD est devenue une analyse essentielle et fondamentale pour identifier les failles de sécurité dans SAP, et réduire le risque de fraude
Découvrez dans cet article des conseils pratiques pour améliorer le processus de contrôle dans votre entreprise. Apprenez comment mettre en place un système efficace de
Entreprise spécialisée dans la conception et la mise en place d’applications métiers au sein de vos organisations SAP
Contactez-nous
Vasppletter
Découvrez des astuces mensuelles sur les solutions SAP
Vasppletter
Découvrez nos solutions VASPP et les nouveautés SAP !