• Legal & Digital

A qui donnez-vous vraiment les clés de votre SI ?

La séparation des tâches : un fondamental du contrôle interne

Considérant que le contrôle interne est de plus en plus déployé par les systèmes d’information, il apparaît évident que la distribution des clefs de ces systèmes doit faire l’objet d’une attention soutenue.

C’est ainsi que la séparation des tâches figure au premier rang des préoccupations des commissaires aux comptes et des professionnels du risque.

Une démarche SOD réussie s’appuie sur deux principes fondamentaux :

  • Nécessité : L’accès à une transaction va être guidé par la nécessité pour le collaborateur de l’utiliser dans le cadre de ses fonctions.

  • Suffisance : Les droits attribués au collaborateur ne doivent pas lui permettre de réaliser des actes de gestion non-conformes à ses fonctions dans l’entreprise.

Notre approche

Notre approche vise à mener de front la gestion des conflits potentiels et des conflits avérés.

  • Conflit potentiel : Le conflit potentiel nait de la capacité que détient un de vos collaborateurs à enchaîner des transactions incompatibles. Il ne résulte pas forcément une anomalie, juste une capacité de nuisance.

  • Conflit avéré : Le conflit avéré résulte de transaction effectivement passées par l’opérateur, contrevenant aux règles de séparation des tâches. Ces conflits ne sont pas forcément des anomalies. Ils devront être analysés et justifiés.

Elle va ainsi permettre de :

  • Contrôler le respect de la séparation des tâches,

  • Traiter les signalements d’infractions jusqu’à la révocation des droits,

  • Consacrer et de piloter la notion de dérogation au principe de séparation des tâches,

  • Mettre sous contrôle les dérogations en identifiant de manière exhaustive les éventuels usages,

  • Réagir aux situations infractionnelles confirmées

Réduisez vos risques, les diligences des CAC, améliorez votre cybersécurité !

La séparation des tâches, la gestion des habilitations constituent souvent un maillon très fragile de votre chaîne sécuritaire.

La doctrine du contrôle interne en fait un des fondamentaux. Toutefois, beaucoup d’efforts sont déployés dans une approche préventive qui ne brille hélas pas par son efficacité.

L’identification de conflits potentiels nécessite de lourdes investigations et ne protège finalement que trop peu l’entreprise.

A cela, nous préférons largement une approche basée sur les conflits avérés qui, si elle est animée de manière réactive, constituera un repart efficace et économique.

Le moteur d'analyse de données ACL ROBOTICS permet de gérer des données provenant de toutes sources de données d’entreprise.

Les cas d’anomalies potentielles sont propulsés dans un workflow permettant aux parties prenantes de suivre le statut de l’anomalie et son niveau de risque.

Le ou les responsables du contrôle des habilitations pourront définir la conduite à tenir.

  • Bloquer les transactions,

  • Faire révoquer les droits posant problèmes,

  • Enregistrer une dérogation.

Une fois les critères d’analyse synthétisés dans une matrice d’incompatibilité très simplement tenue sur EXCEL, les contrôles peuvent être déployés en continu et ne plus nécessiter d’intervention humaine pour analyser en temps réel le respect des principes de séparation des tâches.

32 vues0 commentaire

Nos coordonnées

F : 01 42 89 28 77

P : 06 16 47 25 86

jocelyn.grignon@legal-digital.fr

Notre siège

102 av. des Champs Elysées

75008 Paris, France