Les contrôles embarqués dans SAP, premier pas vers un environnement de contrôle permanent

GRC

Les contrôles embarqués dans SAP, premier pas vers un environnement de contrôle permanent

Benoit Pachot, expert Audit et Contrôle SAP chez ileven, rappelle les activités de contrôles réalisées par les responsables opérationnels qui peuvent être exécutées sur et avec leur solution SAP, de façon manuelle et automatique.
  • Il existe des contrôles automatiques de deux types :
- Les contrôles inhérents qui sont des contrôles propres au système SAP et qui ne sont pas configurables (exemple: le débit d’une écriture comptable est égal à son crédit),
- Les contrôles paramétrables qui sont des contrôles configurés dans SAP et qui ne sont pas modifiables par les utilisateurs (exemple : l’enregistrement impossible d’un stock négatif).
Il est possible aussi de distinguer les contrôles manuels des contrôles semi-automatiques portés par SAP. Les contrôles manuels sont des contrôles exécutés par les utilisateurs métiers via des transactions (exemple : transaction OB52 pour le contrôle et la gestion des périodes comptables). Les contrôles semi-automatiques sont des contrôles qui nécessitent un paramétrage et l’action d’un utilisateur (exemple : le rapprochement bancaire ou le workflow d’approbation des commandes d’achat).
  • Dans le cadre d’une volonté d’automatisation des contrôles, plusieurs niveaux d’états et d’outils sont disponibles sur SAP :
- Revue des paramètres de contrôles sensibles (contrôle de configuration)
- Rapports d’exceptions (contrôle des données de base et transactionnelles)
- Etats de pilotage («contrôle des contrôles» et tableau de bord des risques).
 
  • Comment mettre en œuvre un tel dispositif au sein de votre environnement SAP ?
Pour s’assurer d’un minimum de contrôles sur les données et processus gérés dans SAP, les contrôles embarqués constituent un premier niveau de contrôle qu’il convient d’adresser avec méthode et rigueur. S’ils s’avèrent importants, les contrôles embarqués SAP restent néanmoins insuffisants, car partiels, rarement documentés et peu automatisés.
C’est là qu’entre en jeu la brique de la suite GRC SAP Process Control qui, à travers ses fonctions de création et d’automatisation des contrôles, ou encore grâce à ses capacités de reporting étendues, aide à avoir un aperçu exhaustif et continu du dispositif de contrôle interne. En effet, SAP GRC Process Control permet d’adresser les besoins de documentation et de gestion du référentiel de contrôle dans un souci de conformité avec les réglementations et les bonnes pratiques de contrôle interne.
A l’image des autres logiciels du marché, il permet de maintenir et de suivre une bibliothèque centrale de risques et de contrôles propres à chaque organisation et processus de l’entreprise. Mais au-delà de la gestion des contrôles, Process Control permet également de les automatiser de façon détective ou préventive, de les évaluer via des questionnaires ou plans de test et surtout de piloter la remédiation des déficiences détectées par le biais de workflow entre les parties prenantes. 
Cette distribution des responsabilités entre l’audit, le contrôle interne, les équipes SI et les métiers permet de sensibiliser l’ensemble des acteurs aux questions de contrôle interne au sein de votre entreprise et de ne pas cantonner le contrôle interne à un sujet de conformité.

javascript:void(0)

Découvrez notre livre blanc sur la présentation et l'apport des solutions SAP GRC.