SAP GRC : les bénéfices de Process Control intégré avec Access Control

GRC

SAP GRC : les bénéfices de Process Control intégré avec Access Control

Nicolas Richard, expert SAP GRC chez ileven, met en relief la puissance de Process Control couplé à Access Control

De nombreuses sociétés utilisatrices de SAP ont déjà mis en place ou envisagent de mettre en place SAP GRC Access Control pour automatiser le processus de gestion des demandes d’accès mais surtout pour gérer le risque de fraude en adressant l’un des principes clés du Contrôle Interne : la séparation des tâches.

Si SAP GRC Access Control propose de nombreuses fonctionnalités, son couplage avec la solution SAP GRC Process Control apporte de multiples avantages décrits ci-dessous.

  • La gestion des contrôles compensatoires

Dans la pratique, le risque zéro au niveau de la séparation des tâches est difficilement atteignable. Par manque de personnel sur certains sites ou pour toute autre raison organisationnelle, il est fréquent qu’un utilisateur SAP ait accès à des fonctions SAP incompatibles entre elles d’un point de vue SoD. Pour adresser ces risques souvent critiques, le Contrôle Interne encourage la mise en place de contrôles compensatoires sous la forme de mesures de vérification conduites à posteriori.
La solution Process Control connectée à Access Control offre une gestion documentée et collaborative de ces contrôles compensatoires. Le « contrôleur » reçoit, à fréquence prédéfinie, une alerte afin de procéder au test du contrôle demandé avant de renseigner le résultat directement dans l’outil. Le processus de contrôle est optimisé.

  • Suivi des actions de remédiation

En cas d’exception ou de besoin d’investigation, le contrôleur peut déclencher dans Process Control un circuit de remédiation impliquant les acteurs concernés. L’activité de remédiation est mieux suivie.

  • Contrôle automatisé sur Access Control

L’utilisation de SAP GRC Process Control pour contrôler directement le système GRC permet une optimisation de l’utilisation du module Access Control. Ainsi, la définition de contrôles sur la non revue des logs d’utilisateurs à pouvoirs étendus ou la détection d’une fin de date d’affectation pour un contrôle compensatoire, permet d’automatiser leur revue par une remonté automatique de ces déficiences.

  • Diffusion d’une culture de contrôle

Tout comme Access Control, Process Control est une solution centrale pouvant être déployée à grande échelle sur la base d’un référentiel et des processus de contrôle communs. Les activités de contrôle liées au risque SoD sont ainsi mieux suivies tant au niveau local qu’au niveau central. Le reporting associé offre des éléments de preuve rapidement et facilement accessibles lors des campagnes d’audit.

L’utilisation de Process Control dans la continuité d’Access Control est un premier pas qui permet de tester et d’envisager le potentiel de cette solution capable d’adresser plus globalement la gestion du référentiel de contrôle de l’entreprise : contrôles généraux informatiques, contrôles applicatifs, etc. Au-delà de la gestion des droits d’accès, les autres solutions GRC de SAP permettent d’améliorer les processus de contrôle autour des systèmes SAP.

Découvrez notre livre blanc sur la présentation et l'apport des solutions SAP GRC.