La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

PROGIFORUM Gouvernance, risque & conformité PROGIFORUM 12 Juin 2008 Construire un contrôle interne informatique optimisé et aligné sur vos risques métiers.

Présentations similaires


Présentation au sujet: "PROGIFORUM Gouvernance, risque & conformité PROGIFORUM 12 Juin 2008 Construire un contrôle interne informatique optimisé et aligné sur vos risques métiers."— Transcription de la présentation:

1 PROGIFORUM Gouvernance, risque & conformité PROGIFORUM 12 Juin 2008 Construire un contrôle interne informatique optimisé et aligné sur vos risques métiers. Comment les nouveaux modules SAP GRC y contribuent ? Lorraine GEVREY SAP : Solution Principal GRC Jean Louis BRUN DARRE BMA : Associé, Expert Comptable Animateur de la ligne de service Processus, Risques et Conformité Alain NAULEAU BMA : Directeur de mission Associé Ligne de service Processus, Risques et Conformité

2 AGENDA Partie I Quelques points d'attention à surveiller lors de la construction Quelques constats sur les pratiques actuelles Partie II Partie III Partie IV Les apports de l'approche Les apports de SAP - GRC Partie VQuestions / Réponses

3 Comment ont été appréhendés les risques IT durant les 20 dernières années ? Les entreprises nont pas attendu les lois Sarbanes-Oxley et et la publication du cadre de référence de lAMF (encadrant la LSF) pour s'intéresser au contrôle interne : Métier Informatique Depuis une vingtaine d'années de nombreuses entreprises ont fait des efforts importants dans ce domaine. Ces travaux se sont appuyés sur de nombreuses méthodes, la plupart focalisées sur les aspects Sécurité. Parmi les plus connues : Ebios Méhari Marion … Procédures Réf. sécurité SOX/LSF COSO 1

4 Quels sont les impacts des nouvelles réglementations depuis 2003 ? Depuis 2003, les règlementations SOX et le cadre de référence de lAMF sont venus élargir les besoins en terme de dispositif de contrôle interne voire de contrôle interne informatique. Conformité Maitrise des risques opérationnels Amélioration de la performance Effort Croissant

5 Quels sont les impacts des nouvelles réglementations depuis 2003 ? La part du contrôle interne informatique reste toutefois limité : Dans le cas de SOX – A une certaine taille dentité (entités cotées) – Aux applications produisant les informations financières ou supportant des contrôles automatisés – A certains processus informatiques (Accès aux données, Gestion des changements, Gestion des opérations, Gestion des projets informatiques) Dans le cas de la LSF – A une certaine taille dentité (entités cotées uniquement) – En terme de processus ou dapplications à couvrir (Nb : Les pages 18 du cadre de référence et p31 du guide dapplication décrivent les attentes en terme dIT) Conformité Réglementaire Contrôle interne IT Sécurité Certains processus Certaines applications Certaines entités Sur les ressources IT Sur les applications Toutes les entités Autres processus Autres applications Autres entités

6 Comment les entreprises cotées communiquent elles sur leur contrôle interne ? Le cadre de référence de lAMF impose aux sociétés cotées, au travers du rapport du Président, de communiquer sur le dispositif de contrôle mis en place ainsi que sur le dispositif de gestion des risques. Nous avons sélectionné (*) un échantillon de 50 rapports du Président portant sur les comptes 2007 : Compartiment A : 30 Compartiment B : 16 Compartiment C : 4 * « BMA - Analyse comparée de 50 Rapports du Président au 30/04/2008 »

7 Comment les entreprises cotées communiquent elles sur leur contrôle interne ? Constat 1 : Lappréciation du dispositif de contrôle interne reste très générale dans la grande majorité des cas Quelques commentaires significatifs figurant dans les rapports ( 7 cas)

8 Comment les entreprises cotées communiquent elles sur leur contrôle interne ? Constat 2 : Très peu dentreprises expriment un avis sur leur dispositif de contrôle interne

9 Comment les entreprises cotées communiquent elles sur les risques technologiques ? Constat 3 : Moins de 50 % des entreprises communiquent de manière précise sur leurs risques

10 Comment les entreprises cotées communiquent elles sur les risques technologiques ? Constat 4 : Près de 95 % des entreprises ne communiquent pas ou de manière succincte sur le dispositif de mise sous contrôle du système dinformation 94 %

11 Quelle perception les entreprises ont-elles de leurs risques IT ? Votre organisme/entreprise vous semble-t-elle exposée à des risques informatiques ? * Lactivité de votre entreprise dépend-elle des systèmes dinformation ? * * « Risques technologiques et risk management » - AFAI Plus de 80 % se perçoivent comme étant exposées à des risques informatiques. La grande majorité de lactivité des entreprises dépend de leur système dinformations.

12 Où en est la réflexion portant sur les risques IT ? * « Risques technologiques et risk management » - AFAI Existe-t-il au sein de votre entreprise une définition des risques technologiques ? * Existe-t-il au sein de votre entreprise un référentiel de risques technologiques ? * Près de 80% dentre elles nont pas de référentiels des risques technologiques. Près de 70% dentre elles nont pas de définition des risques technologiques.

13 Lorsquil existe, le dispositif de contrôle interne IT est il pertinent ? Un manque de pertinence … Bien que les contrôles IT soient jugés pertinents pour couvrir les risques IT, une part importante des contrôles IT est encore jugée non pertinente pour couvrir les risques métiers. Pour la prévention de la fraude, 27% des contrôles IT sont jugés non pertinents * Mais aussi un manque defficacité Sur lensemble du dispositif de contrôle interne IT seuls 56 % des contrôles sont jugés efficaces *. Sur la gestion du changement seuls 40 % des contrôles IT sont jugés efficaces. * * « Étude sur les pratiques des entreprises européennes en matière de contrôle interne » – Ernst &Young 2007

14 Pourquoi ces insuffisances? Les méthodes informatiques actuelles nont pas été construites pour ! Les référentiels sécurité nabordent quune partie de la problématique – Cas de MEHARI ou MARION centrées sur laspect sécurité Les référentiels tels que COBIT doivent être complétés – LISACA (Information Systems Audit and Control Association) recommande : – De procéder à une analyse des risques des processus par lapplication dune « démarche complémentaire centrée sur lidentification des risques liés aux processus ». – Et ainsi, de cibler la mise en place des contrôles ITGC là où les risques sont importants : « Ne traiter les contrôles généraux informatiques (IT general controls) que dans la mesure où ils conditionnent le bon fonctionnement dapplications sensibles des processus métiers » Les nouveaux référentiels réglementaires (AMF par exemple) sont encore embryonnaires et ne constituent à ce jour : Ni une démarche danalyse de risques Ni un catalogue de risques IT * «CobiT 4.0 apporte-t-il une réponse aux attentes du PCAOB ?» – ISACA 2006

15 AGENDA Partie I Quelques points d'attention à surveiller lors de la construction Quelques constats sur les pratiques actuelles Partie II Partie III Partie IV Les apports de l'approche Les apports de SAP - GRC Partie VQuestions / Réponses

16 Les caractéristiques de lapproche Lapproche mise en œuvre doit être partagée entre linformatique et les métiers : Compréhension de processus réciproques Partage des notions de facteurs de risques, de conséquences et de leur cotation (selon une échelle commune) Accord sur la localisation de la résolution des problèmes : soit du côté informatique soit du côté métier

17 Les caractéristiques de lapproche Elle se focalise sur quatre axes de travail Adéquation par rapport aux risques IT Adéquation par rapport aux risques métier Satisfaction des objectifs de conformité Capacité à être mis en place : besoin de conserver un dispositif de contrôle interne « léger » Situation actuelle Adéquation du dispositif de contrôle interne IT aux risques métier Objectifs de conformité réglementaire Légèreté du dispositif Adéquation du dispositif de contrôle interne IT aux risques IT Situation cible

18 Quelques points d'attention à surveiller lors de la construction Description des processus IT Identificatio n des « zones de risques » Évaluation des risques Définition du dispositif de contrôle Une approche en quatre étapes

19 Quelques points d'attention à surveiller lors de la construction Modéliser les processus IT de lentreprise La modélisation des processus est dorénavant communément répandue pour lidentification des risques métier : lIT doit être appréhendé de la même manière Les processus IT ainsi modélisés deviennent le socle du contrôle interne IT. Celui-ci est compréhensible par les opérationnels métier. La modélisation doit être réalisée au niveau suffisant pour assurer ce partage IT / Métier. Elle ne doit pas sombrer dans un niveau de détail trop important et inutile. Description des processus IT Identificatio n des « zones de risques » Évaluation des risques Définition du dispositif de contrôle 1

20 Quelques points d'attention à surveiller lors de la construction Illustration dun processus IT Cas simplifié du processus« Gestion des changements » de lapplication de consolidation Enregistrement dune demande de changement Approbation Recette fonctionnelle Réalisation du changement Validation technique (unitaire, intégration, …) Mise en production Approbation pour Mise en production

21 Quelques points d'attention à surveiller lors de la construction Saccorder sur la notion de risque et sa modélisation Dans la plupart des outils dévaluation voire des outils de modélisation, la notion de risque est portée par un seul objet alors que la définition du risque met en évidence deux notions : – La probabilité dun événement (que nous appellerons facteur de risque) – Les conséquences Ainsi, dans les définitions ISO : – « Combinaison de la probabilité dun événement et de ses conséquences » (ISO/CEI 73), – « Combinaison de la probabilité dun dommage et de sa gravité » (ISO/CEI 51) Nous préconisons lors de la phase de modélisation de représenter les deux objets de manière distincte ; quitte à ce que lévaluation porte ultérieurement sur la combinaison des deux. Description des processus IT Identificatio n des « zones de risques » Évaluation des risques Définition du dispositif de contrôle 2

22 Quelques points d'attention à surveiller lors de la construction Exemples de facteurs de risques et de conséquences : Le facteur de risque « Altération accidentelle des données par lexploitation» a pour conséquence «Indisponibilité majeure des informations à usage public (Web…) » (Risque IT). Le facteur de risque « Départ ou disparition dun collaborateur stratégique » a pour conséquence «Indisponibilité majeure des informations » (IT). Description des processus IT Identificatio n des « zones de risques » Évaluation des risques Définition du dispositif de contrôle

23 Quelques points d'attention à surveiller lors de la construction Veiller à lier les facteurs de risques IT aux conséquences métier Lors des analyses de risques IT les Conséquences IT des Facteurs de risques IT sont toujours abordées. Ce qui intéresse les métiers, cest le lien entre un facteur de risque IT et une conséquence métier. Description des processus IT Identificatio n des « zones de risques » Évaluation des risques Définition du dispositif de contrôle 3

24 Quelques points d'attention à surveiller lors de la construction Illustration du positionnement des facteurs de risques Cas simplifié du processus« Gestion des changements » de lapplication de consolidation Enregistrement dune demande de changement Approbation Recette fonctionnelle Réalisation du changement Validation technique (unitaire, intégration, …) Mise en production Approbation pour Mise en production FR01-Demande de changement non enregistrée FR02- Etude dimpact du changement non réalisée FR03-Demande de changement lancée sans approbation FR06-Accès à lenvironnement de production non contrôlé FR05-Absence de validation fonctionnelle dune règle de consolidation Groupe FR04-Absence de validation fonctionnelle dune modification portant sur la saisie des liasses de consolidation Nb : Lidentification des « facteurs de risques IT » peut sappuyer sur des référentiels tels que COBIT notamment grâce à sa liste « dobjectifs de contrôle ». C1 : «Indisponibilité majeure des informations » C2 : «Fraude » C3 : «Résultats financiers non-conformes à la réalité » C1 : «Indisponibilité majeure des informations »

25 Quelques points d'attention à surveiller lors de la construction A lissue du rapprochement des facteurs de risques et des conséquences Facteur de risqueConséquence ITConséquence Métier FR01-Demande de changement non enregistrée C1 : «Indisponibilité majeure des informations » FR02- Etude dimpact du changement non réalisée C1 : «Indisponibilité majeure des informations » FR03-Demande de changement lancée sans approbation C1 : «Indisponibilité majeure des informations » FR04-Absence de validation fonctionnelle dune modification portant sur la saisie des liasses de consolidation C1 : «Indisponibilité majeure des informations » FR05-Absence de validation fonctionnelle dune règle de consolidation Groupe C2 : «Fraude » C3 : «Résultats financiers non-conformes à la réalité » FR06-Accès à lenvironnement de production non contrôlé C1 : «Indisponibilité majeure des informations »C3 : «Résultats financiers non-conformes à la réalité »

26 Quelques points d'attention à surveiller lors de la construction Définir des échelles de fréquence et de gravité qui aient un sens pour le métier Lévaluation de la criticité du risque passe par la définition de deux types déchelle : Échelle de probabilité Échelle de gravité Léchelle de probabilité ne pose en général pas de problème particulier Description des processus IT Identificatio n des « zones de risques » Évaluation des risques Définition du dispositif de contrôle 4 ProbabilityDefinitionLevel OngoingEvery day4 FrequentBetween once a month and once a week3 OccasionalBetween once a year and once a month2 RareLess than once a year1

27 Quelques points d'attention à surveiller lors de la construction Une échelle de gravité est définie au niveau de chaque conséquence Ci-dessous un exemple déchelle de gravité tel que lon en trouve souvent et qui ne tient pas compte de limpact du facteur de risque sur le métier Cette échelle a peu de sens pour le métier : – qui dans certains cas peut attendre 48 heures sans souci – et qui lors de certaines périodes, ne peut rester 5 minutes sans son système. Il convient alors que lIT et les métiers définissent une échelle de gravité qui ait un sens pour tous. Voici un exemple déchelle de gravité construite en commun.

28 Le résultat : une matrice de criticité partagée entre lIT et les métiers La matrice est partagée : au niveau de sa structure : – En ligne : processus, facteurs de risques – En colonnes : conséquence au niveau des cotations qui y figurent Lévaluation est réalisée par processus et par application. Criticité = Probabilité x Gravité G=3G=4 G=2G=3 G=1G=2 G=3 G=0 G=1 I=4 I=3 I=2 I=1 P=4 P=3 P=2 P=1 Impact Probabilité

29 AGENDA Partie I Quelques points d'attention à surveiller lors de la construction Quelques constats sur les pratiques actuelles Partie II Partie III Partie IV Les apports de l'approche Les apports de SAP - GRC Partie VQuestions / Réponses

30 Zone de risque à couvrir 1 - Obtenir une vision unifiée de la couverture des risques métier et IT Dispositif de contrôle métier Dispositif de contrôle IT 2/ Identifier et couvrir les zones de risques résiduelles 3/ Transferer la couverture du risque 4/ Alléger le dispositif 1/ Obtenir une vision unifié du dispositif de contrôle : - Les contrôles IT contribuent à couvrir des risques métiers - Les contrôles métiers contribuent à limiter la criticités des risques IT

31 2 - Adapter le niveau de protection au niveau de risque métier et IT. Sur Protection Sous Protection Inapproprié Trop systématique Trop lourd Trop éclaté Trop fréquentRéduction de la fréquence de contrôle Suppression du contrôle Ajuster les attributs des contrôles existants : Préventif vs Détectif Automatisation du contrôle Fréquence de contrôle Changement du niveau de contrôle (Environnement de contrôle vs contrôle applicatif) Changement du mode de test Regroupement de contrôles et ou de tests Réduction du périmètre des populations ou activités à contrôler Mettre en place un ou des contrôles complémentaires Changement de point de vue en fonction des acteurs concernés : Transfert de la couverture du risque Les contrôles nexistent pas Les contrôles existent Corrections possiblesNiveau de protectionÉtat du dispositif Changement du mode de test

32 3 - Identifier et traiter les zones de risques de non-conformité La capacité à identifier les zones de risques de non-conformité engendrés par lIT Lapproche permet de typer les risques et les facteurs de risques en fonction des référentiels de conformité auxquels ils se rattachent. Différents référentiels de conformité peuvent être pris en compte simultanément: – Conformité règlementaire – Conformité par rapport à des normes internes Illustration : Le PRA (Plan de reprise dactivité) est un élément de conformité requis par Sarbanes Oxley. Labsence de PRA constitue un facteur de risque de conformité. Lidentification et lévaluation des contrôles en liaison avec ce facteur de risque sont primordiaux lors dune mesure de conformité.

33 Exemple de résultats issus dun cas réel doptimisation et de recentrage mené par BMA sur un dispositif de contrôle informatique Sarbanes Oxley Appli1Appli2Appli3Appli4Appli5Appli6Appli7Appli8… Contrôles avant Contrôles après Impacts sur les tests

34 AGENDA Partie I Quelques points d'attention à surveiller lors de la construction Quelques constats sur les pratiques actuelles Partie II Partie III Partie IV Les apports de l'approche Les apports de SAP-GRC Partie VQuestions / Réponses

35 Les objectifs de la présentation des modules SAP GRC Comment SAP GRC peut-il venir en support à une telle approche ? Les points clé de lapproche que nous avons souhaité illustrer au travers des modules SAP GRC sont les suivants : La nécessité de modéliser les processus métier et IT avec leurs activités de contrôle respectives Faciliter et accélérer lanalyse de risques et la conception des contrôles IT dans votre entreprise Automatiser la réalisation de certains contrôles afin de les rendre plus efficaces et directement auditables La nécessité de disposer dune vision claire de la séparation des tâches La construction partagée dun modèle de risques IT cest-à-dire en quoi un dysfonctionnement IT a une incidence sur le déroulement du métier.

36 © SAP 2007 / Page 36 Illustration dun processus de gestion de sinistre: Ouverture Règlement Recours Identification du contrat Vérification de Couverture Données générales du sinistre Garanties touchées Evaluation du sinistre Mission expert Mission réparateur Saisie tiers et témoins Saisie des bénéficiaires Demande de règlement Vérification des plafonds Modification Annulation Décaissement Création dintervenant Evaluation Saisie du bénéficiaire Saisie du bénéficiaire Saisie du règlement Décaissement / encaissement Back office de gestion Centre dappels Instruction du dossier Saisie du règlement Saisie des honoraires Recherche dintervenant Création - Impossibilité de créer, régler et décaisser un sinistre…. - Impossibilité de créer un expert puis de régler ses honoraires …. Pour une même personne:

37 Multiple Controls Des contrôles automatiques IT pour prévenir des risques métiers Any Form, Tab or Field... Apply percentage thresholdApply absolute value thresholdMonitor change frequencyMonitor changes to controlCheck that control value exists Is the Duplicate Voucher flag turned ON? Have any duplicate vouchers been processed over the past 30, 60, 90 days? Hide / Disable / Query Only Has the duplicate Voucher control changed? How often? Configuration, Master Data and Transaction Data

38 Single Solution for end-to-end enterprise control management - Increase confidence in the effectiveness of controls Provides centralized control management for automated and manual controls - Reduce cost without compromising compliance Enables management by exception - Effectively manage business risk prioritizes remediation activities provides management insight into the control environment Perform Assessments Test Automated Controls Test Manual Controls Document Test Monitor Certify Certify and Sign-off (302, Designs,…) Process-Control-Objective-Risk IT Infrastructure Business Processes … Review Exceptions Remediate Issues Has production been improved with the installation and implementation of SAP? S U R V E Y Yes No SAP GRC Process Control - Convergence of Controls Process Management and Continuous Controls Monitoring

39 Perform Assessments Test Automated Controls Test Manual Controls Document Test Monitor Certify Certify and Sign-off (302, Designs,…) Process-Control-Objective-Risk IT Infrastructure Business Processes … Review Exceptions Remediate Issues Has production been improved with the installation and implementation of SAP? S U R V E Y Yes No SAP GRC Process Control: Centralized Control Management Centralized Control Management One system for managing automated and manual controls System can manage Financial Controls Operational Controls IT Controls Controls can be monitored across multiple enterprise systems Increased confidence in controls with regular assessments

40 Three Ways to Monitor Automated Controls Across Critical Business Processes Construct Ad-hoc Test Re-use Custom Test Select Pre-delivered Test Pre-delivered tests with flexible rule criteria for SAP and Oracle Plug-and-play your existing test scripts Create control tests on- the-fly with custom query builder Order to Cash Order Capture Order Fulfillment Billing & Returns Procure to Pay Demand Planning Operational Procurement Reconcile to Report Budgeting Planning Subledger Transactions Financial Close IT Basis Application Security Change Control Revenue Recognition Inventory Management Payables Management Consolidation & Reporting

41 Actionable Intelligence from Compliance Analytics Role-based dashboards provide actionable insight to control status Global heat map highlights exceptions from all control tests and assessments Management level reports highlights exceptions from all control tests and assessments Enterprise transparency across multi-instance and multi-platform environments

42 SAP GRC Access Control Sustainable prevention of segregation of duties violations Cross-enterprise library of best practice segregation of duties rules Compliant User Provisioning Prevent SoD violations at run time Superuser Privilege Management Close #1 audit issue with temporary emergency access Periodic Access Review and Audit Focus on remaining challenges during recurring audits (Stay in Control)(Stay Clean) Risk analysis, remediation and prevention services Enterprise Role Management Enforce SoD compliance at design time Risk Identification and Remediation Rapid, cost-effective and comprehensive initial clean-up (Get Clean) Minimal Time To Compliance Continuous Access Management Effective Management Oversight and Audit

43 SAP GRC Risk Management Providing the framework for an integrated approach to ERM Business Process Platform SAP GRC Risk Management GRC Repository Global TradeEnvironment / SafetySupply Risk xAppOthers…Access / Process External Provider KRIs / Content Sources Automates and integrates GRC in business processes Standardizes controls based on content, rules and technology Helps identification of issues while providing a framework for emerging regulations Transforms GRC in a strategic weapon– allows a competitive differenciation and a higher level of performance

44 Risks Management Steps Process automation for the virtuous cycle Actionable, role-based dashboards and alerts Establish risk appetite and thresholds Collaborate and aggregate across the enterprise Balance cost of risk avoidance and opportunity

45 Drive Consistency Agreement on top risks, thresholds, and appetite Create Risk and Activity Catalogs GRC Repository What types of risks do we want to track? Proposed risks based on business process Align risks to corporate goals Customizable, pre-delivered content Risk Catalog KRI 2 Supplier on-time delivery Supply chain continuity risk Document Risk Appetite <95% 5% KRI 1 Scrap Rates Identify KRI Thresholds

46 Avoid Surprises Identify and assess all key risks across the enterprise Collaborative Assessments for Manual Risk Activities Qualitative & quantitative point and scenario analyses Survey functionality and guided activities Workflow reminders for updates Prioritization using Risk Heat Map Prioritization for response investment Identifying shifting in risk profile Automatically Identify Risks User receives alert – data updated in SAP GRC Risk Management Embedded into key business processes Workflow delivers assessments to experts

47 Respond Intelligently Create resolution strategies for critical risks Best Practice Response Playbooks Spot Risk Interdependencies Marketing Sales IT Supply... Correlation Enabling Lines of Business to Mitigate Risks Employee health and safety Non-compliance-Title V emissions Production/reliability disruptions Commodity/Market risk Credit risk Inadequate staffing/skill sets Non-compliance financial regulations EH&S xEM EAM/ERP TriplePoint (partner in process) HCM Access/Process Controls Top Industry Risks Solution Response status monitoring Response cost tracking Analysis done before and after responses Supplier Bankruptcy Pre-emptive marketing campaign

48 Stay Informed Build proactive monitoring into existing business processes Capture Incidents and Losses Set Control Limits Based Upon Associated Risk Learn from previous experiences Incorporate into response playbook Latest Risk Management Status in Your Business Context Regulatory checklist approach has lead to over-controlling and under-controlling many processes Set controls based upon the level or risk associated with each business process Role-based Risk Management DashboardsSAP CPM Dashboards

49 AGENDA Partie I Quelques points d'attention à surveiller lors de la construction Quelques constats sur les pratiques actuelles Partie II Partie III Partie IV Les apports de l'approche Les apports de SAP - GRC Partie VQuestions / Réponses


Télécharger ppt "PROGIFORUM Gouvernance, risque & conformité PROGIFORUM 12 Juin 2008 Construire un contrôle interne informatique optimisé et aligné sur vos risques métiers."

Présentations similaires


Annonces Google