Automatiser la gestion des risques d’entreprise, du contrôle interne, et de la conformité Exemple de la gestion des autorisations

GRC Foundation … L’architecture Process Controls Access Controls … Mobile Analytics Duet GRC Applications GRC Foundation Risk & Control Repository Risk & Control Documentation Authorization Model Authorization Data Users & Groups Access Controls Transaction Data Log Data Process Controls Workflow Access Rules Process Rules Normalized Access Control Model Normalized Process Control Model xApps Adaptor Framework (RFC, JDBC, FTP, SOAP) mySAP … … LDAP IDM…

Industrialiser et sécuriser les autorisations

Les conséquences disproportionnées des risques de fraude Premium de 14% pour les sociétés bien gérée d’un point de vue gouvernance (McKinsey Global Investor Survey, 2005) Etude PWC 2005 sur la fraude interne liée à l’informatique: coûte 4.5m Euros par société (taille moyenne)! Insiste sur la Prévention! Risque en terme d’image, de réputation!! Exemple de Parmalat et France Telecom. % de prime pour de la bonne gouvernance Exemples 2004-2005 Evennement Déclin % / Mkt Cap Adecco SA $12.6 miard Jan. 12 La société a décalé ses annonces, dû à des déficiences de contrôles constatés par les auditeurs externes -38% $4.9 billion Goodyear Tire & Rubber $1.7 miards Feb. 11 La société n’a pas terminé l’implémentation de son plan pour améliorer ses contrôles internes -18% $320m MCI $5.4 miards Apr. 29 Déclaration de l’autiteur externe de “Material weaknesses” : manque de contrôles internes systématiques -17% $935m

Exemple de remarques de l’auditeurs au DAF et au DSI, tous les 6 mois: Vous avez trop de SAP ALL, SAP NEW, et on ne trace rien de ce que ces personnes font avec leur SAP ALL! Trop d’utilisateurs ont des conflits du type : créer un fournisseur et payer les fournisseurs (danger de fraude en créant un fournisseur fictif) Toutes les tâches de création de rôles, d’assignation de rôles aux utilisateurs sont manuelles, papier, non documentées ou tracées! La gestion quotidienne fait exploser les risques : Un rôle est affecté à un utilisateurs sans vérifier si ce nouveau rôle va créer des conflits On ajoute des transactions/objets dans des rôles, sans vérifier l’impact sur les utilisateurs utilisant ces rôles .. Vous avez 2 mois pour résoudre cette situation!!

Lors des démarrages/roll-out d’ERP ou de refontes de rôles : Pourquoi ces risques? Lors des démarrages/roll-out d’ERP ou de refontes de rôles : La sécurité est secondaire La notion de Contrôle Interne préventif est oubliée Lors de la vie des projets : Pas de procédures pour empêcher l’entropie Pas d’outil pour prévenir L’informatique récupère le bébé seule

Le coût des risques en mode réactif versus en mode préventif Production Cost / Risk Testing Most expensive: Catching violations during audit Development Analyse Definition Resources/Effort

La solution SAP

Le coût des risques en mode réactif versus en mode préventif Production Cost / Risk Testing Most expensive: Catching violations during audit Development Analyse Definition Resources/Effort

L’analyse multi-systèmes VIRSA Cross-enterprise Rule Set Heterogeneous IT Landscape Legacy Custom Financials and Accounting Inventory and purchasing ! RISK SAP Authorization: Maintain Vendor Master Main point: Continuous Compliance is a cross-enterprise compliance solution. Its cross-enterprise rule set enables you to detect and prevent not only control violations in SAP but also violations that result from interaction across different applications in a heterogeneous IT environment. This simple example illustrates the point. Oracle Authorization: Pay Vendor Invoice

La Solution SAP pour la maîtrise des risques 1 solution de 4 composants pour répondre aux besoins des entreprises et à leurs problématiques SAP Virsa INDENTIFIER CORRIGER Détection des risques Etablissement des rapports Elimination des risques documenter Analyses d’impact SAP Calibratror Réduction des Super Users Traçabilité des actions des Supers Users SAP firefighter PREVENIR GERER Gestion des rôles et cycle de vie ( Workflow d’approbation ) documentation des rôles Prévention des risques et impacts sur les rôles Role expert Gestion du cycle de vie des utilisateurs Documenter Prévention des risques avant les changements sur les rôles Alerter ( Workflow ) Access Enforcer

Risks & Business Functions Combination of Actions & Permissions Function A + Combination of Actions & Permissions . Risk 1 Function B . + . . Combination of Actions & Permissions Function C . . . . . Risk 2 . . . Risk n

Virsa Compliance Calibrator for SAP Rapid Risk Resolution

Virsa Role Expert for SAP Overview

Virsa Firefighter for SAP Overview

Virsa Access Enforcer for SAP Overview Compliant end-to-end provisioning — “hire to retire” Current Approach—Inefficient, Not Compliant Request Generated Automated Provisioning Mgr Approval Risk Analysis Path Workflow Escalation Workflow Exception Workflow HR Event Employee Hired/Retired 1 “Click” Preventive Simulation Compliant Provisioning through Dynamic Workflow Key Functionality Access Request email Automated Request Initiation Identity Management Integration Manager Approval Dynamic Workflow Flexible Role Selection email Automated Provisioning Role Owner Analysis Risk Real-time Risk Analysis Interface Main Point: Access Enforcer is the only solution on the market providing fully automated, end-to-end compliant provisioning across the entire employee lifecycle, from hire to retire. Current approaches to provisioning are inefficient and are not compliant. They involve multiple manual steps and handoff with little or no automated workflow. And they leave out risk analysis altogether. spreadsheets, paper forms IT Security Reporting Auditable Reporting spreadsheets, paper forms Self Service Password Reset User Admin. Services Manual Provisioning Access Re-Affirm