Automatiser la gestion des risques d’entreprise, du contrôle interne, et de la conformité Exemple de la gestion des autorisations.

Slides:



Advertisements
Présentations similaires
Présentation des technologies SharePoint 2007
Advertisements

Etapes liées au lancement du produit
EG - PS - 7 janvier Pourquoi un logiciel de Gestion Electronique de Documents ? (plate-forme opérationnelle mutualisée)
« Les Mercredis du développement » Introduction Office « 12 » Présenté par Bernard Fedotoff Microsoft Regional Director Agilcom.
Ministère de l'Écologie, de l'Énergie, du Développement durable et de la Mer en charge des Technologies vertes et des Négociations sur le climat
La gestion des tests avec Clearquest
Administration. Administration Enjeux L’efficacité et la fiabilité de l’Infrastructure Technologique (IT) sont des facteurs critiques de réussite.
1 La carte dachat AMGVF - 6 octobre La carte dachat : quelques essais de définition. Commission spécialisée de terminologie en matière économique.
Object Management Architecture (OMA)
Plan de formation Chapitre 1 : Présentation de SAP
Plus rapide chemin bicritère : un problème d’aménagement du territoire
Le Workflow et ses outils
OMNIVISTA
Les fonctions financières
QUICK SELLING GUIDE TUFIN
Démarche Analyse des OGL et des Méthodes Objectifs : Activités :
l’Homme et le Métier que celui-ci exerce
le profil UML en temps réel MARTE
Stratégie administrative ministérielle N o de SGDDI GTEC Le 15 octobre 2007 Direction du dirigeant principal de l'information, SCT.
Gestion des frais et des remboursements Synthèse du scénario
BPM & BPMS.
3 Booster votre productivité avec VS 2010 Arnaud FontaineEric Le Loch Spécialistes Solutions de développement.
Le Reengineering.
Rémunération Globale Et Bilan Personnalisé 2004
Auto Exterior Scoop SQP PROCESSUS 24 juillet 2006 Version validée V01.
© OECD A joint initiative of the OECD and the European Union, principally financed by the EU Valorisation des Ressources Humaines Rabat, 23 juin 2010 Les.
GESTION DE PARCS D’ORDINATEURS
Manuel de formation PNUE Thème 11 Diapo 1 Objectifs de la mise en œuvre et du suivi de lÉIE : F appliquer les conditions dapprobation F garantir leur efficacité
MONITORING DU CONTRÔLE CONTINU ETUDE DE CAS DE LA SOCIETE TELUS
Visio 2010 : représentez et partagez encore plus simplement vos diagrammes et données
Un patron de conception
© Petko ValtchevUniversité de Montréal Janvier IFT 2251 Génie Logiciel Notions de Base Hiver 2002 Petko Valtchev.
Toujours partir du besoin métier – Pas dune envie de linformatique Concevoir les services – puis concevoir leur implémentation Le vrai bénéfice est.
SDL en une slide Modélisation des menaces Démo…interactive!
•Présentation de Team Edition for Database Professionals •La méthodologie •Etude de cas.
Systèmes d’information d’entreprise
EDirectory Policy Manager for PATROL DirectoryAlertServerAlert Policy Management Suite.
Créer des packages.
Présenté par Claude Bédard Approbation des demandes de changements TI: C’est plus que du bonbon!
5 Les progiciels de gestion et les opportunités associées.
L’automatisation des processus RH les plus importants
Dr Ph CARDI - Interfaces 27/09/2001 Configuration des logiciels par les Praticiens de Santé mythe ou réalité Copyright 2001 © Intensive Care View.
Introduction au Génie Logiciel
Gérer l'instance Oracle
Cliquez pour ajouter un texte 1 Les services collaboratifs IBM LotusLive Jonathan Bénichou IBM.
Votre Équipe d’Audit Interne …à vos côtés. …à votre service. …défendant vos intérêts.
Gérer les rôles.
Résumé CHEP 2010 Distributed processing and analysis Grid and cloud middleware Thèmes : 1.
© 2008 Oracle Corporation – Propriétaire et confidentiel A quelles fonctions de l'entreprise cette campagne s'adresse-t-elle ? Cadres dirigeants Directeurs.
Positionnement : Outil de supervision et d’administration spécialiste Les management packs de l’éditeur et la base de connaissance embarquée Rapidité.
AdCore University Présente: Enchères, Règles et Alertes.
KIWI EXPERIENCE Juin 2004 – Janvier Contexte  Dates : Du 01/06/2004 au 20/01/2006 (20 mois)  Lieu : Christchurch, NZ  Expatriation : V.I.E.
Audit des contrôles généraux IT
Manuel de formation PNUE Thème 11 Diapo 1 Objectifs de la mise en œuvre et du suivi de l’ÉIE : F appliquer les conditions d’approbation F garantir leur.
Maîtrise Universitaire en Comptabilité, Contrôle et Finance Audit des systèmes d'information Partie 3: ANNNEXES Module Audit Emanuel Campos - version.
22 Concevoir, faire évoluer et gérer des workflow avancés à partir du socle technique de Microsoft. Mardi 9 février 2010 – 11h00 Jean.
Techniques d’audit assisté par ordinateur
EDI_CASH ECHANGE ENTRE AGENCES, LA CAISSE CENTRALE ET LES SOCIETES DE TRANSPORT DE FONDS GLOBAL NETWORK SYSTEMS Tél.: (022) (L.G) Fax: (022)
UNDP Regional Bureau for Africa MDG-based national Development Planning Training Workshop HIV/AIDS Assessments 10 March, 2006 Niger.
 SAP AG 2003 Objectif général du cours Objectifs du cours Table des matières Scénario de gestion Contenu Vue d'ensemble du cours.
On a opté pour partager avec vous notre expérience en authentification forte vu l’intérêt que suscite ce sujet d’actualité et je tiens à remercier les.
Projet de fin d’étude Développement d’une application de gestion d’un parc informatique et de Help Desk Bonjour tout le monde, Avant de commencer je voudrais.
Audit de Gestion de Projet Estimation des Coûts M ARC G ERVAIS - G ILDAS Q UÉMÉNER - F LORIAN S IMON.
Confidentiel SecludIT
Principes fondamentaux et meilleures pratiques de conception de laboratoire Alger, Algérie SAND P. Sandia National Laboratories est un laboratoire.
Transformation digitale Comment maîtriser les risques ?
L’outil de suivi des incidents et des demandes
Lieux de travail sains. Un acquis pour vous. Un atout pour l’entreprise. Travailler ensemble à la prévention des risques Que nous apprend l’enquête ESENER.
MARKETING INDUSTRIEL Procédure d ’Achat Industriel J.lou POIGNOT 09/01/07 Jean-lou POIGNOT.
Page : 1 ObjectWeb 04/10/2004 Direction Générale du Système d ’Information Ce document est la propriété intellectuelle de DASSAULT AVIATION. Il ne peut.
Transcription de la présentation:

Automatiser la gestion des risques d’entreprise, du contrôle interne, et de la conformité Exemple de la gestion des autorisations

GRC Foundation … L’architecture Process Controls Access Controls … Mobile Analytics Duet GRC Applications GRC Foundation Risk & Control Repository Risk & Control Documentation Authorization Model Authorization Data Users & Groups Access Controls Transaction Data Log Data Process Controls Workflow Access Rules Process Rules Normalized Access Control Model Normalized Process Control Model xApps Adaptor Framework (RFC, JDBC, FTP, SOAP) mySAP … … LDAP IDM…

Industrialiser et sécuriser les autorisations

Les conséquences disproportionnées des risques de fraude Premium de 14% pour les sociétés bien gérée d’un point de vue gouvernance (McKinsey Global Investor Survey, 2005) Etude PWC 2005 sur la fraude interne liée à l’informatique: coûte 4.5m Euros par société (taille moyenne)! Insiste sur la Prévention! Risque en terme d’image, de réputation!! Exemple de Parmalat et France Telecom. % de prime pour de la bonne gouvernance Exemples 2004-2005 Evennement Déclin % / Mkt Cap Adecco SA $12.6 miard Jan. 12 La société a décalé ses annonces, dû à des déficiences de contrôles constatés par les auditeurs externes -38% $4.9 billion Goodyear Tire & Rubber $1.7 miards Feb. 11 La société n’a pas terminé l’implémentation de son plan pour améliorer ses contrôles internes -18% $320m MCI $5.4 miards Apr. 29 Déclaration de l’autiteur externe de “Material weaknesses” : manque de contrôles internes systématiques -17% $935m

Exemple de remarques de l’auditeurs au DAF et au DSI, tous les 6 mois: Vous avez trop de SAP ALL, SAP NEW, et on ne trace rien de ce que ces personnes font avec leur SAP ALL! Trop d’utilisateurs ont des conflits du type : créer un fournisseur et payer les fournisseurs (danger de fraude en créant un fournisseur fictif) Toutes les tâches de création de rôles, d’assignation de rôles aux utilisateurs sont manuelles, papier, non documentées ou tracées! La gestion quotidienne fait exploser les risques : Un rôle est affecté à un utilisateurs sans vérifier si ce nouveau rôle va créer des conflits On ajoute des transactions/objets dans des rôles, sans vérifier l’impact sur les utilisateurs utilisant ces rôles .. Vous avez 2 mois pour résoudre cette situation!!

Lors des démarrages/roll-out d’ERP ou de refontes de rôles : Pourquoi ces risques? Lors des démarrages/roll-out d’ERP ou de refontes de rôles : La sécurité est secondaire La notion de Contrôle Interne préventif est oubliée Lors de la vie des projets : Pas de procédures pour empêcher l’entropie Pas d’outil pour prévenir L’informatique récupère le bébé seule

Le coût des risques en mode réactif versus en mode préventif Production Cost / Risk Testing Most expensive: Catching violations during audit Development Analyse Definition Resources/Effort

La solution SAP

Le coût des risques en mode réactif versus en mode préventif Production Cost / Risk Testing Most expensive: Catching violations during audit Development Analyse Definition Resources/Effort

L’analyse multi-systèmes VIRSA Cross-enterprise Rule Set Heterogeneous IT Landscape Legacy Custom Financials and Accounting Inventory and purchasing ! RISK SAP Authorization: Maintain Vendor Master Main point: Continuous Compliance is a cross-enterprise compliance solution. Its cross-enterprise rule set enables you to detect and prevent not only control violations in SAP but also violations that result from interaction across different applications in a heterogeneous IT environment. This simple example illustrates the point. Oracle Authorization: Pay Vendor Invoice

La Solution SAP pour la maîtrise des risques 1 solution de 4 composants pour répondre aux besoins des entreprises et à leurs problématiques SAP Virsa INDENTIFIER CORRIGER Détection des risques Etablissement des rapports Elimination des risques documenter Analyses d’impact SAP Calibratror Réduction des Super Users Traçabilité des actions des Supers Users SAP firefighter PREVENIR GERER Gestion des rôles et cycle de vie ( Workflow d’approbation ) documentation des rôles Prévention des risques et impacts sur les rôles Role expert Gestion du cycle de vie des utilisateurs Documenter Prévention des risques avant les changements sur les rôles Alerter ( Workflow ) Access Enforcer

Risks & Business Functions Combination of Actions & Permissions Function A + Combination of Actions & Permissions . Risk 1 Function B . + . . Combination of Actions & Permissions Function C . . . . . Risk 2 . . . Risk n

Virsa Compliance Calibrator for SAP Rapid Risk Resolution

Virsa Role Expert for SAP Overview

Virsa Firefighter for SAP Overview

Virsa Access Enforcer for SAP Overview Compliant end-to-end provisioning — “hire to retire” Current Approach—Inefficient, Not Compliant Request Generated Automated Provisioning Mgr Approval Risk Analysis Path Workflow Escalation Workflow Exception Workflow HR Event Employee Hired/Retired 1 “Click” Preventive Simulation Compliant Provisioning through Dynamic Workflow Key Functionality Access Request email Automated Request Initiation Identity Management Integration Manager Approval Dynamic Workflow Flexible Role Selection email Automated Provisioning Role Owner Analysis Risk Real-time Risk Analysis Interface Main Point: Access Enforcer is the only solution on the market providing fully automated, end-to-end compliant provisioning across the entire employee lifecycle, from hire to retire. Current approaches to provisioning are inefficient and are not compliant. They involve multiple manual steps and handoff with little or no automated workflow. And they leave out risk analysis altogether. spreadsheets, paper forms IT Security Reporting Auditable Reporting spreadsheets, paper forms Self Service Password Reset User Admin. Services Manual Provisioning Access Re-Affirm