Automatiser la gestion des risques d

1

• Automatiser la gestion des risques dentreprise,
  du contrôle interne, et de la conformité
• Exemple de la gestion des autorisations

2
Larchitecture
Workflow
Adaptor Framework (RFC, JDBC, FTP, SOAP)
3

• Industrialiser et sécuriser les autorisations

4
Les conséquences disproportionnées des risques de
fraude

• Premium de 14 pour les sociétés bien gérée dun
  point de vue gouvernance (McKinsey Global
  Investor Survey, 2005)
• Etude PWC 2005 sur la fraude interne liée à
  linformatique coûte 4.5m Euros par société
  (taille moyenne)! Insiste sur la Prévention!
• Risque en terme dimage, de réputation!! Exemple
  de Parmalat et France Telecom.

5
Exemple de remarques de lauditeurs au DAF et au
DSI, tous les 6 mois

• Vous avez trop de SAP ALL, SAP NEW, et on ne
  trace rien de ce que ces personnes font avec leur
  SAP ALL!
• Trop dutilisateurs ont des conflits du type
  créer un fournisseur et payer les fournisseurs
  (danger de fraude en créant un fournisseur
  fictif)
• Toutes les tâches de création de rôles,
  dassignation de rôles aux utilisateurs sont
  manuelles, papier, non documentées ou tracées!
• La gestion quotidienne fait exploser les risques
  
• Un rôle est affecté à un utilisateurs sans
  vérifier si ce nouveau rôle va créer des conflits
• On ajoute des transactions/objets dans des rôles,
  sans vérifier limpact sur les utilisateurs
  utilisant ces rôles
• .. Vous avez 2 mois pour résoudre cette
  situation!!

6
Pourquoi ces risques?

• Lors des démarrages/roll-out dERP ou de refontes
  de rôles
• La sécurité est secondaire
• La notion de Contrôle Interne préventif est
  oubliée
• Lors de la vie des projets
• Pas de procédures pour empêcher lentropie
• Pas doutil pour prévenir
• Linformatique récupère le bébé seule

7
Le coût des risques en mode réactif versus en
mode préventif
Production
Cost / Risk
Testing
Most expensive Catching violations during audit
Development
Analyse
Definition
Resources/Effort
8

• La solution SAP

9
Le coût des risques en mode réactif versus en
mode préventif
Production
Cost / Risk
Testing
Most expensive Catching violations during audit
Development
Analyse
Definition
Resources/Effort
10
Lanalyse multi-systèmes
Heterogeneous IT Landscape
Legacy
Custom
Financials and Accounting
Inventory and purchasing
SAP Authorization Maintain Vendor Master
Oracle Authorization Pay Vendor Invoice
11
La Solution SAP pour la maîtrise des risques
1 solution de 4 composants pour répondre aux
besoins des entreprises et à leurs problématiques
SAP Virsa
SAP Calibratror

• Détection des risques
• Etablissement des rapports
• Elimination des risques
• documenter
• Analyses dimpact

INDENTIFIER CORRIGER
SAP firefighter

• Réduction des Super Users
• Traçabilité des actions des Supers Users

GERER PREVENIR
Role expert

• Gestion des rôles et cycle de vie ( Workflow
  dapprobation )
• documentation des rôles
• Prévention des risques et impacts sur les rôles

Access Enforcer

• Gestion du cycle de vie des utilisateurs
• Documenter
• Prévention des risques avant les changements sur
  les rôles
• Alerter ( Workflow )

12
Risks Business Functions
Combination of Actions Permissions
Function A

Combination of Actions Permissions

.
Risk 1
Function B
.

.
Combination of Actions Permissions
.
Function C
.
.
.
.
.

Risk 2
.
.
.

Risk n
13
Virsa Compliance Calibrator for SAPRapid Risk
Resolution
14
Virsa Role Expert for SAP Overview
15
Virsa Firefighter for SAP Overview
16
Virsa Access Enforcer for SAP Overview
Compliant end-to-end provisioning hire to
retire
Current ApproachInefficient, Not Compliant
Key Functionality
Access Request
Automated Request Initiation
Identity Management Integration
Dynamic Workflow
Flexible Role Selection
Automated Provisioning
Risk Analysis
Real-time Risk Analysis Interface
spreadsheets, paper forms
Auditable Reporting
Reporting
spreadsheets, paper forms
Self Service Password Reset
User Admin. Services
Access Re-Affirm