Petit Guide de la

Séparation des Tâches

Définir la « SoD » pour les non-initiés

Définition Pourquoi ? Prévenir la fraude et les erreurs

« Faire en sorte que la réalisation d’un La probabilité d’une fraude est
processus critique, dans un SI ou non, réduite si elle nécessite l’implication de
mobilise au moins deux personnes plus d’une personne
différentes » Les erreurs sont moins fréquentes
grâce à la double vérification

Pourquoi utilise-t-on « SoD » vient de « Segregations of Duties », qui est la

l’« Abréviation SoD » ? traduction anglaise de « Séparation des Tâches »

Exemples

Création de Lancement de Modification de Lancement de

factures paiements RIB/IBAN paiements
fournisseurs fournisseurs fournisseurs fournisseurs

Paiement de fausses factures fournisseurs Fraude Détournement de paiements fournisseurs

Quelle solution ?
> Séparer les Tâches <

… dans les Processus de l’organisation … dans les Systèmes d’Information

Comment procéder ?

1 Identifier les parties prenantes

Définir sa matrice Audit Interne Direction Contrôle DSI

de séparation Financière Interne

des tâches 2 Définir les risques de séparation des tâches

Tâche 1 + Tâche 2 = Pas de risque

Tâche 2 + Tâche 4 = Risque élevé

Tâche 1 + Tâche 3 = Risque faible

Le « Plus »
On peut définir les risques en se basant sur
les recommandations de l’audit interne,
sur les bonnes pratiques de son industrie
en termes de processus, ou encore en
fonction de schémas de fraude
possibles sur un Système d’Information.
Important !
• Une matrice de séparation des tâches est
toujours adaptée à un contexte particulier,
et donc à une organisation spécifique.
• Le travail d’adaptation doit se faire en
partenariat avec les métiers, les fonctions
d’audit (ou de contrôle interne), et la direction
informatique.

3 Contextualiser sa matrice à l’organisation

D’un point de vue IT : quel programme de mon Système
d’Information/ERP permet de réaliser le risque ?
D’un point de vue métier : Comment se décline le processus risqué
dans une entité spécifique ? Auditer les
risques de
4 Analyser les risques de conflits de tâches
l’organisation
Obtenir une liste de conflits à résoudre de différents types :
Problème de droits non restreints sur un Système d’Information
Problème de ressources insuffisantes pour séparer les tâches dans le
processus
Problème d’organisation à revoir

Pour aller plus loin…

Un outillage spécifique permet d’auditer aisément
les risques de séparation des tâches, en fonction
de la taille de l’organisation :
• Outils d’analyse de schémas de fraude (ex. ACL)
• Outils de gestion des droits d’accès (ex. SAP
GRC)

Lancer des plans d’actions en fonction des

5 types de risques identifiés

Revoir l’architecture des rôles sur

Technique Réel les SI afin de permettre une meilleure
Remédier aux séparation des tâches
risques identifiés
Retirer les droits pour la tâche non
Potentiel utilisée par l’employé/utilisateur
Fonctionnel Revoir l’organisation pour que l’une des
Réel deux tâches soit retirée et que le conflit
n’existe plus.

Quels résultats ?

Séparation des tâches dans

Les risques de séparation
les Processus et les
des tâches cartographiés
Systèmes d’Information

Des contrôles sur les risques Une automatisation des

de fraude au coeur des contrôles et une maîtrise
processus sensibles des coûts de sécurité

Vision 360° de la fraude Eliminer les risques

dans l’entreprise potentiels dans les SI
Les risques de séparation des tâches Jusqu’à
des risques potentiels/réels
sont identifiés, des contrôles éliminés lors d’un projet de
appliqués. 90% séparation des tâches
L’ensemble du dispositif est clarifié,
auditable, efficace