PARCOURS 1 – MODULE 1.

3- ATELIER B
LA SEPARATION DES TACHES OU SEGREGATION OF DUTIES

Bonjour. Dans cette vidéo nous allons aborder le concept de séparation des tâches ou Segregation of
Duties (SoD), qui est au centre des préoccupations de la sécurité des systèmes d’information mais aussi de
l’audit ou du contrôle interne.

La séparation des tâches est une mesure de contrôle fondamentale et essentielle et l'une des plus difficiles
à appliquer. Elle est utilisée pour veiller à ce que les employés évitent ou détectent les erreurs ou les
irrégularités en temps opportun dans le cadre de leurs activités courantes. La séparation des tâches
comporte deux avantages :
 premièrement, elle rend la fraude intentionnelle difficile à réaliser parce que celle-ci nécessite une
collusion entre deux personnes ou plus,
 deuxièmement, elle facilite la détection des erreurs commises en toute innocence.

Essentiellement, la séparation des tâches implique qu'aucune personne ne devrait pouvoir exercer un
contrôle durant l’accomplissement de deux tâches ou plus associées à une opération.
Le principe sous-jacent de la séparation des tâches est d’éviter qu’une même personne ait accès aux
biens et soit aussi responsable de maintenir la reddition de comptes associée à ces biens. Pour être
efficace, le système de contrôle interne doit impliquer une division appropriée des responsabilités entre
ceux qui appliquent les procédés comptables ou s’occupent des activités de contrôle et ceux qui gèrent
les biens. En général, les tâches associées aux diverses activités d’une chaîne de transactions devraient être
attribuées de manière à ce qu’une personne travaille indépendamment d’une autre ou qu’elle ait pour
fonction de contrôler l’exécution d’une tâche attribuée à cette autre personne.
Les principales fonctions ou responsabilités incompatibles devant être attribuées séparément sont les
suivantes :
 la garde des biens,
 l’autorisation ou l’approbation des transactions liées à ces biens,
 l’enregistrement des transactions ou la production des rapports s’y rattachant,
 le rapprochement de comptes.

Un système idéal de contrôle interne devrait faire en sorte que des employés différents remplissent chacune
des quatre fonctions principales susmentionnées. Autrement dit, une même personne ne devrait pas avoir à
assumer deux de ces responsabilités ou plus. Plus le bien est négociable, plus une séparation des tâches
pertinente est essentielle, surtout s'il s'agit d'espèces, de chèques négociables ou de stocks. Si une même
personne a la possibilité de faire et de dissimuler des erreurs ou des irrégularités dans le cours de ses activités
quotidiennes, c'est qu'on lui a assigné des tâches ou des responsabilités incompatibles (fonctions
incompatibles).

MOOC - Pilotage des organisations et processus métiers

Éric DISSON 1
En voici des exemples :
 autoriser une transaction et recevoir et assurer la garde des biens résultant de la transaction,
 recevoir des chèques (acompte) et approuver les radiations,
 déposer de l’argent et effectuer le rapprochement des relevés bancaires,
 approuver la masse salariale et assurer la garde des chèques de paie,
 avoir un accès illimité aux biens, registres comptables et terminaux et programmes informatiques.

Lorsque la séparation des tâches complète est impossible, il est impératif d’établir des mesures
d’atténuation ou compensatoires afin de réduire les risques d’erreurs ou d’irrégularités. Par exemple, si la
même personne est responsable de la tenue des registres et du rapprochement, l’examen détaillé de ce
rapprochement, appuyé des données pertinentes, doit être confié à un superviseur afin d’assurer un
contrôle supplémentaire étant donné l’attribution de fonctions incompatibles. La séparation des tâches
devient cependant plus difficile à réaliser dans un environnement centralisé et informatisé. Les mots de
passe, l’accès en lecture seule, les registres, les exigences d’autorisation double et des examens des
entrées et des sorties bien étayés sont autant de mesures compensatoires de contrôle pouvant alors être
utilisées.

L’audit interne et le responsable de la sécurité des SI disposent désormais d’outils permettant une vision
globale des risques SoD au sein de son système d’informations. Les grands groupes ayant mis en place ce
type d’outillage, de par leur taille (nombre élevé d’utilisateurs) et la diversité du périmètre applicatif,
rencontrent deux nouvelles problématiques : le besoin de contrôle des risques « réels » ainsi que le besoin
d’ouverture sur les risques inter-applications.
La remédiation SoD (mise sous contrôle des risques SoD) pour l’audit interne peut vite se transformer en un
vrai casse-tête. En effet, la volumétrie importante des risques SoD à corriger peut décourager les personnes
en charge de la remédiation. Il ne s’agit donc plus de lister simplement les risques SoD au niveau des
utilisateurs. Les outils doivent désormais évoluer vers plus d’efficacité, afin de pouvoir limiter les résultats aux
risques « réels », ceux ayant un impact immédiat et chiffré en termes de sortie de cash tout en diminuant la
priorité de traitement des risques « théoriques » (dont les accès sont possibles mais jamais ou rarement
utilisés). Cette évolution est primordiale pour accroître l’efficacité de la remédiation SoD et optimiser les
temps de traitement.
De nombreux avantages découlent de la mise en place d’une SoD au sein de son Système d’Information :
la SoD permet de réduire les risques, La SoD permet d’être conforme (comme dans la loi Sarbane Oxley ou
SOX, les accords Bale II qui concernent les banques, ou encore les normes ou guide de bonnes pratiques
comme l’ISO 27000, COBIT, ITIL, etc.),
En France, les CAC (Commissaires Aux Comptes) sont très sensibles à la notion de SoD pour tout ce qui
concerne la finance. Dans le domaine bancaire, l’implémentation de la SoD est une obligation notamment
en séparant les activités en trois groupes distincts : le Front, le middle et le back office.
Il existe deux types de SoD : la SoD préventive et la SoD détective.
La SoD préventive vise à empêcher les problèmes de SoD dès l’affectation des droits. On peut s’appuyer sur
un système totalement intégré. Un système IA, pour Identity Access Management, incluant les règles de SoD

MOOC - Pilotage des organisations et processus métiers

Éric DISSON 2
empêche toute affectation de droit en violation mais nécessite de connaitre l’ensemble des droits d’un
utilisateur et oblige à une intégration forte avec les systèmes.
On peut également s’appuyer sur un système manuel, soit une simple feuille Excel contenant la matrice et
permettant de réaliser des simulations qui nécessite de centraliser l’ensemble des droits existants. C’est une
solution très coûteuse à mettre en place et à maintenir, qui nécessite un certain niveau de maturité, mais
qui apporte une très bonne couverture des risques.
La SoD détective vise un contrôle a posteriori. Cela nécessite une consolidation des droits et une corrélation
avec la matrice de SoD : aucun impact sur les applications et aucun impact dans les processus existants.
Nous reverrons ces outils dans nos activités.

Voilà, si un adage correspond bien à la séparation des pouvoir c’est qu’il vaut mieux prévenir que guérir ! Il
nous reste maintenant à analyser nos processus pour appliquer cet objectif.

MOOC - Pilotage des organisations et processus métiers

Éric DISSON 3