Site Search

Menu

Services

Menu

Fortunes privées & Entrepreneurs

Featured

L’intelligence artificielle

Résultats de la charge

Update

Comment instaurer la confiance en SAP S/4HANA

Antoine Wüthrich
Assurance Partner

Robert Schiffner
ERP and Business Process Excellence

La dernière version de la solution ERP de SAP ne se résume pas à l’introduction de quelques nouvelles fonctionnalités plus performantes. Elle constitue une occasion en or pour vous de repenser vos fonctions et vos processus opérationnels. Mais pour tirer parti de ce potentiel de transformation, les parties prenantes utilisant SAP doivent pouvoir faire confiance aux informations et aux données fournies par le système S/4HANA.

Cela signifie disposer des bons systèmes de contrôle, les adapter au nouvel environnement informatique S/4HANA et trouver le juste équilibre entre les exigences réglementaires et de sécurité, et les efforts qu’il est nécessaire de déployer pour exploiter le cadre de manière efficace et efficiente.

Tout repose sur la confiance en SAP

La solution ERP de SAP exerce un rôle clé au sein de nombreuses sociétés, que ce soit au niveau de l’intégration des processus, du reporting financier, des décisions opérationnelles stratégiques et de l’ensemble de la chaîne d’approvisionnement. La dernière version, S/4HANA, permet d’intégrer encore davantage les processus, entre-eux. Elle transforme la logique opérationnelle, optimise le modèle de données et accélère plus que jamais la production des rapports. Elle inclut également tout un ensemble de nouvelles technologies et solutions en matière d’accès et de traitement des données.

L’arrivée de S/4HANA coïncide avec l’introduction de nouvelles législations telles que la révision de la loi suisse sur la protection des données. Comparable au RGPD de l’UE, cette nouvelle réglementation renforce les exigences en matière de protection des données et d’octroi d’accès au niveau approprié, aux bonnes personnes et au bon moment.

Compte tenu de tous ces changements aux niveaux technologique, réglementaire et des processus opérationnels, le cadre de contrôle actuel de votre entreprise doit être remis en question et réajusté de manière à pouvoir faire confiance aux informations et données provenant de votre système S/4HANA.

Figure 1 : S/4HANA induit aussi des changements dans le cadre des contrôles de votre entreprise.

On distingue généralement et historiquement deux catégories de contrôles : les contrôles applicatifs et les contrôles informatiques généraux. Alors que les contrôles informatiques généraux couvrent les opérations systèmes, y compris les accès des utilisateurs aux diverses fonctions informatiques, les contrôles applicatifs portent davantage sur l’accès des utilisateurs aux données commerciales, les contrôles automatisés configurables et les contrôles manuels.

Les contrôles informatiques généraux sont conçus pour préserver l’intégrité des données et s’assurer qu’elles ne puissent pas être manipulées. Les contrôles applicatifs garantissent la conformité aux processus opérationnels définis et aux exigences réglementaires. Afin de tirer parti au mieux de l'environnement de contrôle, il est essentiel d’orienter le cadre de contrôle de manière à s’assurer du respect des processus en place et de garantir que les utilisateurs de SAP puissent faire confiance aux données SAP, plutôt que de simplement tenter de satisfaire les auditeurs externes. Afin de comprendre un peu plus en détail les implications, penchons-nous un moment sur quelques aspects des cadres de contrôle pour S/4HANA.

Réduire la charge des contrôles en recourant à des contrôles configurables

S/4HANA propose de nouvelles méthodes pour améliorer et simplifier les processus opérationnels. La plupart des entreprises qui passent à la nouvelle version saisissent véritablement cette opportunité. Le plus souvent, elles mettent à profit les nouvelles fonctions mises à disposition dans SAP de deux manières. Certaines profitent du lancement de SAP S4/HANA comme catalyseur de changement afin de transformer leur fonction financière (en d'autres termes pour la gestion du changement) et modèle d’affaires. D’autres l’utilisent simplement pour réduire la complexité des processus existants (c’est-à-dire pour remettre à jour et standardiser leurs processus mais sans procéder à de grands changements).

De nombreuses nouvelles fonctionnalités du nouveau SAP S/4 HANA sont proposées en option. Certaines, toutefois, sont obligatoires et contraindront votre organisation à réajuster ses processus opérationnels et à adapter les contrôles correspondants.

L’impact sur les contrôles automatisés (qui peut varier d’une organisation à l'autre selon le degré d’implémentation de S/4HANA) dépendra principalement des domaines spécifiques sur lesquels porte la modification des fonctionnalités par SAP. Citons comme exemples :

  • La notion de « business partner » qui remplace des clients/fournisseurs, ce qui impactera les contrôles automatisés et manuels correspondants
  • Des contrôles automatisés supplémentaires de la gestion du crédit
  • Une intégration FI/CO (Finance et Controlling) impactant les rapports utilisés jusque-là dans le cadre de la clôture

De par sa nature, la nouvelle fonctionnalité SAP Central Finance présente également certains risques spécifiques :

  • Précision de la cartographie opérationnelle initiale et gestion des changements au fil du temps (y compris les accès)
  • Suivi et gestion des erreurs (processus de gestion des erreurs AIF pour la synchronisation)
  • Configuration initiale impactant les transactions dans le système source/central
    - Les factures publiées dans le système source ne peuvent pas être réglées/rapprochées par Central Finance, mais
    - Les factures publiées dans Central Finance peuvent être réglées/rapprochées dans Central Finance.

Jusqu’à présent, PwC a identifié plus de 80 changements SAP S/4HANA nécessitant des ajustements dans le système de contrôle interne et ce, pour la plupart des sociétés utilisant SAP.

Comme mentionné plus haut, la plupart des entreprises qui adoptent S/4HANA saisiront également l’occasion de remanier certains de leurs processus clés. Cela va modifier en profondeur la façon de traiter les risques opérationnels via les contrôles. Voici quelques exemples de changements de grande ampleur déployés par des entreprises dans lesquelles la structure des contrôles existants nécessitait une réévaluation et un ajustement :

  • Standardisation du plan comptable : fusion de différents plans comptables pour n’en former qu’un seul (pour 400 codes de société)
  • Standardisation et simplification des processus opérationnels (p. ex. journaux manuels, usage type de documents financiers)
  • Autorisation SAP : harmonisation de l’accès/des rôles permettant d’accorder plus ou moins de confiance à des contrôles d’accès
  • Déploiement de nouvelles applications telles qu’Ariba, Concur, Central VIM, Central Payment et EBS

Repenser votre environnement de contrôle

Nous avons évoqué le fait que les entreprises profitent souvent du passage à S/4HANA pour revoir leur manière de conduire leurs processus opérationnels. C’est également une occasion de repenser et de simplifier l’environnement de contrôle. S/4HANA offre diverses nouvelles options, par exemple, la possibilité d’assurer une surveillance continue des contrôles (via Fiori ou BW intégré) et la détection de fraudes (éventuellement via Leonardo) permettant de remplacer certains contrôles détectifs manuels.

Cela dit, toutes les nouvelles implémentations de S/4HANA ont un point commun : des processus opérationnels moins statiques que par le passé. SAP continuera de lancer de nouvelles versions de S/4HANA de manière à couvrir un large spectre de processus, le nombre d‘applications Fiori poursuivra une progression exponentielle et les solutions cloud satellites (telles qu’Ariba, Concur et Fieldglass) continueront de se développer. Tous ces changements auront un impact direct sur le comportement des utilisateurs finaux au sein du système et pourraient générer différents risques. Il sera de plus en plus difficile pour les experts des contrôles internes de supposer que l’environnement de contrôle est stable et de compter sur leurs revues annuelles pour confirmer cette hypothèse.

Pour cette raison, de plus en plus de sociétés déploient des capacités de surveillance des processus autorisant un suivi en temps réel du respect par les utilisateurs finaux des processus et des contrôles. Certains outils, tels que le PCT de PwC (analyse des processus, contrôles et transactions) permettent d’identifier tout nouveau flux opérationnel emprunté par certains utilisateurs, susceptible d’indiquer que des processus opérationnels ont été modifiés (p. ex. configuration SAP), que de nouveaux outils ont été déployés ou étendus (p. ex. Ariba, Concur ou Fieldglass) ou simplement que des utilisateurs ont découvert de nouvelles portes dérobées et qu’ils les exploitent.

Screenshot Tool Process

Figure 2 : L’outil « Process, Controls & Transaction Analytics (PCT) » de PwC identifie de nouveaux chemins utilisateur.

Les outils tels que le PCT réalisent des analyses de surveillance des processus en temps réel comme base de test des contrôles concernés sur l’ensemble des transactions et ce pour l’ensemble des entités de l’entreprise. Si des divergences apparaissent au niveau des contrôles, l’outil analyse automatiquement les transactions, non seulement pour évaluer les problèmes en termes qualitatifs et quantitatifs, mais également pour en déterminer les causes profondes et définir des mesures correctives à mettre en place.

Les outils de surveillance des contrôles de la nouvelle génération d’outils tels que PCT intègrent également des capacités d’intelligence artificielle (IA). Les contrôles applicatifs opérationnels qui ont été précédemment installés dans les systèmes au moyen de règles écrites (p. ex. un rapport énumérant tous les fournisseurs créés et approuvés par la même personne) sont désormais enrichis par un moteur IA. Ce moteur détecte automatiquement les comportements d’utilisateur inhabituels ou nouveaux et demande aux responsables des contrôles internes d’accepter ou de refuser les nouveaux comportements. Cette nouveauté enrichit automatiquement le dispositif de règles et les contrôles qui seront ensuite exécutés régulièrement.

Protéger les données via des accès utilisateurs appropriés

La gestion des accès utilisateurs n’est pas une mince affaire. Elle requiert de s’assurer que les fonctions opérationnelles agissent comme prévu tout en garantissant la conformité aux exigences réglementaires et de protection des données applicables. La mise en place de S/4HANA offre des opportunités considérables pour l’ensemble de l'architecture des systèmes informatiques, il est donc crucial de prendre en compte également les thèmes relatifs à la conformité SAP et aux accès utilisateurs en mobilisant les équipes concernées.

Dans la solution ERP classique de SAP, les utilisateurs accèdent au système via ce que l’on appelle des GUI SAP. Certains clients utilisent également la Business Warehouse (BW - base de stockage) de SAP, de façon séparée. Quoi qu’il en soit, deux concepts d’autorisation doivent être déployés et assurés (l’ERP classique et la BW).

Figure 3 : Architecture des systèmes informatiques (simplifiée) avec un ERP classique

 

Avec S/4HANA, il n’est possible d’exploiter pleinement le potentiel de la solution qu’en utilisant les outils Fiori et BW pour tirer le meilleur parti du reporting. Mais cela complique la gestion efficace des accès utilisateurs face à l’ensemble des exigences réglementaires applicables.

 

Figure 4 : Architecture des systèmes informatiques (simplifiée) avec S/4HANA

Vous devez vous assurer que chaque personne est véritablement limitée à un code de société unique dans S/4HANA, tout en pouvant accéder à toutes les autres données de l’entreprise via le BW intégré.

Pour garantir une gestion conforme des utilisateurs et des accès avec S/4HANA, les blocs suivants sont nécessaires :

  • Répertoire des exigences réglementaires
    Recueil de toutes les exigences réglementaires et opérationnelles concernant les accès des utilisateurs et la protection des données dans un répertoire central accessible à l’équipe chargée de la gestion des accès. Ce répertoire peut également être utilisé pour assurer un suivi de la conformité.
  • Concept d’autorisation SAP uniformisé pour l’ensemble des systèmes
    Développement d’un concept d’autorisation SAP centralisé et harmonisé applicable à l’ensemble des systèmes et des solutions pour accéder aux données dans S/4HANA.
  • Recours à des rôles opérationnels
    Gestion des accès utilisateurs sur l'ensemble des systèmes au moyen de ce que l’on appelle des « rôles opérationnels ». Un rôle opérationnel correspond à une fonction (poste de travail) et contient tous les accès utilisateur nécessaires aux différents systèmes. Le recours à ces rôles contribue à réduire le risque qu’un utilisateur obtienne un accès supplémentaire à un code de société qu’il n’est pas censé posséder. Par ailleurs, il est plus facile pour les utilisateurs opérationnels de demander des rôles opérationnels sur la base de leurs fonctions.
  • Solutions de support pour l’analyse de la conformité
    S/4HANA inclut déjà un ensemble de solutions de base pour la vérification de la conformité des accès. Cependant, celles-ci requièrent souvent des saisies manuelles et n’ont pas la capacité d’héberger un répertoire des exigences réglementaires. Les vérifications manuelles de la conformité de la gestion des accès prennent beaucoup de temps et sont inefficientes. Il est fortement recommandé de regrouper les exigences fonctionnelles garantissant l’efficacité de la gestion des utilisateurs et des accès, d’analyser le fonctionnement des solutions existantes au sein de l’entreprise et de les exploiter plus efficacement ou, le cas échéant, de recourir à des solutions alternatives.

Mettre en place une conformité de votre système SAP et un concept d'autorisations adéquat en aval d’un projet est très coûteux, notamment parce qu’il faut recommencer la phase de test sous peine de pénaliser l'exploitation. Il vaut mieux réfléchir à ces enjeux dès le début du processus : il est préférable et plus efficace de créer un climat de confiance autour des accès utilisateurs aux systèmes durant la phase de projet déjà, plutôt que d’attendre la mise en service du système S/4HANA.

Utiliser la fonctionnalité de reporting pour rendre les rapports de contrôle plus efficaces

La production de rapports de contrôle (p. ex. en dressant la liste de tous les paiements supérieurs à CHF 1 million) suivie de leur vérification n’est pas toujours l’approche la plus profitable. Il est souvent beaucoup plus efficace et viable de recourir à des contrôles configurables. Malgré cela, il arrive encore souvent que les contrôles configurables ne soient pas disponibles ou alors uniquement en combinaison avec des outils tiers complémentaires.

Dashboard für eine effiziente Kontrollüberwachung

Figure 5 : Tableau de bord en vue de garantir un contrôle efficace

Non seulement S/4HANA rend possible l’intégration des processus opérationnels, mais il offre également une vaste gamme de fonctionnalités de reporting, grâce au BW intégré et aux outils BW tels que Lumira et la plateforme HANA.

Au lieu de vérifier au niveau des accès d’un utilisateur l’absence de conflits de séparation des fonctions (« segregation of duty - SoD »), il est désormais possible de générer un rapport indiquant les transactions dans lesquelles une même personne a enregistré les biens reçus et placé le bon de commande, en temps réel. Avec l’ERP classique, il n’était pas possible d'analyser un volume aussi important de données sur de multiples tableaux sans générer des coûts supplémentaires.

En plus de détecter les conflits potentiels de SoD, il est désormais possible d’analyser des abus de fonction avérés. Cela signifie que vous pouvez désormais effectuer des vérifications de SoD des accès utilisateurs de façon préventive en même temps que vous réalisez un reporting de contrôle des transactions, ce qui est plus réactif. En tirant parti de la fonctionnalité de reporting pour l’exécution et le suivi des contrôles, vous renforcerez la confiance dans les données et les transactions.

En résumé

La direction d’une entreprise et son conseil d’administration doivent absolument pouvoir faire confiance aux données provenant des systèmes informatiques, y compris SAP. Il est important qu’un nouveau cadre de contrôle soit mis en place en  tenant compte des changements dans les processus et systèmes introduits par S/4HANA. Il faudra également trouver le juste équilibre entre les exigences réglementaires et de sécurité, et les efforts à déployer pour exploiter le cadre de manière efficace. De nombreux modèles utiles et une mine d'expériences sont à votre disposition pour vous y aider.

Si la mise en œuvre de S/4HANA complexifie la gestion efficace du cadre de contrôle dans la mesure où vous appliquez les mêmes principes que ceux de votre ancien ERP SAP, les nouvelles fonctionnalités apportent cependant une valeur ajoutée à l’entreprise et offrent de nouvelles possibilités en matière de reporting et de gestion des contrôles.

L’expérience accumulée dans le cadre de nombreux projets clients montre que l'introduction de contrôles de sécurité après le déploiement de S/4HANA s’accompagne toujours d’une hausse des coûts et d’une résistance au sein de l'entreprise. L’adoption directe d’un nouveau système sans remettre en cause et transformer les contrôles en place ou les autorisations SAP génèrera des problèmes, non seulement du fait de l'architecture des nouveaux systèmes SAP, mais aussi en raison de la constante expansion du cadre réglementaire. Cela entraînera la mise en place nécessaire de divers projets de suivi visant à compléter ou à développer des mesures correctives appropriées, des inefficiences au niveau des processus opérationnels, ainsi qu’un risque accru de fraudes et de données incorrectes. Le tout débouchera souvent sur des projets coûteux qui auraient pu être évités en amont. Pour cette raison, la direction doit prêter attention aux cadres de sécurité et de contrôle dès le départ et veiller à ce que cet aspect soit pris en compte dans le projet de mise en place de S/4HANA. Le conseil d'administration devrait également examiner régulièrement s’il peut s'appuyer sur les données et les rapports, et définir les mesures à prendre pour garantir l’intégrité dans le projet tout comme dans les activités quotidiennes. C’est la seule manière pour votre entreprise de retirer le maximum de valeur ajoutée dans la mise en place de S/4HANA.

Aperçu des articles

Contenu connexe

Nous contacter

Antoine Wüthrich

Antoine Wüthrich

Leader ERP & Business Process Excellence, PwC Switzerland

Tel : +41 58 792 82 27

Linkedin Follow Email
Robert Schiffner

Robert Schiffner

ERP and Business Process Excellence, PwC Switzerland

Tel : +41 58 792 75 35

Email
Follow us
Services Audit Conseil Fiscal Consulting Deals Fortune Privée & Entrepreneurs Legal Marchés Mondiaux People and Organisation PME and Entreprises Familiales Services Fiduciaire
Secteurs d activité Commerce de détail et biens de consommation Énergie Immobilier Industrie manufacturière Services Financiers Secteur Public Secteur de la Santé Sports Advisory Consulting Télécommunications et médias
Enjeux actuels L’intelligence artificielle Workforce of the Future Finance Transformation Customer Transformation Cybersecurity Données et analytique ESG : Les critères et leur mise en œuvre
À propos de PwC Contact Presse Nos bureaux Organisation et Direction Objectif, Valeurs et Code de Conduite Faits et Chiffres Notre Histoire Alumni
Carrière Postes Vacants Carriere Événements Professionnels Jeunes Diplômés Étudiants Apprentis PwC en tant qu'employeur
Research & Insights Nos dernières insights S'abonner aux insights de PwC Preference Centre

© 2018 - 2024 PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.