Sécurité et contrôles ERP

L’implémentation d’un système ERP (comme SAP, Oracle, JDEdwards, Axapta…) implique de passer à un environnement hautement intégré, ce qui peut être complexe. Cela peut aussi entraîner des ajustements significatifs dans les processus existants et dans votre organisation. C’est pourquoi ces changements influent non seulement sur l’organisation et les contrôles IT, mais aussi sur les principaux processus opérationnels et sur l’organisation elle-même.

Toutefois, la fiabilité et la continuité des processus (automatisés) et la fourniture d’information de gestion ne sont pas garanties par la seule implémentation d’un logiciel ERP. Durant le projet, une attention suffisante devrait également être accordée aux avantages opérationnels que le système doit apporter, ainsi qu’au développement et à la fixation de mesures de contrôle.


La plupart des organisations veillent uniquement à ce que la fonctionnalité requise soit implémentée dans le nouvel environnement. Une incapacité à implémenter et maintenir les contrôles augmente le risque en ce qui concerne :

· la continuité et la fiabilité de votre environnement ERP, ce qui peut entraîner des problèmes opérationnels ainsi que des pertes financières ;
· la fiabilité de l’information financière et de gestion, rendant impossible une conduite optimale de vos processus opérationnels ;
· l’efficacité et l’efficience de vos processus opérationnels, augmentant les frais de gestion de votre entreprise ;
· l’utilisation non autorisée des ressources de l’entreprise au moyen de l’accès à une fonctionnalité ERP. Cela peut être le résultat du non-respect de la séparation organisationnelle des fonctions ;
· la conformité légale et réglementaire. Il pourrait y avoir des manquements en matière d’exigences légales et réglementaires comme la TVA, la réglementation Sarbanes-Oxley et le Code Tabaksblat...

L’implémentation d’un système ERP constitue également une occasion de mettre en œuvre des contrôles et une sécurité améliorés. Pas seulement pour aborder le type de risques mentionnés ci-dessus, mais aussi pour améliorer l’efficacité de vos processus opérationnels, la qualité de l’information dans votre base de données, etc.

Mise en oeuvre des mesures de contrôle dans votre environnement ERP
Pour chaque organisation, il est important d’évaluer les risques encourus et de prendre des mesures pour gérer ces risques. En implémentant un nouveau système d’information et les processus qui l’accompagnent, ces risques et les mesures de contrôle existantes doivent être évalués. Afin de garantir la gestion future des processus opérationnels, il est important de tenir compte de la conception et de la mise en œuvre de mesures de contrôle dès le début, parce que le système doit fonctionner de manière fiable immédiatement après la mise en service.

Les mesures de contrôle à l’intérieur et autour de l’ERP doivent être conçues en détail et en accord avec le nouvel environnement. Sur base de vos objectifs opérationnels, nous effectuons une analyse des risques dans et autour du système ERP et des processus opérationnels. Cette analyse constitue le point de départ pour élaborer avec vous un mélange optimal de mesures de contrôles visant à minimiser les risques identifiés. Ensuite, nous mettons en oeuvre les mesures de contrôle comme une composante du projet d’implémentation du logiciel ERP.

Un certain nombre de mesures de contrôles peuvent être configurées directement dans le logiciel ERP, tandis que d’autres doivent être intégrées dans l’organisation administrative entourant le système. En plus des règles de contrôle qui doivent être configurées, une sécurité d’accès logique constitue l’une des mesures de contrôle les plus importantes dans un environnement ERP. En particulier, l’une des principales préoccupations est d’allouer des droits proportionnés aux fonctions de l’utilisateur au sein de l’organisation. De plus, nous examinons les mesures de contrôle relatives aux interfaces, à la migration de données et à l’organisation de contrôle IT qui doivent être établies.
Afin de soutenir la mise en œuvre des mesures de contrôle, nous disposons pour la plupart des progiciels ERP de plusieurs outils d’analyse de sécurité développés et entretenus au niveau international, ainsi que de notre base de données « Word Class Controls », qui contient les normes de pratiques exemplaires pour les mesures de contrôle (automatisées) pour chaque processus opérationnel. Nos outils d’analyse de sécurité comprennent un logiciel de sécurité développé en interne qui inventorie et simule la structure complexe de l’accès sensible (souhaité), de la séparation des fonctions et droits d’accès. En plus d’évaluer ces mesures de contrôle, il est également possible d’inventorier et d’évaluer les contrôles automatisés de manière automatique. À l’aide de ces outils, nous sommes capables de définir et de concevoir des mesures de contrôle de manière très efficiente et efficace.

Que pouvez-vous attendre de PricewaterhouseCoopers ?
Nos conseillers en certification de systèmes et de processus possèdent une expérience approfondie dans la mise en œuvre et l’évaluation de mesures de contrôle opérationnel et de processus au sein d’un environnement ERP, ainsi que dans l’aide aux organisations pour mettre en œuvre des moyens de gérer les risques et d’améliorer l’efficacité. En plus de posséder une bonne connaissance du logiciel ERP, beaucoup d’entre eux sont des experts comptables et/ou des « certified IT auditors » diplômés.

· Pour l’évaluation et la mise en œuvre des contrôles opérationnels ERP, nous disposons d’une série complète d’outils et de bases de connaissances. Cela comprend des outils tels que PwC SAP ACE (Évaluateur de contrôles automatisés) pour SAP, GATE pour Oracle et SODA pour JD Edwards, ainsi que l’outil de déclaration TVA pour tous les environnements ERP. Le reporter TVA permet une analyse rapide de vos flux TVA et le contrôle de vos déclarations TVA par rapport aux transactions garanties dans votre progiciel ERP.
· PwC est également un partenaire préféré d’implémentation, inter alia pour systèmes VIRSA et logiciel Runbook. Ces outils permettent une surveillance en temps réel du fonctionnement de la sécurité d’accès logique et des contrôles à exécuter par les utilisateurs, et fournissent la preuve de l’utilisation correcte des contrôles au sein de votre système ERP.