Aller au contenu principal

SoD : frein ou opportunité pour la performance d’une organisation

La séparation des tâches, plus communément appelée SoD pour « Segregation of Duties », consiste à diviser un processus en plusieurs rôles puis de distribuer ces rôles à différents acteurs dans l’optique de renforcer les contrôles et de limiter les risques d’erreur et de fraude.

Certaines tâches ne peuvent plus être exécutées par le même acteur. Par exemple, la création et la validation d’une commande sont désormais deux actions incompatibles pour un même agent. 15 ans après l’affaire Enron et les lois SOX et LSF qui ont suivi, la mise en place de la séparation des tâches semble avoir été laborieuse et son bilan mitigé. Désormais, l’enjeu est de tirer parti de cette contrainte en l’intégrant pleinement à la stratégie opérationnelle de l’entreprise.

La séparation des tâches est d’abord perçue comme une contrainte

Son application est souvent vécue comme une complexification inutile des organisations. Son impact sur la performance d’un métier est aussi fortement discuté. En alourdissant les processus, elle entraînerait une perte de réactivité opérationnelle : les cas de workflow de validation chronophages sont souvent cités. De plus, elle redistribuerait du travail supplémentaire à tout le monde, certaines tâches étant auparavant réalisées par un acteur unique. Non seulement elle nécessite dans certains cas des ressources additionnelles pour absorber les tâches nouvelles qu’elle engendre mais elle peut aussi solliciter - par défaut - des acteurs qui ne sont ni concernés, ni formés pour assurer ces nouveaux travaux. Ainsi la séparation des tâches représente presque toujours un coût significatif, en particulier lorsqu’elle provoque la réorganisation complète d’un système d’information. La conformité aux différents cadres législatifs existants en la matière, réputés pour leur exigence et leur complexité, peut appeler des investissements importants.

Un retour sur investissement qui peine encore à convaincre

Malgré les efforts humains et financiers qu’elle a nécessités, la SoD ne semble pourtant pas encore suffisamment déployée. Une SoD effective aurait par exemple permis d’éviter la « fraude au président » qui a proliféré ces dernières années et dont le préjudice global s’élèverait à 485 millions d'euros selon l’Office central de répression de la grande délinquance financière (OCRGDF). La SoD est aussi contestée au quotidien car ses principes sont souvent incompris ou mal connus. En cause, une communication du management parfois insuffisante ou maladroite, qui en fait une des cibles privilégiées de la résistance au changement. La SoD est aussi souvent contournée par souci de praticité ou d'efficacité, notamment via des échanges de mots de passe, ou exécutée passivement par manque d’implication des parties prenantes.

La SoD n’en demeure pas moins indispensable.

La séparation des tâches, quand elle ne fait pas défaut, est un moyen simple mais efficace de prévenir les risques de fraudes. En impliquant de nouveaux acteurs, elle permet de détecter plus facilement les pratiques suspectes en amont. Elle donne surtout aux « valideurs » d’un processus le pouvoir et la responsabilité de bloquer immédiatement des initiatives frauduleuses, individuelles ou groupées. La séparation des tâches s’avère d’autant plus nécessaire qu’un nombre croissant de pratiques douteuses s’observent dans les SI : attribution de droits illimités sans aucun contrôle ou accumulation d’habilitations pour un même utilisateur en cas de mobilité interne. De plus, l’imbrication croissante des SI rend l’étendue des droits d’accès plus opaque que jamais. Elle nécessite donc une vigilance redoublée de la part des administrateurs et appelle nécessairement une politique SoD ambitieuse.

La séparation des tâches peut créer de la valeur ajoutée

Une SoD pleinement intégrée au SI d’une organisation constitue une plus-value immédiate pour la gestion des risques opérationnels : ceux-ci sont gérés en amont grâce à la définition des couples rôles-autorisations pour chaque profil d’utilisateur. Une SoD finement ajustable permet aussi de cibler les points faibles d’une organisation en dispensant un contrôle supplémentaire si une carence se fait sentir : en raison de leur criticité, les clôtures comptables ou les réconciliations bancaires font par exemple l’objet de contrôles particulièrement assidus. Quand la séparation des tâches est bien incorporée au SI, elle permet également de réduire les coûts de contrôle et d’audit internes, charges lourdes pesant sur les Directions Administratives et Financières. Une SoD bien pilotée par le SI facilitera les pistes d’audit et optimisera le temps des auditeurs : moins de tests pour plus de recommandations à haute valeur ajoutée. En proposant les reportings adéquats, elle réduira les pratiques manuelles – et donc laborieuses - de revue des droits d’accès.

Pour conclure :

  • Des problématiques SoD cruciales figurent presque toujours à l’arrière-plan d’un projet d’organisation
  • Il est impératif de penser la SoD dès le début d’un projet pour l’inscrire pleinement et durablement dans les processus de la future organisation
  • Définir la SoD ne signifie pas la geler pour autant : elle doit rester souple et adaptable à la stratégie de l’entreprise
  • Le succès de la SoD réside dans son calibrage : la taille de l’organisation et la criticité des risques identifiés sont à prendre en compte
  • Le pilotage de la SoD dans un projet est un exercice difficile qui mobilise des compétences multiples : elle suppose des acteurs expérimentés et disposant d’importantes connaissances transverses
  • Une SoD bien incorporée au SI sera créatrice de valeur ajoutée, en particulier pour les fonctions de gestion des risques, d’audit et de contrôle internes
  • Il est nécessaire de se donner les moyens d’une véritable politique SoD afin d’en faire un levier puissant pour structurer les processus et pour renforcer la performance opérationnelle.