Article

Ségrégation des tâches

Security
Temps de lecture : 10 minutes

La ségrégation des tâches (SoD), ou « séparation des tâches », divise les tâches en au moins deux parties pour éviter qu’une seule personne puisse agir de manière unilatérale quand les répercussions d’effets irréversibles dépassent la tolérance d’une organisation pour l’erreur ou la fraude. Appliquée aux fonctions principales, cela protège les organisations contre les risques de fraude, d’erreur humaine et d’actes malveillants qui pourraient affecter leur argent, leurs stocks ou les informations sensibles

Recgardez cette vidéo sur la SoD pour voir comment les administrateurs peuvent élaborer rapidement des règles pour réduire le risque de fraude et maintenir la conformité.

La ségrégation des tâches fait intégralement partie de la gestion efficace des risques et des contrôles internes, car elle empêche la possession d’un nombre suffisant de privilèges par une seule personne pour causer des problèmes. Par exemple, elle évite que la personne utilise son pouvoir à des fins malveillantes ou non autorisées. La ségrégation des tâches permet aussi de surmonter de simples fautes dues à l’erreur humaine, qui peuvent être repérées et corrigées facilement grâce à une deuxième vérification.

Voici quelques exemples d’actes que la ségrégation des tâches vise à empêcher, dans le cadre des stratégies de gestion du risque :

  • L’espionnage des entreprises
  • La corruption
  • Le non-respect des obligations de conformité et les sanctions qui en découlent
  • La fraude
  • Les erreurs de gestion flagrantes
  • Le détournement de fonds ou d’autres actifs d’une organisation
  • Les manquements professionnels
  • Le sabotage
  • L’accès non autorisé à des informations sensibles
  • Les erreurs humaines incontrôlées
  • Les pratiques d’embauche sans scrupules (par exemple l’embauche d’amis à des niveaux de salaire exagérés)

La ségrégation des tâches répartit les rôles essentiels à l’activité en quatre catégories selon les fonctions.

  1. L’autorisation
    Ce rôle consiste à examiner les transactions ou les opérations et à les approuver.
  2. La conservation
    Ce rôle donne accès à des actifs (ou confère un contrôle sur ceux-ci) tels que les espèces, les chèques, les machines, les fournitures ou les informations sensibles.
  3. La tenue des comptes
    Il s’agit d’un rôle de vérification du traitement ou de l’enregistrement des transactions pour s’assurer que toutes les transactions sont valides, disposent des bonnes autorisations et soient consignées avec exactitude et dans les délais prescrits.
  4. Les rapprochements
    Ce rôle consiste à assurer un suivi de tous les écarts ou erreurs qui sont découverts.

Pour que la gestion des risques soit efficace, il faut éviter qu’une seule personne ou un seul service n’assume de responsabilités dans plusieurs de ces catégories.

La ségrégation des tâches doit être appliquée à des règles de flux de tâches prévoyant une supervision. Cela permet d'éviter qu’une seule personne n’ait le contrôle de plus d’une responsabilité à la fois.

La ségrégation des tâches dans la gestion de risque

C’est la tolérance au risque qui détermine l’étendue de la ségrégation des tâches. Chaque organisation a une certaine tolérance au risque et a ses courbes de propension, et ce sont elles qui définissent le rapport entre la probabilité d’un risque et les gains auxquels il peut donner lieu, et qui pourraient rendre la prise de risque intéressante. Dans le cadre de la gestion de risque, la ségrégation des tâches nécessite une analyse approfondie de tous les rôles pour savoir lesquels sont jugés incompatibles en fonction des courbes de propension au risque.

Pour arriver à bien gérer le risque, les organisations élaborent des matrices de ségrégation des tâches pour leurs processus métiers stratégiques. Ces matrices corrèlent les activités et les responsabilités aux rôles et identifient les points névralgiques. Elles sont créées et gérées au moyen de systèmes logiciels.

Une matrice de ségrégation des tâches destinée à repérer les éventuels conflits entre les rôles et les responsabilités dans le cadre de la gestion de risque pour un flux de travail comprend les domaines suivants :

  • Les traitements : par exemple l’administration de la sécurité informatique
  • Les responsabilités : par exemple le provisioning des accès utilisateurs
  • Les procédures : par exemple, les autorisations de privilèges
  • Les rôles : par exemple, celui d’administrateur

Une cote de risque pour la réalisation d’une procédure est attribuée à chaque rôle (faible, moyen ou élevé). Pour minimiser le risque, à chaque utilisateur doit correspondre une seule procédure dans le traitement des tâches.

Réduire les risques de fraude et de conflits dans la répartition des rôles

Il y a un risque élevé de conflit si les activités en rapport avec des conflits de responsabilités viennent à être associées au même rôle ou quand une seule personne assume deux rôles conflictuels. Dans ce cas, la ségrégation des tâches doit être mise en œuvre en modifiant les processus, en changeant les activités ou en répartissant les fonctions entre des rôles différents.

Dans les cas où il n’est pas faisable ou pas praticable, on peut recourir pour la gestion du risque à la tactique de compensation des contrôles. À la place de la ségrégation des tâches, on peut mettre en place des vérifications régulières ou des autorisations secondaires.

Lorsque l’on réfléchit à la gestion de risque en termes de fraude, il est important par ailleurs de comprendre le « triangle de la fraude ». Ce terme est utilisé par les experts en gestion de risque et en prévention de la fraude pour parler des conditions qui peuvent conduire à un détournement. Les trois côtés du triangle sont :

  1. La pression financière sur une personne ;
  2. Les arguments rationnels incitant à l’acte criminel ;
  3. L’opportunité de commettre le crime.

La ségrégation des tâches neutralise efficacement le triangle au point d’opportunité. Sachant que ses actions seront supervisées par un tiers, quand la personne s’interroge sur la viabilité d’une opportunité, elle a des doutes, et la probabilité d’une tentative de crime s’en trouve réduite.

La ségrégation des tâches dans la comptabilité

Utilisée en comptabilité pour apporter des contrôles sur les fonds et d’autres actifs, elle est divisée en quatre catégories distinctes selon les fonctions: autorisation, conservation, tenue des comptes, rapprochement. Voici quelques exemples de ségrégation des tâches dans la comptabilité :

  • La personne qui autorise l’établissement d’un chèque ne doit pas être la même que celle qui l’enregistre dans le logiciel de comptabilité ou qui effectue le rapprochement avec le compte chèque.
  • Les personnes qui ont accès aux actifs, par exemple les comptes bancaires ou les stocks, ne doivent pas traiter d’écritures ou d’autorisations.
  • La personne qui supervise les dépenses ne doit pas avoir la possibilité de les approuver.

La ségrégation des tâches atténue le risque de fraude parce qu’elle prévoit une supervision et en fait en sorte qu’une facture ne puisse pas être approuvée par une seule personne, ou la création d’un nouveau fournisseur dans le système, ou la délivrance d’un chèque. Cela empêche les fraudes courantes en comptabilité qui sont la conséquence d’une mauvaise séparation des tâches, telles que :

  • La création de fausses factures et le versement de sommes sur un compte dont elle a la responsabilité ;
  • La création de comptes fantômes pour des salariés, des clients ou des fournisseurs qui n’existent pas ;
  • Le traitement de faux remboursements à des fournisseurs ;
  • L’établissement de chèques à son nom, qu’elle enregistre ensuite comme des règlements à un fournisseur.

La ségrégation des tâches dans d’autres fonctions

Ce concept est applicable et efficace dans toutes sortes de contextes. Même si la plupart du temps c’est dans les domaines de la comptabilité et de la finance qu’on la rencontre, la ségrégation des tâches joue un rôle déterminant en gestion de risque dans d’autres fonctions et secteurs. Par exemple, dans la santé, voici des fonctions qui doivent être assumées par des personnes différentes :

  • L’approbation et le pourvoi d’accès aux informations sensibles ;
  • La création et la vérification de rapports ;
  • La gestion des stocks et la distribution de substances règlementées (telles que les opioïdes ou les stimulants) ;
  • L’établissement et l’approbation de bons de demande ou de commande ;
  • La commande de marchandises à un fournisseur et leur enregistrement dans le système comptable ;
  • L’embauche et la paie ;
  • La gestion des fusions et acquisitions et le négoce d’actions.

La ségrégation des tâches dans la gestion des risques et la conformité GRC

Une autre application courante à la gestion de risque appartient au domaine de la gouvernance, du risque et de la conformité (GRC). La GRC aligne les objectifs informatiques avec ceux de l’entreprise pour gérer le risque et être en règle avec les réglementations. Par exemple, dans le cadre de la conformité, la ségrégation des tâches est utilisée pour :

  • La conformité à la loi Sarbanes-Oxley (SOX) compliance
    La SOX oblige les sociétés cotées en bourse à documenter et à certifier les contrôles qu’elles utilisent pour leurs déclarations financières. Un aspect essentiel des contrôles dont il faut apporter la preuve est la ségrégation des tâches. La non-justification d’une ségrégation des tâches ou une falsification des déclarations en la matière peut entraîner des sanctions.
  • Le titre 21 du Code of Federal Regulation (CFR), partie 11
    Dans son titre 21, partie 11, le CFR du gouvernement fédéral américain exige la ségrégation des tâches dans le cadre de la conformité. Elle sert à garantir la validité des écritures et la déclaration des contrôles, qui ne doivent être créés et modifiés que par des personnes autorisées.

Cas d’utilisation et exemples de SoD

  • La gestion de la conservation d’actifs et des stocks
    La gestion de la conservation d’actifs et la tenue des comptes relatives aux stocks ne doivent pas être entre les mains de la même personne.
  • La conservation d’espèces et rapprochement des comptes débiteurs
    La gestion des dépôts d’espèces et leur réconciliation avec les factures doivent être séparées.
  • Les dépenses et approbations
    Personne ne doit être autorisé à approuver ses propres dépenses.
  • Les embauches et les rémunérations
    Les responsables d’embauche peuvent faire des recommandations de rémunération mais il ne doivent pas avoir la possibilité de définir le montant des salaires. Cela doit aussi s’appliquer aux primes.
  • Les écritures et les autorisations
    Séparer les fonctions de ceux qui passent des écritures et de ceux qui les approuvent.
  • Les paiements et les rapprochements bancaires
    Confiez les paiements (par exemple aux fournisseurs, l’établissement de chèques) et les rapprochements bancaires à différentes personnes.
  • Bons de commande
    Exiger que les bons de commande soient approuvés par plusieurs personnes.
  • Les approbations dans le domaine commercial
    Les approbations de transactions commerciales (par exemple de marges ou de crédit aux clients) doivent être séparées du processus commercial. Autrement dit, les commerciaux ne doivent pas avoir la possibilité de fixer des marges ou d’étendre des conditions de crédit tout seuls.
  • La gestion des fournisseurs
    Séparez la création de fournisseurs dans un système de la publication et du règlement des factures.

Une méthode éprouvée pour mettre en place des vérifications et des équilibres

La raison pour laquelle la ségrégation des tâches est utilisée à si grande échelle dans les stratégies de gestion du risque est qu’elle fonctionne. La ségrégation des tâches a démontré à maintes reprises sa capacité à empêcher l’abus de pouvoir et toutes les activités frauduleuses qui en résultent du fait d’une seule personne ou par collusion au sein d’un groupe. Cela s’inscrit dans un système de contrôles incontournables qui permettent de prévenir et de détecter l’existence de la fraude et de l’erreur dans tout type d’organisation.

Rapport de synthèse de Kuppingercole sur SailPoint Atlas

Rapport de synthèse de Kuppingercole sur SailPoint Atlas

Ce rapport de synthèse élaboré par le cabinet d'analystes indépendant KuppingerCole, fournit une vision d'ensemble de SailPoint Atlas, une solution de sécurité des identités combinant des technologies modernes telles que l'IA et l'apprentissage automatique.

Télécharger le rapport
Leadership Compass de KuppingerCole  pour la gouvernance des accès

Leadership Compass de KuppingerCole pour la gouvernance des accès

Découvrez pourquoi une note « fortement positive » a été discernée aux fonctionnalités IAG de SailPoint, indiquant notre capacité à fournir une solution IAG complète et bien étoffée.

Télécharger le rapport
L'approche manuelle de la gestion des identités des non-employés entraîne des problèmes de sécurité

L'approche manuelle de la gestion des identités des non-employés entraîne des problèmes de sécurité

Obtenez des informations sur l'accès des non-employés et des non humains aux applications, aux systèmes et aux données, et sur les types de problèmes de sécurité qui peuvent survenir.

Télécharger le rapport