SoD : frein ou opportunité pour la performance d’une organisation

Son application est souvent vécue comme une complexification inutile des organisations. Son impact sur la performance d’un métier est aussi fortement discuté. En alourdissant les processus, elle entraînerait une perte de réactivité opérationnelle : les cas de workflow de validation chronophages sont souvent cités. De plus, elle redistribuerait du travail supplémentaire à tout le monde, certaines tâches étant auparavant réalisées par un acteur unique. Non seulement elle nécessite dans certains cas des ressources additionnelles pour absorber les tâches nouvelles qu’elle engendre mais elle peut aussi solliciter - par défaut - des acteurs qui ne sont ni concernés, ni formés pour assurer ces nouveaux travaux. Ainsi la séparation des tâches représente presque toujours un coût significatif, en particulier lorsqu’elle provoque la réorganisation complète d’un système d’information. La conformité aux différents cadres législatifs existants en la matière, réputés pour leur exigence et leur complexité, peut appeler des investissements importants.

Malgré les efforts humains et financiers qu’elle a nécessités, la SoD ne semble pourtant pas encore suffisamment déployée. Une SoD effective aurait par exemple permis d’éviter la « fraude au président » qui a proliféré ces dernières années et dont le préjudice global s’élèverait à 485 millions d'euros selon l’Office central de répression de la grande délinquance financière (OCRGDF). La SoD est aussi contestée au quotidien car ses principes sont souvent incompris ou mal connus. En cause, une communication du management parfois insuffisante ou maladroite, qui en fait une des cibles privilégiées de la résistance au changement. La SoD est aussi souvent contournée par souci de praticité ou d'efficacité, notamment via des échanges de mots de passe, ou exécutée passivement par manque d’implication des parties prenantes.

La séparation des tâches, quand elle ne fait pas défaut, est un moyen simple mais efficace de prévenir les risques de fraudes. En impliquant de nouveaux acteurs, elle permet de détecter plus facilement les pratiques suspectes en amont. Elle donne surtout aux « valideurs » d’un processus le pouvoir et la responsabilité de bloquer immédiatement des initiatives frauduleuses, individuelles ou groupées. La séparation des tâches s’avère d’autant plus nécessaire qu’un nombre croissant de pratiques douteuses s’observent dans les SI : attribution de droits illimités sans aucun contrôle ou accumulation d’habilitations pour un même utilisateur en cas de mobilité interne. De plus, l’imbrication croissante des SI rend l’étendue des droits d’accès plus opaque que jamais. Elle nécessite donc une vigilance redoublée de la part des administrateurs et appelle nécessairement une politique SoD ambitieuse.

Une SoD pleinement intégrée au SI d’une organisation constitue une plus-value immédiate pour la gestion des risques opérationnels : ceux-ci sont gérés en amont grâce à la définition des couples rôles-autorisations pour chaque profil d’utilisateur. Une SoD finement ajustable permet aussi de cibler les points faibles d’une organisation en dispensant un contrôle supplémentaire si une carence se fait sentir : en raison de leur criticité, les clôtures comptables ou les réconciliations bancaires font par exemple l’objet de contrôles particulièrement assidus. Quand la séparation des tâches est bien incorporée au SI, elle permet également de réduire les coûts de contrôle et d’audit internes, charges lourdes pesant sur les Directions Administratives et Financières. Une SoD bien pilotée par le SI facilitera les pistes d’audit et optimisera le temps des auditeurs : moins de tests pour plus de recommandations à haute valeur ajoutée. En proposant les reportings adéquats, elle réduira les pratiques manuelles – et donc laborieuses - de revue des droits d’accès.

• Des problématiques SoD cruciales figurent presque toujours à l’arrière-plan d’un projet d’organisation
• Il est impératif de penser la SoD dès le début d’un projet pour l’inscrire pleinement et durablement dans les processus de la future organisation
• Définir la SoD ne signifie pas la geler pour autant : elle doit rester souple et adaptable à la stratégie de l’entreprise
• Le succès de la SoD réside dans son calibrage : la taille de l’organisation et la criticité des risques identifiés sont à prendre en compte
• Le pilotage de la SoD dans un projet est un exercice difficile qui mobilise des compétences multiples : elle suppose des acteurs expérimentés et disposant d’importantes connaissances transverses
• Une SoD bien incorporée au SI sera créatrice de valeur ajoutée, en particulier pour les fonctions de gestion des risques, d’audit et de contrôle internes
• Il est nécessaire de se donner les moyens d’une véritable politique SoD afin d’en faire un levier puissant pour structurer les processus et pour renforcer la performance opérationnelle.