Séparation des tâches et sécurité des accès
Informations connexes
Related topics
Lorsque les auditeurs examinent les domaines de risque organisationnel et d’exactitude des relevé financiers, ils étudient l’adoption et la pratique des techniques de contrôle interne connexes pour la séparation des tâches et la sécurité des accès.
Séparation des tâches
L’un des principaux objectifs de la conformité réglementaire est de s’assurer que les données ne sont consultées ou créées que par les bonnes personnes. La séparation des tâches est l’acte de séparer et d’attribuer des étapes d’un processus à différents propriétaires, ce qui sert de double vérification de l’exactitude et de l’absence de fraude. En règle générale, une organisation doit s’assurer que les responsabilités favorisent la séparation des tâches afin qu’une personne ne puisse pas contourner les contrôles financiers ou avoir la responsabilité de bout en bout d’un processus.
Pour en savoir plus, consultez :
- Permissions
- Les permissions rapport pour tous les utilisateurs
- Activité des permissions utilisateur rapport
Considérations relatives à la séparation des tâches
De nombreuses organisations ont du mal à mettre en œuvre un cadre de séparation des tâches basé sur l’accès en raison d’un manque de personnel dans les rôles liés à la finance. Par conséquent, ils doivent compléter les contrôles d’accès par des contrôles de détection atténuants.
En règle générale, liste les contrôles de séparation des tâches dans le cadre de contrôle principal de l’organisation et non dans le cadre de contrôle d’accès. Cela encourage l’organisation à envisager d’autres moyens de gérer les risques au-delà de l’accès et des autorisations.
Sécurité des accès et permissions
Sage Intacct permet aux administrateurs de restreindre l’accès des collaborateurs à différentes zones de application en fonction de leur rôle et de leur service. Par exemple, un responsable informatique peut donner à un nouvel collaborateur qui gère comptes fournisseurs accès uniquement à Sage Intacct Comptes fournisseurs application tout en l’empêchant d’accéder à d’autres applications, telles que Comptes clients et Gestion de la trésorerie.
Sage Intacct permet de limiter l’accès aux fonctions et de séparer les tâches de différentes manières :
- La méthode standard consiste à utiliser les permissions. Les permissions peuvent être gérées à un niveau individuel ou avec des rôles. Pour en savoir plus, consultez :
- Les rapports et les tableaux de bord peuvent être créés avec des listes à accès restreint. Avec les listes restreintes, seuls des utilisateurs spécifiques peuvent accéder aux données du rapport ou du tableau de bord. Pour en savoir plus, consultez Onglet Permissions.
- Les définitions de transaction peuvent être créées avec des règles pour restreindre l’accès aux fonctionnalités d’une activité particulière. Par exemple, une facture de vente ne peut être créée qu’en référence à une commande de vente. En outre, une définition de transaction peut être créée avec des listes à accès restreint. Avec les listes restreintes, seuls des utilisateurs spécifiques peuvent créer ou accéder à ces types de transactions. Pour en savoir plus, consultez Définitions de transaction (Autorisations utilisateur et groupe dans l’onglet Configuration de la sécurité).
Considérations relatives à la sécurité des accès et aux autorisations
De nombreux problèmes d’accès peuvent survenir en raison des exigences et des réalités de l’organisation, en particulier lorsque les organisations évoluent et subissent des changements dans les opérations et la dotation. Ces problèmes peuvent inclure les suivants :
- Dans les petites et moyennes entreprises, les rôles des collaborateurs ont tendance à être plus flexibles. Ainsi, un accès qui ne répond pas aux exigences d’audit est accordé. Ce n’est pas un problème s’ils restent petits, mais ils peuvent nécessiter plus de discipline organisationnelle lorsqu’ils se développent, recherchent un certain financement ou planifient un changement de structure juridique.
- Les changements organisationnels qui affectent qui fait quoi peuvent nécessiter une refonte des autorisations d’accès après l’utilisation du système. Une telle refonte nécessite du temps et des efforts supplémentaires pour évaluer, mettre à jour et tester.
- De nombreuses organisations ont tendance à trop s’appuyer sur les contrôles d’accès pour les objectifs de contrôle d’existence au lieu d’adopter une vision plus globale de la puissance des contrôles de détection (tels que les rapports et la surveillance), qui sont souvent efficaces dans les petites et moyennes organisations.
- Les permissions peuvent être très complexes à concevoir correctement dès le départ. Avant de concevoir, comprenez tout le potentiel des contrôles d’accès sophistiqués de Sage Intacct et anticipez toutes les exigences de l’organisation, y compris les besoins futurs.
Les cabinets d’audit externe se concentrent parfois sur les contrôles d’accès avant de bien comprendre comment une solution Sage Intacct effectue des contrôles financiers, car les contrôles d’accès sont plus faciles à auditer et à trouver les erreurs. N’oubliez pas que les contrôles d’accès ne sont qu’un élément du contrôle et que les autres moyens d’obtenir des preuves de l’existence ou de l’authenticité des transactions, tels que les contrôles de détection et de surveillance, doivent également être envisagés.
| Fonctionnalités d’accès et de permissions | Raison | Limites |
|---|---|---|
|
Accès aux transactions et aux menus |
Facile à comprendre et visible. Simple à concevoir, car les contrôles de sécurité sont fous dès le début de la transaction. |
Peut ne pas prendre en charge des exigences d’accès complexes |
|
Basé sur le flux de travail |
Essentiel pour prendre en charge les contrôles du flux de travail. |
Peuvent être complexes si les flux de travail sont trop complexes |
|
Basé sur un élément de données (par exemple, une entité ou un fournisseur) |
Prend en charge les contrôles sur les données sensibles (par exemple, les contrats gouvernementaux, les champs sensibles tels que les coordonnées bancaires, les données personnelles des collaborateurs qui sont des fournisseurs). |
Peut dicter la nécessité d’une logique de transaction nécessitant que ces données soient saisies à l’avance |
|
Permissions spéciales pour des transactions spécifiques |
Lorsqu’il existe des permissions d’accès spécifiques liées à la fonctionnalité. C’est souvent le cas pour les activités d’administration système, mais cela peut être étendu aux transactions commerciales. |
Ajoute de la complexité, mais peut être une solution pour des besoins spécifiques |
|
Fonctionnalités pour des contrôles de sécurité personnalisés, permettant des règles définies par le client |
Offre une flexibilité accrue. |
Les auditeurs doivent comprendre et tester l’efficacité de la conception de ces contrôles. |
