Sans séparation des fonctions, vous brûlez votre argent
C’est le point culminant d’un film de guerre fictif à gros budget et le président vient tout juste d’approuver le lancement d’urgence d’une ogive nucléaire. Les officiers graves commencent la séquence de lancement en récupérant deux clés, qu’ils tournent de manière spectaculairement lente.
Aussi cliché que soit cette scène, elle reflète un véritable procédé utilisé au sein de l’armée américaine. La fameuse règle des deux personnes, instaurée pendant la guerre froide, garantit que l’accès à des armements sensibles exigera toujours l’intervention de deux individus haut placés distincts, même après l’approbation verbale de l’officier commandant.
Et cela ne se limite pas à l’armée. Les protocoles de contrôle à deux personnes sont employés par les gouvernements, les banques, les entreprises de sécurité, les gestionnaires d’actifs et les sociétés pharmaceutiques, pour n’en citer que quelques-uns.
Want more from The CFO Club?
Create a free account to finish this piece and join a community of modern CFOs and finance executives accessing proven frameworks, tools, and insights to navigate AI-driven finance.
Have an account? Log In
L’idée est de réduire le risque d’erreur, de fraude ou de comportement malveillant en répartissant la responsabilité des actions clés entre deux parties ou plus. Ce concept de base est appelé la séparation des tâches — et il est d’une importance cruciale pour les entreprises technologiques. Voici pourquoi.
Qu’est-ce que la Séparation des Tâches ?
La séparation des tâches (SoD) est un contrôle interne qui garantit qu’au moins deux personnes sont conjointement responsables d’une tâche donnée. Elle est généralement mise en œuvre en attribuant à deux personnes ou plus la gestion de différents éléments d’une tâche spécifique.
Par exemple, un directeur financier peut décider de déléguer la comptabilité de la paie à l’Employé A, mais demander à l’Employé B de valider le traitement des salaires.
L’idée est de réduire les risques de fraude et d’erreurs humaines en s’assurant qu’aucun individu n’a le contrôle total sur un processus important. La séparation des tâches est également appelée séparation des fonctions — les deux termes peuvent être utilisés de manière interchangeable.
De façon générale, il existe 4 grands rôles ou types d’activités qui devraient idéalement être séparés. Cela signifie qu’aucune entité ne devrait avoir la responsabilité de ces 4 activités ; et dans un scénario idéal, chaque activité serait gérée de façon indépendante. Les catégories sont :
Autorisation ou Approbation (AUT)
La personne qui autorise une transaction, une commande ou une action interne importante, et/ou celle qui approuve cette action.
Garde des Actifs (CUS)
La personne responsable de la gestion des actifs, tels que l’inventaire ou un chèque physique remis par un client.
Enregistrement des Transactions (REC)
La personne qui saisit les transactions dans un logiciel de comptabilité ou tout autre registre interne.
Rapprochement/Contrôle/Vérification (VER)
La personne qui rapproche les relevés bancaires, les niveaux d’inventaire physique, etc.
Les protocoles SoD sont pertinents à l’échelle de l’entreprise, mais leurs applications les plus significatives concernent la gestion des risques et la comptabilité. Ces protocoles s’appliquent aussi bien dans une entreprise privée, une organisation à but non lucratif, qu’un organisme gouvernemental.
Quelques exemples de séparation des tâches sont présentés ci-dessous.
Gestion des Risques
Les équipes de gestion des risques peuvent séparer les tâches en :
- Exigeant la validation de plusieurs parties prenantes pour toute modification IT majeure, mise à jour de site web, etc.
- Veillant à la mise en place de processus internes de relecture (impliquant plusieurs parties prenantes) avant la publication de tout état financier (afin de garantir la conformité avec les réglementations SOX)
- S’assurant que les communications internes sensibles et les secrets commerciaux soient surveillés et limités aux employés disposant de l’accréditation adéquate
- Partageant la responsabilité de la mise en place des contrôles d’accès par rôle entre les personnes chargées de la sécurité informatique
Comptabilité
Quelques exemples d’équipes comptables séparant leurs tâches :
- Confier la gestion de la paie et le traitement des salaires à des employés distincts
- Assigner à un employé la tenue des registres d’inventaire, et à un autre la gestion physique et le traitement de celui-ci
- Faire valider la réception de marchandises physiques par un employé, et confier à un autre le règlement de ces biens
Autres Fonctions
La séparation des tâches peut également s’appliquer au processus d’embauche (pour éviter le népotisme), au processus de licenciement ou de mise à pied (pour prévenir le sabotage ou d’autres comportements malveillants), ainsi que dans divers autres contextes des ressources humaines.
Pourquoi cela en vaut la peine
Le principal inconvénient de la séparation des tâches (SoD) — et la raison pour laquelle certaines entreprises y renoncent — est qu’elle a tendance à créer des goulets d’étranglement dans certains processus. Par définition, la SoD sépare des tâches qu’une seule personne pourrait théoriquement effectuer, ce qui peut générer ce qui peut être perçu comme des inefficacités.
Mais négliger les protocoles de SoD peut avoir des conséquences dévastatrices.
D’une part, cela ouvre la porte à la fraude aux paiements, au détournement de fonds et au vol. Si une seule personne est chargée de passer des commandes, de les recevoir, d’approuver les paiements et de rapprocher les registres, la possibilité d’activités malveillantes devient beaucoup trop facile.
La menace de la fraude interne peut sembler lointaine, mais il s’agit d’un risque tout à fait réel pour la plupart des entreprises. Un rapport de 2022 de l’Association of Certified Fraud Examiners a révélé qu’à l’échelle mondiale, les organisations perdent 5 % de leurs revenus en raison de la fraude chaque année — et la fraude commise par les employés était à la fois la plus courante et la plus coûteuse.
Deuxièmement, cela augmente le risque qu’une erreur humaine ait un impact sur votre entreprise. Si vous ne disposez pas d’un second regard sur les processus internes importants, vos chances de manquer des erreurs augmentent considérablement.
Enfin, cela affaiblit l’efficacité du contrôle interne. En autorisant des décisions et des actions unilatérales, la probabilité qu’une seule personne puisse bouleverser l’organisation (intentionnellement ou non) augmente.
Meilleures pratiques pour la SoD
Les meilleures pratiques en matière de séparation des tâches seront différentes selon la taille de l’entreprise. Les petites structures devront parfois renoncer à certains protocoles SoD, simplement en raison du nombre réduit de collaborateurs.
Cela dit, il existe quelques recommandations générales, notamment :
Mettre en place la SoD à plusieurs niveaux : Selon la taille de l’organisation, il est parfois pertinent d’instaurer la SoD non seulement à l’échelle individuelle, mais aussi au niveau des départements et des filiales. Par exemple, les investissements réalisés par une filiale peuvent nécessiter l’approbation de la société mère, ou un département des ventes peut exiger une validation du département opérationnel avant une approbation finale.
Utiliser une matrice SoD : Une matrice de séparation des tâches est un simple tableau qui recense les groupes d’utilisateurs et les procédures/rôles respectifs sur les axes X et Y. Les rôles concernés sont cochés, ce qui permet d’identifier facilement les incompatibilités de fonctions. Voici un exemple de matrice SoD pour une fonction de paie.
| Procédure | Groupe d’utilisateurs | Créer un bulletin de paie | Modifier la rémunération | Modifier les avantages | Approuver le bulletin |
|---|---|---|---|---|---|
| Créer un bulletin de paie | A | ✓ | |||
| Modifier la rémunération | B | ✓ | ✓ | ||
| Modifier les avantages | C | ✓ | ✓ | ||
| Approuver le bulletin | D | ✓ |
Identifier les scénarios de risque : Certains scénarios de risque sont évidents, tandis que d’autres nécessitent une analyse plus approfondie. Le tableau ci-dessous présente des risques courants et les chevauchements de rôles (rappel : CUS = garde, AUT = autorisation, VER = vérification, REC = enregistrement)
Mener des audits SoD réguliers : La séparation des tâches n’est pas une opération ponctuelle, c’est une règle organisationnelle qui doit s’appliquer en continu à toutes vos opérations. Il est important de réaliser des audits réguliers des contrôles internes, y compris des cadres SoD, pour garantir la réussite à long terme.
Enregistrer — et sanctionner — les violations de la SoD : Une violation de la séparation des tâches survient lorsqu’une personne abuse de son rôle et de son niveau d’accès pour contourner le protocole SoD (il s’agit généralement d’un acte délibéré). Cela peut constituer une infraction à une politique interne de l’entreprise ou à une exigence réglementaire externe. Dans tous les cas, il est essentiel d’identifier et d’enregistrer les violations de la SoD, et de sanctionner la personne responsable si nécessaire.
Mettre en place des seuils minimums pour éviter la bureaucratie inutile : Il ne s’agit pas forcément d’une bonne pratique, mais plutôt d’un contournement que choisissent certaines petites structures. Pour fluidifier les opérations courantes, il arrive que des entreprises établissent des seuils minimums (généralement en termes de montants) pour les transactions qui peuvent être traitées hors des contrôles SoD standards. Par exemple, un manager peut autoriser ses collaborateurs à approuver et payer des dépenses qualifiées inférieures à 500 $, sans validation externe. Ce type d’exception pour les petits montants permet aux équipes de rester concentrées sur l’essentiel.
Utilisez des audits internes et externes : L'audit régulier est important pour toute entreprise. Bien que de nombreuses tâches puissent être gérées en interne à l'aide de logiciels de gestion d'audit, il peut également s'avérer utile de faire appel à des auditeurs externes et des consultants. Un consultant compétent peut examiner en détail et de manière entièrement impartiale le fonctionnement interne de votre structure organisationnelle, vos flux de travail et les niveaux d'accès des employés afin d'identifier les vulnérabilités que votre équipe aurait pu manquer (ou pire, dissimuler).
Outils qui aident à la séparation des fonctions
Les procédures de séparation des fonctions peuvent être facilitées par divers outils, y compris des logiciels et des consultants/auditeurs externes.
Outils logiciels pour la SoD
Dans certains cas, les logiciels d'entreprise intègrent des cadres de SoD afin d'aider les équipes à créer une matrice de SoD, identifier les conflits potentiels, et même surveiller et enregistrer les violations.
Les logiciels de planification des ressources de l'entreprise (ERP) tels qu'Oracle, Sage et SAP intègrent souvent des fonctionnalités de séparation des fonctions. Les logiciels de gestion des risques d'entreprise peuvent également s'avérer bénéfiques pour les équipes. Les ensembles de fonctionnalités varient selon le fournisseur de logiciel et même selon le niveau de service souscrit, mais en général, ces outils peuvent profiter aux équipes cherchant à appliquer les meilleures pratiques de SoD.
Il existe également des solutions logicielles conçues spécifiquement pour la conformité SoD, le contrôle d'accès interne et la gestion interne des politiques SoD.
Audit/Consultants spécialisés en séparation des fonctions
Comme je l'ai mentionné, il peut également être judicieux de faire appel à des auditeurs. Cela peut être réalisé de manière indépendante ou dans le cadre d'un audit interne plus large.
De nombreux cabinets d'audit proposent des services d'audit SoD. Des consultants spécialisés peuvent également offrir un accompagnement lors de la mise en place initiale d'un cadre SoD.
SoD : une méthode éprouvée de contrôle et d'équilibre organisationnels
Comme pour les différentes branches du gouvernement, la séparation des fonctions vise à instaurer un système de contrôle et d'équilibre. Si elles sont correctement mises en œuvre, les structures SoD permettent de réduire les risques de fraude, d'actes malveillants, d'espionnage industriel et d'erreur humaine tout simplement.
Vous souhaitez obtenir plus d'informations précieuses sur la finance d'entreprise pour les entreprises technologiques ? La newsletter The CFO Club fournit chaque semaine des informations précieuses par des leaders financiers, pour des leaders financiers — gratuitement. Abonnez-vous dès aujourd'hui.
