Projets

Sanofi Pasteur MSD se vaccine contre les mauvaises affectations de rôles dans SAP

---

A cause de l'obligation de conformité SoX, Sanofi Pasteur MSD a dû revoir sa matrice d'habilitation dans SAP avec KPF.

PublicitéLes laboratoires pharmaceutiques Merck, Sanofi et Pasteur ont créé une entité commune, Sanofi Pasteur MSD spécialisée dans la distribution de vaccins en 1994. Dès l'origine, sa gestion était sous SAP. Mais, en 2015, la création d'un centre de service puis un audit ont révélé des problèmes de cohérence dans les rôles au sein de SAP. A cela s'ajoutaient des problèmes de réorganisations permanentes, liées à la vie de la société, qui obligeaient à des allers-retours importants entre métier et DSI pour clarifier les demandes d'affectations de droits d'accès. De plus, l'entreprise avait le désir de revenir à un SAP nettement plus standard et avec moins de développements spécifiques. Enfin, il était nécessaire que l'affectation des rôles soit SoX compliant, c'est à dire conforme à la réglementation américaine.
Stéphane Didon, deputy-director accounting & consolidation de Sanofi-Pasteur MSD, a témoigné lors de la Convention USF le 12 octobre 2016 sur le projet de refonte de la matrice d'habilitation. Pour lui, il y avait quatre objectifs dans ce projet. Tout d'abord, il fallait assurer la conformité aux attentes métiers. Ensuite, il fallait offrir une lisibilité et une compréhension aux rôles. Il était également indispensable de définir une démarche fluide pour éviter les lourdeurs des échanges DSI-métiers. Enfin, bien entendu, les incohérences devaient être éliminées.

Un besoin d'expertise

Pour atteindre ces objectifs, la société a eu besoin de recourir à des compétences externes. Après appel d'offres, c'est KPF qui est retenu pour accompagner le projet. Dans un premier temps, il s'est agi d'auditer l'existant puis ensuite de suivre la conception générale de la matrice d'habilitation. Si la DAF était pilote sur le projet, la conception devait évidemment être applicable aux autres services. Ensuite devaient se dérouler des phases classiques : spécifications détaillées, réalisation, tests et déploiement.
Or le centre de services était lié contractuellement avec des indicateurs de performance précis. Il était donc impossible de perturber, même peu, la production.

Une méthodologie rigoureuse

KPF a donc mis en oeuvre sa méthodologie qui part du besoin fonctionnel. Celle-ci permet de vérifier que les tâches affectées sont SoX compliant et d'accompagner un retour au standard. Dès lors, un rôle composite est lié à une fonction et il n'y a plus de matrice trop compliquée avec des liens ambiguës. Un rôle technique est lié à un rôle métier et il existe un parcours de formation des personnels associé à chaque rôle. Cette approche permet de séparer clairement des tâches de manière démontrable aisément lors d'un audit.
« Il s'agissait de formaliser les rôles et leurs caractéristiques selon les actes, par selon les métiers » a insisté Stéphane Didon. Ainsi, un rôle « comptable fournisseur » est un rôle clair aux tâches précises sans ambiguïté partout dans le groupe. La demande d'affectation de tel rôle à telle personne suit un workflow industrialisé avec un traitement à la DSI dans la foulée. Les rôles ont aussi été « nettoyés » pour éviter toutes les incompatibilités.

PublicitéPlus d'incompatibilité

Par exemple, Stéphane Didon a mentionné : « si un comptable devient contrôleur de gestion, il perd son rôle comptable et obtient un nouveau rôle, sans aucune confusion possible sur l'étendue de ses habilitations. C'est plus rapide, plus sûr et fait gagner beaucoup de temps aux équipes. »
Les facteurs de succès, selon Stéphane Didon, ont été tout d'abord que la DSI et la DAF soient réellement partenaires. Ensuite, la bascule des rôles a été réalisée en week-end pour éviter toute perturbation. Enfin, les contraintes techniques ont été transcrites en contraintes métiers.

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article