La séparation des tâches (SoD – Segregation of Duties) est l’un des contrôles internes les plus critiques dans un ERP.
Dans D365 Finance, c’est aussi l’un des domaines les plus mal compris — et la source de la majorité des constats d’audit.

Voici les 10 conflits SoD que les auditeurs signalent systématiquement, pourquoi ils sont considérés à haut risque, et comment les corriger avant qu’ils ne figurent dans des constats d'audit.

1. Création / modification des fournisseurs vs Paiements fournisseurs

C’est le conflit de plus haut risque.

Un utilisateur qui peut créer un fournisseur et effectuer un paiement peut contourner tous les contrôles internes.

Pourquoi les auditeurs insistent :
Faux fournisseurs + paiements non autorisés = risque de fraude.

Contrôles recommandés :
– Gestion des fournisseurs séparée des payables
– Workflow d’approbation à la création
– Journalisation des modifications fournisseurs

2. Gestion des données fournisseurs vs Comptabilisation des factures fournisseurs

Souvent sous-estimé.

La même personne peut :

1. modifier les coordonnées ou les modalités de paiement d’un fournisseur, et
2. comptabiliser des factures.

Risque : redirection de paiements ou manipulation des passifs.

Contrôles :
– Équipe fournisseur indépendante
– Revue périodique des modifications
– Workflow obligatoire sur l’enregistrement des factures

3. Saisie des factures fournisseurs vs Approbation des factures fournisseurs

Une facture auto-approuvée = constat immédiat.

Risque : un utilisateur soumet et approuve ses propres factures.

Contrôles :
– Workflows multi-niveaux
– Limites d’approbation claires
– Revue des délégations actives

4. Création de bons de commande vs Approbation des bons de commande

Conflit majeur dans la gouvernance des achats.

Risque : un utilisateur peut initier des dépenses sans autorisation.

Contrôles :
– Séparation demandeur vs approbateur
– Hiérarchie d’approbation
– Workflow basé sur des seuils monétaires

5. Réception des biens vs Approbation des factures fournisseurs

Recevoir un bien et approuver la facture supprime l’intégrité de la conciliation à trois facteurs ("three-way match").

Risque : validation de réceptions fictives.

Contrôles :
– Séparation entre entrepôt/réception et payables
– Suivi des exceptions de réception

6. Création de journaux GL vs Comptabilisation des journaux GL

Les auditeurs n’acceptent jamais qu’une seule personne crée et comptabilise des journaux.

Risques :
– Ajustements non autorisés
– Manipulation des provisions
– Problèmes de cutoff

Contrôles :
– Workflow obligatoire sur les journaux
– Catégories par équipe
– Revue des journaux par utilisateur

Lien interne :
https://www.fitgapfinance.com/grand-livre-vs-auxiliaire-d365-finance/

7. Rapprochement bancaire vs Décaissements

Un utilisateur qui rapproche les banques et effectue des paiements peut masquer des transactions frauduleuses.

Contrôles :
– Séparation trésorerie vs payables
– Restrictions sur l’émission de paiements
– Alertes sur les exceptions de rapprochement

8. Gestion des délégations vs Approbations

Un des conflits les plus négligés — et pourtant extrêmement risqué.

La personne qui gère les délégations peut temporairement s’octroyer des pouvoirs d’approbation.

Risque :
– contournement des workflows
– approbation de ses propres transactions
– activités invisibles pendant les périodes critiques

Contrôles :
– Délégations limitées dans le temps
– Revue hebdomadaire
– Alertes lors de la création ou modification de délégations

9. Création d’immobilisations vs Sorties / Transferts d’immobilisations

Un utilisateur qui contrôle tout le cycle de vie d’un actif représente un risque important.

Risques :
– Sorties non autorisées
– Manipulation de la valeur nette comptable
– Écarts entre l'auxiliaire et le GL

Contrôles :
– Rôles distincts pour la création et l’approbation des sorties
– Journalisation activée
– Conciliations mensuelles auxiliaire immobilisations–GL

10. Administrateur sécurité (assignation des rôles) vs Accès aux transactions financières

C’est le conflit le plus risqué dans D365 Finance.

Un administrateur sécurité peut :
– s’attribuer n’importe quel rôle
– contourner les workflows
– annuler les contrôles SoD
– accorder des privilèges excessifs
– masquer son activité

Principe fondamental :

Un administrateur sécurité ne doit jamais avoir d’accès opérationnel (AP, AR, GL, FA, achats, inventaire, reporting).

Contrôles :
– Limiter à 1–2 personnes indépendantes
– Revue régulière des changements de rôles
– Surveillance des activités admin

⭐ Bonus : le rôle “Administrateur système” n’est pas un détail technique

Le rôle Administrateur système (sysadmin) représente un risque de gouvernance majeur.

Il donne accès à :
– toute la sécurité
– tous les paramètres systèmes
– les workflows
– les profils de validation
– la création d’utilisateurs
– tous les journaux et tables
– toutes les fonctionnalités financières

Ce rôle doit être :
– très limité (1–2 utilisateurs)
– justifié
– surveillé
– séparé des opérations financières

⭐ Bonus : les rôles de sécurité ne suffisent pas

Les auditeurs attendent un modèle de contrôle multi-couches :

1. Rôles de sécurité

La base, mais insuffisante à elle seule.

2. Workflows

Indispensables pour :
– fournisseurs
– bons de commande
– factures
– journaux
– paiements
– immobilisations
– notes de frais

3. Contrôles automatisés et ad hoc

Automatisés :
– alertes changements fournisseurs
– alertes échecs de batch
– journalisation de la base de données
– écarts de rapprochement
– rapports de délégation

Ad hoc :
– revue bi-hebdomadaire fournisseurs
– revue trimestrielle sécurité
– revue des paramètres comptables
– vérifications ponctuelles des bypass workflows

Articles connexes pour renforcer votre gouvernance D365 Finance

– Leçons réelles des projets ERP :
https://www.fitgapfinance.com/lecons-reelles-projets-erp/

– Dimension humaine des projets ERP :
https://www.fitgapfinance.com/dimension-humaine-projets-erp/

– Nouveau modèle de licensing D365 Finance :
https://www.fitgapfinance.com/nouveau-licensing-d365-finance-10-points-essentiels/