Accueil🇫🇷Chercher

Gouvernance, gestion des risques et conformité

La gouvernance, gestion des risques et conformité, désignée par le sigle GRC (issu de l'anglais governance, risk and compliance) est un terme couvrant l'approche coordonnée d'une organisation dans chacun de ces trois domaines[1] - [2] - [3]. Ces trois termes représentent les trois piliers indissociables permettant à une organisation de réussir à atteindre ses objectifs[4].

DĂ©finitions

  • Gouvernance : il s’agit de la combinaison des processus assurĂ©s et exĂ©cutĂ©s par l'organe dirigeant (ex : conseil d'administration, etc).
  • Gestion des risques  : la gestion du risque est la prĂ©diction et la gestion des risques qui pourraient empĂŞcher l'atteinte des objectifs d’une organisation.
  • ConformitĂ© : il s’agit de la conformitĂ© aux politiques et aux procĂ©dures de l'entreprise, lois et règlements.    

Avant-propos

La GRC est une discipline visant à synchroniser différents procédés. En effet, afin de fonctionner de manière plus efficiente, de permettre le partage efficace de l’information, d’éviter les opérations inutiles, l’information et l’activité doivent être synchronisées avec la gouvernance, ainsi qu’avec la gestion des risques et la conformité des activités telles que la gouvernance d'entreprise, la gestion des risques d'entreprise et la conformité des entreprises aux lois et règlements applicables.

Dans les organisations de grande taille, un contrôle coordonné de la gouvernance, de la gestion du risque et de la conformité est plus que nécessaire afin de fonctionner de manière optimale. En effet, lorsque la gouvernance, la gestion des risques et la conformité sont gérées de manière indépendante, on observe une duplication substantielle des tâches. Le chevauchement et la duplication des activités de GRC ont un impact négatif sur les coûts opérationnels et sur les mesures de la GRC. Par exemple, chaque service interne peut être évalué par plusieurs groupes sur une base annuelle, ce qui entraîne des coûts et des résultats déconnectés. Une approche de la GRC déconnectée empêchera également une organisation de fournir des rapports exécutifs de GRC en temps réel. Comme un système de transport mal planifié, chaque itinéraire individuel fonctionnera, mais le réseau ne disposera pas des qualités qui leur permettent de travailler ensemble efficacement.

Les concepts de la GRC

Concepts de base

La gouvernance décrit l'approche générale de gestion par laquelle les cadres supérieurs dirigent et contrôlent l'ensemble de l'organisation en utilisant une combinaison d'informations de gestion et de structures hiérarchiques de contrôle de gestion. Les activités de gouvernance garantissent que les informations de gestion essentielles qui arrivent à l'équipe de direction sont suffisamment complètes et exactes afin de permettre une prise de décision appropriée en matière de gestion. Les informations doivent également fournir les mécanismes de contrôle pour s'assurer que les stratégies et les instructions de la direction soient effectuées systématiquement et efficacement[5].

La gestion des risques est l'attention accordée à la prévention des risques en gardant à l'esprit l'attrait de l'organisation pour le risque. La gestion des risques représente l'ensemble des processus par lesquels la direction identifie, analyse et, si nécessaire, réagit de manière appropriée aux risques qui pourraient nuire à la réalisation des objectifs commerciaux de l'organisation. La réponse aux risques dépend généralement de leur gravité perçue et consiste à les contrôler, les éviter, les accepter ou les transférer à un tiers. Alors que les organisations gèrent régulièrement un large éventail de risques, par exemple financier, les risques juridiques et réglementaires externes sont incontestablement les principaux enjeux de GRC.

La conformité signifie être conforme aux exigences énoncées. Au niveau organisationnel, elle se réalise par des processus de gestion qui identifient les exigences applicables, évaluent l'état de conformité, évaluent les risques et les coûts potentiels.

Segmentation du marché

Un programme de GRC peut ĂŞtre mis en place afin de se concentrer sur n'importe quelle zone individuelle au sein de l'entreprise.

Une GRC entièrement intégrée est capable de travailler dans chaque domaine de l'entreprise.

Une GRC entièrement intégré utilise un ensemble unique de matériel de contrôle, cartographié pour l'ensemble des principaux facteurs de gouvernance. L'utilisation d'un cadre unique a également pour avantage de réduire la possibilité de doublons d'actions correctives.

Lorsqu’elles sont analysées de façon individuelle, la gouvernance, la gestion des risques et la conformité, les rubriques les plus courantes sont considérées comme une GRC financière, de technologies d’information et juridique.

  • La GRC du domaine financier se rapporte Ă  des activitĂ©s assurant le bon fonctionnement de tous les processus financiers, ainsi que le respect des mandats liĂ©s aux finances.
  • La GRC se rapportant aux technologies de l’information se rapporte aux activitĂ©s visant Ă  assurer que l'organisation informatique prend en compte les besoins actuels et futurs de l'entreprise et respecte tous les mandats liĂ©s aux technologies de l'information.
  • La GRC concernant le lĂ©gal se concentre sur le regroupement des trois composantes via le service juridique d'une organisation et le chef de la conformitĂ©.

Les analystes sont en désaccord sur la façon dont ces aspects de GRC sont définis comme des catégories de marché. Gartner a déclaré que le marché GRC comprend les domaines suivants :

Fournisseurs de GRC

La distinction entre les sous-segments du grand marché de la GRC n’est souvent pas précise. Avec un grand nombre de fournisseurs entrant dans ce marché, la détermination du meilleur produit pour un problème d'entreprise peut être difficile. Étant donné que les analystes ne sont pas entièrement d'accord sur la segmentation du marché, le positionnement des vendeurs peut augmenter la confusion.

En raison du dynamisme de ce marché, l’analyse des fournisseurs devient souvent obsolète peu de temps après leur publication.

De façon gĂ©nĂ©rale, le marchĂ© des fournisseurs peut ĂŞtre segmentĂ© en 3 parties :

  • Solutions de GRC intĂ©grĂ©es
  • Solutions de GRC spĂ©cifiques au domaine
  • Solutions ponctuelles de GRC

Les solutions de GRC intégrées tentent d'unifier la gestion de ces zones plutôt que de les traiter comme des entités distinctes. Une solution intégrée est capable d'administrer une bibliothèque centrale de contrôles de conformité, mais de les gérer, de les surveiller ou de les présenter en fonction de chaque facteur de gouvernance. Par exemple, dans une approche spécifique au domaine, trois observations ou plus pourraient être générées contre une seule activité interrompue. La solution intégrée reconnaît cela comme une rupture liée aux facteurs de gouvernance cartographiés.

Les fournisseurs de GRC spécifiques d’un domaine comprennent le lien cyclique entre la gouvernance, la gestion risque et la conformité d’un domaine particulier. Par exemple, dans le cadre du traitement financier, un risque est lié à l'absence de contrôle ou bien au manque de respect d'un contrôle existant. Un objectif initial de scission de la GRC dans un marché distinct a laissé certains fournisseurs confus au sujet du manque de mobilité. On pense qu'un manque d'éducation profonde dans un domaine du côté de l'audit, associé à une méfiance à l'égard de l'audit en général, provoque une rupture dans un environnement d'entreprise. Cependant, il existe des vendeurs sur le marché qui, tout en restant spécifiques au domaine, ont commencé à commercialiser leur produit auprès des utilisateurs finaux et des ministères qui se sont élargis pour inclure les équipes internes d'audit. Cette approche fournit une approche plus précise dans le processus.

Les solutions ponctuelles pour la GRC sont marquées par leur focalisation sur un seul de ses domaines. Dans certains cas d'exigences limitées, ces solutions peuvent servir un but viable.

Toutefois, étant donné qu'ils ont été conçus pour résoudre des problèmes spécifiques à un domaine spécifique, ils ne prennent généralement pas une approche unifiée et ne tolèrent pas les exigences de gouvernance intégrée. Les systèmes d'information aborderont mieux ces questions si les exigences relatives à la gestion des GRC sont intégrées au stade de la conception, dans un cadre cohérent[6].

Stockage de données de GRC

Les fournisseurs de GRC possédant une infrastructure de données intégrées sont maintenant en mesure d'offrir des solutions personnalisées de données de GRC et d'intelligence d'affaires. Cela permet de rassembler et d'analyser des données de grande valeur provenant de n'importe quelle application GRC existantes.

L'agrĂ©gation des donnĂ©es de la GRC utilisant cette approche donne un avantage significatif dans l'identification prĂ©maturĂ©e de l'amĂ©lioration des risques et des processus mĂ©tier. Il existe d’autres avantages Ă©manant de cette approche : permettre aux applications existantes, spĂ©cialisĂ©es et Ă  haute valeur de continuer sans ĂŞtre impactĂ©es. Les organisations peuvent ainsi gĂ©rer une transition plus facile vers une approche GRC intĂ©grĂ©e parce que le changement initial ne fait qu'ajouter Ă  la couche de reporting. Cette approche fournit une capacitĂ© en temps rĂ©el de comparer la valeur des donnĂ©es entre les systèmes qui n’avaient prĂ©cĂ©demment pas de schĂ©ma de donnĂ©es communes.

Liste (non exhaustive) de solutions de GRC

  • Schleupen - R2C_GRC
  • IBM - IBM OpenPages with Watson (en) ;
  • MetricStream (en) - M7 Enterprise GRC ;
  • Oxial - GRC Suite ;
  • 360factors - AI Enabled GRC Solution Provider
  • SAI Global (en) - Bwise Enterprise GRC platform ;
  • SAS Institute - SAS Governance and Compliance Manager ;
  • ServiceNow - Governance, Risk, and Compliance ;
  • V-Comply - Enterprise GRC Management ;
  • Qualitadd - Module GRC.

Recherche concernant le domaine de la GRC

Un examen de publication datant de 2009 Ă  ensuite rĂ©vĂ©lĂ© qu’aucune recherche scientifique sur la GRC n’avait Ă©tĂ© effectuĂ©e. Certains auteurs ont ensuite Ă©tabli une première dĂ©finition Ă  court terme dans une revue de littĂ©rature. Ensuite, cette dĂ©finition a Ă©tĂ© validĂ©e grâce au sondage de professionnels de la gouvernance, de gestion des risques et de la conformitĂ©. Cette dernière se dĂ©finit donc comme « une approche intĂ©grĂ©e et holistique du GRC qui garantit qu'une organisation agit de manière Ă©thique et conforme Ă  son attrait pour le risque, Ă  ses politiques internes et Ă  ses rĂ©glementations externes en harmonisant sa stratĂ©gie, ses processus, sa technologie et son personnel, amĂ©liorant ainsi son efficience et son efficacitĂ© Â».

Chacune de ses disciplines fondamentales, la gouvernance, la gestion des risques et la conformitĂ© sont composĂ©es de quatre composantes de base :

L'attrait pour le risque présent dans l'organisation, ses politiques internes et ses règlements externes constituent les règles de GRC. Les disciplines, leurs composantes et leurs règles doivent quant à elles être fusionnées de manière intégrée, alignées sur les opérations commerciales gérées et soutenues par la GRC. Grâce à cette approche, les organisations souhaitent atteindre les objectifs suivants : un comportement correct et une efficacité et une efficience améliorées de tous les éléments impliqués[7].

Notes et références

  1. (en) Anthony Tarantino (2008-02-25), Governance, Risk, and Compliance Handbook, (ISBN 978-0-470-09589-8)
  2. (en) Denise Vu Broady; Holly A. Roland (2008-04-25), The ABCs of GRC, SAP GRC For Dummies, (ISBN 978-0-470-33317-4),
  3. (en) P. Silveira, C. Rodriguez, A. Birukou, F. Casati, F., Daniel, V. D'Andrea, C. Worledge, T. Zouhair, Aiding Compliance Governance in Service-Based Business Processes, IGI Global, pp. 524–548, retrieved 2013-04-06
  4. (en) Kurt F. Reding, Paul J. Sobel, Urton L. Anderson, Michael J. Head, Sridhar Ramamoorti, Mark Salamasick, Cris Riddle, Internal Auditing: Assurance & Advisory Services,
  5. (en) Lamm, Blount, etc., Under Control: Governance Across the Enterprise, retrieved 2013-04-06
  6. (en) R. Bonazzi, L. Hussami, Y. Pigneur, Compliance Management is Becoming a Major Issue in IS Design, in D'atri, Alessandro; Saccà, Domenico, Information Systems: People, Organizations, Institutions, and Technologies (PDF), Springer, pp. 391–398, doi:10.1007/978-3-7908-2148-2,
  7. (en) N. Racz, E. Weippl, A. Seufert, Bart De Decker; Ingrid Schaumüller-Bichl, eds., A frame of reference for research of integrated GRC, Communications and Multimedia Security, 11th IFIP TC 6/TC 11 International Conference, CMS 2010 Proceedings, Berlin: Springer, pp. 106–117, (ISBN 978-3-642-13240-7),

Voir aussi

Bibliographie

Articles connexes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.