Gouvernance, gestion des risques et conformité
La gouvernance, gestion des risques et conformité, désignée par le sigle GRC (issu de l'anglais governance, risk and compliance) est un terme couvrant l'approche coordonnée d'une organisation dans chacun de ces trois domaines[1] - [2] - [3]. Ces trois termes représentent les trois piliers indissociables permettant à une organisation de réussir à atteindre ses objectifs[4].
DĂ©finitions
- Gouvernance : il s’agit de la combinaison des processus assurés et exécutés par l'organe dirigeant (ex : conseil d'administration, etc).
- Gestion des risques : la gestion du risque est la prédiction et la gestion des risques qui pourraient empêcher l'atteinte des objectifs d’une organisation.
- Conformité : il s’agit de la conformité aux politiques et aux procédures de l'entreprise, lois et règlements.
Avant-propos
La GRC est une discipline visant à synchroniser différents procédés. En effet, afin de fonctionner de manière plus efficiente, de permettre le partage efficace de l’information, d’éviter les opérations inutiles, l’information et l’activité doivent être synchronisées avec la gouvernance, ainsi qu’avec la gestion des risques et la conformité des activités telles que la gouvernance d'entreprise, la gestion des risques d'entreprise et la conformité des entreprises aux lois et règlements applicables.
Dans les organisations de grande taille, un contrôle coordonné de la gouvernance, de la gestion du risque et de la conformité est plus que nécessaire afin de fonctionner de manière optimale. En effet, lorsque la gouvernance, la gestion des risques et la conformité sont gérées de manière indépendante, on observe une duplication substantielle des tâches. Le chevauchement et la duplication des activités de GRC ont un impact négatif sur les coûts opérationnels et sur les mesures de la GRC. Par exemple, chaque service interne peut être évalué par plusieurs groupes sur une base annuelle, ce qui entraîne des coûts et des résultats déconnectés. Une approche de la GRC déconnectée empêchera également une organisation de fournir des rapports exécutifs de GRC en temps réel. Comme un système de transport mal planifié, chaque itinéraire individuel fonctionnera, mais le réseau ne disposera pas des qualités qui leur permettent de travailler ensemble efficacement.
Les concepts de la GRC
Concepts de base
La gouvernance décrit l'approche générale de gestion par laquelle les cadres supérieurs dirigent et contrôlent l'ensemble de l'organisation en utilisant une combinaison d'informations de gestion et de structures hiérarchiques de contrôle de gestion. Les activités de gouvernance garantissent que les informations de gestion essentielles qui arrivent à l'équipe de direction sont suffisamment complètes et exactes afin de permettre une prise de décision appropriée en matière de gestion. Les informations doivent également fournir les mécanismes de contrôle pour s'assurer que les stratégies et les instructions de la direction soient effectuées systématiquement et efficacement[5].
La gestion des risques est l'attention accordée à la prévention des risques en gardant à l'esprit l'attrait de l'organisation pour le risque. La gestion des risques représente l'ensemble des processus par lesquels la direction identifie, analyse et, si nécessaire, réagit de manière appropriée aux risques qui pourraient nuire à la réalisation des objectifs commerciaux de l'organisation. La réponse aux risques dépend généralement de leur gravité perçue et consiste à les contrôler, les éviter, les accepter ou les transférer à un tiers. Alors que les organisations gèrent régulièrement un large éventail de risques, par exemple financier, les risques juridiques et réglementaires externes sont incontestablement les principaux enjeux de GRC.
La conformité signifie être conforme aux exigences énoncées. Au niveau organisationnel, elle se réalise par des processus de gestion qui identifient les exigences applicables, évaluent l'état de conformité, évaluent les risques et les coûts potentiels.
Segmentation du marché
Un programme de GRC peut ĂŞtre mis en place afin de se concentrer sur n'importe quelle zone individuelle au sein de l'entreprise.
Une GRC entièrement intégrée est capable de travailler dans chaque domaine de l'entreprise.
Une GRC entièrement intégré utilise un ensemble unique de matériel de contrôle, cartographié pour l'ensemble des principaux facteurs de gouvernance. L'utilisation d'un cadre unique a également pour avantage de réduire la possibilité de doublons d'actions correctives.
Lorsqu’elles sont analysées de façon individuelle, la gouvernance, la gestion des risques et la conformité, les rubriques les plus courantes sont considérées comme une GRC financière, de technologies d’information et juridique.
- La GRC du domaine financier se rapporte à des activités assurant le bon fonctionnement de tous les processus financiers, ainsi que le respect des mandats liés aux finances.
- La GRC se rapportant aux technologies de l’information se rapporte aux activités visant à assurer que l'organisation informatique prend en compte les besoins actuels et futurs de l'entreprise et respecte tous les mandats liés aux technologies de l'information.
- La GRC concernant le légal se concentre sur le regroupement des trois composantes via le service juridique d'une organisation et le chef de la conformité.
Les analystes sont en désaccord sur la façon dont ces aspects de GRC sont définis comme des catégories de marché. Gartner a déclaré que le marché GRC comprend les domaines suivants :
- Finance et audit
- Gestion des technologies de l’information
- La gestion du risque d'entreprise.
Fournisseurs de GRC
La distinction entre les sous-segments du grand marché de la GRC n’est souvent pas précise. Avec un grand nombre de fournisseurs entrant dans ce marché, la détermination du meilleur produit pour un problème d'entreprise peut être difficile. Étant donné que les analystes ne sont pas entièrement d'accord sur la segmentation du marché, le positionnement des vendeurs peut augmenter la confusion.
En raison du dynamisme de ce marché, l’analyse des fournisseurs devient souvent obsolète peu de temps après leur publication.
De façon générale, le marché des fournisseurs peut être segmenté en 3 parties :
- Solutions de GRC intégrées
- Solutions de GRC spécifiques au domaine
- Solutions ponctuelles de GRC
Les solutions de GRC intégrées tentent d'unifier la gestion de ces zones plutôt que de les traiter comme des entités distinctes. Une solution intégrée est capable d'administrer une bibliothèque centrale de contrôles de conformité, mais de les gérer, de les surveiller ou de les présenter en fonction de chaque facteur de gouvernance. Par exemple, dans une approche spécifique au domaine, trois observations ou plus pourraient être générées contre une seule activité interrompue. La solution intégrée reconnaît cela comme une rupture liée aux facteurs de gouvernance cartographiés.
Les fournisseurs de GRC spécifiques d’un domaine comprennent le lien cyclique entre la gouvernance, la gestion risque et la conformité d’un domaine particulier. Par exemple, dans le cadre du traitement financier, un risque est lié à l'absence de contrôle ou bien au manque de respect d'un contrôle existant. Un objectif initial de scission de la GRC dans un marché distinct a laissé certains fournisseurs confus au sujet du manque de mobilité. On pense qu'un manque d'éducation profonde dans un domaine du côté de l'audit, associé à une méfiance à l'égard de l'audit en général, provoque une rupture dans un environnement d'entreprise. Cependant, il existe des vendeurs sur le marché qui, tout en restant spécifiques au domaine, ont commencé à commercialiser leur produit auprès des utilisateurs finaux et des ministères qui se sont élargis pour inclure les équipes internes d'audit. Cette approche fournit une approche plus précise dans le processus.
Les solutions ponctuelles pour la GRC sont marquées par leur focalisation sur un seul de ses domaines. Dans certains cas d'exigences limitées, ces solutions peuvent servir un but viable.
Toutefois, étant donné qu'ils ont été conçus pour résoudre des problèmes spécifiques à un domaine spécifique, ils ne prennent généralement pas une approche unifiée et ne tolèrent pas les exigences de gouvernance intégrée. Les systèmes d'information aborderont mieux ces questions si les exigences relatives à la gestion des GRC sont intégrées au stade de la conception, dans un cadre cohérent[6].
Stockage de données de GRC
Les fournisseurs de GRC possédant une infrastructure de données intégrées sont maintenant en mesure d'offrir des solutions personnalisées de données de GRC et d'intelligence d'affaires. Cela permet de rassembler et d'analyser des données de grande valeur provenant de n'importe quelle application GRC existantes.
L'agrégation des données de la GRC utilisant cette approche donne un avantage significatif dans l'identification prématurée de l'amélioration des risques et des processus métier. Il existe d’autres avantages émanant de cette approche : permettre aux applications existantes, spécialisées et à haute valeur de continuer sans être impactées. Les organisations peuvent ainsi gérer une transition plus facile vers une approche GRC intégrée parce que le changement initial ne fait qu'ajouter à la couche de reporting. Cette approche fournit une capacité en temps réel de comparer la valeur des données entre les systèmes qui n’avaient précédemment pas de schéma de données communes.
Liste (non exhaustive) de solutions de GRC
- Schleupen - R2C_GRC
- IBM - IBM OpenPages with Watson (en) ;
- MetricStream (en) - M7 Enterprise GRC ;
- Oxial - GRC Suite ;
- 360factors - AI Enabled GRC Solution Provider
- SAI Global (en) - Bwise Enterprise GRC platform ;
- SAS Institute - SAS Governance and Compliance Manager ;
- ServiceNow - Governance, Risk, and Compliance ;
- V-Comply - Enterprise GRC Management ;
- Qualitadd - Module GRC.
Recherche concernant le domaine de la GRC
Un examen de publication datant de 2009 à ensuite révélé qu’aucune recherche scientifique sur la GRC n’avait été effectuée. Certains auteurs ont ensuite établi une première définition à court terme dans une revue de littérature. Ensuite, cette définition a été validée grâce au sondage de professionnels de la gouvernance, de gestion des risques et de la conformité. Cette dernière se définit donc comme « une approche intégrée et holistique du GRC qui garantit qu'une organisation agit de manière éthique et conforme à son attrait pour le risque, à ses politiques internes et à ses réglementations externes en harmonisant sa stratégie, ses processus, sa technologie et son personnel, améliorant ainsi son efficience et son efficacité ».
Chacune de ses disciplines fondamentales, la gouvernance, la gestion des risques et la conformité sont composées de quatre composantes de base :
- Stratégie
- Processus
- Technologie
- Personne
L'attrait pour le risque présent dans l'organisation, ses politiques internes et ses règlements externes constituent les règles de GRC. Les disciplines, leurs composantes et leurs règles doivent quant à elles être fusionnées de manière intégrée, alignées sur les opérations commerciales gérées et soutenues par la GRC. Grâce à cette approche, les organisations souhaitent atteindre les objectifs suivants : un comportement correct et une efficacité et une efficience améliorées de tous les éléments impliqués[7].
Notes et références
- (en) Anthony Tarantino (2008-02-25), Governance, Risk, and Compliance Handbook, (ISBN 978-0-470-09589-8)
- (en) Denise Vu Broady; Holly A. Roland (2008-04-25), The ABCs of GRC, SAP GRC For Dummies, (ISBN 978-0-470-33317-4),
- (en) P. Silveira, C. Rodriguez, A. Birukou, F. Casati, F., Daniel, V. D'Andrea, C. Worledge, T. Zouhair, Aiding Compliance Governance in Service-Based Business Processes, IGI Global, pp. 524–548, retrieved 2013-04-06
- (en) Kurt F. Reding, Paul J. Sobel, Urton L. Anderson, Michael J. Head, Sridhar Ramamoorti, Mark Salamasick, Cris Riddle, Internal Auditing: Assurance & Advisory Services,
- (en) Lamm, Blount, etc., Under Control: Governance Across the Enterprise, retrieved 2013-04-06
- (en) R. Bonazzi, L. Hussami, Y. Pigneur, Compliance Management is Becoming a Major Issue in IS Design, in D'atri, Alessandro; Saccà , Domenico, Information Systems: People, Organizations, Institutions, and Technologies (PDF), Springer, pp. 391–398, doi:10.1007/978-3-7908-2148-2,
- (en) N. Racz, E. Weippl, A. Seufert, Bart De Decker; Ingrid Schaumüller-Bichl, eds., A frame of reference for research of integrated GRC, Communications and Multimedia Security, 11th IFIP TC 6/TC 11 International Conference, CMS 2010 Proceedings, Berlin: Springer, pp. 106–117, (ISBN 978-3-642-13240-7),
Voir aussi
Bibliographie
- Adam Krug, Governance Risk and Compliance & HSE Software System Case Studies, Case Studies 1 - 34
- https://www.qualitadd.com/