Gouvernance, gestion des risques et conformité

La gouvernance décrit l'approche générale de gestion par laquelle les cadres supérieurs dirigent et contrôlent l'ensemble de l'organisation en utilisant une combinaison d'informations de gestion et de structures hiérarchiques de contrôle de gestion. Les activités de gouvernance garantissent que les informations de gestion essentielles qui arrivent à l'équipe de direction sont suffisamment complètes et exactes afin de permettre une prise de décision appropriée en matière de gestion. Les informations doivent également fournir les mécanismes de contrôle pour s'assurer que les stratégies et les instructions de la direction soient effectuées systématiquement et efficacement[5].

La gestion des risques est l'attention accordée à la prévention des risques en gardant à l'esprit l'attrait de l'organisation pour le risque. La gestion des risques représente l'ensemble des processus par lesquels la direction identifie, analyse et, si nécessaire, réagit de manière appropriée aux risques qui pourraient nuire à la réalisation des objectifs commerciaux de l'organisation. La réponse aux risques dépend généralement de leur gravité perçue et consiste à les contrôler, les éviter, les accepter ou les transférer à un tiers. Alors que les organisations gèrent régulièrement un large éventail de risques, par exemple financier, les risques juridiques et réglementaires externes sont incontestablement les principaux enjeux de GRC.

La conformité signifie être conforme aux exigences énoncées. Au niveau organisationnel, elle se réalise par des processus de gestion qui identifient les exigences applicables, évaluent l'état de conformité, évaluent les risques et les coûts potentiels.

Un programme de GRC peut être mis en place afin de se concentrer sur n'importe quelle zone individuelle au sein de l'entreprise.

Une GRC entièrement intégrée est capable de travailler dans chaque domaine de l'entreprise.

Une GRC entièrement intégré utilise un ensemble unique de matériel de contrôle, cartographié pour l'ensemble des principaux facteurs de gouvernance. L'utilisation d'un cadre unique a également pour avantage de réduire la possibilité de doublons d'actions correctives.

Lorsqu’elles sont analysées de façon individuelle, la gouvernance, la gestion des risques et la conformité, les rubriques les plus courantes sont considérées comme une GRC financière, de technologies d’information et juridique.

• La GRC du domaine financier se rapporte à des activités assurant le bon fonctionnement de tous les processus financiers, ainsi que le respect des mandats liés aux finances.
• La GRC se rapportant aux technologies de l’information se rapporte aux activités visant à assurer que l'organisation informatique prend en compte les besoins actuels et futurs de l'entreprise et respecte tous les mandats liés aux technologies de l'information.
• La GRC concernant le légal se concentre sur le regroupement des trois composantes via le service juridique d'une organisation et le chef de la conformité.

Les analystes sont en désaccord sur la façon dont ces aspects de GRC sont définis comme des catégories de marché. Gartner a déclaré que le marché GRC comprend les domaines suivants :

• Finance et audit
• Gestion des technologies de l’information
• La gestion du risque d'entreprise.

La distinction entre les sous-segments du grand marché de la GRC n’est souvent pas précise. Avec un grand nombre de fournisseurs entrant dans ce marché, la détermination du meilleur produit pour un problème d'entreprise peut être difficile. Étant donné que les analystes ne sont pas entièrement d'accord sur la segmentation du marché, le positionnement des vendeurs peut augmenter la confusion.

En raison du dynamisme de ce marché, l’analyse des fournisseurs devient souvent obsolète peu de temps après leur publication.

De façon générale, le marché des fournisseurs peut être segmenté en 3 parties :

• Solutions de GRC intégrées
• Solutions de GRC spécifiques au domaine
• Solutions ponctuelles de GRC

Les solutions de GRC intégrées tentent d'unifier la gestion de ces zones plutôt que de les traiter comme des entités distinctes. Une solution intégrée est capable d'administrer une bibliothèque centrale de contrôles de conformité, mais de les gérer, de les surveiller ou de les présenter en fonction de chaque facteur de gouvernance. Par exemple, dans une approche spécifique au domaine, trois observations ou plus pourraient être générées contre une seule activité interrompue. La solution intégrée reconnaît cela comme une rupture liée aux facteurs de gouvernance cartographiés.

Les fournisseurs de GRC spécifiques d’un domaine comprennent le lien cyclique entre la gouvernance, la gestion risque et la conformité d’un domaine particulier. Par exemple, dans le cadre du traitement financier, un risque est lié à l'absence de contrôle ou bien au manque de respect d'un contrôle existant. Un objectif initial de scission de la GRC dans un marché distinct a laissé certains fournisseurs confus au sujet du manque de mobilité. On pense qu'un manque d'éducation profonde dans un domaine du côté de l'audit, associé à une méfiance à l'égard de l'audit en général, provoque une rupture dans un environnement d'entreprise. Cependant, il existe des vendeurs sur le marché qui, tout en restant spécifiques au domaine, ont commencé à commercialiser leur produit auprès des utilisateurs finaux et des ministères qui se sont élargis pour inclure les équipes internes d'audit. Cette approche fournit une approche plus précise dans le processus.

Les solutions ponctuelles pour la GRC sont marquées par leur focalisation sur un seul de ses domaines. Dans certains cas d'exigences limitées, ces solutions peuvent servir un but viable.

Toutefois, étant donné qu'ils ont été conçus pour résoudre des problèmes spécifiques à un domaine spécifique, ils ne prennent généralement pas une approche unifiée et ne tolèrent pas les exigences de gouvernance intégrée. Les systèmes d'information aborderont mieux ces questions si les exigences relatives à la gestion des GRC sont intégrées au stade de la conception, dans un cadre cohérent[6].

Les fournisseurs de GRC possédant une infrastructure de données intégrées sont maintenant en mesure d'offrir des solutions personnalisées de données de GRC et d'intelligence d'affaires. Cela permet de rassembler et d'analyser des données de grande valeur provenant de n'importe quelle application GRC existantes.

L'agrégation des données de la GRC utilisant cette approche donne un avantage significatif dans l'identification prématurée de l'amélioration des risques et des processus métier. Il existe d’autres avantages émanant de cette approche : permettre aux applications existantes, spécialisées et à haute valeur de continuer sans être impactées. Les organisations peuvent ainsi gérer une transition plus facile vers une approche GRC intégrée parce que le changement initial ne fait qu'ajouter à la couche de reporting. Cette approche fournit une capacité en temps réel de comparer la valeur des données entre les systèmes qui n’avaient précédemment pas de schéma de données communes.

• Schleupen - R2C_GRC
• IBM - IBM OpenPages with Watson (en) ;
• MetricStream (en) - M7 Enterprise GRC ;
• Oxial - GRC Suite ;
• 360factors - AI Enabled GRC Solution Provider
• SAI Global (en) - Bwise Enterprise GRC platform ;
• SAS Institute - SAS Governance and Compliance Manager ;
• ServiceNow - Governance, Risk, and Compliance ;
• V-Comply - Enterprise GRC Management ;
• Qualitadd - Module GRC.

Un examen de publication datant de 2009 à ensuite révélé qu’aucune recherche scientifique sur la GRC n’avait été effectuée. Certains auteurs ont ensuite établi une première définition à court terme dans une revue de littérature. Ensuite, cette définition a été validée grâce au sondage de professionnels de la gouvernance, de gestion des risques et de la conformité. Cette dernière se définit donc comme « une approche intégrée et holistique du GRC qui garantit qu'une organisation agit de manière éthique et conforme à son attrait pour le risque, à ses politiques internes et à ses réglementations externes en harmonisant sa stratégie, ses processus, sa technologie et son personnel, améliorant ainsi son efficience et son efficacité ».

Chacune de ses disciplines fondamentales, la gouvernance, la gestion des risques et la conformité sont composées de quatre composantes de base :

• Stratégie
• Processus
• Technologie
• Personne

L'attrait pour le risque présent dans l'organisation, ses politiques internes et ses règlements externes constituent les règles de GRC. Les disciplines, leurs composantes et leurs règles doivent quant à elles être fusionnées de manière intégrée, alignées sur les opérations commerciales gérées et soutenues par la GRC. Grâce à cette approche, les organisations souhaitent atteindre les objectifs suivants : un comportement correct et une efficacité et une efficience améliorées de tous les éléments impliqués[7].

• Adam Krug, Governance Risk and Compliance & HSE Software System Case Studies, Case Studies 1 - 34
• https://www.qualitadd.com/

• ISO 19600:2014
• Records management