Avant Propos
La pression des régulateurs, des auditeurs externes, des investisseurs et des autres parties prenantes force les entreprises à investir dans des programmes de GRC. A des fins d’optimisation, ces dernières veulent utiliser les leviers technologiques pour produire des rapports de l’état de conformité en temps réel.
Définir un programme GRC pérenne nécessite la définition de nouveaux rôles et responsabilités ou bien la création de nouveaux départements type contrôle interne. Aussi, l’accompagnement d’experts GRC alliant connaissance technique et fonctionnelle en plus d’une appétence certaine sur les ERPs du marché, est plus que recommandé.
L’équipe d’ArtimIS est composée d’experts GRC certifiés et d’experts métiers (contrôle interne, conformité finance) avec une expérience éprouvée en mise en place de cadres de contrôle interne et en mise sous contrôle des systèmes d’information. La séniorité de l’équipe nous permet de fournir des services de grande qualité. Notre héritage nous permet de proposer à nos clients un diagnostique pertinent sur l’ensemble des processus, des risques et sur la gouvernance associée afin de les aider à élaborer une stratégie GRC appropriée.
Lorsque l’on s’intéresse à une gestion des risques intégrée et transverse à son organisation, il est important de bien comprendre les objectifs et les bénéfices d’un tel programme. L’équipe ArtimIS vous accompgne dans vos projets d’implémentation de programes GRC.
Les principaux objectifs sont :
La valeur et les bénéfices sont :
Assurer un cadre de référence
Afin d’accompagner ses clients dans la mise en œuvre d’un programme GRC, ArtimIS utilise généralement un cadre de référence
alliant les bonnes pratiques de gestion des risques et de contrôle interne (AMF, COSO 2 & ISO 31000/2009 RM) avec les spécificités et
l’expérience utilisateur des solutions métiers (ERP : SAP S4 HANA / Oracle ou autres applications Spécifiques).
Avant de se lancer dans la définition et l’implémentation d’un programme GRC, il est important de définir la gouvernance, c’est-à-dire, définir l’organisation, les sponsors, les acteurs clés du projets, les contributeurs, mais aussi identifier les processus à couvrir en priorité.
Les experts ArtimIS accompagnent leurs clients pour identifier les acteurs nécessaires à chacune des lignes de défense:
Première ligne de défense
Seconde ligne de défense
Troisième ligne de défense
Une fois que la gouvernance est définie (Organisation, People, Processus, Applications, …) il nous faut maintenant évaluer,
définir et implémenter le dispositif de gestion des risques et de contrôle interne.
Pour ce faire, nous pouvons nous baser sur le cadre de référence ISO 31000/2009 RM ci-dessous :
————- Gouvernance & Organisation ————
————- Classification des Risques & Reporting ————
————- Processus associés ————
————- Technologie Applicative & Plateforme GRC ————
Evaluation de la maturité
Les efforts de gestion des risques et de conformité ont pour objectif d’utiliser comme levier les technologies applicatives et les plateformes GRC afin :
Néanmoins avant de s’imaginer supporter son dispositif de gestion des risques et de contrôle interne par une plateforme GRC, il faut d’abord s’interroger sur le niveau de maturité de son dispositif.
ArtimIS propose à ses prospects & clients de mettre en musique une évaluation du niveau de maturité en mode « self-assessment » afin de définir la trajectoire la plus appropriée :
Grade Fonctionnel
| Maturité | Description |
|---|---|
| Niveau 1 | Ad-Hoc/la gestion des risques et du contrôle interne est non formalisée et peu présente. L’organisation se contente simplement de positionner des représentants dans des silos isolés de l’organisation. Cependant, un contrôle annuel est assuré par les audits externes permettant de détecter et de remédier des risques critiques sur l’année suivante. |
| Niveau 2 | Fragmentée/La gestion des risques et du contrôle interne est décentralisée et disparate. Par conséquent, on observe un manque de communication et de consolidation de l’information entre les différents départements et le management. Aussi, les activités reposent sur des outils bureautiques. Toutefois un contrôle périodique est assuré par une entité dite indépendante, l’audit interne (la troisième ligne de défense) au sein même de l’organisation afin de couvrir les risques le plus critiques mais de manière détective. |
| Niveau 3 | Gérée/La gestion des risques et du contrôle interne est effectuée au sein même d’un département (une deuxième ligne de défense est créée) qui centralise et coordonne l’ensemble des activités en s’appuyant sur une réseaux (la première ligne de défense) |
| Niveau 4 | Intégrée/La gestion des risques et du contrôle interne est parfaitement intégrée et couvre l’ensemble des processus de l’organisation. Les acteurs, les sponsor et l’organisation sont clairement définis, documentés et vivants. Il existe par ailleurs un système de contrôle continue permettant de prévenir les risques de manière proactive ainsi que de pouvoir mesurer l’efficacité de l’exercice de contrôle. La coordination des trois lignes de défense est centralisée mais reste toutefois plus focalisé sur la gestion de la conformité et des risques critiques. |
| Niveau 5 | Agile/La gestion des risques et du contrôle interne a évoluée dans une instance où tout collaborateur appréhende et entreprend la réalisation des objectifs de gestion des risques. De plus, les activités GRC sont alignées à la stratégie de l’entreprise. Il existe une vrai fédération des risques via un centre de service partagé fonctionnant en parfaite autonomie et dont les actions sont pertinentes et ne font qu’amplifier la performance des processus. |
Grade Technologique
| Maturité | Description |
|---|---|
| Niveau 1 | Ad-Hoc/Voie Orale |
| Niveau 2 | Outils Bureautiques |
| Niveau 3 | ERP-Outils Bureautiques et solutions d’analyses de données |
| Niveau 4 | Plateforme GRC intégrée aux ERP et autres applications |
| Niveau 5 | Plateforme GRC intégrée aux ERPs et Autres applications en y ajoutant une couche technologique avancée (Robots, CCM, Process Mining ou ML pour passer du détectif au préventif tout en améliorant la prise de décision et le reporting) |
Choisir le bon outil GRC
Nos clients cherchent continuellement à améliorer leur niveau de maturité et donc, s’interrogent de plus en plus quant à leurs options quant à l’offre de plateformes GRC
Comment procéder, par où commencer ?
Les outils du marché de la GRC étant en constante évolution, nous attachons une importance particulière à l’innovation et à la veille technologique afin de répondre pertinemment aux exigences de nos clients et de manière agnostique.
Nous nous tenons également informés de façon systématique sur les évolutions métiers et réglementaires pour proposer un accompagnement approprié.
Ainsi, les équipes ArtimIS accompagne ses clients dans l’élaboration de business case afin d’orienter et d’affiner le choix de la solution GRC.
Par rapport aux différentes fonctionnalités désirées et au contexte de nos clients, nous évaluons les solutions sous différents Axes, voici quelques exemples (Model de Licences & pérennité de l’éditeur, Compétences technico-fonctionnelles sur le marché FR et EU*, Temps vs Cout d’implémentation, Couverture fonctionnelle par module applicatif, Ergonomie de la solution, Architecture & Sécurité de la solution (Code, Accès, Donnée, …))
En plus de l’expérience éprouvée par nos consultants, ces études sont inspirées des meilleurs méthodes (PRINCE2) et cabinet d’étude (Étude Gartner / Forrester / IDC) tout en étant adapté au contexte de nos clients pour leur proposer un processus d’aide au choix agile et pragmatique.
Pourquoi ArtimIS?
Notre expertise et notre constante veille technologique nous permettent d’accompagner nos clients au quotidien dans leurs objectifs de gouvernance du risque et de mise en conformité.
Grâce à ArtimIS, ils ont amélioré leur maturité autour de la culture du risque dans l’entreprise, ils deviennent capables de détecter et prévenir les menaces grâce à des lignes de défense renforcées. Enfin, ils disposent des outils répondant au mieux à leurs besoins, leurs processus et, évidemment leurs contraintes organisationnelles ou budgétaires.