Assurer un cadre de référence

Afin d’accompagner ses clients dans la mise en œuvre d’un programme GRC, ArtimIS utilise généralement un cadre de référence
alliant les bonnes pratiques de gestion des risques et de contrôle interne (AMF, COSO 2 & ISO 31000/2009 RM) avec les spécificités et
l’expérience utilisateur des solutions métiers (ERP : SAP S/4HANA / Oracle ou autres applications Spécifiques).

Avant de se lancer dans la définition et l’implémentation d’un programme GRC, il est important de définir la gouvernance, c’est-à-dire, définir l’organisation, les sponsors, les acteurs clés du projets, les contributeurs, mais aussi identifier les processus à couvrir en priorité.

Les experts ArtimIS accompagnent leurs clients pour identifier les acteurs nécessaires à chacune des lignes de défense:

Première ligne de défense

Finance

Direction Administrative et Financière
Contrôle de gestion
Comptabilité

Ligne de métiers

Managers de BU
Employés
Ressources humaines

Autres rôles GRC

Achats
EHS
Juridique
Qualité

Seconde ligne de défense

Management des risques

Risques sectoriels
Risques opérationnels
Risques processus
Risques projets

Contrôle
interne

Contrôle interne sur le reporting
Contrôles IT
Contrôles opérationnels

Risques
et sécurité IT

Sécurité de l’information
Conformité de l’information
Gouvernance IT

Ethique
et conformité

Ethique & Conformité
Investigateurs de fraud
Management des procedures

Troisième ligne de défense

Audit interne

Audit financier
Audit IT
Audit opérationnel
Audit tiers

Une fois que la gouvernance est définie (Organisation, People, Processus, Applications, …) il nous faut maintenant évaluer,
définir et implémenter le dispositif de gestion des risques et de contrôle interne.

Pour ce faire, nous pouvons nous baser sur le cadre de référence ISO 31000/2009 RM ci-dessous :

————- Gouvernance & Organisation ————

Evaluation des Risques

Culture des Risques

Posture, registre & traitement des risques

Définition et implémentation du Programme

Anthologie des Risques
Hiérarchie et segmentation des risques
Méthodologie des risques

Revue et Optimisation du Programme

Notification, Reporting et Remontée d’incidents

Cellule de Gestion de crises

————- Classification des Risques & Reporting ————

Evaluation des Risques

Cartographie des risques et des menaces, association des données et des systèmes

Evaluation d’impact et de probabilité

Définition et implémentation du Programme

Alignement Stratégique des risques

Sensibilisation aux régulations, normes et autres règles internes

Revue et Optimisation du Programme

Atténuation / Compensation des risques

Reporting des risques et des métriques

————- Processus associés ————

Evaluation des Risques

Evaluation du niveau de Maturité
Analyse de Gap (Niveau actuel/souhaité)
Définition de la stratégie et de la roadmap
Evaluation du niveau de lisibilité des initiatives de gestion des risques et de conformité (Contexte/ID/Objectifs/Evaluations/Traitements)

Définition et implémentation du Programme

Revue des processus/sous-processus & mapping
Association des KPI/KRI/KCI
Politique, directives internationales et internes & bibliothèque de contrôles
Objectif de contrôles et étude de cas
Harmonisation de l’environnement de contrôle

Revue et Optimisation du Programme

Communication & Conduite du Changement
Formation & Sensibilisation
Analyses SWOT
Forum & Communauté
Amélioration continue des compétences, de la valeur ajoutée et du ROI

————- Technologie Applicative & Plateforme GRC ————

Evaluation des Risques

Business Cases
PoC
RFI/RFP Process

Définition et implémentation du Programme

Définition de l’architecture des applications et des systèmes
Mise en œuvre cadencée

Revue et Optimisation du Programme

Revue des paramétrage et de performance
Développement & fine-tunning