Evaluation de la maturité
Les efforts de gestion des risques et de conformité ont pour objectif d’utiliser comme levier les technologies applicatives et les plateformes GRC afin :
Néanmoins avant de s’imaginer supporter son dispositif de gestion des risques et de contrôle interne par une plateforme GRC, il faut d’abord s’interroger sur le niveau de maturité de son dispositif.
ArtimIS propose à ses prospects & clients de mettre en musique une évaluation du niveau de maturité en mode « self-assessment » afin de définir la trajectoire la plus appropriée :
Grade Fonctionnel
| Maturité | Description |
|---|---|
| Niveau 1 | Ad-Hoc/la gestion des risques et du contrôle interne est non formalisée et peu présente. L’organisation se contente simplement de positionner des représentants dans des silos isolés de l’organisation. Cependant, un contrôle annuel est assuré par les audits externes permettant de détecter et de remédier des risques critiques sur l’année suivante. |
| Niveau 2 | Fragmentée/La gestion des risques et du contrôle interne est décentralisée et disparate. Par conséquent, on observe un manque de communication et de consolidation de l’information entre les différents départements et le management. Aussi, les activités reposent sur des outils bureautiques. Toutefois un contrôle périodique est assuré par une entité dite indépendante, l’audit interne (la troisième ligne de défense) au sein même de l’organisation afin de couvrir les risques le plus critiques mais de manière détective. |
| Niveau 3 | Gérée/La gestion des risques et du contrôle interne est effectuée au sein même d’un département (une deuxième ligne de défense est créée) qui centralise et coordonne l’ensemble des activités en s’appuyant sur une réseaux (la première ligne de défense) |
| Niveau 4 | Intégrée/La gestion des risques et du contrôle interne est parfaitement intégrée et couvre l’ensemble des processus de l’organisation. Les acteurs, les sponsor et l’organisation sont clairement définis, documentés et vivants. Il existe par ailleurs un système de contrôle continue permettant de prévenir les risques de manière proactive ainsi que de pouvoir mesurer l’efficacité de l’exercice de contrôle. La coordination des trois lignes de défense est centralisée mais reste toutefois plus focalisé sur la gestion de la conformité et des risques critiques. |
| Niveau 5 | Agile/La gestion des risques et du contrôle interne a évoluée dans une instance où tout collaborateur appréhende et entreprend la réalisation des objectifs de gestion des risques. De plus, les activités GRC sont alignées à la stratégie de l’entreprise. Il existe une vrai fédération des risques via un centre de service partagé fonctionnant en parfaite autonomie et dont les actions sont pertinentes et ne font qu’amplifier la performance des processus. |
Grade Technologique
| Maturité | Description |
|---|---|
| Niveau 1 | Ad-Hoc/Voie Orale |
| Niveau 2 | Outils Bureautiques |
| Niveau 3 | ERP-Outils Bureautiques et solutions d’analyses de données |
| Niveau 4 | Plateforme GRC intégrée aux ERP et autres applications |
| Niveau 5 | Plateforme GRC intégrée aux ERPs et Autres applications en y ajoutant une couche technologique avancée (Robots, CCM, Process Mining ou ML pour passer du détectif au préventif tout en améliorant la prise de décision et le reporting) |