Avant Propos

La conformité est un enjeu majeur qui touche tous les métiers et tous les acteurs dans une société. Les exigences en matière de conformité évoluent par vagues:

2001: Secteur bancaire

SEC & BCBS (Basel Committee on Banking Supervision) requirements

2002: Sociétés côtés aux US

SOX (Sarbanes-Oxley), FCPA (Foreign Corrupt Practices Act), HLOGA (Honest Leadership & Open Gov. Act)

2017: Sociétés Françaises

(500 FTE et plus de de 100 Millions de CA)
Sapin II

Autres réglementations

RGPD, J-SOX, UKBA, LSF etc

Les outils et les cadres de gouvernance de contrôle permanent à mettre en place sont variés, nous sommes specialistes des outils et processus associés à ces sujets et accompagnons nos clients avec pragmatisme et flexibilité.

Notre offre va de l’audit de maturité et de la définition d’une feuille de route à la rédaction de procédures et la formation d’utilisateurs finaux en passant par la mise en place de process et en capitalisant sur les bonnes pratiques du marché.

Sarbanes-Oxley et la loi de sécurité financière

Sarbanes-Oxley (SOX):

Les clauses 409 et 404 sont particulièrement exigeantes en matière de Contrôle interne sur les processus informatiques.
La section 409 parce qu’elle exige une cloture des comptes rapide, la 404 parce qu’elle porte sur un ensemble d’exigences en contrôle interne sur les systèmes d’informations.
Quelques exemples: gestion de mot de passe, authentification des accès, gestion des accès, infrastructure, séparation des tâches etc.

Loi de sécurité financière (LSF):

La loi sur la sécurité financière en France a fait suite à SOX, elle date de 2003 et est également connue sous le nom de Loi Mer. Elle s’applique a toute les SA et à toute société faisant appel à l’épargne publique.
Elle comprend différents volets qui portent principalement sur la responsabilité des dirigeants, le renforcement de la gouvernance autour du controle interne et la réduction des sources de conflits d’intérêt

ArtimIS vous accompagne dans votre mise en conformité

  • Mise en conformité SOX/LSF

  • Définition de la gouvernance

  • Documentation des processus et des contrôles

  • Paramétrage d’outils dédiés

  • Formation et accompagnement au changement

Sapin II

La loi SAPIN II est la loi du 9 décembre 2016 sur la transparence, la lutte contre la corruption et la modernisation de la vie économique. Elle est entrée en vigueur le 1er juin 2017 et voit ses prérogatives étendues depuis le 1er Janvier 2018. Elle porte sur 8 piliers principaux et concerne les entreprises et filiales faisant plus de €100M de CA et ayant plus de 500 employés. Son autorité de contrôle est l’AFA – Agence Française Anti-corruption.

La mise en conformité Sapin II est un véritable enjeux pour les PME et Sociétés côtés qui y sont soumises. La variété des sujets (gouvernance, RH/formation, communication interne, contrôle interne, etc.) et les changements que cela implique pour l’organisation ont un impact fort pour les métiers.

Benchmark marché, Structure, Rédaction, Traductions

Définition, canaux d’alerte, redaction de procédures, communication interne, formation/sensibilisation (externalisation possible)

Définition du régime disciplinaire avec les RH et la direction

Définition des axes, entretiens métier, revues CI/AI/Comp.
Rédaction de procédures : Rôles & Responsabilité, processus de revue

Etat des lieux, feuille de route (fonction du volet 4), outillage, documentation, formation des achats (commerciaux et autres)

Etat des lieux, feuille de route, identification de contrôles cohérents par rapport à la matrice (pays, notes de frais, douanes, logistique…)

Documentation (procédures et présentations), eLearning, workflow, présentiel – Définition du rythme de formation et des processus de mise à jour.

Dashboard de maturité lié à un SharePoint contenant toute la documentation en cas d’audit de l’AFA

Les experts d’ArtimIS vous accompagnent dans vos projets de mise en œuvre des 8 piliers de la Loi Sapin II afin d’être alignés aux exigences de l’AFA :

  • Sensibilisation à Sapin II: obligations, enjeux et risques

  • Diagnostique: Evaluation du niveau de maturité

  • Accompagnement mise en conformité: PMO sur les 8 pilliers

  • Gouvernance de la conformité: Tableau de bord & documentation

  • Accompagnement au changement

Règlement Général de Protection des Données

Le règlement général sur la protection des Données est la nouvelle loi européenne à laquelle sont assujettis l’ensemble des entreprises disposant et traitant des données personnelles d’individus de nationalité européenne. Pour la France, la CNIL est l’autorité française qui veille à la mise en conformité dudit règlement.

Le RGPD a remis en perspective les enjeux liés à la protection des données et aux systèmes qui les supportent.

Outre la nomination possible d’un Délégué à la protection des données (DPO), la CNIL propose de se préparer en plusieurs étapes au RGPD, dont :

Le recensement des traitements de données à caractère personnel

La priorisation des actions sur la base du registre des traitements

L’appréciation de la criticité et la gestion des risques pour l'entreprise

L’organisation et la documentation du dispositif de conformité au RGPD

ArtimIS vous accompagne sur les principaux enjeux du RGPD dans votre SI et plus particulièrement environnement SI :

  • La réalisation d’une cartographie des traitements de données personnelles dans l’ensemble de vos systèmes SAP

  • La priorisation des actions et l’appréciation des risques sur les processus SI, notamment en termes de gestion des droits d’accès et de protection des données personnelles

  • L’outillage pour supporter votre dispositif de conformité au RGPD

Pourquoi ArtimIS?

Expertise GRC

  • Séniorité des Consultants & Certifications à la clés,
  • 15 ans d’expérience en GRC et sur différents environnements applicatifs : SAP, Oracle & Workday
  • Forte proximité et bonne compréhension des enjeux des différents membres exécutifs (Finance, Audit Interne, Contrôle Interne, Compliance & DSI)

Pragmatisme

  • Approche pragmatique, agile et alignée à la stratégie d’implémentation des référentiels du marché (COSO 2  & ISO 31000/2009 RM)
  • Expérience éprouvée en Gestion des programmes GRC et en conduite du changement (Communication, video, game challenge, training, …),

Complémentarité

  • Proposition d’une équipe complète alliant l’expertise Métier (Contrôle Interne & SOx) et Technique sur les ERPs : SAP (ECC / S4 Hana / Ariba / Fiori) et Oracle (eOBS/Fusion/JDE/NetSuite/PeopleSoft)
  • Proposition d’experts Technique GRC sur SAP GRC (Access Control, Process Control, Risk Management), Oracle RMC  (with Selected Partner for GRC Go To Market strategy), Galvanize (ControlBond, AuditBond, ComplianceBond, RiskBond, …)

Pérennité

  • Coûts de prestations compétitifs par rapport à des grands cabinets d’Audit et de Conseil,
  • Coûts de prestations de mise en œuvre technique d’application GRC et de support fortement avantageux grâce à notre approche de nearshoring/offshoring.
  • 60 % de notre revenue provient de nos clients fidèles et 40 % sur les nouveaux clients

La séniorité de nos consultants et notre expérience éprouvée sur le marché nous permet de vous apporter pragmatisme et agilité dans vos projets de mise en conformité.

Benoit Pachot, Associé chez ArtimIS