Avant Propos

GOUVERNANCE

RISQUES

CONFORMITE

La pression des régulateurs, des auditeurs externes, des investisseurs et des autres parties prenantes force les entreprises à investir dans des programmes de GRC. A des fins d’optimisation, ces dernières veulent utiliser les leviers technologiques pour produire des rapports de l’état de conformité en temps réel.

Définir un programme GRC pérenne nécessite la définition de nouveaux rôles et responsabilités ou bien la création de nouveaux départements type contrôle interne. Aussi, l’accompagnement d’experts GRC alliant connaissance technique et fonctionnelle en plus d’une appétence certaine sur les ERPs du marché, est plus que recommandé.

L’équipe d’ArtimIS est composée d’experts GRC certifiés et d’experts métiers (contrôle interne, conformité finance) avec une expérience éprouvée en mise en place de cadres de contrôle interne et en mise sous contrôle des systèmes d’information. La séniorité de l’équipe nous permet de fournir des services de grande qualité. Notre héritage nous permet de proposer à nos clients un diagnostique pertinent sur l’ensemble des processus, des risques et sur la gouvernance associée afin de les aider à élaborer une stratégie GRC appropriée.

Lorsque l’on s’intéresse à une gestion des risques intégrée et transverse à son organisation, il est important de bien comprendre les objectifs et les bénéfices d’un tel programme. L’équipe ArtimIS vous accompgne dans vos projets d’implémentation de programes GRC.

Les principaux objectifs sont :

La valeur et les bénéfices sont :

  • Renforcer la sensibilisation aux risques et collaborer autour du dispositif de contrôle interne,

  • Assurer le pilotage continu et le reporting des contrôles sur les processus clés

  • Améliorer la culture de l’entreprise autour des sujets de Gouvernance Risque et Conformité

  • Améliorer la reputation de marché en rassurant les inverstisseurs et les tiers avec qui l’entreprise collabore

  • Prévenir, détecter et réduire les faiblesses & les menaces visant l’ensemble l’entreprise

  • Améliorer la réactivité et l’efficacité des processus métiers pour atteindre ses objectifs stratégiques tout en optimisant le ROI.

  • Accompagner la transformation de l’entreprise par une gestion des risques proactive

  • Inspirer et motiver ses collaborateurs dans la mesure où l’entreprise exerce ses activités dans une conduite éthique et appropriée

  • Réduire les risques d’erreurs humaines, opérationnels, de fuite de données, de fraude et de conformité

  • Garantir la transparence des données financières publiées notamment pour assurer la conformité au regard des différentes réglementations

  • Garantir une qualité des données « Risque » et un reporting efficient à tous les niveaux (Audit Interne/Contrôle Interne/Opérations)

  • Alimenter les directions et les comités exécutifs d’informations en temps réel afin de permettre une prise de décision efficace et pragmatique

Assurer un cadre de référence

Afin d’accompagner ses clients dans la mise en œuvre d’un programme GRC, ArtimIS utilise généralement un cadre de référence
alliant les bonnes pratiques de gestion des risques et de contrôle interne (AMF, COSO 2 & ISO 31000/2009 RM) avec les spécificités et
l’expérience utilisateur des solutions métiers (ERP : SAP S4 HANA / Oracle ou autres applications Spécifiques).

Avant de se lancer dans la définition et l’implémentation d’un programme GRC, il est important de définir la gouvernance, c’est-à-dire, définir l’organisation, les sponsors, les acteurs clés du projets, les contributeurs, mais aussi identifier les processus à couvrir en priorité.

Les experts ArtimIS accompagnent leurs clients pour identifier les acteurs nécessaires à chacune des lignes de défense:

Première ligne de défense

Finance

Direction Administrative et Financière
Contrôle de gestion
Comptabilité

Ligne de métiers

Managers de BU
Employés
Ressources humaines

Autres rôles GRC

Achats
EHS
Juridique
Qualité

Seconde ligne de défense

Management des risques

Risques sectoriels
Risques opérationnels
Risques processus
Risques projets

Contrôle
interne

Contrôle interne sur le reporting
Contrôles IT
Contrôles opérationnels

Risques
et sécurité IT

Sécurité de l’information
Conformité de l’information
Gouvernance IT

Ethique
et conformité

Ethique & Conformité
Investigateurs de fraud
Management des procedures

Troisième ligne de défense

Audit interne

Audit financier
Audit IT
Audit opérationnel
Audit tiers

Une fois que la gouvernance est définie (Organisation, People, Processus, Applications, …) il nous faut maintenant évaluer,
définir et implémenter le dispositif de gestion des risques et de contrôle interne.

Pour ce faire, nous pouvons nous baser sur le cadre de référence ISO 31000/2009 RM ci-dessous :

————- Gouvernance & Organisation ————

Evaluation des Risques

Culture des Risques

Posture, registre & traitement des risques

Définition et implémentation du Programme

Anthologie des Risques
Hiérarchie et segmentation des risques
Méthodologie des risques

Revue et Optimisation du Programme

Notification, Reporting et Remontée d’incidents

Cellule de Gestion de crises

————- Classification des Risques & Reporting ————

Evaluation des Risques

Cartographie des risques et des menaces, association des données et des systèmes

Evaluation d’impact et de probabilité

Définition et implémentation du Programme

Alignement Stratégique des risques

Sensibilisation aux régulations, normes et autres règles internes

Revue et Optimisation du Programme

Atténuation / Compensation des risques

Reporting des risques et des métriques

————- Processus associés ————

Evaluation des Risques

Evaluation du niveau de Maturité
Analyse de Gap (Niveau actuel/souhaité)
Définition de la stratégie et de la roadmap
Evaluation du niveau de lisibilité des initiatives de gestion des risques et de conformité (Contexte/ID/Objectifs/Evaluations/Traitements)

Définition et implémentation du Programme

Revue des processus/sous-processus & mapping
Association des KPI/KRI/KCI
Politique, directives internationales et internes & bibliothèque de contrôles
Objectif de contrôles et étude de cas
Harmonisation de l’environnement de contrôle

Revue et Optimisation du Programme

Communication & Conduite du Changement
Formation & Sensibilisation
Analyses SWOT
Forum & Communauté
Amélioration continue des compétences, de la valeur ajoutée et du ROI

————- Technologie Applicative & Plateforme GRC ————

Evaluation des Risques

Business Cases
PoC
RFI/RFP Process

Définition et implémentation du Programme

Définition de l’architecture des applications et des systèmes
Mise en œuvre cadencée

Revue et Optimisation du Programme

Revue des paramétrage et de performance
Développement & fine-tunning

Evaluation de la maturité

Les efforts de gestion des risques et de conformité ont pour objectif d’utiliser comme levier les technologies applicatives et les plateformes GRC afin :

  • D’optimiser le dispositif de contrôle interne,

  • d’améliorer la performance des processus,

  • et de réduire les couts associés aux tâches de mise en conformité via l’automatisation des contrôles, entre autres.

Néanmoins avant de s’imaginer supporter son dispositif de gestion des risques et de contrôle interne par une plateforme GRC, il faut d’abord s’interroger sur le niveau de maturité de son dispositif.

ArtimIS propose à ses prospects & clients de mettre en musique une évaluation du niveau de maturité en mode « self-assessment » afin de définir la trajectoire la plus appropriée :

Grade Fonctionnel

Maturité Description
Niveau 1 Ad-Hoc/la gestion des risques et du contrôle interne est non formalisée et peu présente. L’organisation se contente simplement de positionner des représentants dans des silos isolés de l’organisation. Cependant, un contrôle annuel est assuré par les audits externes permettant de détecter et de remédier des risques critiques sur l’année suivante.
Niveau 2 Fragmentée/La gestion des risques et du contrôle interne est décentralisée et disparate. Par conséquent, on observe un manque de communication et de consolidation de l’information entre les différents départements et le management. Aussi, les activités reposent sur des outils bureautiques. Toutefois un contrôle périodique est assuré par une entité dite indépendante, l’audit interne (la troisième ligne de défense) au sein même de l’organisation afin de couvrir les risques le plus critiques mais de manière détective.
Niveau 3 Gérée/La gestion des risques et du contrôle interne est effectuée au sein même d’un département (une deuxième ligne de défense est créée) qui centralise et coordonne l’ensemble des activités en s’appuyant sur une réseaux (la première ligne de défense)
Niveau 4 Intégrée/La gestion des risques et du contrôle interne est parfaitement intégrée et couvre l’ensemble des processus de l’organisation. Les acteurs, les sponsor et l’organisation sont clairement définis, documentés et vivants. Il existe par ailleurs un système de contrôle continue permettant de prévenir les risques de manière proactive ainsi que de pouvoir mesurer l’efficacité de l’exercice de contrôle. La coordination des trois lignes de défense est centralisée mais reste toutefois plus focalisé sur la gestion de la conformité et des risques critiques.
Niveau 5 Agile/La gestion des risques et du contrôle interne a évoluée dans une instance où tout collaborateur appréhende et entreprend la réalisation des objectifs de gestion des risques. De plus, les activités GRC sont alignées à la stratégie de l’entreprise. Il existe une vrai fédération des risques via un centre de service partagé fonctionnant en parfaite autonomie et dont les actions sont pertinentes et ne font qu’amplifier la performance des processus.

Grade Technologique

Maturité Description
Niveau 1 Ad-Hoc/Voie Orale
Niveau 2 Outils Bureautiques
Niveau 3 ERP-Outils Bureautiques et solutions d’analyses de données
Niveau 4 Plateforme GRC intégrée aux ERP et autres applications
Niveau 5 Plateforme GRC intégrée aux ERPs et Autres applications en y ajoutant une couche technologique avancée (Robots, CCM, Process Mining ou ML pour passer du détectif au préventif tout en améliorant la prise de décision et le reporting)

Choisir le bon outil GRC

Nos clients cherchent continuellement à améliorer leur niveau de maturité et donc, s’interrogent de plus en plus quant à leurs options quant à l’offre de plateformes GRC

Comment procéder, par où commencer ?

Les outils du marché de la GRC étant en constante évolution, nous attachons une importance particulière à l’innovation et à la veille technologique afin de répondre pertinemment aux exigences de nos clients et de manière agnostique.

Nous nous tenons également informés de façon systématique sur les évolutions métiers et réglementaires pour proposer un accompagnement approprié.

Ainsi, les équipes ArtimIS accompagne ses clients dans l’élaboration de business case afin d’orienter et d’affiner le choix de la solution GRC.

GRC pour l'Entreprise

Capacité à gérer une architecture intégrée dans plusieurs domaines de GRC grâce à une architecture structurée et une stratégie des technologies de l’information couverte par les processus

Management de l'Audit

Capacité à gérer la planification de l’audit, les ressources humaines, la documentation, l’exécution et le travail de le terrain, les constatations, les rapports et les analyses

Automatisation des Contrôles

Capacité d’automatiser la détection et l’application des contrôles internes sur les processus métier, les systèmes, les enregistrements, les transactions, les documents et les informations

Gestion de la conformité

Capacité à gérer un programme de conformité global, à gérer les changements, à évaluer la conformité, à remédier à la non-conformité et à remonter les alertes

Gestion du Contôle Interne

Capacité à gérer, définir, documenter, cartographier, surveiller, tester, évaluer et communiquer sur l’ensemble des contrôles internes à l’organisation

Gestion IT

Capacité à gouverner l’informatique dans le contexte des objectifs métier et à gérer les processus IT, la technologie, les risques et la conformité des informations

Gestion des problèmes

Capacité remonter les problèmes et les incidents en gérant, documentant, résolvant et signalant les plaintes, les problèmes, les incidents, les événements et les  enquêtes

Gestion des risques

Capacité d’identifier, d’évaluer, de mesurer, de traiter, de gérer, de surveiller et de rendre compte des risques pour les objectifs, les divisions, les départements, les processus, les actifs et les projets

Gestion des tiers

Capacité à gouverner, gérer et surveiller l’ensemble des relations avec des tiers de l’entreprise, en particulier les risques et les problèmes de conformité que ces relations entraînent

Par rapport aux différentes fonctionnalités désirées et au contexte de nos clients, nous évaluons les solutions sous différents Axes, voici quelques exemples (Model de Licences & pérennité de l’éditeur, Compétences technico-fonctionnelles sur le marché FR et EU*, Temps vs Cout d’implémentation, Couverture fonctionnelle par module applicatif, Ergonomie de la solution, Architecture & Sécurité de la solution (Code, Accès, Donnée, …))

En plus de l’expérience éprouvée par nos consultants, ces études sont inspirées des meilleurs méthodes (PRINCE2) et cabinet d’étude (Étude Gartner / Forrester / IDC) tout en étant adapté au contexte de nos clients pour leur proposer un processus d’aide au choix agile et pragmatique.

Pourquoi ArtimIS?

Expertise GRC

  • Séniorité des Consultants & Certifications à la clés,
  • 15 ans d’expérience en GRC et sur différents environnements applicatifs : SAP, Oracle & Workday
  • Forte proximité et bonne compréhension des enjeux des différents membres exécutifs (Finance, Audit Interne, Contrôle Interne, Compliance & DSI)

Pragmatisme

  • Approche pragmatique, agile et alignée à la stratégie d’implémentation des référentiels du marché (COSO 2  & ISO 31000/2009 RM)
  • Expérience éprouvée en Gestion des programmes GRC et en conduite du changement (Communication, video, game challenge, training, …),

Complémentarité

  • Proposition d’une équipe complète alliant l’expertise Métier (Contrôle Interne & SOx) et Technique sur les ERPs : SAP (ECC / S4 Hana / Ariba / Fiori) et Oracle (eOBS/Fusion/JDE/NetSuite/PeopleSoft)
  • Proposition d’experts Technique GRC sur SAP GRC (Access Control, Process Control, Risk Management), Oracle RMC  (with Selected Partner for GRC Go To Market strategy), Galvanize (ControlBond, AuditBond, ComplianceBond, RiskBond, …)

Pérennité

  • Coûts de prestations compétitifs par rapport à des grands cabinets d’Audit et de Conseil,
  • Coûts de prestations de mise en œuvre technique d’application GRC et de support fortement avantageux grâce à notre approche de nearshoring/offshoring.
  • 60 % de notre revenue provient de nos clients fidèles et 40 % sur les nouveaux clients qui nous font confiance et que nous fidéliserons.

Notre expertise et notre constante veille technologique nous permettent d’accompagner nos clients au quotidien dans leurs objectifs de gouvernance du risque et de mise en conformité.
Grâce à ArtimIS, ils ont amélioré leur maturité autour de la culture du risque dans l’entreprise, ils deviennent capables de détecter et prévenir les menaces grâce à des lignes de défense renforcées. Enfin, ils disposent des outils répondant au mieux à leurs besoins, leurs processus et, évidemment leurs contraintes organisationnelles ou budgétaires.

Arnott Hales, Associé chez ArtimIS