Bienvenue dans Blog FR - Transformation métier et IT

annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 

L’organisation agile: le rôle de la GRC dans la transformation

0
0
Agile-Organization-GRC-Transformational-Process

Aujourd’hui, une organisation est non seulement complexe, mais aussi chaotique car en perpétuelle transformation :

  • Décentralisation : l’activité d’une entreprise ne s’effectue plus seulement à l’intérieur de ses frontières classiques, comme ses immeubles, ni seulement avec ses propres salariés. Ces critères laissent la place à un réseau de relations et d’interactions qui élargissent les échanges et brouillent les lignes.
  • Dynamique et dynamisme : une organisation est en perpétuelle mutation, entre changement de stratégie, de technologie, de processus, mais elle doit veiller à la conformité de toutes ses opérations et aux risques face à un environnement réglementaire qui lui aussi change constamment. Deux axes de changement donc : la dynamique des relations soutenant le business, et pour chacune de ces relations, le contexte et notamment l’environnement réglementaire dans lequel elle s’effectue.
  • Discontinuité : elle est engendrée par la rencontre entre la décentralisation des activités et la nécessité de changement de chacune. Les changements sont rapides, polymorphes et nombreux, ce qui perturbe et ralentit l’organisation alors qu’elle recherche l’agilité et la vitesse.

L’économie réelle opère dans le chaos. Lui appliquer la théorie du chaos revient à tenter de maîtriser « l’effet papillon » selon lequel un événement a priori négligeable en engendre d’autres plus, importants. 

La principale difficulté d’une entreprise est de parvenir à l’agilité dans un environnement décentralisé, dynamique et discontinu. Agilité et contrôle semblent naturellement opposés. A première vue on pourrait supposer que l’agilité requiert la liberté alors que le contrôle l’inhibe. La réalité est que la combinaison de la gouvernance et du contrôle renforcent l’agilité, car ils préviennent les mouvements impulsifs ou irréfléchis dans un environnement dynamique et turbulent. Les organisations doivent trouver ce difficile équilibre entre agilité et contrôle.

La gouvernance réconcilie les deux. Le premier principe de gouvernance est la fiabilité des objectifs fixés, et elle exige agilité et contrôle. Sans agilité, les objectifs ne seront pas atteints car l’entreprise ne peut agir ni répondre dans un environnement complexe et dynamique. Sans contrôle, c’est la fiabilité de l’activité elle-même qui s’écroule, et l’entreprise prend involontairement une direction différente de celle initialement fixée. 

On peut dire d’une transformation qu’elle réussit lorsque l’organisation a la capacité d’atteindre ses objectifs de façon certaine, tout en faisant face aux aléas et en agissant avec intégrité1 . Le rapport OCEG 2015 GRC Metrics Survey souligne en outre que « les organisations déclarant avoir adopté une approche intégrée pour les outils de Gouvernance, Risques et Conformité (GRC), ont sensiblement amélioré la cohérence globale de leur dispositif de GRC, ce qui n’est pas le cas de celles qui ont adopté une approche fragmentée, en silos»2.

La fiabilité de l’atteinte des objectifs constitue la gouvernance. Comprendre et réduire l’incertitude dans la mission de l’entreprise constitue la gestion des risques. Enfin agir avec intégrité constitue la conformité réglementaire. Ces trois composantes s’inter-alimentent. La gouvernance définit la stratégie et les objectifs comme cadre à la gestion des risques. Cette dernière à son tour, analyse et anticipe l’incertitude, pour fixer les limites et les exigences à l’intérieur desquelles l’organisation pourra atteindre ses objectifs de façon fiable. Finalement la conformité permet à l’organisation de rester dans le cadre fixé par la gestion des risques pour atteindre ses objectifs de façon fiable. 

Le rapport OCEG 2015 GRC Metrics Survey tire six conclusions importantes au sujet de la transformation dans le contexte de la GRC : Plus le dispositif de GRC est intégré, 

  1. plus il traite les besoins GRC de façon cohérente, d’où qu’ils viennent dans l’organisation
  2. plus grande est la confiance qu’il inspire pour limiter le risque et assurer la conformité
  3. plus il sécurise la performance, et la capacité à l’auditer, ainsi que le risque et la conformité
  4. plus les indicateurs de mesure de la performance, du risque et de la conformité sont clairs et fiables
  5. plus les lignes métier sont persuadées de donner les informations utiles au comité de direction et aux décisionnaires
  6. plus nombreux sont les participants à cette étude qui choisissent des termes positifs pour décrire leurs indicateurs de mesure

La transformation dans le contexte de la GRC nécessite de relier l’entreprise, les unités métier, les processus, les transactions et l’information pour assurer la transparence, la discipline et le contrôle de l’écosystème business et des activités opérationnelles. Ces liaisons ne sont pas linéaires, mais plutôt un réseau complexe de relations aux effets exponentiels et chaotiques. Ce qui pourrait sembler n’être qu’une turbulence négligeable, un petit risque dans les objectifs peut en fait avoir un effet massif ou… pas d’effet du tout ! Dans un système linéaire, l’effet est proportionnel à la cause. Dans le contexte non-linéaire de l’activité économique, l’effet est au mieux exponentiel, mais souvent plutôt imprévisible. Le business est un exemple de théorie du chaos. Le frémissement imperceptible d’un risque peut mettre en péril l’organisation. Maîtriser les connexions entre les risques dans le monde non-linéaire du business, c’est éviter des effets indésirables pouvant aller d’exponentiels à imprévisibles.

Pour atteindre fidèlement ses objectifs, une organisation doit comprendre le rayon d’action de chaque risque (l’arbre), ainsi que les connexions entre les risques (la forêt). La maturité du dispositif de GRC augmente avec l’aptitude à connecter, comprendre, analyser et contrôler les relations et les modèles de comportements de la performance, des risques et de la conformité alors même que le busines croît et change. Les systèmes et les processus sont reliés par des interactions, les unes très apparentes, les autres bien moins. Ces interactions peuvent surprendre l’organisation dans des situations hors de contrôle. Lorsqu’elle appréhende le risque par silos isolés, l’organisation passe à côté du réseau interconnecté des risques et de leurs effets sur la performance et la stratégie. Il en résulte une exposition au risque bien plus grande que celle de n’importe quel silo, fût-elle maîtrisée.

Quand elle est comprise et exécutée correctement, la démarche de GRC devient un facteur améliorant l’activité de l’entreprise. Elle est aussi une occasion de transformer en bien l’organisation. Elle constitue une aptitude qui crée de la valeur car grâce à elle, les processus sont plus efficaces, plus productifs, et plus agiles dans un environnement dynamique, décentralisé, et discontinu. 

*****

1. Voici la définition pour la GRC – Gouvernance, Risques et Conformité. C’est la seule définition disponible et diffusée par un organisme reconnu, l’OCEG, dans son « OCEG GRC Capability Model ».

2. http://www.oceg.org/resources/oceg-2015-grc-metrics-survey-report 

*****

Traduction de l'article The Agile Organization: GRC as a Transformational Process par Jean-Marie Zirano

Comment
New Member

Aujourd’hui, une organisation est non seulement complexe, mais aussi chaotique car en perpétuelle transformation :

  • Décentralisation : l’activité d’une entreprise ne s’effectue plus seulement à l’intérieur de ses frontières classiques, comme ses immeubles, ni seulement avec ses propres salariés. Ces critères laissent la place à un réseau de relations et d’interactions qui élargissent les échanges et brouillent les lignes.
  • Dynamique et dynamisme : une organisation est en perpétuelle mutation, entre changement de stratégie, de technologie, de processus, mais elle doit veiller à la conformité de toutes ses opérations et aux risques face à un environnement réglementaire qui lui aussi change constamment. Deux axes de changement donc : la dynamique des relations soutenant le business, et pour chacune de ces relations, le contexte et notamment l’environnement réglementaire dans lequel elle s’effectue.
  • Discontinuité : elle est engendrée par la rencontre entre la décentralisation des activités et la nécessité de changement de chacune. Les changements sont rapides, polymorphes et nombreux, ce qui perturbe et ralentit l’organisation alors qu’elle recherche l’agilité et la vitesse.

L’économie réelle opère dans le chaos. Lui appliquer la théorie du chaos revient à tenter de maîtriser « l’effet papillon » selon lequel un événement a priori négligeable en engendre d’autres plus, importants. 

La principale difficulté d’une entreprise est de parvenir à l’agilité dans un environnement décentralisé, dynamique et discontinu. Agilité et contrôle semblent naturellement opposés. A première vue on pourrait supposer que l’agilité requiert la liberté alors que le contrôle l’inhibe. La réalité est que la combinaison de la gouvernance et du contrôle renforcent l’agilité, car ils préviennent les mouvements impulsifs ou irréfléchis dans un environnement dynamique et turbulent. Les organisations doivent trouver ce difficile équilibre entre agilité et contrôle.

La gouvernance réconcilie les deux. Le premier principe de gouvernance est la fiabilité des objectifs fixés, et elle exige agilité et contrôle. Sans agilité, les objectifs ne seront pas atteints car l’entreprise ne peut agir ni répondre dans un environnement complexe et dynamique. Sans contrôle, c’est la fiabilité de l’activité elle-même qui s’écroule, et l’entreprise prend involontairement une direction différente de celle initialement fixée. 

On peut dire d’une transformation qu’elle réussit lorsque l’organisation a la capacité d’atteindre ses objectifs de façon certaine, tout en faisant face aux aléas et en agissant avec intégrité1 . Le rapport OCEG 2015 GRC Metrics Survey souligne en outre que « les organisations déclarant avoir adopté une approche intégrée pour les outils de Gouvernance, Risques et Conformité (GRC), ont sensiblement amélioré la cohérence globale de leur dispositif de GRC, ce qui n’est pas le cas de celles qui ont adopté une approche fragmentée, en silos»2.

La fiabilité de l’atteinte des objectifs constitue la gouvernance. Comprendre et réduire l’incertitude dans la mission de l’entreprise constitue la gestion des risques. Enfin agir avec intégrité constitue la conformité réglementaire. Ces trois composantes s’inter-alimentent. La gouvernance définit la stratégie et les objectifs comme cadre à la gestion des risques. Cette dernière à son tour, analyse et anticipe l’incertitude, pour fixer les limites et les exigences à l’intérieur desquelles l’organisation pourra atteindre ses objectifs de façon fiable. Finalement la conformité permet à l’organisation de rester dans le cadre fixé par la gestion des risques pour atteindre ses objectifs de façon fiable. 

Le rapport OCEG 2015 GRC Metrics Survey tire six conclusions importantes au sujet de la transformation dans le contexte de la GRC : Plus le dispositif de GRC est intégré, 

  1. plus il traite les besoins GRC de façon cohérente, d’où qu’ils viennent dans l’organisation
  2. plus grande est la confiance qu’il inspire pour limiter le risque et assurer la conformité
  3. plus il sécurise la performance, et la capacité à l’auditer, ainsi que le risque et la conformité
  4. plus les indicateurs de mesure de la performance, du risque et de la conformité sont clairs et fiables
  5. plus les lignes métier sont persuadées de donner les informations utiles au comité de direction et aux décisionnaires
  6. plus nombreux sont les participants à cette étude qui choisissent des termes positifs pour décrire leurs indicateurs de mesure

La transformation dans le contexte de la GRC nécessite de relier l’entreprise, les unités métier, les processus, les transactions et l’information pour assurer la transparence, la discipline et le contrôle de l’écosystème business et des activités opérationnelles. Ces liaisons ne sont pas linéaires, mais plutôt un réseau complexe de relations aux effets exponentiels et chaotiques. Ce qui pourrait sembler n’être qu’une turbulence négligeable, un petit risque dans les objectifs peut en fait avoir un effet massif ou… pas d’effet du tout ! Dans un système linéaire, l’effet est proportionnel à la cause. Dans le contexte non-linéaire de l’activité économique, l’effet est au mieux exponentiel, mais souvent plutôt imprévisible. Le business est un exemple de théorie du chaos. Le frémissement imperceptible d’un risque peut mettre en péril l’organisation. Maîtriser les connexions entre les risques dans le monde non-linéaire du business, c’est éviter des effets indésirables pouvant aller d’exponentiels à imprévisibles.

Pour atteindre fidèlement ses objectifs, une organisation doit comprendre le rayon d’action de chaque risque (l’arbre), ainsi que les connexions entre les risques (la forêt). La maturité du dispositif de GRC augmente avec l’aptitude à connecter, comprendre, analyser et contrôler les relations et les modèles de comportements de la performance, des risques et de la conformité alors même que le busines croît et change. Les systèmes et les processus sont reliés par des interactions, les unes très apparentes, les autres bien moins. Ces interactions peuvent surprendre l’organisation dans des situations hors de contrôle. Lorsqu’elle appréhende le risque par silos isolés, l’organisation passe à côté du réseau interconnecté des risques et de leurs effets sur la performance et la stratégie. Il en résulte une exposition au risque bien plus grande que celle de n’importe quel silo, fût-elle maîtrisée.

Quand elle est comprise et exécutée correctement, la démarche de GRC devient un facteur améliorant l’activité de l’entreprise. Elle est aussi une occasion de transformer en bien l’organisation. Elle constitue une aptitude qui crée de la valeur car grâce à elle, les processus sont plus efficaces, plus productifs, et plus agiles dans un environnement dynamique, décentralisé, et discontinu. 

*****

1. Voici la définition pour la GRC – Gouvernance, Risques et Conformité. C’est la seule définition disponible et diffusée par un organisme reconnu, l’OCEG, dans son « OCEG GRC Capability Model ».

2. http://www.oceg.org/resources/oceg-2015-grc-metrics-survey-report 

*****

Traduction de l'article The Agile Organization: GRC as a Transformational Process par Jean-Marie Zirano