Bienvenue dans Blog FR - Transformation métier et IT

annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 

Un pour tous et tous pour un, la gouvernance d’entreprise intégrée

0
0
Un pour tous et tous pour un, la gouvernance d’entreprise intégrée

La seule difficulté réside dans le fait que chacun de ces départements ont des objectifs et missions propres qui ne nécessitent pas une approche commune pour les réaliser. Comformité, Audit Interne, Gestion des Risques ou Contrôle Interne ne présentent pas un front commun lorsqu’ils évaluent les risques et contrôles, et lorsqu’ils présentent leurs constats au comité d’administration.

Il est naturel que ces départements essayent de minimiser le partage d’information. Les murailles de Chine, la crainte de l’auto-incrimination et une tendance à vouloir protéger ses propres données sont autant de freins à une approche commune. Un sondage de l’OCEG en 2014[1] rapporte que 80% des organisations sondées, ont des solutions dites de GRC en place spécifiques à chaque département avec pas ou peu de partage des informations. Cela donne une idée de potentiel d’amélioration si on tient compte de tous les bénéfices que peut apporter une approche plus intégrée.

- Efficacité : Partager l’information entre plusieurs départements permet de réduire la duplication des tâches, et simplement éviter de réaliser deux fois le même travail. Lorsque plusieurs équipes travaillent sur les mêmes sujets, tel que l’identification des risques qui pourraient entraver la réalisation des objectifs de l’entreprise, les mêmes tâches peuvent être accomplies plusieurs par différentes équipes et de manière différente. Un bon exemple d’illustration sont les plans d’actions. Avoir simplement un répertoire commun et partagé de l’ensemble des plans d’action permet d’éviter de créer plusieurs plans d’actions identiques.

- Performance : Tous les départements GRC ont au final le même objectif à savoir gérer les risques de l’entreprise. Dans ce cas-là pourquoi ne pas capitaliser sur les travaux déjà réalisés par d’autres départements ? Dans le cas de l’évaluation d’un risque, l’analyse peut être complétée par les constats réalisés par un autre département et ainsi fournir une vision plus complète et plus précise du niveau de contrôle du risque.

- Culture : Une approche intégrée entre les différents départements GRC permet de mettre en place un vocabulaire, des typologies et des processus communs à l’ensemble de l’entreprise. Il y aura alors une définition unique, un cadre d’analyse et de référence commun pour tous les risques et contrôles. Ceci facilite la mise en œuvre d’une culture du risque, non seulement pour les fonctions GRC, mais aussi pour l’ensemble des employés.

- Vision : En bout de chaîne le comité d’administration est responsable de de la supervision de la gouvernance d’entreprise. Et pour ce faire, les départements GRC doivent lui fournir les éléments pour le faire au travers de rapports et constats. Un rapport consolidé de l’ensemble des données et informations de l’ensemble des activités GRC fournirait une vision complète des risques, contrôles et de la gouvernance de l’entreprise.

Ce dernier point est crucial, le comité d’administration ne devrait pas avoir à composer une vision complète de la situation à partir de 4 ou 5 rapports individuels. Cela n’est pas qu’une question de temps et d’efficacité, une vision consolidée permet aussi d’assurer que toutes les informations importantes sont reprises. Une approche GRC intégrée permet au comité d’administration de prendre, plus vite, de meilleures décisions qu’une approche GRC en silos.

[1] Open Compliance and Ethics Group 2014 GRC Maturity Survey

Comment
New Member

La seule difficulté réside dans le fait que chacun de ces départements ont des objectifs et missions propres qui ne nécessitent pas une approche commune pour les réaliser. Comformité, Audit Interne, Gestion des Risques ou Contrôle Interne ne présentent pas un front commun lorsqu’ils évaluent les risques et contrôles, et lorsqu’ils présentent leurs constats au comité d’administration.

Il est naturel que ces départements essayent de minimiser le partage d’information. Les murailles de Chine, la crainte de l’auto-incrimination et une tendance à vouloir protéger ses propres données sont autant de freins à une approche commune. Un sondage de l’OCEG en 2014[1] rapporte que 80% des organisations sondées, ont des solutions dites de GRC en place spécifiques à chaque département avec pas ou peu de partage des informations. Cela donne une idée de potentiel d’amélioration si on tient compte de tous les bénéfices que peut apporter une approche plus intégrée.

- Efficacité : Partager l’information entre plusieurs départements permet de réduire la duplication des tâches, et simplement éviter de réaliser deux fois le même travail. Lorsque plusieurs équipes travaillent sur les mêmes sujets, tel que l’identification des risques qui pourraient entraver la réalisation des objectifs de l’entreprise, les mêmes tâches peuvent être accomplies plusieurs par différentes équipes et de manière différente. Un bon exemple d’illustration sont les plans d’actions. Avoir simplement un répertoire commun et partagé de l’ensemble des plans d’action permet d’éviter de créer plusieurs plans d’actions identiques.

- Performance : Tous les départements GRC ont au final le même objectif à savoir gérer les risques de l’entreprise. Dans ce cas-là pourquoi ne pas capitaliser sur les travaux déjà réalisés par d’autres départements ? Dans le cas de l’évaluation d’un risque, l’analyse peut être complétée par les constats réalisés par un autre département et ainsi fournir une vision plus complète et plus précise du niveau de contrôle du risque.

- Culture : Une approche intégrée entre les différents départements GRC permet de mettre en place un vocabulaire, des typologies et des processus communs à l’ensemble de l’entreprise. Il y aura alors une définition unique, un cadre d’analyse et de référence commun pour tous les risques et contrôles. Ceci facilite la mise en œuvre d’une culture du risque, non seulement pour les fonctions GRC, mais aussi pour l’ensemble des employés.

- Vision : En bout de chaîne le comité d’administration est responsable de de la supervision de la gouvernance d’entreprise. Et pour ce faire, les départements GRC doivent lui fournir les éléments pour le faire au travers de rapports et constats. Un rapport consolidé de l’ensemble des données et informations de l’ensemble des activités GRC fournirait une vision complète des risques, contrôles et de la gouvernance de l’entreprise.

Ce dernier point est crucial, le comité d’administration ne devrait pas avoir à composer une vision complète de la situation à partir de 4 ou 5 rapports individuels. Cela n’est pas qu’une question de temps et d’efficacité, une vision consolidée permet aussi d’assurer que toutes les informations importantes sont reprises. Une approche GRC intégrée permet au comité d’administration de prendre, plus vite, de meilleures décisions qu’une approche GRC en silos.

[1] Open Compliance and Ethics Group 2014 GRC Maturity Survey