annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 

MEGA nommé “Galaxy Leader” dans le rapport Hypatia sur la Gouvernance, Risques et Conformité

0
0
MEGA named "Galaxy Leader" in Hypatia’s research report covering the convergence of EGRC.

La représentativité du panel ciblé par l’enquête sous-jacente est forte : par exemple, la couverture géographique est mondiale et « 81,5% des personnes interrogées sont responsables de projets GRC au sein de leur organisation », précise le rapport.

La GRC est un processus !

Enfin ! La GRC s’analyse et se conduit comme un processus. Ce n’est plus une activité ponctuelle exercée sous la contrainte au moment où l’on ne peut faire autrement. C’est une activité de support, permanente et en tout point comparable aux démarches d’amélioration continue. 

« On ne peut pas se contenter de jeter un œil aux risques une fois par an », indique Franck Santora, Vice-Président, Gestion des Risques Opérationnels de Hudson City Savings Bank. Le rapport souligne : « on n’avait pas prêté une telle attention aux ressources humaines, aux processus et aux technologies depuis la montée en puissance des ERP au sein des organisations ».Ce qui signifie que les activités de support correspondantes tendent à s’intégrer les unes aux autres, ce qui est particulièrement vrai pour le contrôle interne.
Les activités de GRC sont aussi bien mieux intégrées aux fonctions opérationnelles. C’est un signe certain de maturité. De fait, il est bien plus efficace d’optimiser les opérations et leur contrôle simultanément que séparément. L’a approche systémique permet de dégager alors plus de valeur des activités de contrôle, qui sont obligatoires quoi qu’on en ait !

E-GRC et IT-GRC convergent

Ca n’est pas vraiment un phénomène nouveau. Cette convergence a souvent été débattue par de nombreux analystes depuis 2-3 ans. L’intention n’est donc pas nouvelle, mais la réalité va maintenant au-delà des agitations conceptuelles, des vœux pieux ou des projections d’éditeurs de solutions logicielles. Le nombre croissant de réglementations couvrant l’accès aux données personnelles et leur traçabilité est le principal facteur d’accélération de cette convergence.

Ce sujet est donc traité avec beaucoup d’attention d’un point de vue juridique et organisationnel, mais aussi sous l’angle IT: l’utilisation des données personnelles, entre autres, nécessite une traçabilité claire, pour être explicitée, tracée et documentée à l’attention des autorités compétentes. Pour ce faire, les flux et circuits d’informations doivent donc être clairement définis.

De plus, alors que vous lisez ceci, chez lecteur, de nouvelles réglementations plus contraignantes naissent ici ou là. En France, par exemple, la CNIL (Commission Nationale de l’Informatique et des Libertés) a créé un « label » assurant que les données personnelles sont manipulées selon des critères éthiques précis. Les instances européennes envisagent de capitaliser sur ce label pour élaborer une réglementation formelle (au-delà du label, donc) couvrant la gestion et la protection des données personnelles. Cette palette croissante d’exigences conduit inévitablement à un certain degré d’automatisation des contrôles et implique donc l’IT. De nouveaux outils logiciels apparaissent pour former un nouveau marché du nom de « Gouvernance des Données ».

Enfin, les éditeurs initialement étiquetés soit IT-GRC soit E-GRC proposent des fonctionnalités génériques applicables aux deux domaines ou complètent leurs manques si nécessaires.

La GRC « intégrée » est un levier de performance

Enfin, le rapport Hypatia propose un point de vue original sur ce qui reste inchangé dans le domaine de la GRC: «les décideurs ont besoin d’une vue holistique pour déduire avec précision les différents modèles (patterns), tendances et activités».

Cela signifie que toutes les fonctions rattachées à la GRC doivent partager un socle commun tout en préservant la spécificité de leur point de vue, de leurs données et de leurs attentes. Une organisation cloisonnée des fonctions support de la GRC ne permet pas d’optimiser les ressources humaines, IT ou financières. L’harmonisation des fonctions d’audit, de conformité, de gestion des risques… suppose une compréhension claire de leur articulation et de leurs interdépendances. De leur architecture, en somme. 

« Hypatia pense que que le marché des solutions de GRC a un fort potentiel pour […] accompagner l’atteinte des objectifs de performance d’une organisation ». Selon l’expérience de MEGA, ce potentiel ne peut s’exprimer qu’avec une approche systémique globale, optimisant tous les éléments du dispositif de gouvernance, et non avec une approche fragmentée par silo. Sans quoi le G de gouvernance devient, ou reste, le caillou – le mégalithe ? – dans la chaussure de l’agilité business.

Téléchargez le rapport complet

Comment
Senior Member

La représentativité du panel ciblé par l’enquête sous-jacente est forte : par exemple, la couverture géographique est mondiale et « 81,5% des personnes interrogées sont responsables de projets GRC au sein de leur organisation », précise le rapport.

La GRC est un processus !

Enfin ! La GRC s’analyse et se conduit comme un processus. Ce n’est plus une activité ponctuelle exercée sous la contrainte au moment où l’on ne peut faire autrement. C’est une activité de support, permanente et en tout point comparable aux démarches d’amélioration continue. 

« On ne peut pas se contenter de jeter un œil aux risques une fois par an », indique Franck Santora, Vice-Président, Gestion des Risques Opérationnels de Hudson City Savings Bank. Le rapport souligne : « on n’avait pas prêté une telle attention aux ressources humaines, aux processus et aux technologies depuis la montée en puissance des ERP au sein des organisations ».Ce qui signifie que les activités de support correspondantes tendent à s’intégrer les unes aux autres, ce qui est particulièrement vrai pour le contrôle interne.
Les activités de GRC sont aussi bien mieux intégrées aux fonctions opérationnelles. C’est un signe certain de maturité. De fait, il est bien plus efficace d’optimiser les opérations et leur contrôle simultanément que séparément. L’a approche systémique permet de dégager alors plus de valeur des activités de contrôle, qui sont obligatoires quoi qu’on en ait !

E-GRC et IT-GRC convergent

Ca n’est pas vraiment un phénomène nouveau. Cette convergence a souvent été débattue par de nombreux analystes depuis 2-3 ans. L’intention n’est donc pas nouvelle, mais la réalité va maintenant au-delà des agitations conceptuelles, des vœux pieux ou des projections d’éditeurs de solutions logicielles. Le nombre croissant de réglementations couvrant l’accès aux données personnelles et leur traçabilité est le principal facteur d’accélération de cette convergence.

Ce sujet est donc traité avec beaucoup d’attention d’un point de vue juridique et organisationnel, mais aussi sous l’angle IT: l’utilisation des données personnelles, entre autres, nécessite une traçabilité claire, pour être explicitée, tracée et documentée à l’attention des autorités compétentes. Pour ce faire, les flux et circuits d’informations doivent donc être clairement définis.

De plus, alors que vous lisez ceci, chez lecteur, de nouvelles réglementations plus contraignantes naissent ici ou là. En France, par exemple, la CNIL (Commission Nationale de l’Informatique et des Libertés) a créé un « label » assurant que les données personnelles sont manipulées selon des critères éthiques précis. Les instances européennes envisagent de capitaliser sur ce label pour élaborer une réglementation formelle (au-delà du label, donc) couvrant la gestion et la protection des données personnelles. Cette palette croissante d’exigences conduit inévitablement à un certain degré d’automatisation des contrôles et implique donc l’IT. De nouveaux outils logiciels apparaissent pour former un nouveau marché du nom de « Gouvernance des Données ».

Enfin, les éditeurs initialement étiquetés soit IT-GRC soit E-GRC proposent des fonctionnalités génériques applicables aux deux domaines ou complètent leurs manques si nécessaires.

La GRC « intégrée » est un levier de performance

Enfin, le rapport Hypatia propose un point de vue original sur ce qui reste inchangé dans le domaine de la GRC: «les décideurs ont besoin d’une vue holistique pour déduire avec précision les différents modèles (patterns), tendances et activités».

Cela signifie que toutes les fonctions rattachées à la GRC doivent partager un socle commun tout en préservant la spécificité de leur point de vue, de leurs données et de leurs attentes. Une organisation cloisonnée des fonctions support de la GRC ne permet pas d’optimiser les ressources humaines, IT ou financières. L’harmonisation des fonctions d’audit, de conformité, de gestion des risques… suppose une compréhension claire de leur articulation et de leurs interdépendances. De leur architecture, en somme. 

« Hypatia pense que que le marché des solutions de GRC a un fort potentiel pour […] accompagner l’atteinte des objectifs de performance d’une organisation ». Selon l’expérience de MEGA, ce potentiel ne peut s’exprimer qu’avec une approche systémique globale, optimisant tous les éléments du dispositif de gouvernance, et non avec une approche fragmentée par silo. Sans quoi le G de gouvernance devient, ou reste, le caillou – le mégalithe ? – dans la chaussure de l’agilité business.

Téléchargez le rapport complet