Quel soutien les outils de la GRC offrent-ils ?

Depuis quelques années, le modèle des "3 lignes de défense" est également explicitement propagé d'un point de vue réglementaire en tant qu'approche permettant d'intégrer les fonctions de risque et de contrôle dans un système de gouvernance holistique. Divers outils sont disponibles sur le marché pour soutenir la mise en œuvre opérationnelle. Cependant, ces outils apportent-ils une réelle valeur ajoutée aux entreprises ? Quelle approche fonctionne et comment, et quels sont les points à prendre en compte lors de la mise en œuvre d'un outil de GRC ?

L'approche de la GRC

La GRC décrit l'approche interfonctionnelle consistant en la gouvernance, le risque et la conformité. Une définition possible, mais non générale, est la suivante : "La gouvernance, le risque et la conformité font référence à la prise en compte continue et globale de toutes les fonctions d'une organisation afin de gérer efficacement et effectivement les risques juridiques, financiers et de réputation".

La "Maison de la gouvernance" est un exemple de diagramme montrant les relations entre les différentes disciplines. Ici, l'approche de la GRC inclut le système de contrôle interne et l'audit interne en plus des domaines qui lui donnent son titre.

Ce concept vise à exploiter les synergies entre les divisions et à préserver les ressources. L'intégration peut se faire à la fois horizontalement et verticalement. Dans le cas de l'intégration horizontale, les domaines de la gouvernance, du risque et de la conformité devraient de plus en plus utiliser les synergies entre eux. L'intégration verticale, en revanche, vise à intégrer l'approche GRC dans les processus opérationnels existants. Quel soutien un outil peut-il offrir ici ?

Une solution logicielle de la GRC peut être utilisée à cet effet, par exemple pour enregistrer des rapports et effectuer des analyses et des évaluations des risques de manière (partiellement) automatisée. Ce faisant, elle peut accroître l'efficacité et aider la direction à mieux comprendre la relation entre la gestion des risques et la gestion de la conformité. Elle peut également contribuer à réduire la complexité existante en créant de la transparence et en identifiant et en éliminant les lacunes des processus existants.

Distribution et exigences auprès des entreprises suisses

Une enquête menée auprès de 60 entreprises suisses a montré que les outils de GRC sont désormais largement répandus, en particulier dans les entreprises de plus de 250 employés. Ainsi, 51,7 % des participants à l'enquête ont déjà une solution en place et 20 % prévoient d'en introduire une. Il convient de noter qu'en raison de la pandémie de Corona, seules 60 entreprises ont participé à l'enquête et que les chiffres ne sont donc que d'une importance limitée.

L'utilisation de ces outils montre une tendance vers les prestataires locaux, germanophones, bien que les prestataires internationaux soient plus sensibilisés.

Les exigences pratiques pour un outil de GRC sont principalement les disciplines de base de la GRC : l'identification et l'évaluation des risques, le système de contrôle interne (SCI) et la gestion de la conformité. Parmi les autres critères incontournables, citons la capacité à créer des rapports compréhensibles et consolidés et le haut niveau de convivialité de l'outil. En outre, le vendeur doit être en mesure de fournir un soutien efficace et, si souhaité, de mettre en œuvre des options de personnalisation. D'autres fonctions supplémentaires telles que les simulations, la gestion des contrats ou des audits ont été pondérées assez faiblement dans l'enquête.

Analyse des outils actuels de la GRC

L'analyse des neuf outils sélectionnés a montré que toutes les solutions analysées remplissaient les critères obligatoires susmentionnés. Par exemple, chaque solution peut être utilisée pour cartographier le système de contrôle interne et pour identifier les risques. En outre, il est possible d'attribuer des autorisations définies par l'utilisateur. Cependant, il existe de grandes différences dans les fonctions complémentaires. Les petits outils se concentrent souvent sur les fonctions de base, tandis que les solutions plus importantes offrent des fonctions supplémentaires approfondies, qui peuvent être très différentes et complètes. Les exemples comprennent les simulations de Monte Carlo, la gestion des contrats ou le stockage de normes telles que la norme ISO 9001. Des flux de travail automatisés et des liens entre les différentes fonctions sont également proposés à des degrés très divers. Toutefois, le champ d'application a une influence sur la complexité des solutions.

En outre, les possibilités d'ajustements définis par l'utilisateur sont très différentes. Les ajouts et les ajustements plus importants nécessitent généralement des connaissances approfondies ou un soutien informatique. Le soutien des prestataires est décrit comme bon dans ce contexte et en général, et a été un critère de sélection important pour la plupart des utilisateurs. Le soutien régional et germanophone était important pour la plupart des entreprises.

Les rapports standards sont fréquemment critiqués, car ils sont décrits comme inadéquats pour la préparation des rapports destinés au conseil d'administration ou au bureau exécutif. Toutes les personnes interrogées ont déclaré qu'elles avaient soit apporté des modifications manuelles aux rapports, soit créé leurs propres modèles.

Conseils pour l'introduction

L'introduction d'un outil de GRC, comme tout projet, doit être planifiée en détail et il est préférable de procéder étape par étape. Les fonctions souhaitées et celles qui seront nécessaires à l'avenir doivent être clairement définies à l'avance. Il convient donc de déterminer si des fonctions supplémentaires sont nécessaires ou si l'on peut s'en passer au profit de la simplicité. Une question décisive est également de savoir si les ressources informatiques correspondantes sont disponibles en interne ou s'il est nécessaire de faire appel au soutien du prestataire. Cela a à son tour une influence sur les coûts. Les outils de plus grande taille nécessitent également plus de ressources dans l'entreprise en raison de leur complexité.

Il est important d'impliquer toutes les parties concernées dans le processus de sélection et de mise en œuvre afin de répondre à tous les besoins et de garantir le soutien de la ligne. Il a également été démontré qu'il est difficile d'introduire une solution entre les services si ceux-ci ne sont pas combinés sur le plan organisationnel. Par conséquent, l'approche GRC doit d'abord être mise en œuvre dans l'organisation avant que l'outil ne soit introduit. De nombreuses entreprises utilisent néanmoins une solution GRC, qui n'est ensuite utilisée que par un seul service (généralement la gestion des risques). Lors de l'évaluation, les solutions logicielles des autres départements doivent être prises en compte en premier lieu. Par exemple, de nombreuses solutions peuvent également être utilisées dans la gestion des processus ou la modélisation de l'entreprise et sont particulièrement adaptées à la mise en relation au sein de l'entreprise. De cette manière, des ressources peuvent être économisées et des synergies peuvent être utilisées.

L'outil doit être facile à entretenir pour les employés. Un outil de GRC est souvent utilisé par de nombreux propriétaires de risques et de contrôles, qui doivent tous recevoir des instructions en conséquence. Les différents formulaires d'enregistrement ne doivent pas être surchargés. Il faut donc définir à l'avance les informations qui doivent être stockées dans l'outil et celles dont on peut se passer. Cela permet également d'assurer que les rapports sont simples et compacts et donc de garantir la transparence et l'efficacité jusqu'au niveau du contrôle.