0
Le nouvel acronyme du début 2008 sera la GRC. Ce terme désigne à la fois un concept, une approche et des solutions qui sont intimement liés à la gestion des risques et des contrôles.
Le terme GRC désigne tout l'ensemble des moyens informatiques et organisationnels déployés par l'entreprise pour optimiser son contrôle interne et sa gestion des risques opérationnels. La GRC garantit un niveau de sécurité et de mise en conformité acceptable pour les actionnaires, commissaires aux comptes et législateurs aux regards des normes et réglementations.
Selon AMR Research, le montant estimé en 2008 pour le marché mondial de la GRC sera de 31 milliards de dollars contre 29.9 en 2007 dont, selon Forrester, 590 millions de dollars dans le software aujourd'hui, avec une progression exponentielle en 2011 pour un montant estimé à 1.3 milliards de dollars. De plus en plus d'acteurs, et notamment d'éditeurs de logiciel, se positionnent sur ce marché, comme l'attestent les dernières annonces faites en janvier 2008 par les acteurs , MEGA, et Keyword.
Cette dynamique du marché de la GRC répond à une attente exprimée par un nombre croissant d'entreprises. Dans un contexte d'incertitudes permanentes, voire croissantes, les entreprises se doivent en effet de fiabiliser au maximum leurs processus opérationnels et de gestion. C'est là qu'interviennent les technologies de GRC. Elles vont leur permettre d'identifier et de définir les rôles de chaque personne susceptibles d'intervenir dans l'exécution d'un processus opérationnel donné. Elles vont également faciliter l'adaptation des procédures, processus et de l'organisation de l'entreprise aux évolutions de son marché.
Les solutions de GRC s'imposent donc comme des outils au service du contrôle interne pour le rendre plus efficace et efficient. Mettre l'entreprise en conformité de façon pérenne vis-à-vis des exigences des comités de réglementation LSF, Bâle II, CRBF ou SOX exige un partage de la culture des risques par tous les collaborateurs et une sensibilisation du contrôle permanent dans tous les services. Seul des outils perfectionnés, fonctionnant en temps réel, permettent d'accéder à ce niveau de réactivité afin de mieux maîtriser les risques opérationnels.
Pour mettre en œuvre une approche GRC, l'entreprise doit d'abord s'affranchir d'un fonctionnement en silo. Il va donc lui falloir redéfinir les rôles et les responsabilités en interne pour chaque processus concerné. Par exemple, au niveau de la DSI, le rôle du directeur des systèmes d'information évolue pour se rapprocher de la Direction générale, ce qui permet notamment une meilleure concertation sur les allocations de budgets. C'est à ce propos que l'on parle de plus en plus de gouvernance IT.
Les outils informatiques sont un réel apport pour mener cette gestion optimisée de la DSI. Actuellement tous les grands éditeurs présentent leurs solutions GRC ; certains la développent en partenariat comme Oracle Applications, d'autres font l'acquisition d'entreprises phares telles que VIRSA, qui a été racheté par SAP l'été dernier.
Des acteurs plus ou moins indépendants se positionnent également sur les fonctionnalités de niche : Keyword, avec sa solution innovante ISIMAN, mise sur le coté organisationnel du contrôle interne, ou Technidata, société allemande, qui développe le contrôle des aspects EH&S (Environment, Health and Safety) pour les clients de SAP.
« D'une manière générale, la solution pour gérer la complexité grandissante que rencontrent les entreprises pour gérer à la fois la gouvernance, les risques et la conformité ne trouve pas de réponse chez un seul éditeur tant les fonctionnalités attendues sont de plus en plus étendues », souligne Hervé Louis Socquet.
Le périmètre fonctionnel de la GRC s'articule donc autour des axes suivants : la gestion des droits d'accès et séparation des tâches, la maîtrise et le contrôle des processus, la gestion des risques et la mise en conformité normative et réglementaire.
Elles répondent aux problématiques de blanchiment d'argent, Bâle II, de sécurité financière, Sarbanes-Oxley, lutte contre le terrorisme, Solvency II, confidentialité de l'information et d'autres réglementations de demandes spécifiques de certains secteurs, tels que les normes d'émissions du secteur chimique.
Les apports fonctionnels de la GRC permettent de gérer bien plus que les enjeux de la conformité sur le marché international, ils permettent de transformer ces contraintes en levier de performance en brisant les silos et autres baronnies et en replaçant la direction au centre de l'information partagée au travers de tableaux de bord décisionnels adaptés à chaque pôle stratégique de l'entreprise.
Il peut être intéressant également de les associer avec des solutions de GED (gestion électronique de documents) qui vont fiabiliser les processus de documentation, ainsi qu'avec des outils de BPM (business process management) qui vont permettre d'optimiser les différents processus opérationnels en jeu.
Il devient donc désormais possible, grâce aux technologies de GRC, d'automatiser et de fiabiliser des processus transversaux de prise de décision et de préciser les contours de la responsabilité des risk managers et des responsables du contrôle interne.
En matière de gouvernance IT, Micropole-Univers a identifié 11 bonnes pratiques à mettre en œuvre :
- planifier et intégrer le système d'information (SI) dans le processus global de planification de l'entreprise
- urbaniser et architecturer le système d'information pour le mettre au service des enjeux stratégiques
- gérer le portefeuille de projets en visant la création de valeur
- aligner l'organisation informatique avec les processus métiers
- gérer les budgets et contrôler les coûts IT avec une perspective de transparence
- maîtriser la réalisation des projets par rapport aux objectifs économiques de l'entreprise
- fournir des services informatiques optimisés qui répondent aux attentes des collaborateurs
- gérer les compétences informatiques dans une optique prospective
- maîtriser les risques liés au système d'isnformation en tenant compte des enjeux économiques
- gérer et mesurer la performance du SI
- gérer la communication sur le SI
Hervé Louis Socquet, manager GRC, Micropole-Univers
