gouvernance, gestion des risques et conformité

Gouvernance, gestion des risques et conformité Accroître la valeur grâce à la surveillance des contrôles

SERVICES-CONSEILS

D é f I N I t I O N D E L A G G R C

La gouvernance, gestion des risques et conformité (la « GGRC ») ne désigne pas uniquement une solution informatique; il s’agit plutôt d’une discipline stratégique. La GGRC est un processus en continu qui fait partie intégrante de la culture d’une organisation. Elle régit la façon dont la direction détecte les risques et s’en protège. De plus, elle surveille et apprécie l’efficacité des contrôles internes et tient compte des conseils éclairés de manière à améliorer les activités. La GGRC intègre les activités de gouvernance, d’évaluation et d’atténuation des risques, de conformité et de surveillance à des fins de synergie et d’uniformité. Une stratégie de GGRC peut créer de la valeur, car elle permet de réduire les coûts, de détecter les inefficacités opérationnelles, de rationaliser les contrôles ainsi que de déceler et de gérer les risques. Elle produit ses meilleurs résultats lorsque plusieurs fonctions sont réunies dans une structure commune promouvant une vision unique de la gouvernance, de la gestion des risques et de la conformité au sein de l’entreprise. Parmi les fonctions clés, mentionnons celles du secrétaire général, des services de la conformité, de la gestion des risques, de la vérification interne, de l’expertise et du contentieux ainsi que des groupes sectoriels. Une stratégie de GGRC peut aider une organisation à prévenir les « surprises » tout en protégeant la valeur pour les actionnaires.

t A B L E S D E S M A t I È R E S

Introduction 1

Contexte actuel 2

Évaluation de la maturité de la GGRC 3

Surveillance des contrôles : possibilités et défis 6

Approche de mise en œuvre des outils de surveillance des contrôles 8

Conclusion 14

A C C R o î t R E L A v A L E U R G R â C E à L A S U R v E I L L A n C E D E S C o n t R ô L E S | 1

I N t R O D U C t I O N

Les organisations doivent composer avec les coûts élevés qu’entraîne la conformité à bon nombre de règles. Les dirigeants doivent donc concevoir de nouvelles façons de réduire ces coûts, de renforcer la capacité décisionnelle et d’accroître le rendement de

l’entreprise.

nombre de ces dirigeants sont arrivés à la conclusion qu’une discipline stricte en matière de gouvernance, de gestion des risques et de conformité permettait d’intégrer des programmes, des processus et des systèmes autrement inefficaces ou indépendants dans des structures de contrôle interne du risque efficaces et efficientes à l’échelle de l’entreprise. Dans le but d’accroître leur valeur, les organisations mettent en place des outils de surveillance des contrôles qui peuvent les aider à harmoniser les projets stratégiques avec la gestion des risques. Ces outils peuvent en outre leur servir de gisements documentaires et soutenir la surveillance et la production constantes de rapports de la GGRC. Les avantages qui en sont tirés varient suivant l’organisation, selon le degré d’automatisation du contrôle ainsi que de la maturité du programme de conformité. Ces avantages sont aussi fonction des besoins de l’organisation en matière de transparence à l’échelle de l’entreprise, de son personnel, de processus, de sa technologie, de risques et de l’intégration des contrôles. Ils dépendent également de la mesure dans laquelle l’organisation peut réduire les coûts d’exécution et de surveillance au moyen de technologies habilitantes.

De nombreuses organisations qui ont évalué leur capacité actuelle de GGRC ont tiré les conclusions suivantes :

�•� L’implantation�des�contrôles�du�progiciel�de�gestion�intégrée�(«�PGI�»)�de�l’entreprise� ne permet souvent pas d’en tirer tous les avantages possibles, ce qui nuit à la réduction des coûts ou à la création de valeur.

•� Les�contrôles�clés�existants,�qui�sont�surtout�des�contrôles�manuels�coûteux�et�inefficaces, se dégradent souvent au fil du temps.

•� Les�défaillances�de�contrôle�passent�inaperçues�lorsque�les�fonctions�de�surveillance� sont inexistantes ou inadéquates en raison d’un problème de gouvernance ou de gestion des risques.

Après avoir évalué les besoins de leur entreprise et les solutions qui s’offrent à celle-ci, de nombreux dirigeants étudient la façon d’intégrer des fonctions de surveillance de contrôles à leurs processus financiers, opérationnels et réglementaires dans le but d’améliorer la prise de décision et le rendement tout en réduisant les coûts. Il s’agit là des principaux objectifs d’une saine discipline en matière de GGRC. Ces efforts exigent des entreprises qu’elles entreprennent les actions suivantes :

•� déterminer�les�contrôles�appropriés,�selon�leurs�connaissances�des�principaux�risques�de�l’organisation, et, si possible, les automatiser pour effectuer une surveillance en temps réel;

•� intégrer�la�surveillance�des�contrôles�aux�processus�opérationnels�et�décisionnels�courants;��

•� incorporer�la�surveillance�des�contrôles�à�la�GGRC,�à�la�gestion�du�risque�d’entreprise� (« GRE ») et aux programmes de création de valeur de l’organisation;

•� réunir�les�contrôles�de�la�conformité�et�ceux�des�activités�dans�un�cadre�unique�pour� parvenir à une vision du risque au sein de l’entreprise;

•� mettre�en�place�des�outils�de�surveillance�des�contrôles�permettant�de�créer�un�programme de GGRC soutenable et de perfectionner les processus opérationnels et décisionnels.

Le présent livre blanc examine les avantages potentiels de la surveillance des contrôles comme moyen d’améliorer la prise de décision, de réduire le coût des contrôles et de leur surveillance et de créer plus de valeur pour l’entreprise. Il précise les avantages pouvant découler des changements apportés à la façon de surveiller les contrôles. De plus, il analyse les facteurs à prendre en considération dans la mise en œuvre des fonctions de surveillance essentielles à la discipline de toute organisation en matière de GGRC.

Comprendre la GGRC

« Le Sarbanes-Oxley Act of 2002 (« loi Sarbanes-oxley ») a eu de nombreux effets non recherchés, notamment l’apparition du concept de GGRC. Conçu pour promouvoir [de façon intentionnelle] l’amélioration de la gouvernance, de la gestion des risques et de la conformité, ce concept a été rapidement récupéré par des fournisseurs de nombreux domaines, qu’il s’agisse du secteur de la gestion de documents ou de celui du PGI. LA GGRC ne se résume toutefois pas à l’application de logiciels, bien que ceux-ci soient importants; c’est avant tout une discipline de gestion. Elle est une façon de répondre aux demandes souvent concurrentes des organismes de réglementation, des actionnaires, des clients et des forces du marché sans négliger les exigences réglementaires de plus en plus complexes.

Étant donné que les informations, les rôles et les responsabilités, voire parfois les budgets, se rapportant à la GGRC chevauchent plusieurs unités fonction-nelles, le chef des finances devient sou-vent le candidat logique pour promouvoir l’approche intégrée. En dépit de son expérience de gestionnaire des risques et du caractère réglementaire de son rôle qui en facilite l’exécution, le chef des finances éprouve parfois de la difficulté à mettre en place une approche unifiée à la GGRC. »

traduction libre d’un extrait de l’éditorial Web « An Integrated Approach to Risk and Compliance » du 25 mars 2008 dans le site CFo.com.

2 | G o U v E R n A n C E , G E S t I o n D E S R I S Q U E S E t C o n F o R M I t É

C O N t E X t E A C t U E L

Avant l’adoption de la loi Sarbanes-oxley, les processus décisionnels des entreprises étaient avant tout axés sur la réduction des coûts et l’accroissement des résultats. Les entreprises accordaient peu d’importance à la gestion des risques. La prolifération des règles au cours des dernières années a amené de nombreuses entreprises à se préoccuper davantage de la conformité et de l’intégration des contrôles.

Les coûts considérables liés à la conformité aux règles font l’objet d’une attention soutenue. Ils continuent à grimper à mesure que les entreprises s’efforcent de résoudre le problème d’intégration de nombreux cadres de conformité aux règles et de concertation des efforts de conformité au sein des processus opérationnels.

Afin de répondre aux exigences, bien des entreprises ont ajouté des programmes de conformité en marge de leur système de contrôles internes à l’égard des activités. Elles ont investi dans de nombreuses solutions de gestion intégrée et de modules d’extension dont les possibilités d’intégration étaient souvent restreintes. Elles peuvent aussi avoir découvert que la plupart de leurs contrôles et de leurs tests étaient manuels. nombre d’entre elles ont constaté en outre qu’elles ne géraient pas les risques liés à leurs valeurs, à leurs besoins et à leurs processus de rémunération de manière uniforme. Ce manque d’intégration complexifiait l’utilisation ainsi que la gestion de ces programmes isolés et en augmentait le coût de mise en œuvre et de surveillance au moyen de tests périodiques. Ces programmes devenaient des outils décisionnels de moins en moins performants.

Les pressions économiques poussent les entreprises à se pencher sur ces questions, plus particulièrement en tirant parti des investissements en gestion des risques et en conformité dans le but d’accroître le rendement de l’entreprise. Le contrôle des coûts est l’un des objectifs visés par ces mesures, et cet objectif est abordé dans les directives interprétatives récemment mises à jour par la SEC ainsi que dans l’Auditing Standard no. 5 du PCAoB. La SEC et le PCAoB sont conscients des coûts que la loi Sarbanes-oxley entraîne pour les sociétés ouvertes, et ils cherchent à établir un juste équilibre entre les coûts et les avantages de la conformité en matière d’information financière pour les sociétés ouvertes.

Forts de l’expérience acquise en matière de processus de conformité depuis plusieurs années, les dirigeants peuvent tirer un avantage stratégique des mesures réglementaires. Ces mesures recèlent des possibilités de réduire les coûts de mise en œuvre et d’accroître l’efficacité des contrôles. Elles visent entre autres à concerter les multiples efforts de conformité et à les appliquer aux activités quotidiennes. L’utilisation accrue d’outils automatisés que l’intégration des contrôles nécessite améliorera la gestion de la gouvernance, des risques et de la conformité, car elle ajoute des routines de surveillance des contrôles aux processus quotidiens.


é V A L U A t I O N D E L A M A t U R I t é D E L A G G R C

La première étape de l’amélioration de l’approche GGRC d’une entreprise consiste à en évaluer la maturité des programmes de conformité existants. Les programmes évoluent en général suivant un modèle de maturation qui comprend les quatre stades suivants: la fragmentation, la mise en œuvre, l’intégration et l’amélioration. Pour chacun de ces stades, décrits dans le tableau 11 ci-après, l’entreprise désigne un leader à qui elle confie notamment la surveillance des risques et des contrôles.

Tableau 1 – Maturation de l’approche GGRC

1 Modèle tiré du Livre blanc intitulé The Compliance Journey: Making Compliance Sustainable de KPMG LLP aux États Unis (2005).

Finances

Conformité

Activités

L’approche est axée sur les projets. Elle est mise en œuvre au moyen de mesures isolées ou exécutées sans concertation à l’échelle de l’entreprise. Elle nécessite des efforts de coordination et un travail considérables de la part de la fonction centralisée de gestion des projets.

L’approche est axée sur les programmes. Elle est mise en œuvre au moyen d’un nouveau programme de veille global et indépendant qui vise l’embauche des employés affectés aux tâches de coordination des activités de conformité et de communications connexes.

L’approche est axée sur les processus. Elle s’appuie sur une conception nouvelle qui consiste à intégrer des activités et des procédures de conformité aux processus opérationnels et technologiques en place afin que les dirigeants d’unité d’exploitation commencent à partager les responsabilités en matière de conformité.

L’approche fait partie de la culture de l’entreprise, et elle est intégrée au cadre de travail de celle-ci. Elle est mise en œuvre dans le cours normal des activités et elle fait partie intégrante de la culture d’entreprise. Ce stade nécessite un changement de paradigme selon lequel les mesures de conformité ont une double vocation : celle de respecter la loi tout en améliorant les processus opérationnels.

L’praauvvell’ettâccocco

Mise en œuvre

L’eesiisll’éddeccocce

Fragmentation

L’Eqqupproopaafidd’rre

Intégration

L’l’eccaeenaacccuuunllevvoam

Amélioration

Source : KPMG LLP aux États-Unis (2005)


à mesure qu’une entreprise franchit les étapes de maturation de son approche GGRC, la conformité se trouve de plus en plus soutenue dans toute l’entreprise, et elle devient intégrée à la culture même de celle-ci. tel qu’il est illustré dans le tableau 2, la surveillance et la mise à essai deviennent des « activités courantes » soutenues par une orientation stratégique et évaluées au moyen d’une veille constante des opérations à la lumière de règles d’entreprise préétablies. Ces activités ne sont plus menées par des personnes affectées à un projet de conformité, mais bien par des membres des fonctions opérationnelle et tactique de l’entreprise, auxquels il incombe la responsabilité du contrôle. Des tableaux de bord du rendement permettent à la structure de gouvernance d’une entreprise de bénéficier de la transparence nécessaire et soutiennent le processus décisionnel.

Tableau 2 – Surveillance constante intégrée aux processus opérationnels courants

Source : KPMG LLP aux États-Unis (2008)Rapports en anglais seulement

Surveillance constante inté

grée

aux

proc

essu

s o

pér

atio

nn

els

cour

ants

• Su

rvei

llance

constante intégrée aux processus opérationnels courants • Surveillan

ce con

stante in

tégrée aux processus opérationnels courants • auuu

xxxxxxpppppprrrr

oooces

sus

op

érat

ion

nel

s

Surv

eilla

nceconstante intégrée aux processus opérationnels courants

•

nce

con

stante

intéggrrrréééééééeeee

aauuuuuuxxxxxp

s• SSS

uuurrllllllllaaans

ccccccoooraaa

nnnnnntttttttssssss•• S

Test du processus opérationnel

Surveillancestratégique

Évaluation tactique

onstttaaaaannnnnnnttttttteeeiin

tééggggrrrrrréééééééé

eea prooooccccccceeeeesssssussooopppppppééééééérrrraatio

Achats Gestiond’entrepôts Fabrication Ventes et distribution


Les efforts nécessaires pour mettre en œuvre une solution de surveillance des contrôles dans le cadre de la stratégie de GGRC d’une entreprise dépendent de la maturité du programme de conformité de cette dernière, de la proportion des contrôles manuels par rapport aux contrôles automatisés et de la mesure dans laquelle le programme s’appuie sur l’apport des processus, des systèmes et du personnel. En règle générale, plus la maturité d’un programme de conformité et des contrôles automatisés d’une entreprise est grande et plus ceux-ci sont intégrés, plus il est facile de mettre en œuvre une solution de surveillance des contrôles s’appuyant sur des outils.

La première étape que toute entreprise doit aborder dans la mise en place d’un outil de surveillance des contrôles à l’appui de son programme de GGRC est l’évaluation de sa maturité relative, en se posant les questions suivantes :

•� L’entreprise�a-t-elle�mis�en�place�un�programme�de�GRE�lui�permettant�de�faire�face�à�l’ensemble des risques que lui font courir ses activités?

•� L’entreprise�a-t-elle�favorisé�la�sensibilisation�aux�différents�programmes�de�conformité�auxquels elle est assujettie, et a-t-elle fait des recoupements entre les points communs à ces programmes pour en dégager une vision globale?

•� Les�efforts�de�conformité�de�l’entreprise�sont-ils�déployés�par�une�seule�fonction�ou�répartis entre diverses fonctions au sein de l’entreprise?

•� Les�actions�accomplies�à�des�fins�de�la�conformité�s’inscrivent-elles�aisément�dans�le�cours des activités quotidiennes ou s’agit-il d’efforts supplémentaires qui nécessitent une affectation supplémentaire de ressources et d’heures?

•� L’entreprise�a-t-elle�recours�à�des�technologies�pour�faciliter�ses�activités�de�conformité�et�de surveillance, qu’il s’agisse d’une plateforme commune à la plupart de ses principales fonctions ou encore d’un outil de conformité ou d’un gisement de documents?

•� L’entreprise�a-t-elle�pris�en�compte�la�maturité�de�l’ensemble�de�ses�contrôles�en�vue�de�l’automatisation des contrôles préventifs qui sont habituellement moins coûteux et plus efficaces que les contrôles de détection manuels?


S U R V E I L L A N C E D E S C O N t R Ô L E S : P O S S I B I L I t é S E t D é f I S

Les entreprises peuvent accroître leur rendement au chapitre des finances, de la conformité et des activités en automatisant les contrôles qui soutiennent les mesures désirées, les mécanismes qui valident le rendement et les systèmes qui assurent la surveillance de la conformité. Les entreprises qui ont effectué des investissements importants dans le but de repenser leurs processus et de modifier leurs contrôles devraient, de la même façon, délaisser les contrôles ponctuels (souvent mis en place sous la forme de contrôles rajoutés) pour adopter des contrôles en continu intégrés aux processus opérationnels.

tout comme avec les progiciels de gestion intégrée, s’assurer que les processus ont été correctement conçus et que les principaux contrôles sont automatisés constitue un élément vital de la mise à contribution d’un outil de surveillance des contrôles. Lorsqu’elle est bien orchestrée, la mise en œuvre d’un outil rajouté de surveillance des contrôles qui est intégré à une nouvelle application de gestion intégré, ou encore l’utilisation d’une fonction de surveillance existante de l’application, peut aider une entreprise à réduire les coûts de gestion des risques et à accroître son rendement.

Les outils de surveillance des contrôles permettent de simplifier la centralisation des différentes exigences en matière de conformité auxquelles une entreprise est assujettie de même que de faciliter la coordination de la production des différents documents exigés et des activités de mise à essai. Grâce à cette centralisation, la conformité et la surveillance deviennent une partie intégrante des activités, ce qui permet à la fonction de l’entreprise responsable de la conformité de gagner en maturité. Parmi les avantages, mentionnons les éléments suivants :

•� renforcement�de�la�capacité�de�prise�décisionnelle�en�fournissant�des�informations�commerciales pertinentes;

•� réduction�des�coûts�de�gestion�du�risque�d’entreprise�et�possibilité�de�créer�de�la�valeur�pour les actionnaires;

•� veille�continuelle�et�en�temps�réel�et�possibilité�de�suivi�plus�rapide�des�exceptions;�

•� surveillance�des�contrôles�intégrée�aux�processus�courants,�limites�définies�pour�les�tests�automatisés et alertes fondées sur les exceptions;

•� capacité�accrue�de�production�de�rapports�d’étape�et�de�tableaux�de�bord�à�des�fins�décisionnelles.

étude de cas

Une société du secteur des produits chimiques a mis en place un outil de gestion des contrôles servant à tester ces contrôles à l’aide d’un mécanisme fondé sur les processus et les tableaux de bord. Le principal défi n’était pas la mise en œuvre sur le plan technique de l’outil de surveillance, mais bien la sensibilisation à cette amélioration au sein de l’entreprise. Ce problème de gestion du changement est l’une des raisons pour lesquelles l’entreprise a remplacé le nom « outil de surveillance » par « outil d’intelligence économique ». Le tableau de bord fournit à la direction une vue d’ensemble de l’état des contrôles des processus opérationnels, ce qui accroît l’accessibilité et la fiabilité de l’information nécessaire au processus de prise de décisions.


La surveillance des contrôles permet de bénéficier d’avantages considérables lorsqu’elle est conjuguée adéquatement à une stricte discipline en matière de GGRC, mais l’entreprise qui met en place de tels outils fait face à toute une gamme de défis autres que la simple implémentation de logiciels. La gestion du changement à elle seule peut représenter un obstacle si les dirigeants ne s’assurent par de résoudre ces questions dès le départ.

Par exemple, les outils de surveillance des contrôles sont conçus de manière à surveiller le rendement plutôt que de seulement le soumettre à des essais. Leur utilisation permet d’examiner le rendement et les processus de l’entreprise avec une transparence accrue, et l‘entreprise doit ajuster leur culture en fonction de celle-ci. Pour que la mise en œuvre de ces outils soit fructueuse, l’entreprise doit prendre des mesures visant à s’assurer la participation de ses dirigeants, c’est-à-dire, des personnes qui comprennent les risques d’entreprise et les processus de surveillance en place, ainsi que définir comment les rôles et responsabilités doivent être ajustés de manière à utiliser les outils de façon optimale.

De plus, il est nécessaire de donner de la formation afin d’établir clairement que le processus de veille n’a pas pour objet de désigner des responsables en cas de mauvais rendement, mais bien de concevoir un processus soutenable de surveillance des risques réels à l’intention des dirigeants de l’entreprise, afin que ces derniers puissent apporter des ajustements aux activités en question dans les divisions ou les unités d’exploitation concernées.


A P P R O C h E D E M I S E E N œ U V R E D E S O U t I L S D E S U R V E I L L A N C E D E S C O N t R Ô L E S

Les mesures visant à réduire les coûts liés à la conformité, à contenir ces coûts et à accroître le rendement varient selon l’entreprise et elles dépendent de la maturité des pratiques suivies (voir le tableau 1). L’approche de mise en œuvre des outils appropriés et de surveillance des contrôles pertinents nécessite l’application d’un processus rigoureux en matière de GGRC. L’entreprise doit très souvent traiter des éléments complexes et prendre en compte divers facteurs lors de l’élaboration d’un programme efficace et soutenable.

Pour instaurer une surveillance des contrôles fructueuse, l’entreprise doit réaliser les activités cruciales suivantes :

•� évaluer�la�maturité�actuelle�de�son�approche�GGRC�et�définir�son�portefeuille�de�contrôles�clés à l’égard des différents cadres de conformité auxquels l’entreprise est assujettie;

•� choisir�un�outil�qui�permet�de�surveiller�le�rendement�de�ces�contrôles�clés;

•� créer�un�tableau�de�bord�visant�à�fournir�des�rapports�transparents�sur�le�rendement�à�ses�décideurs et à l’intégrer à ses processus opérationnels courants.

Ces activités sont traitées plus en détail ci-après.

étape 1 – évaluer la maturité du programme de conformité et le portefeuil le de contrôles

Pour tirer avantage de la mise en œuvre de contrôles de surveillance soutenable l’entreprise doit d’abord évaluer la maturité de sa stratégie globale de GGRC ainsi que celle de ses programmes de conformité tactiques. Pour ce faire, il est nécessaire d’évaluer la nature et l’envergure des contrôles clés, tant manuels qu’automatisés, ainsi que des processus courants de surveillance de la conformité.

Bon nombre de questions clés surviennent pendant l’évaluation de la maturité. Les entreprises doivent examiner dans quelle mesure elles atteignent leurs objectifs clés en matière de gouvernance, notamment les suivants :

�•� intégrer�non�seulement�le�rendement�des�principaux�contrôles,�mais�aussi�la�mise�à�essai�de ces contrôles dans les activités courantes;

•� harmoniser�les�activités�de�gestion�des�risques�et�de�la�conformité�avec�l’orientation�stratégique de l’entreprise et intégrer ces mesures à la mise en œuvre des processus opérationnels;

•� répondre�aux�demandes�des�décideurs�quant�à�l’accroissement�de�la�transparence�à�l’égard du rendement des activités;

•� inciter�les�responsables�des�cadres�de�conformité�à�fournir�davantage�d’efforts�en�matière�d’intégration;

•� gérer�la�conformité�dans�l’optique�d’accroître�le�rendement�et�de�créer�une�valeur�stratégique.


L’entreprise doit définir la portée du projet, c’est-à-dire qu’elle doit déterminer si la mise en œuvre sera effectuée à l’échelle de l’entreprise ou si elle sera graduelle. Si l’approche graduelle est choisie, l’entreprise doit décider quels processus, unités ou programmes seront traités en premier. En règle générale, plus la maturité de la GGRC est grande, plus la portée peut être étendue étant donné que la majeure partie du travail de base d’intégration a déjà été effectué. Lorsque la fonction de GGRC de l’entreprise n’a pas atteint un stade de maturité avancé, il peut être efficace de commencer avec les processus qui sont les plus normalisés et qui sont soutenus par des plateformes technologiques communes ou avec des programmes de conformité parmi les plus axés sur l’intégration (comme ceux visant la conformité aux exigences de la loi Sarbanes-oxley).

Bâle II

BS7799

S.-O. 404

FDA

Vision intégrée des contrôles

Objectif de l’outil : offrir une solution unique

BS7799BB

Bâle II

S.-O. 40

BS7799BS7799BBBB

44

FDA

Rapport de conformité − FDA

Rapport de conformité − S.-O. 404

Rapport de conformité − BS7799

Rapport de conformité − Bâle II

Perspective unique du risque

Les entreprises doivent composer avec bon nombre d’exigences en matière de confor-mité, notamment celles de l’article 404 de la loi Sarbanes-oxley (« S.-o. 404 »), de la norme ISo BS7799, des exigences de la Food and Drug Administration des États-Unis (la « FDA ») et de l’accord de Bâle II. Afin de parvenir à une perspective unique du risque, l‘entreprise doit concevoir un cadre sur mesure qui centralise toutes les exigences de conformité, ce qui a pour effet de réduire considérablement les activités de mise à essai et de surveillance. Suivant la portée de la mise en œuvre, un outil de surveillance des contrôles peut aider l’entreprise à faire face à la complexité propre à la conformité dans ces différents cadres. Plus particulièrement, un tel outil peut permettre à l’entreprise de mener à bien la centralisation et la normalisation ainsi que d’acquérir une perspective unique du risque. Ces activités peuvent toutes contribuer à créer de la valeur.

Surveillance des contrôles

Source : KPMG aux États-Unis (2008)

1 0 | G o U v E R n A n C E , G E S t I o n D E S R I S Q U E S E t C o n F o R M I t É

L’entreprise doit ensuite décider de l’étendue des contrôles à surveiller.2 La direction devrait entamer le processus en passant en revue ses mesures actuelles de gestion des risques d’entreprise, ses contrôles automatisés et leur efficacité ainsi que ses processus de mesure de la conformité, en particulier s’il s’agit d’un processus manuel ou d’un processus automatisé et si l’exécution de tests et la production de rapports en font partie. Elle devrait également évaluer son portefeuille de contrôles clés et la manière dont il s’aligne sur les facteurs opérationnels stratégiques, les projets de GRE et les autres programmes de conformité.

L’évaluation des dimensions du contrôle est tout aussi importante. Pour que les contrôles manuels soient efficaces, il faut qu’ils soient exécutés correctement et de manière constante. Ils comportent donc un plus grand risque d’inefficacité et engendrent des coûts d’exécution et de mise à essai de leur conformité plus élevés que les contrôles automatisés. En revanche, ces derniers peuvent aider à réduire les coûts, à améliorer la gestion des risques et à fournir des données commerciales plus prévisibles. Les contrôles automatisés, tels que les activités de contrôle d’équilibrage, les listes de données prédéfinies, les contrôles de vraisemblance des données et les tests de logique, sont souvent intégrés à des programmes visant à prévenir ou à repérer les opérations non autorisées.

Une fois que l’entreprise a défini les limites de son projet, les données suffisantes sont généralement recueillies pour appuyer la prochaine étape. Celle-ci consiste à choisir une solution de surveillance des contrôles appropriée.

Contrôles manuels et contrôles automatisés

Dans les faits, il y aura toujours des contrôles manuels clés. toutefois, puisque les coûts d’exécution et de surveillance sont généralement élevés et que le risque de défaillance lors de l’exécution est plus important qu’avec les contrôles automatisés, les entreprises devraient chercher à établir des objectifs pour déterminer le ratio de contrôles automatisés par rapport aux contrôles manuels. Par exemple, un objectif raisonnable pourrait consister à établir un portefeuille de contrôles dont 60 à 70 % de contrôles sont automatisés et préventifs.

2 Pour obtenir des renseignements plus détaillés sur les manières de constituer un portefeuille de contrôles, se reporter à The Compliance Journey: Balancing Risk and Controls with Business Improvement de KPMG LLP aux États-Unis (2004).

GRE stratégique

Processus tactique

Surveillance et mise à essai opérationnelles

Achats

Outils de gestion des risques opérationnels (enquête)

Gestion d’entrepôts Fabrication Ventes et distribution Progiciel

de gestion intégrée

ME7 Step i2.0

ME7 Step 2 Design & plan

ME7 Step 4 Analyze & Eva luate

ME7 Step 3 Construction

Supportive

From Improve Plant

DMG PRJ 2 Engineering ontwerp & plan

DMG PRJ 3 Uitvoeren project

DMG PRJ 4 Analyseren project

DMG PRJ Project uitvoering & monitor ing

DMG PRJ Project settlement

DMG PRJ CATS Tijd schrijven

D MG PRJ i2.0 Overdracht IP naar Projects

Source : KPMG LLP aux États-Unis (2008)

A C C R o î t R E L A v A L E U R G R â C E à L A S U R v E I L L A n C E D E S C o n t R ô L E S | 1 1

étape 2 – Choisir et mettre en œuvre un outi l de surveil lance des contrôles faci l i tant la modification du portefeuil le de contrôles

Beaucoup d’entreprises choisiront de mettre en œuvre un outil de surveillance des contrôles pour un sous-ensemble spécifique des programmes de GGRC pour les diverses raisons susmentionnées. toutefois, il est préférable que l’entreprise ait une vue d’ensemble lorsqu’elle choisit une méthode de surveillance des contrôles, qu’il s’agisse de l’outil d’un tiers ou d’une fonctionnalité existante d’un PGI déjà en place. En élaborant une vision maîtresse des contrôles intégrés, une fois la transformation achevée, les dirigeants seront plus en moyen d’évaluer méthodiquement les différentes options et de choisir un outil qui offrira les meilleures possibilités à long terme.

tel qu’il est illustré dans le tableau 3, l’un des principaux déterminants du processus de sélection d’un outil est souvent le degré d’importance que l’entreprise accorde à l’amélioration de la surveillance des contrôles, conjugué au niveau d’intégration entre les différentes couches. Alors que les outils stratégiques ou tactiques donnent souvent une vue et un tableau de bord de l’entreprise entière, ils pourraient ne pas aller assez en profondeur pour permettre une surveillance suffisante des contrôles clés individuels. Par conséquent, ces outils ne seront réellement efficaces à long terme que si leur intégration est véritablement faite à tous les niveaux.

Tableau 3 – Utilisation des outils de surveillance des contrôles


Au niveau opérationnel (enquête), un certain nombre d’outils sont disponibles pour la surveillance des contrôles clés automatisés. Pour faire le bon choix, il faudra prendre en compte les besoins opérationnels de l’entreprise et les avantages dont cette dernière souhaite profiter, y compris des considérations pratiques telles que la facilité d’intégration de l’outil proposé avec les systèmes et les outils existants.

En règle générale, les outils de surveillance des contrôles peuvent être inclus dans l’une des deux catégories suivantes : 1) outils intégrés dans des applications PGI, comme celles de GGRC de SAP et de GGRC d’oracle; et 2) outils spécialisés complémentaires tels que Approva, CSI, ACL, IDEA et BWise. Presque chaque application offre au moins l’une des deux fonctions de surveillance fondamentales : autorisations d’utilisateur/séparation des tâches et surveillance de processus/contrôles d’opérations. Lors du processus de sélection d’un outil, l’entreprise doit prendre en considération les fonctions qu’elle souhaite intégrer au cadre de travail informatisé.

voici quelques exemples d’éléments additionnels à prendre en considération lors du choix de l’outil :

•� possibilité�d’intégrer�l’outil�à�divers�cadres�de�conformité�et�dans�des�environnements�de�tI existants;

•� fonctionnalité�permettant�d’intégrer�les�tests�des�contrôles�par�l’automatisation�des�flux�de�travail;

•� capacité�à�automatiser�l’enquête�pour�analyser�les�opérations�et�remédier�aux�anomalies;

•� possibilité�de�générer�des�rapports�de�gestion�faciles�à�utiliser�et�approfondis.

Pour qu’un outil de surveillance des contrôles soit mis en œuvre correctement, l’entreprise devra automatiser tout contrôle clé qui est susceptible d’être surveillé afin que l’outil puisse exécuter l’évaluation de la conformité de manière continue. Pour qu’elle puisse profiter pleinement de la possibilité qu’offre un outil d’intégrer la surveillance des contrôles, l’entreprise devrait incorporer à ses opérations quotidiennes, une fois l’outil mis en œuvre, une série de rapports sous forme de tableaux de bord pour les fonctions de niveau tactique, opérationnel et stratégique, le tout pouvant servir d’instrument stratégique de surveillance de la conformité pour fournir l’intelligence économique nécessaire aux décideurs.

A C C R o î t R E L A v A L E U R G R â C E à L A S U R v E I L L A n C E D E S C o n t R ô L E S | 1 3

étape 3 – Mise en œuvre des tableaux de bord de surveillance des contrôles pour permettre l’amélioration des affaires

La surveillance du rendement est l’un des aspects les plus importants, car elle amène les dirigeants à porter leur attention sur l’information cruciale. Un bon rapport peut tirer de simples activités de conformité des informations importantes sur les risques d’entreprise. En d’autres mots, l’intégration du tableau de bord de la conformité à l’entreprise offrira de nouvelles perspectives à l’équipe de gestion pour surveiller l’exécution des contrôles à l’égard des risques d’entreprise, notamment ceux liés aux exigences réglementaires de conformité.

Le rapport peut permettre de déceler les lacunes du contrôle interne de l’entreprise, habituellement en temps réel, afin que les dirigeants, qui comprennent les risques inhérents, puissent prendre les mesures nécessaires pour résoudre les problèmes.

Quelques mesures clés peuvent aider à assurer l’efficacité des rapports ou des tableaux de bord. Dès le début d’une activité de surveillance des contrôles, les entreprises devraient faire ce qui suit :

•� désigner�les�destinataires�des�rapports,�établir les besoins d’information de ces derniers et adapter l’information ou les tableaux de bord en fonction des besoins;

•� discuter�du�contenu�et�de�la�fréquence�de�production des rapports;

•� établir�les�perspectives�des�différents�programmes de conformité pour produire les rapports selon les besoins;

•� déterminer�les�besoins�des�divers�réviseurs,�tant en interne qu’en externe, qui sont susceptibles de lire les résultats puis de demander un supplément d’informations;

•� améliorer�la�réception�du�rapport�ou�du�tableau de bord en intégrant des outils de surveillance des contrôles à la GGRC ou à des outils décisionnels (comme Hyperion, Business objects ou Cognos).

Tableau 4 – Exemples de tableaux de bord


Procurement SalesOperating Company

Bloc

ked

purc

hase

invo

ices

Park

ed p

urch

ase

invo

ices

Goo

ds R

ecei

pt a

nd

Invo

ice

Rec

eipt

indi

cato

r

usag

e in

PO

line

item

sPo

ssib

le d

uplic

ate

vend

or i

nvoi

ces

Invo

ices

cre

ated

in S

D

but n

ot p

roce

ssed

in F

I

Sale

s or

ders

and

sche

dulin

g ag

reem

ents

bloc

ked

for

billi

ngBi

lling

due

list

(Sa

les

orde

rs d

eliv

ered

but

not

yet

invo

iced

)

Cus

tom

ers

with

out c

redi

t

limit

Cus

tom

ers

with

ex

ceed

ed c

redi

t lim

its

12 29 24 23 17 121 37917 40 544 277 1161 2459

149 212 429 224 66 38 205 54738 22 49 34 14 32 411

120 21 47 33 13 43 161 45948 17 39 29 97 331

293 10 14 55 33 185 507348 177 359 189 16 67 39 209 555232 13 16 54 32 181 499111 34 73 46 26 36 427348 50 34 14 19 363

93 19 105 85 84 47 241 61959 21 47 33 13 63 37 201 539

458 16 14999 15 17 97 54 269 67534 13 16 69 40 213 563

1000 Country A1100 Country B1200 Country C2000 Country D2100 Country E2200 Country F2210 Country G2220 Country H2230 Country I2500 Country J3000 Country K4000 Country L5000 Country M5100 Country N5200 Country O5210 Country P



C O N C L U S I O N

L’utilisation de logiciels de veille est créatrice de valeur. Elle permet la production de tableaux de bord plus exacts dans de meilleurs délais, et favorise ainsi la prise de décisions plus éclairées en temps opportun. Elle promeut en outre une perspective unique du risque au sein de l’entreprise. Enfin, elle contribue à réduire les coûts des tests des contrôles et de la conformité en général.

on peut certes atténuer les inconvénients de la conformité et en tirer une valeur ajoutée grâce la démarche rigoureuse de la GGRC. toutefois, les efforts qu’il faut déployer sont considérables. Le degré de réalisation des attentes de l’entreprise dépendra néanmoins de la maturité du programme de conformité de cette dernière, de l’envergure de son portefeuille de contrôles automatisés par rapport à celui de ses contrôles manuels ainsi que de son cadre de gestion intégrée.

C O L L A B O R A t E U R S

Don f. farineau

Peter Paul Brouwers

Keri L. Dawson

Diane K. Nardin

Maurice Op het Veld

thomas Erwin

kpmg.ca

L’information publiée dans le présent document est de nature générale. Elle ne vise pas à tenir compte des circonstances de quelque personne ou entité particulière. Bien que nous fassions tous les efforts nécessaires pour assurer l’exactitude de cette information et pour vous la communiquer rapidement, rien ne garantit qu’elle sera exacte à la date à laquelle vous la recevrez ni qu’elle continuera d’être exacte dans l’avenir. vous ne devez pas y donner suite à moins d’avoir d’abord obtenu un avis professionnel se fondant sur un examen approfondi des faits et de leur contexte.

© 2008 KPMG s.r.l./S.E.n.C.R.L., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International, coopérative suisse. tous droits réservés. KPMG et le logo de KPMG sont des marques déposées de KPMG International. Les produits mentionnés dans le présent document peuvent être des marques déposées de leurs propriétaires respectifs. 080512 F CR

K P M G s . r . l . / S . E . n . C . R . L .

KPMG s.r.l./S.E.n.C.R.L., société canadienne à responsabilité limitée constituée en vertu des lois de l’ontario, est le cabinet canadien affilié à KPMG International, réseau mondial de cabinets offrant des services professionnels en vérification et en fiscalité, ainsi que des services-conseils. Les cabinets membres de KPMG sont exploités dans 144 pays et emploient plus de 137 000 professionnels.

KPMG au Canada compte plus de 4 800 employés, dont environ 450 fournissent des services-conseils aux clients de tout le pays.

C o M M U n I Q U E z A v E C n o U S

Pour obtenir un complément d’information, veuillez communiquer avec votre conseiller KPMG ou avec l’un de nos professionnels des Services-conseils en tI :

Pour en savoir davantage sur les enjeux de gestion en tI, consultez notre site,

au www.kpmg.ca/fr/ms/oi/.

Montréal

Jean-françois Coulonval

514-840-2117

[email protected]

francis Beaudoin

514-840-2247

[email protected]

Ottawa

Jim Alexander

613-212-5764

[email protected]

Région du Grand Toronto

Yvon Audette

416-777-8388

[email protected]

Jeff Smith

416-777-8409

[email protected]

Sud-ouest de l’Ontario

David Evans

519-672-4880

[email protected]

Ouest du Canada

Shaun Wilson

604-691-3188

[email protected]

Jeff thomas

403-691-8012

[email protected]

gouvernance, gestion des risques et conformité

Documents