Table des matières
Pourquoi les feuilles de calcul sont dangereuses pour la GRC
Pourquoi se conformer au GRC ?
3 raisons pour lesquelles les feuilles de calcul vous gênent
Comment empêcher les feuilles de calcul de menacer la GRC ?
Comment améliorer le retour sur investissement de la GRC
On estime à 1 000 000 000 le nombre de personnes qui utilisent des feuilles de calcul Excel.
Il est clair que le monde des affaires est convaincu de son efficacité. Et ce n’est pas étonnant : Excel offre de nombreuses fonctionnalités intéressantes. Cependant, lorsqu’il s’agit de gérer la gouvernance, le risque et la conformité (GRC), les feuilles de calcul peuvent être un outil dangereux.
L’utilisation d’Excel ou d’autres feuilles de calcul peut créer plus de problèmes qu’elle n’en résout. Toutefois, ils sont très utiles pour dresser une première liste de risques et éventuellement procéder à quelques évaluations.
Mais pour créer un processus continu, il devient vite évident que ces outils ne sont pas à la hauteur pour le long terme.
Qu’est-ce que le GRC ?
- Gouvernance
Le G de GRC peut aller de la réglementation gouvernementale aux politiques de l’organisation, en passant par les obligations contractuelles et les exigences sociétales. Comprendre les obligations imposées et l’impact potentiel sur l’organisation est essentiel à sa survie. - Il existe de nombreux exemples d’échecs en matière de gouvernance, tels que des exigences législatives anti-corruption mal mises en œuvre ou de simples pratiques commerciales ineptes.
- Le pire coupable est sans doute le langage contractuel non spécifique (« Je ne savais pas cela » n’est pas une réponse utile).
- Risque
Il est essentiel de tenir compte du risque et de la récompense – dans sa forme la plus simple, il s’agit de « ne pas risquer beaucoup pour peu ». - Il s’agit en fait d’un équilibre entre un risque suffisant et un risque insuffisant.
- Lorsque le risque potentiel l’emporte sur la récompense potentielle, vous avez intérêt à exercer un contrôle vraiment efficace sur les risques ou à vous préparer à tout perdre.
- Les exemples les plus simples peuvent être trouvés dans les nombreux événements médiatiques où les gens font les choses les plus stupides dans l’espoir d’obtenir une récompense, comme un peu d’argent ou une célébrité éphémère.
- Du point de vue des entreprises, les choses sont un peu plus douloureuses : elles vont des rapports médiatiques sur les pots-de-vin versés pour l’obtention de contrats aux réductions de coûts insensées qui aboutissent à des dommages-intérêts massifs.
- Conformité
Il s’agit simplement de s’assurer que les bonnes choses sont faites de la bonne manière et au bon moment. L’astuce consiste à ne pas déployer tant d’efforts que l’organisation s’en trouve paralysée. -
Pourquoi se conformer au GRC ?
-
Quel est le coût de la mise en conformité avec les réglementations par rapport au coût des frais et des amendes encourus en cas de non-conformité ? Récemment, un fabricant mondial s’est vu infliger une amende de plusieurs milliards de dollars pour avoir été reconnu coupable de non-respect de diverses réglementations.
Décortiquons un peu les choses :
- Population des États-Unis : environ 325 000 0001
- Population mondiale : environ 7 400 000 0002
- Total des amendes/indemnités payées par le fabricant : 21 300 000 000 $3
Sur la base de ces chiffres, chaque personne dans le monde (en août 2016) devrait débourser en moyenne 2,87 dollars pour couvrir ces amendes et si les États-Unis étaient les seuls responsables de cette perte directe, cela équivaudrait à 23 dollars par personne.
Et il ne s’agit là que des coûts directs. Les atteintes à la réputation et le coût de la refonte des processus ajouteront probablement quelques milliards au total.
En termes de GRC, dans le cas présent, la gouvernance était en fin de compte les diverses réglementations auxquelles l’entreprise était tenue de se conformer.
- Il peut également y avoir eu d’autres formes de gouvernance au sein de l’entreprise, telles que des politiques visant à ne pas tenter de tricher ou d’induire le public en erreur, ou même une gouvernance contractuelle sous la forme d’un contrat entre l’acheteur et le vendeur du produit stipulant que des normes minimales doivent être respectées.
- Il serait intéressant de voir l’évaluation des risques dans ce cas (s’il y en a eu une), y compris l’évaluation des actions pénales potentielles et des coûts d’assainissement.
- Le coût de la mise en conformité pour la période de non-conformité aurait-il été proche de ces chiffres, qui représentent près de 14 % du chiffre d’affaires de l’entreprise ? Il est difficile de comprendre l’ampleur des coûts et il sera intéressant de voir comment l’entreprise s’en remettra.Juste après cette nouvelle, un autre fabricant a été accusé en janvier d’activités frauduleuses similaires.
- Il convient donc de se demander si nous pouvons nous attendre à ce que de nombreuses organisations mettent davantage l’accent sur l’évaluation complète des risques liés à certaines actions, et sur la manière dont un contrôle efficace de la conformité doit être mis en œuvre et maintenu.
Défis GRC
La GRC n’est pas un défi unique pour les organisations. En fait, la gouvernance, le risque et la conformité ne sont que des catégories pour toute une série de défis et de risques intégrés dans chacune de ces catégories.
Bien qu’il n’existe pas de définition universellement acceptée de la GRC, ses trois éléments sont généralement caractérisés comme suit :
- La gouvernance fait référence aux processus de gestion globale d’une organisation donnée, qui est essentiellement dirigée par l’équipe de direction (niveau C).
- La gestion des risques fait référence aux tentatives d’une organisation d’identifier et d’analyser les menaces qui pèsent sur ses activités. Souvent, ces menaces impliquent le non-respect des réglementations gouvernementales.
- La conformité fait référence aux mesures correctives prises par l’organisation pour atténuer les risques qui ont été précédemment identifiés.
-
L’importance de l’ISO
- L’ISO, l’Organisation internationale de normalisation[1], a publié plus de 21 000 normes couvrant à peu près tout ce à quoi vous pouvez penser et probablement quelques-unes que vous n’imagineriez jamais. Il s’agit d’une organisation mondiale qui compte 163 organismes nationaux de normalisation parmi ses membres.
- C’est un pouvoir considérable puisqu’il y a près de 200 pays dans le monde. Bien que nombre de ses normes s’apparentent davantage à des lignes directrices qu’à des mandats définitifs, elles sont souvent utilisées pour aider les acheteurs et d’autres personnes à déterminer s’il est judicieux d’acheter le produit ou le service auquel elles s’appliquent.Depuis l’introduction de la norme ISO 31000 sur le management du risque[2] en 2009, le risque est de plus en plus intégré dans ces normes.En avril 2016, la norme ISO 37001 est passée au stade final avant sa mise en œuvre[3]. La norme s’applique aux systèmes de gestion anti-corruption et est étroitement alignée sur de nombreuses normes gouvernementales. Ce qui distingue cette norme de nombreuses autres, c’est que les organisations peuvent obtenir une certification de conformité.
Nous nous attendons donc à voir se multiplier les possibilités de se former en tant que « certificateur ». Ce n’est probablement pas une mauvaise chose en soi, mais il est nécessaire d’être conscient de deux éléments clés : le risque et le processus. Tous deux doivent être soutenus par un niveau adéquat d’efficacité, de transparence et d’auditabilité.
Le risque est essentiellement une combinaison de trois facteurs :
- La probabilité que l’événement se produise.
- L’impact s’il se produit.
- Le moment de l’ événement.
La plupart des gens connaissent une inondation de 1:100, mais personne n’est capable de dire exactement quand cette inondation se produira. De même, quelle est l’ampleur de l’impact ? Un événement très coûteux et ruineux, ou peut-être une tape sur les doigts et ne plus recommencer ? Lesquestions sont essentiellement les suivantes : « l’événement peut-il se produire (oui/non/peut-être) ? » et « s’il se produit, quelle sera l’ampleur des conséquences ? ». Aucune de ces valeurs ne peut être exacte. Si c’était le cas, cela signifierait qu’il y a une certitude totale, ce qui est le contraire du risque.Pour être certifiées, les organisations doivent mettre en place des processus qui prouvent que votre organisation a fait suffisamment d’efforts pour prévenir la corruption. Bien entendu, il ne semble pas y avoir beaucoup d’efforts pour minimiser l’importance des pots-de-vin, mais seulement la probabilité qu’ils se produisent. C’est un peu comme les extincteurs automatiques qui n’ont jamais empêché un incendie de se déclarer, mais qui font généralement un excellent travail pour éviter que l’incendie ne se transforme en brasier. La norme ISO 37001 traite de la probabilité, mais pas de l’impact. Pour ce faire, l’organisation doit être en mesure de comprendre clairement la gouvernance pertinente(par exemple, les réglementations anti-corruption dans tous les pays où elle opère), le niveau de risque (qui n’est pas toujours déterminé par l’importance des ventes dans un pays spécifique) et sa capacité à obtenir l’assurance de tous les participants concernés (employés, clients, fournisseurs, etc.) d’une manière efficace, simple et sûre. Cette situation présente toutes les caractéristiques d’un nouvel élan pour la fonction de responsable de la conformité, avec une forte dépendance à l’égard de la technologie pour soutenir le processus.
Pourquoi les feuilles de calcul sont dangereuses pour la gouvernance, le risque et la conformité
Tout d’abord, de nombreuses personnes qui doivent interagir avec les données ne le font pas quotidiennement, souvent beaucoup moins fréquemment, et attendre probablement >95 % des personnes qui doivent fournir des données et répondre aux informations, c’est généralement trop demander, même si les feuilles de calcul ont des cellules protégées et des menus déroulants.
En outre, la nécessité d’apporter des modifications à ces listes déroulantes et à ces cellules crée d’énormes problèmes dans un environnement piloté par Excel. Par exemple, le simple processus de modification d’une liste déroulante.
Il est facile de le faire dans une feuille de calcul, mais il faut alors que tous les utilisateurs disposent de la même version, faute de quoi la collecte de données deviendra un véritable fouillis et les informations recueillies seront erronées.
Il est certes possible de consulter les données les plus récentes, mais d’où viennent ces données et comment ont-elles évolué ?
Dans un environnement excel, cela devient vite insignifiant et insoutenable. Une piste d’audit sécurisée est essentielle pour soutenir un processus ERM, d’autant plus que l’intégration de données sur les risques provenant d’à peu près toutes les parties d’une organisation devient la norme et non l’exception.
Bien qu’il existe de nombreux autres facteurs qui font qu’il est impossible de maintenir correctement un processus ERM fondé sur une feuille de calcul, considérez un seul autre facteur : « une seule source de vérité« .
Avec une myriade de feuilles de calcul, les données clés se trouvent souvent à plusieurs endroits et un changement dans un composant ne sera pas reflété dans toutes les données agrégées jusqu’à ce que, ou si, la feuille de calcul concernée soit même téléchargée dans une forme quelconque de méga feuille de calcul.
Comment l’utilisateur de ces données peut-il espérer savoir qu’elles sont à jour et exactes s’il utilise de nombreuses feuilles de calcul ? Les feuilles de calcul ne font que donner un faux sentiment de connaissance et d’exactitude, et aboutissent inévitablement à de mauvaises décisions basées sur des données erronées.
La GRC est complexe. Et si vous utilisez des feuilles de calcul cloisonnées, qui ne parlent que la langue d’un seul service ou d’un seul type de données dans chaque document, la probabilité de pouvoir gérer cette complexité est quasiment nulle.
3 raisons pour lesquelles les feuilles de calcul vous gênent
1. Les tableurs sont difficiles à gérer
La recherche d’une feuille de calcul est facile. La recherche d’un grand nombre de feuilles de calcul l’est moins. Dans ce contexte, les tonnes de feuilles de calcul sont-elles un moyen efficace de trouver des informations ?
Pas vraiment. Bien sûr, vous pouvez toujours consolider vos nombreuses feuilles de calcul en une seule, mais cela demande autant de travail.
Il est probable que les membres de votre équipe de gestion du risque de conformité passent d’énormes quantités d’heures à construire, publier, éditer et établir des rapports à l’aide de feuilles de calcul. Il s’agit d’un travail essentiel, mais est-il efficace ? Ou rentable ? Est-il facile d’élaborer de bons rapports ? Et enfin, sont-ils bien modulables ? Le plus souvent, la réponse à ces questions est « non ».
Les feuilles de calcul grèvent votre masse salariale, consomment du temps et des ressources – obligeant votre personnel à devenir des magiciens d’Excel au lieu d’être de véritables experts en GRC qui pourraient être mis à contribution pour résoudre des problèmes cruciaux.
2. Les feuilles de calcul sont sujettes aux erreurs
Une myriade de feuilles de calcul est souvent synonyme d’une myriade d’erreurs. Des études suggèrent même que 88 % des feuilles de calcul des entreprises contiennent des erreurs.
Les erreurs résultent régulièrement d’une mauvaise interprétation des données lorsque l’on évalue une multitude de feuilles de calcul dans des formats différents, ou d’erreurs commises lors de la réintroduction manuelle des données afin de consolider de nombreuses feuilles de calcul en une seule.
En tant que telles, les feuilles de calcul conduisent soit à un faux sentiment de connaissance et de précision, soit, à l’inverse, à une méfiance totale à l’égard des données. Dans un cas comme dans l’autre, il en résulte souvent une mauvaise prise de décision.
3. Les feuilles de calcul ne constituent pas une chaîne de preuves
Le contrôle des versions et la sécurité des données sont de véritables problèmes avec les feuilles de calcul. Il existe une grande incertitude quant à savoir si et quand les informations ont été mises à jour et qui les a mises à jour. Cela peut amener les utilisateurs à se demander
- S’agit-il de la bonne date ? Ou a-t-il été modifié ?
- Cette entrée est-elle exacte ? Ou a-t-il été modifié ?
- Ai-je fait cette entrée ? Ou quelqu’un d’autre ?
Cela peut contribuer à la production de données erronées, ainsi qu’à l’absence de responsabilité pour des informations erronées qui pourraient avoir un impact négatif sur votre entreprise.
Comment empêcher les feuilles de calcul de menacer la GRC ?
Les tableurs présentent de nombreux avantages, mais pas lorsqu’il s’agit de gérer la gouvernance, le risque ou la conformité. La technologie de gestion intégrée des risques, en revanche, résout bon nombre des problèmes posés par les tableurs, simplement en raison de sa conception. Tout d’abord, cette technologie fonctionne dans le nuage, ce qui permet de collecter et de mettre à jour automatiquement les données en temps réel. Elle fait remonter à la surface les informations GRC pertinentes, où qu’elles se cachent dans votre organisation, les relie à d’autres données internes et externes, puis les normalise à l’aide d’outils de traitement des données afin de garantir la cohérence des données que vous comparez. Ainsi, il est facile d’accéder et d’analyser les données de gestion des risques les plus récentes en quelques clics, au lieu de rassembler plusieurs feuilles de calcul en une méga feuille de calcul qui sera essentiellement périmée lorsque le moment sera venu de faire un rapport. De plus, la bonne technologie de gestion intégrée des risques sera spécifiquement adaptée à la gestion de la GRC et fournira toute une série d’applications pour améliorer l’efficacité et la cohérence de tous les processus et décisions d’entreprise liés à la gouvernance, au risque et à la conformité de l’entreprise. Ne laissez pas les feuilles de calcul vous barrer la route. La technologie de gestion intégrée des risques peut simplifier et automatiser vos programmes de GRC, vous permettant ainsi de mettre en œuvre, d’adapter, d’étendre et de faire évoluer vos capacités de GRC.
Comment améliorer le retour sur investissement de votre GRC
Extraire un retour sur investissement (ROI) de la GRC, c’est un peu comme trouver la cité perdue de l’Atlantide, le Saint Graal, ou même un moyen facile de remplir une déclaration d’impôts. Il est important d’établir au moins quelques paramètres défendables autour de la valeur pour l’organisation avant même de se préoccuper de toute cette gouvernance, de ce risque et de cette conformité. Cela peut sembler un peu négatif, mais nous sommes à un point d’inflexion dans la manière dont tout cela peut être rassemblé de manière rationnelle et rentable. La technologie a changé l’ensemble du secteur, même au cours des 5 à 10 dernières années. La création d’une vue unique de la gouvernance, du risque et de la conformité à l’échelle de l’organisation fait ressortir les chevauchements et les lacunes. Grâce à la connectivité d’aujourd’hui, disponible à des coûts et dans des délais nettement inférieurs, les responsables peuvent désormais voir toutes les parties en mouvement et prendre des mesures pour gérer la gouvernance de leur organisation, comprendre les risques que cette gouvernance entraîne et y répondre de manière appropriée, et assurer un niveau optimal de conformité.
Toutefois, si le retour sur investissement est difficile à définir avec précision, le coût de base de la technologie qui alimente les systèmes de gestion intégrée des risques peut être réparti à mesure qu’il s’étend à l’ensemble de l’entreprise. La capacité de travailler avec d’autres parties de l’organisation pour obtenir cette vue intégrée augmente la valeur de la fonction risque pour l’organisation. Loin d’être un centre de coûts, le risque peut faire partie intégrante de la stratégie de l’organisation et fonctionner comme prévu. Rien de tout cela ne remplace la dépendance de la direction à l’égard de la gestion – mais cela rendra ce rôle plus facile à gérer. Découvrez comment un logiciel de gestion des risques peut vous aider à rester conforme et éthique.
