Table des matières
Pourquoi les feuilles de calcul sont dangereuses pour la GRC
Pourquoi se conformer à la GRC ?
3 raisons pour lesquelles les feuilles de calcul se mettent en travers du chemin
Comment empêcher les feuilles de calcul de menacer la GRC ?
Comment améliorer le ROI d'un investissement en GRC
On estime que 1 000 000 000 de personnes utilisent des feuilles de calcul Excel.
Il est clair que le monde des affaires a adhéré à son efficacité. Et ce n'est pas étonnant : Excel présente de nombreuses fonctionnalités intéressantes. Cependant, lorsqu'il s'agit de gérer la gouvernance, le risque et la conformité (GRC), les feuilles de calcul peuvent en fait être un outil dangereux.
L'utilisation d'Excel ou d'autres feuilles de calcul peut créer plus de problèmes qu'elle n'en résout. Bien que pour une liste initiale des risques et peut-être quelques évaluations, ils sont très utiles.
Mais pour créer un processus continu, il devient vite évident que ces outils ne sont pas à la hauteur sur le long terme.
Qu'est-ce que le GRC ?
- Gouvernance
Le G de la GRC peut aller des réglementations gouvernementales aux politiques organisationnelles, en passant par les obligations contractuelles et les demandes de la société. La compréhension des obligations imposées et de leur impact potentiel sur l'organisation est essentielle à sa survie. - Il existe de nombreux exemples d'échecs de gouvernance, tels que des exigences législatives anti-corruption mal appliquées ou de simples pratiques commerciales ineptes.
- Le langage contractuel non spécifique est sans doute le pire contrevenant ("Je n'étais pas au courant de cela" n'est pas une réponse utile).
- Risque
Il est essentiel de tenir compte du risque et de la récompense - dans sa forme la plus simple, c'est "ne pas risquer beaucoup pour peu". - Il s'agit en fait d'un équilibre entre un risque suffisant et un risque insuffisant.
- Lorsque le risque potentiel est supérieur à la récompense potentielle, il vaut mieux avoir un contrôle vraiment efficace des risques ou être prêt à tout perdre.
- Les exemples les plus simples peuvent être trouvés dans les nombreux événements médiatiques où les gens font les choses les plus stupides dans l'espoir d'obtenir une certaine récompense comme un peu d'argent ou une gloire éphémère.
- Du point de vue des entreprises, les choses sont un peu plus douloureuses : elles vont des rapports médiatiques sur les pots-de-vin pour l'obtention de contrats aux réductions de coûts insensées qui se soldent par des indemnités massives.
- Conformité
Il s'agit simplement de s'assurer que les bonnes choses sont faites de la bonne manière et au bon moment. L'astuce consiste à ne pas déployer trop d'efforts au point de paralyser l'organisation. -
Pourquoi se conformer à la GRC ?
-
Comment le coût de la mise en conformité avec la réglementation se compare-t-il au coût des frais et amendes encourus en cas de non-conformité ? Eh bien, récemment, un fabricant mondial a été condamné à une amende de plusieurs milliards de dollars pour avoir été reconnu coupable de non-respect de diverses réglementations.
Décomposons un peu :
- La population américaine : environ 325.000.0001
- La population mondiale : environ 7.400.000.0002
- Total des amendes/indemnités versées par le fabricant : $21,300,000,0003
En utilisant ces chiffres, chaque personne dans le monde (en août 2016) devrait encourir une moyenne de $2,87 pour couvrir ces amendes et si les États-Unis étaient seuls responsables de cette perte directe, cela équivaudrait à $23 par personne.
Et il ne s'agit là que des coûts directs. L'atteinte à la réputation et le coût de la refonte des processus ajouteront probablement quelques milliards supplémentaires au total.
En termes de GRC pour cet exemplele gouvernance était finalement les différentes réglementations auxquelles l'entreprise devait se conformer.
- Il peut également y avoir eu d'autres formes de gouvernance au sein de l'entreprise, telles que des politiques visant à ne pas tenter de tricher ou d'induire le public en erreur, ou même une gouvernance contractuelle sous la forme d'un contrat entre l'acheteur et le vendeur du produit prévoyant le respect de normes minimales.Le risque était qu'en cas de non-conformité, il y ait des pénalités et des coûts pour y remédier..
- Il serait intéressant de voir l'évaluation des risques dans ce cas (s'il y en a eu une), y compris l'évaluation des actions criminelles potentielles et les coûts de remédiation.
- Le coût de la mise en conformité pour la période de non-conformité aurait-il été proche de ces chiffres, qui correspondent à près de 14% des recettes de l'entreprise ? Il est difficile de saisir toute l'ampleur des coûts et il sera intéressant de voir comment l'entreprise s'en remettra.Juste après cette nouvelle, un autre fabricant a été accusé en janvier d'activités frauduleuses similaires.
- Il convient donc de se demander si nous pouvons nous attendre à ce que de nombreuses organisations mettent davantage l'accent sur l'évaluation complète des risques liés à certaines actions et sur la mise en œuvre et le maintien d'un contrôle efficace de la conformité.
Les défis de la GRC
La GRC n'est pas un défi unique pour les organisations. En fait, la gouvernance, le risque et la conformité ne sont que des catégories pour toute une série de défis et de risques intégrés dans chacune de ces catégories.
Bien qu'il n'existe pas de définition universellement acceptée de la GRC, ses trois éléments sont généralement caractérisés de la manière suivante :
- La gouvernance fait référence aux processus de gestion globale d'une organisation donnée, qui est essentiellement dirigée par l'équipe de direction (niveau C).
- La gestion des risques fait référence aux tentatives d'une organisation d'identifier et d'analyser les menaces qui pèsent sur ses activités. Souvent, ces menaces concernent le non-respect des réglementations gouvernementales.
- La conformité fait référence aux mesures correctives prises par l'organisation pour atténuer les risques qui ont été précédemment identifiés.
-
L'importance de l'ISO
- L'ISO, l'Organisation internationale de normalisation[1], a publié plus de 21 000 normes couvrant à peu près tout ce à quoi vous pouvez penser et probablement quelques-unes que vous n'auriez jamais imaginées. Il s'agit d'une organisation mondiale, qui compte 163 organismes nationaux de normalisation parmi ses membres.
- C'est beaucoup de pouvoir puisqu'il existe près de 200 pays dans le monde. Bien que nombre de ses normes ressemblent davantage à des lignes directrices qu'à des mandats en béton, elles sont souvent utilisées pour aider les acheteurs et autres personnes à déterminer s'il est judicieux d'acheter le produit ou le service auquel elles s'appliquent.Depuis l'introduction de la norme ISO 31000 sur le management du risque[2] en 2009, le risque est de plus en plus intégré dans ces normes. En partie, on le suppose, pour éviter de gaspiller des ressources à faire respecter aveuglément la dernière lettre de la norme.En avril 2016, la norme ISO 37001 est passée au stade final avant sa mise en œuvre[3].. La norme s'applique aux systèmes de gestion anti-corruption, et est étroitement alignée sur de nombreuses normes gouvernementales. Ce qui distingue cette norme de nombreuses autres normes, c'est que les organisations peuvent obtenir une certification de conformité.
Nous nous attendons donc à voir se multiplier les possibilités de se former en tant que "certificateur". Ce n'est probablement pas une mauvaise chose en soi, mais il est nécessaire d'être conscient de deux éléments clés : le risque et le processus. Ces deux éléments doivent être soutenus par un niveau adéquat d'efficacité, de transparence et d'auditabilité.
Le risque est essentiellement une combinaison de trois facteurs :
- Le site probabilité l'événement aura lieu.
- Le site impact si cela se produit.
- Le site timing de l'événement.
La plupart des gens sont familiers avec une inondation à l'échelle 1:100, mais personne n'est capable d'affirmer exactement quand cette inondation se produira. De même, quelle est l'ampleur de l'impact ? Un événement très coûteux et ruineux, ou peut-être une tape sur les doigts et ne plus le faire ?
Reportez-vous à la norme ISO 31000 pour une description approfondie de ces composantes et de bien d'autres éléments liés au risque.Les questions sont, essentiellement, "l'événement peut-il se produire (oui/non/peut-être) ?" et "s'il se produit, quelle sera la gravité des conséquences ?". Aucune de ces valeurs ne peut être exacte. Si c'était le cas, cela signifierait qu'il existe une certitude totale - le contraire du risque.
Tour être certifiée, les organisations doivent mettre en place des processus qui prouvent que votre organisation a pris des mesures suffisantes pour empêcher la corruption. Bien sûr, il ne semble pas y avoir beaucoup d'efforts pour minimiser la taille des pots-de-vin, mais seulement la probabilité qu'ils se produisent. C'est un peu comme les extincteurs automatiques à eau qui n'ont jamais empêché un incendie de se déclarer, mais qui font généralement un excellent travail pour empêcher le feu de se transformer en brasier. La norme ISO 37001 traite de la probabilité, mais pas de l'impact.
Pour cela, l'organisation doit être en mesure d'avoir une compréhension claire de la gouvernance pertinente.(par exemple, les réglementations anti-corruption dans tous les pays où ils opèrent), le niveau de risque (qui n'est pas toujours déterminé par l'importance des ventes dans un pays spécifique) et la capacité à obtenir des garanties de la part de tous les participants concernés (employés, clients, vendeurs, etc.) de manière efficace, simple et sûre.
Tout porte à croire qu'il s'agit là d'un nouvel élan pour le rôle de Chief Compliance Officer, avec une forte dépendance à la technologie pour soutenir le processus.
Pourquoi les feuilles de calcul sont dangereuses pour la gouvernance, le risque et la conformité ?
Pour commencer, de nombreuses personnes qui doivent interagir avec les données ne le font pas quotidiennement, souvent beaucoup moins fréquemment, et attendre probablement >95% des personnes qui doivent fournir des données et répondre aux informations, c'est généralement trop demander, même si les feuilles de calcul ont des cellules protégées et des menus déroulants.
En outre, la nécessité d'apporter des modifications à ces listes déroulantes et cellules crée d'énormes problèmes dans un environnement basé sur Excel. Par exemple, le simple processus de modification d'une liste déroulante.
C'est facile à faire dans une feuille de calcul, mais il faut ensuite que tous les utilisateurs aient la même version, sinon la collecte des données sera désordonnée et les informations recueillies seront erronées.
Il faut également tenir compte de la nécessité de pouvoir fournir des preuves à un large éventail de parties prenantes quant à l'origine des données - il est certainement possible de voir les données les plus récentes, mais d'où viennent ces données et comment ont-elles évolué ?
Dans un environnement excel, cela devient vite insignifiant et insoutenable. Une piste d'audit sécurisée est essentielle pour soutenir un processus GRE, d'autant plus que l'intégration des données sur les risques provenant de presque toutes les parties d'une organisation devient la norme, et non l'exception.
Bien qu'il existe de nombreux autres facteurs qui rendent impossible le maintien correct d'un processus GRE soutenu par une feuille de calcul, il suffit de considérer un autre facteur : "une source unique de vérité."
Avec une myriade de feuilles de calcul, les données clés se trouvent souvent à plusieurs endroits et un changement dans un composant ne sera pas reflété dans toutes les données agrégées avant, ou si, la feuille de calcul concernée est même téléchargée dans une forme de méga feuille de calcul.
Comment l'utilisateur de ces données peut-il espérer savoir que ces données sont actuelles et exactes s'il utilise de nombreuses feuilles de calcul. Les feuilles de calcul ne donnent qu'un faux sentiment de connaissance et d'exactitude, et aboutissent inévitablement à de mauvaises décisions fondées sur des données erronées.
La GRC est complexe. Et si vous utilisez des feuilles de calcul cloisonnées, qui ne "parlent la langue" que d'un seul service ou d'un seul type de données dans chaque document, la probabilité de pouvoir gérer cette complexité est presque nulle.
3 raisons pour lesquelles les feuilles de calcul se mettent en travers du chemin
1. Les tableurs sont difficiles à gérer
La recherche d'une feuille de calcul est facile. La recherche dans un grand nombre de feuilles de calcul ne l'est pas autant. Dans ce contexte, les feuilles de calcul sont-elles un moyen efficace de trouver des informations ?
Pas vraiment. Bien sûr, vous pouvez toujours consolider vos nombreuses feuilles de calcul en une seule, mais cela demande tout autant de travail.
Il est probable que votre gestion du risque de conformité Les membres de l'équipe passent d'énormes quantités d'heures à construire, afficher, éditer et faire des rapports via des feuilles de calcul. C'est un travail essentiel, mais est-il efficace ? Ou rentable ? Ou facile de construire de bons rapports ? Et enfin, ces systèmes sont-ils évolutifs ? Le plus souvent, la réponse à ces questions est "non".
Les feuilles de calcul grèvent votre masse salariale, consommant du temps et des ressources - obligeant votre personnel à devenir des assistants Excel au lieu de véritables experts en GRC qui pourraient être mis à contribution pour résoudre des problèmes critiques.
2. Les feuilles de calcul sont sujettes aux erreurs
Une myriade de feuilles de calcul est souvent synonyme d'une myriade d'erreurs. Des études indiquent même que 88 % des feuilles de calcul des entreprises contiennent des erreurs..
Les erreurs résultent régulièrement d'une mauvaise interprétation des données lors de l'évaluation d'une multitude de feuilles de calcul dans des formats différents, ou d'erreurs commises lors de la ressaisie manuelle des données afin de consolider plusieurs feuilles de calcul en une seule.
Ainsi, les feuilles de calcul donnent un faux sentiment de connaissance et d'exactitude ou, à l'inverse, suscitent une méfiance totale à l'égard des données. Dans un cas comme dans l'autre, il en résulte souvent une mauvaise prise de décision.
3. Les feuilles de calcul ne fournissent pas une chaîne de preuves
Le contrôle des versions et la sécurité des données sont des problèmes réels avec les feuilles de calcul. Il existe une grande incertitude quant à savoir si et quand les informations ont été mises à jour et qui les a mises à jour. Les utilisateurs peuvent ainsi se demander
- Est-ce la bonne date ? Ou bien il a été modifié ?
- Cette entrée est-elle exacte ? Ou a-t-il été modifié ?
- Est-ce que j'ai fait cette entrée ? Ou quelqu'un d'autre ?
Cela peut contribuer à l'accumulation de données erronées, ainsi qu'à un manque de responsabilité pour des informations erronées qui pourraient avoir un impact négatif sur votre entreprise.
Comment empêcher les feuilles de calcul de menacer la GRC ?
Les tableurs présentent de nombreux avantages, mais pas lorsqu'il s'agit de gérer la gouvernance, les risques ou la conformité. La technologie de gestion intégrée des risques, en revanche, résout bon nombre des problèmes que posent les tableurs, du simple fait de sa conception.
Tout d'abord, cette technologie fonctionne dans le nuage - elle collecte et met à jour automatiquement les données en temps réel.
Il fait apparaître les informations GRC pertinentes, où qu'elles se cachent dans votre organisation, les relie à d'autres données internes et externes, puis les normalise à l'aide d'outils de traitement des données afin de garantir la cohérence des données que vous comparez.
Il est ainsi facile d'accéder à des données de gestion des risques actualisées et de les analyser en quelques clics, au lieu de rassembler plusieurs feuilles de calcul dans une méga feuille de calcul qui sera essentiellement périmée au moment de la rédaction du rapport.
Qui plus est, la bonne technologie de gestion intégrée des risques sera spécifiquement adaptée à la gestion de la gouvernance d'entreprise, des risques et de la conformité (GRC) et fournira une série complète d'applications pour améliorer l'efficacité et la cohérence de tous les processus et décisions liés à la gouvernance d'entreprise, aux risques et à la conformité.
Ne laissez pas les feuilles de calcul se mettre en travers de votre chemin. La technologie de gestion intégrée des risques peut simplifier et automatiser vos programmes de GRC, ce qui vous permet de mettre en œuvre, d'adapter, d'étendre et de faire évoluer vos capacités de GRC.
Comment améliorer le retour sur investissement de votre GRC
Extraire le retour sur investissement (ROI) de la GRC, c'est un peu comme trouver la cité perdue de l'Atlantide, le Saint Graal, ou même un moyen facile de remplir une déclaration d'impôts.
Il est important d'établir au moins quelques paramètres défendables autour de la valeur pour l'organisation avant même de se préoccuper de la gouvernance, des risques et de la conformité.
Cela peut sembler un peu négatif, mais nous sommes à un point de basculement dans la façon dont tout cela peut être réuni de manière rationnelle et rentable. La technologie a changé l'ensemble du secteur, même au cours des 5 à 10 dernières années.
La création d'une vue unique de la gouvernance, du risque et de la conformité à l'échelle de l'organisation fait ressortir les chevauchements et les lacunes.
Grâce à la connectivité d'aujourd'hui, disponible à des coûts nettement inférieurs et en un temps réduit, les responsables peuvent désormais voir toutes les pièces mobiles et prendre des mesures pour gérer la gouvernance de leur organisation, comprendre et répondre de manière appropriée aux risques que cette gouvernance entraîne, et assurer le niveau optimal de conformité.
Toutefois, si le retour sur investissement est difficile à définir avec précision, le coût de base de la technologie qui alimente les systèmes de gestion intégrée des risques peut être réparti à mesure qu'elle s'étend à l'ensemble de l'entreprise.
La capacité de travailler avec d'autres parties de l'organisation pour obtenir cette vision intégrée augmente la valeur de la fonction risque pour l'organisation.
Loin d'être un centre de coûts, le risque peut devenir une partie intégrante de la stratégie de l'organisation et fonctionner comme prévu.
Rien de tout cela ne remplace le recours à la direction pour gérer - mais cela rendra ce rôle plus facile à gérer.
En savoir plus sur la façon dont les logiciels de gestion des risques peuvent vous garder conforme et éthique.
English 
English (UK) 
Deutsch 
Español 
Português 
Français 