Académique Documents
Professionnel Documents
Culture Documents
KPMG Gestionrisques
KPMG Gestionrisques
risques et conformit
Accrotre la valeur grce la surveillance des contrles
SERV I C E S - C O N S E I L S
D f ini t ion
D E
L A
GGRC
T AB LE S
DES
MA TIRES
Introduction
Contexte actuel
Conclusion
14
I N TRO DU CTION
C om pr endr e la G G RC
Le Sarbanes-Oxley Act of 2002 ( loi
Sarbanes-Oxley ) a eu de nombreux
effets non recherchs, notamment
lapparition du concept de GGRC. Conu
pour promouvoir [de faon intentionnelle]
lamlioration de la gouvernance, de la
gestion des risques et de la conformit,
ce concept a t rapidement rcupr
par des fournisseurs de nombreux
domaines, quil sagisse du secteur de
la gestion de documents ou de celui du
PGI. LA GGRC ne se rsume toutefois
pas lapplication de logiciels, bien que
ceux-ci soient importants; cest avant
tout une discipline de gestion. Elle est
une faon de rpondre aux demandes
souvent concurrentes des organismes
de rglementation, des actionnaires, des
clients et des forces du march sans
ngliger les exigences rglementaires de
plus en plus complexes.
tant donn que les informations, les
rles et les responsabilits, voire parfois
les budgets, se rapportant la GGRC
chevauchent plusieurs units fonctionnelles, le chef des finances devient souvent le candidat logique pour promouvoir
lapproche intgre. En dpit de son
exprience de gestionnaire des risques
et du caractre rglementaire de son rle
qui en facilite lexcution, le chef des
finances prouve parfois de la difficult
mettre en place une approche unifie
la GGRC.
Traduction libre dun extrait de lditorial
Web An Integrated Approach to Risk
and Compliance du 25 mars 2008 dans
le site CFO.com.
G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T
CONT EX T E
A C T UEL
Avant ladoption de la loi Sarbanes-Oxley, les processus dcisionnels des entreprises taient
avant tout axs sur la rduction des cots et laccroissement des rsultats. Les entreprises
accordaient peu dimportance la gestion des risques. La prolifration des rgles au cours
des dernires annes a amen de nombreuses entreprises se proccuper davantage de la
conformit et de lintgration des contrles.
Les cots considrables lis la conformit aux rgles font lobjet dune attention soutenue.
Ils continuent grimper mesure que les entreprises sefforcent de rsoudre le problme
dintgration de nombreux cadres de conformit aux rgles et de concertation des efforts de
conformit au sein des processus oprationnels.
Afin de rpondre aux exigences, bien des entreprises ont ajout des programmes de
conformit en marge de leur systme de contrles internes lgard des activits. Elles ont
investi dans de nombreuses solutions de gestion intgre et de modules dextension dont
les possibilits dintgration taient souvent restreintes. Elles peuvent aussi avoir dcouvert
que la plupart de leurs contrles et de leurs tests taient manuels. Nombre dentre elles ont
constat en outre quelles ne graient pas les risques lis leurs valeurs, leurs besoins
et leurs processus de rmunration de manire uniforme. Ce manque dintgration
complexifiait lutilisation ainsi que la gestion de ces programmes isols et en augmentait le
cot de mise en uvre et de surveillance au moyen de tests priodiques. Ces programmes
devenaient des outils dcisionnels de moins en moins performants.
Les pressions conomiques poussent les entreprises se pencher sur ces questions, plus
particulirement en tirant parti des investissements en gestion des risques et en conformit
dans le but daccrotre le rendement de lentreprise. Le contrle des cots est lun des
objectifs viss par ces mesures, et cet objectif est abord dans les directives interprtatives
rcemment mises jour par la SEC ainsi que dans lAuditing Standard No. 5 du PCAOB.
La SEC et le PCAOB sont conscients des cots que la loi Sarbanes-Oxley entrane pour les
socits ouvertes, et ils cherchent tablir un juste quilibre entre les cots et les avantages
de la conformit en matire dinformation financire pour les socits ouvertes.
Forts de lexprience acquise en matire de processus de conformit depuis plusieurs
annes, les dirigeants peuvent tirer un avantage stratgique des mesures rglementaires.
Ces mesures reclent des possibilits de rduire les cots de mise en uvre et
daccrotre lefficacit des contrles. Elles visent entre autres concerter les multiples
efforts de conformit et les appliquer aux activits quotidiennes. Lutilisation accrue
doutils automatiss que lintgration des contrles ncessite amliorera la gestion de la
gouvernance, des risques et de la conformit, car elle ajoute des routines de surveillance des
contrles aux processus quotidiens.
VALUA TION
DE
LA
M A T U R I T
D E
L A
G G R C
Finances
Amlioration
Conformit
Activits
Intgration
Mise en uvre
Fragmentation
Lapproche
fait partie de la culture de
L
lentreprise,
et elle est intgre au
le
cadre
de travail de celle-ci. Elle est mise
ca
en
en uvre dans le cours normal des
activits
et elle fait partie intgrante de la
ac
culture
dentreprise. Ce stade ncessite
cu
un
un changement de paradigme selon lequel
les
le mesures de conformit ont une double
vocation
: celle de respecter la loi tout en
vo
amliorant
les processus oprationnels.
am
Lapproche
est axe sur les processus.
L
Elle
E sappuie sur une conception nouvelle
qui
qu consiste intgrer des activits et des
procdures
de conformit aux processus
pr
oprationnels
et technologiques en place
op
afin
afi que les dirigeants dunit
dexploitation
commencent partager les
d
responsabilits
en matire de conformit.
re
Lapproche
est axe sur les
L
programmes.
Elle est mise en uvre
pr
au
au moyen dun nouveau programme de
veille
ve global et indpendant qui vise
lembauche
des employs affects aux
le
tches
de coordination des activits de
t
conformit
et de communications
co
connexes.
co
L
Lapproche est axe sur les projets. Elle
est
e
s mise en uvre au moyen de mesures
ou excutes sans concertation
iisoles
s
de lentreprise. Elle ncessite
llchelle
des
d
e efforts de coordination et un travail
de la part de la fonction
cconsidrables
o
de gestion des projets.
ccentralise
e
Modle tir du Livre blanc intitul The Compliance Journey: Making Compliance Sustainable de KPMG LLP aux tats Unis (2005).
G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T
mesure quune entreprise franchit les tapes de maturation de son approche GGRC,
la conformit se trouve de plus en plus soutenue dans toute lentreprise, et elle devient
intgre la culture mme de celle-ci. Tel quil est illustr dans le tableau 2, la surveillance
et la mise essai deviennent des activits courantes soutenues par une orientation
stratgique et values au moyen dune veille constante des oprations la lumire de
rgles dentreprise prtablies. Ces activits ne sont plus menes par des personnes
affectes un projet de conformit, mais bien par des membres des fonctions oprationnelle
et tactique de lentreprise, auxquels il incombe la responsabilit du contrle. Des tableaux de
bord du rendement permettent la structure de gouvernance dune entreprise de bnficier
de la transparence ncessaire et soutiennent le processus dcisionnel.
int
op
rat
ion
ne
an
ill
ve
ur
Surveillance
stratgique
ts
urv
s oprationnels cou
ran
ts
ur
ls
co
an
ce
co
ns
te
tan
eilla
valuation tactique
au
xp
c
pro
re
au
essu
Fabrication
Ventes et distribution
ati
on
nel
ura
s co
nts Surveilla
nce
es
e
r
ro
c
Gestion
dentrepts
Achats
op
con
sta
te
in
us
Les efforts ncessaires pour mettre en uvre une solution de surveillance des contrles dans
le cadre de la stratgie de GGRC dune entreprise dpendent de la maturit du programme
de conformit de cette dernire, de la proportion des contrles manuels par rapport aux
contrles automatiss et de la mesure dans laquelle le programme sappuie sur lapport des
processus, des systmes et du personnel. En rgle gnrale, plus la maturit dun programme
de conformit et des contrles automatiss dune entreprise est grande et plus ceux-ci sont
intgrs, plus il est facile de mettre en uvre une solution de surveillance des contrles
sappuyant sur des outils.
La premire tape que toute entreprise doit aborder dans la mise en place dun outil de
surveillance des contrles lappui de son programme de GGRC est lvaluation de sa
maturit relative, en se posant les questions suivantes :
Lentreprise a-t-elle mis en place un programme de GRE lui permettant de faire face
lensemble des risques que lui font courir ses activits?
Lentreprise a-t-elle favoris la sensibilisation aux diffrents programmes de conformit
auxquels elle est assujettie, et a-t-elle fait des recoupements entre les points communs
ces programmes pour en dgager une vision globale?
Les efforts de conformit de lentreprise sont-ils dploys par une seule fonction ou
rpartis entre diverses fonctions au sein de lentreprise?
Les actions accomplies des fins de la conformit sinscrivent-elles aisment dans le
cours des activits quotidiennes ou sagit-il defforts supplmentaires qui ncessitent une
affectation supplmentaire de ressources et dheures?
Lentreprise a-t-elle recours des technologies pour faciliter ses activits de conformit et
de surveillance, quil sagisse dune plateforme commune la plupart de ses principales
fonctions ou encore dun outil de conformit ou dun gisement de documents?
Lentreprise a-t-elle pris en compte la maturit de lensemble de ses contrles en vue de
lautomatisation des contrles prventifs qui sont habituellement moins coteux et plus
efficaces que les contrles de dtection manuels?
G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T
SURV E I L L A N C E D E S C O NTR L E S
P O S S I B I L I T S E T D F I S
Les entreprises peuvent accrotre leur rendement au chapitre des finances, de la conformit
et des activits en automatisant les contrles qui soutiennent les mesures dsires, les
mcanismes qui valident le rendement et les systmes qui assurent la surveillance de la
conformit. Les entreprises qui ont effectu des investissements importants dans le but de
repenser leurs processus et de modifier leurs contrles devraient, de la mme faon, dlaisser
les contrles ponctuels (souvent mis en place sous la forme de contrles rajouts) pour
adopter des contrles en continu intgrs aux processus oprationnels.
Tout comme avec les progiciels de gestion intgre, sassurer que les processus ont t
correctement conus et que les principaux contrles sont automatiss constitue un lment
vital de la mise contribution dun outil de surveillance des contrles. Lorsquelle est bien
orchestre, la mise en uvre dun outil rajout de surveillance des contrles qui est intgr
une nouvelle application de gestion intgr, ou encore lutilisation dune fonction de
surveillance existante de lapplication, peut aider une entreprise rduire les cots de gestion
des risques et accrotre son rendement.
Les outils de surveillance des contrles permettent de simplifier la centralisation des
diffrentes exigences en matire de conformit auxquelles une entreprise est assujettie de
mme que de faciliter la coordination de la production des diffrents documents exigs et
des activits de mise essai. Grce cette centralisation, la conformit et la surveillance
deviennent une partie intgrante des activits, ce qui permet la fonction de lentreprise
responsable de la conformit de gagner en maturit. Parmi les avantages, mentionnons les
lments suivants :
tude d e c as
Une socit du secteur des produits
chimiques a mis en place un outil de
gestion des contrles servant tester ces
contrles laide dun mcanisme fond
sur les processus et les tableaux de bord.
Le principal dfi ntait pas la mise en
uvre sur le plan technique de loutil de
surveillance, mais bien la sensibilisation
cette amlioration au sein de lentreprise.
Ce problme de gestion du changement
est lune des raisons pour lesquelles
lentreprise a remplac le nom outil de
surveillance par outil dintelligence
conomique . Le tableau de bord
fournit la direction une vue densemble
de ltat des contrles des processus
oprationnels, ce qui accrot laccessibilit
et la fiabilit de linformation ncessaire au
processus de prise de dcisions.
G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T
A pproc h e de mise en
de surveillance des
uvre des
con t rles
ou t ils
Les mesures visant rduire les cots lis la conformit, contenir ces cots et accrotre
le rendement varient selon lentreprise et elles dpendent de la maturit des pratiques suivies
(voir le tableau 1). Lapproche de mise en uvre des outils appropris et de surveillance des
contrles pertinents ncessite lapplication dun processus rigoureux en matire de GGRC.
Lentreprise doit trs souvent traiter des lments complexes et prendre en compte divers
facteurs lors de llaboration dun programme efficace et soutenable.
Pour instaurer une surveillance des contrles fructueuse, lentreprise doit raliser les activits
cruciales suivantes :
valuer la maturit actuelle de son approche GGRC et dfinir son portefeuille de contrles
cls lgard des diffrents cadres de conformit auxquels lentreprise est assujettie;
choisir un outil qui permet de surveiller le rendement de ces contrles cls;
crer un tableau de bord visant fournir des rapports transparents sur le rendement ses
dcideurs et lintgrer ses processus oprationnels courants.
Ces activits sont traites plus en dtail ci-aprs.
Lentreprise doit dfinir la porte du projet, cest--dire quelle doit dterminer si la mise
en uvre sera effectue lchelle de lentreprise ou si elle sera graduelle. Si lapproche
graduelle est choisie, lentreprise doit dcider quels processus, units ou programmes seront
traits en premier. En rgle gnrale, plus la maturit de la GGRC est grande, plus la porte
peut tre tendue tant donn que la majeure partie du travail de base dintgration a dj
t effectu. Lorsque la fonction de GGRC de lentreprise na pas atteint un stade de maturit
avanc, il peut tre efficace de commencer avec les processus qui sont les plus normaliss et
qui sont soutenus par des plateformes technologiques communes ou avec des programmes
de conformit parmi les plus axs sur lintgration (comme ceux visant la conformit aux
exigences de la loi Sarbanes-Oxley).
B
BS7799
Ble II
FDA
S.-O. 40
4
404
Rapport de
conformit
S.-O. 404
Rapport de
conformit
BS7799
Rapport de
conformit
Rapport de
FDA
conformit
Ble II
Source : KPMG aux tats-Unis (2008)
10
G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T
Contr l e s m a n u e l s e t
contr l e s a u t o m a t i s s
Dans les faits, il y aura toujours des
contrles manuels cls. Toutefois,
puisque les cots dexcution et de
surveillance sont gnralement levs
et que le risque de dfaillance lors de
lexcution est plus important quavec les
contrles automatiss, les entreprises
devraient chercher tablir des objectifs
pour dterminer le ratio de contrles
automatiss par rapport aux contrles
manuels. Par exemple, un objectif
raisonnable pourrait consister tablir
un portefeuille de contrles dont 60
70 % de contrles sont automatiss et
prventifs.
Pour obtenir des renseignements plus dtaills sur les manires de constituer un portefeuille de contrles, se reporter
The Compliance Journey: Balancing Risk and Controls with Business Improvement de KPMG LLP aux tats-Unis (2004).
11
t a p e 2 C h o is i r e t m e t t r e e n u v r e u n outil de surveillance
d e s c o n t r l e s f a c i l i t a n t l a m o dification du portefeuille
d e c o n tr le s
Beaucoup dentreprises choisiront de mettre en uvre un outil de surveillance des contrles
pour un sous-ensemble spcifique des programmes de GGRC pour les diverses raisons
susmentionnes. Toutefois, il est prfrable que lentreprise ait une vue densemble
lorsquelle choisit une mthode de surveillance des contrles, quil sagisse de loutil dun tiers
ou dune fonctionnalit existante dun PGI dj en place. En laborant une vision matresse
des contrles intgrs, une fois la transformation acheve, les dirigeants seront plus en
moyen dvaluer mthodiquement les diffrentes options et de choisir un outil qui offrira les
meilleures possibilits long terme.
Tel quil est illustr dans le tableau 3, lun des principaux dterminants du processus de
slection dun outil est souvent le degr dimportance que lentreprise accorde lamlioration
de la surveillance des contrles, conjugu au niveau dintgration entre les diffrentes couches.
Alors que les outils stratgiques ou tactiques donnent souvent une vue et un tableau de bord
de lentreprise entire, ils pourraient ne pas aller assez en profondeur pour permettre une
surveillance suffisante des contrles cls individuels. Par consquent, ces outils ne seront
rellement efficaces long terme que si leur intgration est vritablement faite tous les niveaux.
GRE
stratgique
F rom I mp rove Plant
M E7 S tep i2.0
Sup po rtive
D MG P RJ i2. 0
O verd ra ch t I P
n aa r Pro je cts
Processus
tactique
M E7 S tep 2 D es ig n & p la n
D M G P RJ 2
En gineering
on twerp &
plan
D MG P RJ
P ro ject
u itvo erin g &
m onitor in g
D MG P RJ
CATS T ij d
sch rijven
D M G P RJ 3
Uitvoe ren
projec t
D MG P RJ
P ro ject
settlem en t
D M G P RJ 4
Analyseren
projec t
Surveillance et mise
essai oprationnelles
Achats
Gestion
dentrepts
Fabrication
Ventes et distribution
Progiciel
de gestion
intgre
12
G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T
13
1000
1100
1200
2000
2100
2200
2210
2220
2230
2500
3000
4000
5000
5100
5200
5210
Country A
Country B
Country C
Country D
Country E
Country F
Country G
Country H
Country I
Country J
Country K
Country L
Country M
Country N
Country O
Country P
59
458
99
34
212
22
21
17
177
34
93
21
29
17
429
49
47
39
10
359
13
73
50
19
47
15
13
24
40
224
34
33
29
14
189
16
46
34
105
33
16
17
16
14
13
16
26
14
85
13
Cu
sto
exc mers
w
eed
ed ith
cre
dit
lim
it
dit
cre
out
Cu
sto
li m mers
it
with
Sale
s
sch orde
rs a
ed
nd
blo uling
cke
a
d fo greem
r b
ents
illin
g
Billi
ng
d
ord
ers ue lis
t (S
de
yet
inv livere ales
oic
db
ed)
ut n
ot
Inv
oic
but es cre
not
a
pro ted in
ces
sed S D
in F
I
Park
e
in v d purc
o ic
has
es
e
12
149
38
120
48
293
348
232
111
348
Sales
Go
od
Inv s Rec
oic
eip
u s a e R e c t and
e
ge
in P ipt in
dic
O li
ato
ne
item r
s
Po
ssib
le
ven
dor duplic
a
inv
oic te
es
Procurement
Blo
ck
in v ed pu
o ic
e s rchas
e
Operating Company
23
544
66
32
43
17
277
38
121
1161
205
55
67
54
36
19
84
63
33
39
32
161
97
185
209
181
47
37
241
201
97
69
54
40
269
213
379
2459
547
411
459
331
507
555
499
427
363
619
539
149
675
563
14
G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T
C ollabora t eurs
Don F. Farineau
Peter Paul Brouwers
Keri L. Dawson
Diane K. Nardin
Maurice Op het Veld
Thomas Erwin
kpmg.ca
K P M G
s. r. l. /
S . E . N . C . R . L.
KPMG s.r.l./S.E.N.C.R.L., socit canadienne responsabilit limite constitue en vertu des lois
de lOntario, est le cabinet canadien affili KPMG International, rseau mondial de cabinets
offrant des services professionnels en vrification et en fiscalit, ainsi que des servicesconseils. Les cabinets membres de KPMG sont exploits dans 144 pays et emploient plus
de 137 000 professionnels.
KPMG au Canada compte plus de 4 800 employs, dont environ 450 fournissent des
services-conseils aux clients de tout le pays.
C o mmu n ique z
a v ec
n o us
Ouest du Canada
Jean-Franois Coulonval
514-840-2117
jcoulonval@kpmg.ca
Yvon Audette
416-777-8388
yaudette@kpmg.ca
Shaun Wilson
604-691-3188
shwilson@kpmg.ca
Francis Beaudoin
514-840-2247
fbeaudoin@kpmg.ca
Jeff Smith
416-777-8409
jmsmith@kpmg.ca
Jeff Thomas
403-691-8012
jwthomas@kpmg.ca
Ottawa
Sud-ouest de lOntario
Jim Alexander
613-212-5764
jalexander@kpmg.ca
David Evans
519-672-4880
djevans@kpmg.ca
Pour en savoir davantage sur les enjeux de gestion en TI, consultez notre site,
au www.kpmg.ca/fr/ms/oi/.
Linformation publie dans le prsent document est de nature gnrale. Elle ne vise pas tenir compte des
circonstances de quelque personne ou entit particulire. Bien que nous fassions tous les efforts ncessaires
pour assurer lexactitude de cette information et pour vous la communiquer rapidement, rien ne garantit quelle
sera exacte la date laquelle vous la recevrez ni quelle continuera dtre exacte dans lavenir. Vous ne devez
pas y donner suite moins davoir dabord obtenu un avis professionnel se fondant sur un examen approfondi des
faits et de leur contexte.
2008 KPMG s.r.l./S.E.N.C.R.L., socit canadienne responsabilit limite et cabinet membre du rseau KPMG de cabinets
indpendants affilis KPMG International, cooprative suisse. Tous droits rservs. KPMG et le logo de KPMG sont des marques
dposes de KPMG International. Les produits mentionns dans le prsent document peuvent tre des marques dposes de leurs
propritaires respectifs. 080512 F CR