Gouvernance, gestion des

risques et conformit
Accrotre la valeur grce la surveillance des contrles
SERV I C E S - C O N S E I L S

D f ini t ion

D E

L A

GGRC

La gouvernance, gestion des risques et conformit (la GGRC ) ne

dsigne pas uniquement une solution informatique; il sagit plutt
dune discipline stratgique. La GGRC est un processus en continu
qui fait partie intgrante de la culture dune organisation. Elle rgit
la faon dont la direction dtecte les risques et sen protge. De
plus, elle surveille et apprcie lefficacit des contrles internes
et tient compte des conseils clairs de manire amliorer les
activits. La GGRC intgre les activits de gouvernance, dvaluation
et dattnuation des risques, de conformit et de surveillance des
fins de synergie et duniformit. Une stratgie de GGRC peut crer
de la valeur, car elle permet de rduire les cots, de dtecter les
inefficacits oprationnelles, de rationaliser les contrles ainsi que de
dceler et de grer les risques. Elle produit ses meilleurs rsultats
lorsque plusieurs fonctions sont runies dans une structure commune
promouvant une vision unique de la gouvernance, de la gestion des
risques et de la conformit au sein de lentreprise. Parmi les fonctions
cls, mentionnons celles du secrtaire gnral, des services de la
conformit, de la gestion des risques, de la vrification interne,
de lexpertise et du contentieux ainsi que des groupes sectoriels.
Une stratgie de GGRC peut aider une organisation prvenir les
surprises tout en protgeant la valeur pour les actionnaires.

T AB LE S

DES

MA TIRES

Introduction

Contexte actuel

valuation de la maturit de la GGRC

Surveillance des contrles : possibilits et dfis

Approche de mise en uvre des outils de surveillance

des contrles

Conclusion

14

A ccr o t re la v aleur gr ce la sur v eilla n ce des c o n t r les

I N TRO DU CTION

es organisations doivent composer avec les cots levs quentrane la conformit

bon nombre de rgles. Les dirigeants doivent donc concevoir de nouvelles faons de
rduire ces cots, de renforcer la capacit dcisionnelle et daccrotre le rendement de
lentreprise.
Nombre de ces dirigeants sont arrivs la conclusion quune discipline stricte en matire
de gouvernance, de gestion des risques et de conformit permettait dintgrer des
programmes, des processus et des systmes autrement inefficaces ou indpendants
dans des structures de contrle interne du risque efficaces et efficientes lchelle de
lentreprise. Dans le but daccrotre leur valeur, les organisations mettent en place des outils
de surveillance des contrles qui peuvent les aider harmoniser les projets stratgiques avec
la gestion des risques. Ces outils peuvent en outre leur servir de gisements documentaires
et soutenir la surveillance et la production constantes de rapports de la GGRC. Les avantages
qui en sont tirs varient suivant lorganisation, selon le degr dautomatisation du contrle
ainsi que de la maturit du programme de conformit. Ces avantages sont aussi fonction
des besoins de lorganisation en matire de transparence lchelle de lentreprise, de son
personnel, de processus, de sa technologie, de risques et de lintgration des contrles.
Ils dpendent galement de la mesure dans laquelle lorganisation peut rduire les cots
dexcution et de surveillance au moyen de technologies habilitantes.
De nombreuses organisations qui ont valu leur capacit actuelle de GGRC ont tir les
conclusions suivantes :
 Limplantation des contrles du progiciel de gestion intgre ( PGI ) de lentreprise
ne permet souvent pas den tirer tous les avantages possibles, ce qui nuit la rduction
des cots ou la cration de valeur.
Les contrles cls existants, qui sont surtout des contrles manuels coteux et
inefficaces, se dgradent souvent au fil du temps.
Les dfaillances de contrle passent inaperues lorsque les fonctions de surveillance
sont inexistantes ou inadquates en raison dun problme de gouvernance ou de gestion
des risques.
Aprs avoir valu les besoins de leur entreprise et les solutions qui soffrent celle-ci, de
nombreux dirigeants tudient la faon dintgrer des fonctions de surveillance de contrles
leurs processus financiers, oprationnels et rglementaires dans le but damliorer la prise de
dcision et le rendement tout en rduisant les cots. Il sagit l des principaux objectifs dune
saine discipline en matire de GGRC. Ces efforts exigent des entreprises quelles entreprennent
les actions suivantes :
dterminer les contrles appropris, selon leurs connaissances des principaux risques de
lorganisation, et, si possible, les automatiser pour effectuer une surveillance en temps rel;
intgrer la surveillance des contrles aux processus oprationnels et dcisionnels courants;
incorporer la surveillance des contrles la GGRC, la gestion du risque dentreprise
( GRE ) et aux programmes de cration de valeur de lorganisation;
runir les contrles de la conformit et ceux des activits dans un cadre unique pour
parvenir une vision du risque au sein de lentreprise;
mettre en place des outils de surveillance des contrles permettant de crer un
programme de GGRC soutenable et de perfectionner les processus oprationnels et
dcisionnels.
Le prsent livre blanc examine les avantages potentiels de la surveillance des contrles
comme moyen damliorer la prise de dcision, de rduire le cot des contrles et de leur
surveillance et de crer plus de valeur pour lentreprise. Il prcise les avantages pouvant
dcouler des changements apports la faon de surveiller les contrles. De plus, il analyse
les facteurs prendre en considration dans la mise en uvre des fonctions de surveillance
essentielles la discipline de toute organisation en matire de GGRC.

C om pr endr e la G G RC
Le Sarbanes-Oxley Act of 2002 ( loi
Sarbanes-Oxley ) a eu de nombreux
effets non recherchs, notamment
lapparition du concept de GGRC. Conu
pour promouvoir [de faon intentionnelle]
lamlioration de la gouvernance, de la
gestion des risques et de la conformit,
ce concept a t rapidement rcupr
par des fournisseurs de nombreux
domaines, quil sagisse du secteur de
la gestion de documents ou de celui du
PGI. LA GGRC ne se rsume toutefois
pas lapplication de logiciels, bien que
ceux-ci soient importants; cest avant
tout une discipline de gestion. Elle est
une faon de rpondre aux demandes
souvent concurrentes des organismes
de rglementation, des actionnaires, des
clients et des forces du march sans
ngliger les exigences rglementaires de
plus en plus complexes.
tant donn que les informations, les
rles et les responsabilits, voire parfois
les budgets, se rapportant la GGRC
chevauchent plusieurs units fonctionnelles, le chef des finances devient souvent le candidat logique pour promouvoir
lapproche intgre. En dpit de son
exprience de gestionnaire des risques
et du caractre rglementaire de son rle
qui en facilite lexcution, le chef des
finances prouve parfois de la difficult
mettre en place une approche unifie
la GGRC.
Traduction libre dun extrait de lditorial
Web An Integrated Approach to Risk
and Compliance du 25 mars 2008 dans
le site CFO.com.

G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T

CONT EX T E

A C T UEL

Avant ladoption de la loi Sarbanes-Oxley, les processus dcisionnels des entreprises taient
avant tout axs sur la rduction des cots et laccroissement des rsultats. Les entreprises
accordaient peu dimportance la gestion des risques. La prolifration des rgles au cours
des dernires annes a amen de nombreuses entreprises se proccuper davantage de la
conformit et de lintgration des contrles.
Les cots considrables lis la conformit aux rgles font lobjet dune attention soutenue.
Ils continuent grimper mesure que les entreprises sefforcent de rsoudre le problme
dintgration de nombreux cadres de conformit aux rgles et de concertation des efforts de
conformit au sein des processus oprationnels.
Afin de rpondre aux exigences, bien des entreprises ont ajout des programmes de
conformit en marge de leur systme de contrles internes lgard des activits. Elles ont
investi dans de nombreuses solutions de gestion intgre et de modules dextension dont
les possibilits dintgration taient souvent restreintes. Elles peuvent aussi avoir dcouvert
que la plupart de leurs contrles et de leurs tests taient manuels. Nombre dentre elles ont
constat en outre quelles ne graient pas les risques lis leurs valeurs, leurs besoins
et leurs processus de rmunration de manire uniforme. Ce manque dintgration
complexifiait lutilisation ainsi que la gestion de ces programmes isols et en augmentait le
cot de mise en uvre et de surveillance au moyen de tests priodiques. Ces programmes
devenaient des outils dcisionnels de moins en moins performants.
Les pressions conomiques poussent les entreprises se pencher sur ces questions, plus
particulirement en tirant parti des investissements en gestion des risques et en conformit
dans le but daccrotre le rendement de lentreprise. Le contrle des cots est lun des
objectifs viss par ces mesures, et cet objectif est abord dans les directives interprtatives
rcemment mises jour par la SEC ainsi que dans lAuditing Standard No. 5 du PCAOB.
La SEC et le PCAOB sont conscients des cots que la loi Sarbanes-Oxley entrane pour les
socits ouvertes, et ils cherchent tablir un juste quilibre entre les cots et les avantages
de la conformit en matire dinformation financire pour les socits ouvertes.
Forts de lexprience acquise en matire de processus de conformit depuis plusieurs
annes, les dirigeants peuvent tirer un avantage stratgique des mesures rglementaires.
Ces mesures reclent des possibilits de rduire les cots de mise en uvre et
daccrotre lefficacit des contrles. Elles visent entre autres concerter les multiples
efforts de conformit et les appliquer aux activits quotidiennes. Lutilisation accrue
doutils automatiss que lintgration des contrles ncessite amliorera la gestion de la
gouvernance, des risques et de la conformit, car elle ajoute des routines de surveillance des
contrles aux processus quotidiens.

A ccr o t re la v aleur gr ce la sur v eilla n ce des c o n t r les

VALUA TION

DE

LA

M A T U R I T

D E

L A

G G R C

La premire tape de lamlioration de lapproche GGRC dune entreprise consiste en

valuer la maturit des programmes de conformit existants. Les programmes voluent
en gnral suivant un modle de maturation qui comprend les quatre stades suivants: la
fragmentation, la mise en uvre, lintgration et lamlioration. Pour chacun de ces stades,
dcrits dans le tableau 11 ci-aprs, lentreprise dsigne un leader qui elle confie notamment
la surveillance des risques et des contrles.

Tableau 1 Maturation de lapproche GGRC

Finances

Amlioration

Conformit
Activits

Intgration

Mise en uvre

Fragmentation

Lapproche
fait partie de la culture de
L
lentreprise,
et elle est intgre au
le
cadre
de travail de celle-ci. Elle est mise
ca
en
en uvre dans le cours normal des
activits
et elle fait partie intgrante de la
ac
culture
dentreprise. Ce stade ncessite
cu
un
un changement de paradigme selon lequel
les
le mesures de conformit ont une double
vocation
: celle de respecter la loi tout en
vo
amliorant
les processus oprationnels.
am

Lapproche
est axe sur les processus.
L
Elle
E sappuie sur une conception nouvelle
qui
qu consiste intgrer des activits et des
procdures
de conformit aux processus
pr
oprationnels
et technologiques en place
op
afin
afi que les dirigeants dunit
dexploitation
commencent partager les
d
responsabilits
en matire de conformit.
re

Lapproche
est axe sur les
L
programmes.
Elle est mise en uvre
pr
au
au moyen dun nouveau programme de
veille
ve global et indpendant qui vise
lembauche
des employs affects aux
le
tches
de coordination des activits de
t
conformit
et de communications
co
connexes.
co

L
Lapproche est axe sur les projets. Elle
est
e
s mise en uvre au moyen de mesures
ou excutes sans concertation
iisoles
s
de lentreprise. Elle ncessite
llchelle

des
d
e efforts de coordination et un travail
de la part de la fonction
cconsidrables
o
de gestion des projets.
ccentralise
e

Source : KPMG LLP aux tats-Unis (2005)

Modle tir du Livre blanc intitul The Compliance Journey: Making Compliance Sustainable de KPMG LLP aux tats Unis (2005).

G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T

mesure quune entreprise franchit les tapes de maturation de son approche GGRC,
la conformit se trouve de plus en plus soutenue dans toute lentreprise, et elle devient
intgre la culture mme de celle-ci. Tel quil est illustr dans le tableau 2, la surveillance
et la mise essai deviennent des activits courantes soutenues par une orientation
stratgique et values au moyen dune veille constante des oprations la lumire de
rgles dentreprise prtablies. Ces activits ne sont plus menes par des personnes
affectes un projet de conformit, mais bien par des membres des fonctions oprationnelle
et tactique de lentreprise, auxquels il incombe la responsabilit du contrle. Des tableaux de
bord du rendement permettent la structure de gouvernance dune entreprise de bnficier
de la transparence ncessaire et soutiennent le processus dcisionnel.

Tableau 2 Surveillance constante intgre aux processus oprationnels

courants

int

gre aux processus

op

rat

ion

ne

an

ill

ve

ur

Surveillance
stratgique

ts
urv

s oprationnels cou
ran
ts

ur

ls
co

an

ce

co

ns

te
tan

eilla

valuation tactique

nce constante intg

au

xp

c
pro

re
au

essu

Test du processus oprationnel

Fabrication

Ventes et distribution

ati

on

nel

ura
s co

nts Surveilla

nce

es

e
r

ro
c

Gestion
dentrepts

Achats

op

con

sta

te

in

us

Source : KPMG LLP

aux tats-Unis (2008)
Rapports en anglais seulement

A ccr o t re la v aleur gr ce la sur v eilla n ce des c o n t r les

Les efforts ncessaires pour mettre en uvre une solution de surveillance des contrles dans
le cadre de la stratgie de GGRC dune entreprise dpendent de la maturit du programme
de conformit de cette dernire, de la proportion des contrles manuels par rapport aux
contrles automatiss et de la mesure dans laquelle le programme sappuie sur lapport des
processus, des systmes et du personnel. En rgle gnrale, plus la maturit dun programme
de conformit et des contrles automatiss dune entreprise est grande et plus ceux-ci sont
intgrs, plus il est facile de mettre en uvre une solution de surveillance des contrles
sappuyant sur des outils.
La premire tape que toute entreprise doit aborder dans la mise en place dun outil de
surveillance des contrles lappui de son programme de GGRC est lvaluation de sa
maturit relative, en se posant les questions suivantes :
Lentreprise a-t-elle mis en place un programme de GRE lui permettant de faire face
lensemble des risques que lui font courir ses activits?
Lentreprise a-t-elle favoris la sensibilisation aux diffrents programmes de conformit
auxquels elle est assujettie, et a-t-elle fait des recoupements entre les points communs
ces programmes pour en dgager une vision globale?
Les efforts de conformit de lentreprise sont-ils dploys par une seule fonction ou
rpartis entre diverses fonctions au sein de lentreprise?
Les actions accomplies des fins de la conformit sinscrivent-elles aisment dans le
cours des activits quotidiennes ou sagit-il defforts supplmentaires qui ncessitent une
affectation supplmentaire de ressources et dheures?
Lentreprise a-t-elle recours des technologies pour faciliter ses activits de conformit et
de surveillance, quil sagisse dune plateforme commune la plupart de ses principales
fonctions ou encore dun outil de conformit ou dun gisement de documents?
Lentreprise a-t-elle pris en compte la maturit de lensemble de ses contrles en vue de
lautomatisation des contrles prventifs qui sont habituellement moins coteux et plus
efficaces que les contrles de dtection manuels?

G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T

SURV E I L L A N C E D E S C O NTR L E S
P O S S I B I L I T S E T D F I S

Les entreprises peuvent accrotre leur rendement au chapitre des finances, de la conformit
et des activits en automatisant les contrles qui soutiennent les mesures dsires, les
mcanismes qui valident le rendement et les systmes qui assurent la surveillance de la
conformit. Les entreprises qui ont effectu des investissements importants dans le but de
repenser leurs processus et de modifier leurs contrles devraient, de la mme faon, dlaisser
les contrles ponctuels (souvent mis en place sous la forme de contrles rajouts) pour
adopter des contrles en continu intgrs aux processus oprationnels.
Tout comme avec les progiciels de gestion intgre, sassurer que les processus ont t
correctement conus et que les principaux contrles sont automatiss constitue un lment
vital de la mise contribution dun outil de surveillance des contrles. Lorsquelle est bien
orchestre, la mise en uvre dun outil rajout de surveillance des contrles qui est intgr
une nouvelle application de gestion intgr, ou encore lutilisation dune fonction de
surveillance existante de lapplication, peut aider une entreprise rduire les cots de gestion
des risques et accrotre son rendement.
Les outils de surveillance des contrles permettent de simplifier la centralisation des
diffrentes exigences en matire de conformit auxquelles une entreprise est assujettie de
mme que de faciliter la coordination de la production des diffrents documents exigs et
des activits de mise essai. Grce cette centralisation, la conformit et la surveillance
deviennent une partie intgrante des activits, ce qui permet la fonction de lentreprise
responsable de la conformit de gagner en maturit. Parmi les avantages, mentionnons les
lments suivants :

tude d e c as
Une socit du secteur des produits
chimiques a mis en place un outil de
gestion des contrles servant tester ces
contrles laide dun mcanisme fond
sur les processus et les tableaux de bord.
Le principal dfi ntait pas la mise en
uvre sur le plan technique de loutil de
surveillance, mais bien la sensibilisation
cette amlioration au sein de lentreprise.
Ce problme de gestion du changement
est lune des raisons pour lesquelles
lentreprise a remplac le nom outil de
surveillance par outil dintelligence
conomique . Le tableau de bord
fournit la direction une vue densemble
de ltat des contrles des processus
oprationnels, ce qui accrot laccessibilit
et la fiabilit de linformation ncessaire au
processus de prise de dcisions.

renforcement de la capacit de prise dcisionnelle en fournissant des informations

commerciales pertinentes;
rduction des cots de gestion du risque dentreprise et possibilit de crer de la valeur
pour les actionnaires;
veille continuelle et en temps rel et possibilit de suivi plus rapide des exceptions;
surveillance des contrles intgre aux processus courants, limites dfinies pour les tests
automatiss et alertes fondes sur les exceptions;
capacit accrue de production de rapports dtape et de tableaux de bord des fins
dcisionnelles.

A ccr o t re la v aleur gr ce la sur v eilla n ce des c o n t r les

La surveillance des contrles permet de bnficier davantages considrables lorsquelle

est conjugue adquatement une stricte discipline en matire de GGRC, mais lentreprise
qui met en place de tels outils fait face toute une gamme de dfis autres que la simple
implmentation de logiciels. La gestion du changement elle seule peut reprsenter un
obstacle si les dirigeants ne sassurent par de rsoudre ces questions ds le dpart.
Par exemple, les outils de surveillance des contrles sont conus de manire surveiller
le rendement plutt que de seulement le soumettre des essais. Leur utilisation permet
dexaminer le rendement et les processus de lentreprise avec une transparence accrue, et
lentreprise doit ajuster leur culture en fonction de celle-ci. Pour que la mise en uvre de ces
outils soit fructueuse, lentreprise doit prendre des mesures visant sassurer la participation
de ses dirigeants, cest--dire, des personnes qui comprennent les risques dentreprise et
les processus de surveillance en place, ainsi que dfinir comment les rles et responsabilits
doivent tre ajusts de manire utiliser les outils de faon optimale.
De plus, il est ncessaire de donner de la formation afin dtablir clairement que le processus
de veille na pas pour objet de dsigner des responsables en cas de mauvais rendement,
mais bien de concevoir un processus soutenable de surveillance des risques rels lintention
des dirigeants de lentreprise, afin que ces derniers puissent apporter des ajustements aux
activits en question dans les divisions ou les units dexploitation concernes.

G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T

A pproc h e de mise en
de surveillance des

uvre des
con t rles

ou t ils

Les mesures visant rduire les cots lis la conformit, contenir ces cots et accrotre
le rendement varient selon lentreprise et elles dpendent de la maturit des pratiques suivies
(voir le tableau 1). Lapproche de mise en uvre des outils appropris et de surveillance des
contrles pertinents ncessite lapplication dun processus rigoureux en matire de GGRC.
Lentreprise doit trs souvent traiter des lments complexes et prendre en compte divers
facteurs lors de llaboration dun programme efficace et soutenable.
Pour instaurer une surveillance des contrles fructueuse, lentreprise doit raliser les activits
cruciales suivantes :
valuer la maturit actuelle de son approche GGRC et dfinir son portefeuille de contrles
cls lgard des diffrents cadres de conformit auxquels lentreprise est assujettie;
choisir un outil qui permet de surveiller le rendement de ces contrles cls;
crer un tableau de bord visant fournir des rapports transparents sur le rendement ses
dcideurs et lintgrer ses processus oprationnels courants.
Ces activits sont traites plus en dtail ci-aprs.

ta p e 1 valuer la m atur it du pr ogr am m e de confor mi t et l e

portefeuille de contrles
Pour tirer avantage de la mise en uvre de contrles de surveillance soutenable lentreprise
doit dabord valuer la maturit de sa stratgie globale de GGRC ainsi que celle de ses
programmes de conformit tactiques. Pour ce faire, il est ncessaire dvaluer la nature et
lenvergure des contrles cls, tant manuels quautomatiss, ainsi que des processus courants
de surveillance de la conformit.
Bon nombre de questions cls surviennent pendant lvaluation de la maturit. Les
entreprises doivent examiner dans quelle mesure elles atteignent leurs objectifs cls en
matire de gouvernance, notamment les suivants :
 intgrer non seulement le rendement des principaux contrles, mais aussi la mise essai
de ces contrles dans les activits courantes;
harmoniser les activits de gestion des risques et de la conformit avec lorientation
stratgique de lentreprise et intgrer ces mesures la mise en uvre des processus
oprationnels;
rpondre aux demandes des dcideurs quant laccroissement de la transparence
lgard du rendement des activits;
inciter les responsables des cadres de conformit fournir davantage defforts en matire
dintgration;
grer la conformit dans loptique daccrotre le rendement et de crer une valeur
stratgique.

A ccr o t re la v aleur gr ce la sur v eilla n ce des c o n t r les

Lentreprise doit dfinir la porte du projet, cest--dire quelle doit dterminer si la mise
en uvre sera effectue lchelle de lentreprise ou si elle sera graduelle. Si lapproche
graduelle est choisie, lentreprise doit dcider quels processus, units ou programmes seront
traits en premier. En rgle gnrale, plus la maturit de la GGRC est grande, plus la porte
peut tre tendue tant donn que la majeure partie du travail de base dintgration a dj
t effectu. Lorsque la fonction de GGRC de lentreprise na pas atteint un stade de maturit
avanc, il peut tre efficace de commencer avec les processus qui sont les plus normaliss et
qui sont soutenus par des plateformes technologiques communes ou avec des programmes
de conformit parmi les plus axs sur lintgration (comme ceux visant la conformit aux
exigences de la loi Sarbanes-Oxley).

Perspective unique du risque

Les entreprises doivent composer avec bon nombre dexigences en matire de conformit, notamment celles de larticle 404 de la loi Sarbanes-Oxley ( S.-O. 404 ), de la
norme ISO BS7799, des exigences de la Food and Drug Administration des tats-Unis (la
FDA ) et de laccord de Ble II. Afin de parvenir une perspective unique du risque,
lentreprise doit concevoir un cadre sur mesure qui centralise toutes les exigences de
conformit, ce qui a pour effet de rduire considrablement les activits de mise essai
et de surveillance. Suivant la porte de la mise en uvre, un outil de surveillance des
contrles peut aider lentreprise faire face la complexit propre la conformit dans
ces diffrents cadres. Plus particulirement, un tel outil peut permettre lentreprise de
mener bien la centralisation et la normalisation ainsi que dacqurir une perspective
unique du risque. Ces activits peuvent toutes contribuer crer de la valeur.

Surveillance des contrles

Vision intgre des contrles

B
BS7799
Ble II
FDA
S.-O. 40
4
404

Objectif de loutil : offrir une solution unique

Rapport de
conformit
S.-O. 404

Rapport de
conformit
BS7799

Rapport de
conformit
Rapport de
FDA
conformit
Ble II
Source : KPMG aux tats-Unis (2008)

10

G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T

Contr l e s m a n u e l s e t
contr l e s a u t o m a t i s s
Dans les faits, il y aura toujours des
contrles manuels cls. Toutefois,
puisque les cots dexcution et de
surveillance sont gnralement levs
et que le risque de dfaillance lors de
lexcution est plus important quavec les
contrles automatiss, les entreprises
devraient chercher tablir des objectifs
pour dterminer le ratio de contrles
automatiss par rapport aux contrles
manuels. Par exemple, un objectif
raisonnable pourrait consister tablir
un portefeuille de contrles dont 60
70 % de contrles sont automatiss et
prventifs.

Lentreprise doit ensuite dcider de ltendue des contrles surveiller.2 La direction

devrait entamer le processus en passant en revue ses mesures actuelles de gestion des
risques dentreprise, ses contrles automatiss et leur efficacit ainsi que ses processus de
mesure de la conformit, en particulier sil sagit dun processus manuel ou dun processus
automatis et si lexcution de tests et la production de rapports en font partie. Elle devrait
galement valuer son portefeuille de contrles cls et la manire dont il saligne sur
les facteurs oprationnels stratgiques, les projets de GRE et les autres programmes de
conformit.
Lvaluation des dimensions du contrle est tout aussi importante. Pour que les contrles
manuels soient efficaces, il faut quils soient excuts correctement et de manire
constante. Ils comportent donc un plus grand risque dinefficacit et engendrent des cots
dexcution et de mise essai de leur conformit plus levs que les contrles automatiss.
En revanche, ces derniers peuvent aider rduire les cots, amliorer la gestion des
risques et fournir des donnes commerciales plus prvisibles. Les contrles automatiss,
tels que les activits de contrle dquilibrage, les listes de donnes prdfinies, les
contrles de vraisemblance des donnes et les tests de logique, sont souvent intgrs des
programmes visant prvenir ou reprer les oprations non autorises.
Une fois que lentreprise a dfini les limites de son projet, les donnes suffisantes sont
gnralement recueillies pour appuyer la prochaine tape. Celle-ci consiste choisir une
solution de surveillance des contrles approprie.

Pour obtenir des renseignements plus dtaills sur les manires de constituer un portefeuille de contrles, se reporter
The Compliance Journey: Balancing Risk and Controls with Business Improvement de KPMG LLP aux tats-Unis (2004).

A ccr o t re la v aleur gr ce la sur v eilla n ce des c o n t r les

11

t a p e 2 C h o is i r e t m e t t r e e n u v r e u n outil de surveillance

d e s c o n t r l e s f a c i l i t a n t l a m o dification du portefeuille

d e c o n tr le s
Beaucoup dentreprises choisiront de mettre en uvre un outil de surveillance des contrles
pour un sous-ensemble spcifique des programmes de GGRC pour les diverses raisons
susmentionnes. Toutefois, il est prfrable que lentreprise ait une vue densemble
lorsquelle choisit une mthode de surveillance des contrles, quil sagisse de loutil dun tiers
ou dune fonctionnalit existante dun PGI dj en place. En laborant une vision matresse
des contrles intgrs, une fois la transformation acheve, les dirigeants seront plus en
moyen dvaluer mthodiquement les diffrentes options et de choisir un outil qui offrira les
meilleures possibilits long terme.
Tel quil est illustr dans le tableau 3, lun des principaux dterminants du processus de
slection dun outil est souvent le degr dimportance que lentreprise accorde lamlioration
de la surveillance des contrles, conjugu au niveau dintgration entre les diffrentes couches.
Alors que les outils stratgiques ou tactiques donnent souvent une vue et un tableau de bord
de lentreprise entire, ils pourraient ne pas aller assez en profondeur pour permettre une
surveillance suffisante des contrles cls individuels. Par consquent, ces outils ne seront
rellement efficaces long terme que si leur intgration est vritablement faite tous les niveaux.

Tableau 3 Utilisation des outils de surveillance des contrles

GRE
stratgique
F rom I mp rove Plant

M E7 S tep i2.0

Sup po rtive
D MG P RJ i2. 0
O verd ra ch t I P
n aa r Pro je cts

Processus
tactique

M E7 S tep 2 D es ig n & p la n
D M G P RJ 2
En gineering
on twerp &
plan

M E7 S tep 3 Constru ction

D MG P RJ
P ro ject
u itvo erin g &
m onitor in g

D MG P RJ
CATS T ij d
sch rijven

D M G P RJ 3
Uitvoe ren
projec t
D MG P RJ
P ro ject
settlem en t

M E7 S tep 4 Analyze & E va lu ate

D M G P RJ 4
Analyseren
projec t

Surveillance et mise
essai oprationnelles

Achats

Gestion
dentrepts

Fabrication

Ventes et distribution

Outils de gestion des risques oprationnels (enqute)

Progiciel
de gestion
intgre

Source : KPMG LLP aux tats-Unis (2008)

12

G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T

Au niveau oprationnel (enqute), un certain nombre doutils sont disponibles pour la

surveillance des contrles cls automatiss. Pour faire le bon choix, il faudra prendre en
compte les besoins oprationnels de lentreprise et les avantages dont cette dernire
souhaite profiter, y compris des considrations pratiques telles que la facilit dintgration de
loutil propos avec les systmes et les outils existants.
En rgle gnrale, les outils de surveillance des contrles peuvent tre inclus dans lune
des deux catgories suivantes : 1) outils intgrs dans des applications PGI, comme celles
de GGRC de SAP et de GGRC dOracle; et 2) outils spcialiss complmentaires tels que
Approva, CSI, ACL, IDEA et BWise. Presque chaque application offre au moins lune des
deux fonctions de surveillance fondamentales : autorisations dutilisateur/sparation des
tches et surveillance de processus/contrles doprations. Lors du processus de slection
dun outil, lentreprise doit prendre en considration les fonctions quelle souhaite intgrer au
cadre de travail informatis.
Voici quelques exemples dlments additionnels prendre en considration lors du choix de
loutil :
possibilit dintgrer loutil divers cadres de conformit et dans des environnements de
TI existants;
fonctionnalit permettant dintgrer les tests des contrles par lautomatisation des flux de
travail;
capacit automatiser lenqute pour analyser les oprations et remdier aux anomalies;
possibilit de gnrer des rapports de gestion faciles utiliser et approfondis.
Pour quun outil de surveillance des contrles soit mis en uvre correctement, lentreprise
devra automatiser tout contrle cl qui est susceptible dtre surveill afin que loutil
puisse excuter lvaluation de la conformit de manire continue. Pour quelle puisse
profiter pleinement de la possibilit quoffre un outil dintgrer la surveillance des contrles,
lentreprise devrait incorporer ses oprations quotidiennes, une fois loutil mis en uvre,
une srie de rapports sous forme de tableaux de bord pour les fonctions de niveau tactique,
oprationnel et stratgique, le tout pouvant servir dinstrument stratgique de surveillance de
la conformit pour fournir lintelligence conomique ncessaire aux dcideurs.

A ccr o t re la v aleur gr ce la sur v eilla n ce des c o n t r les

13

tape 3 Mise en uvre des tableaux de bord de surveillance

des contrles pour permettre lamlioration des affaires
La surveillance du rendement est lun des aspects les plus importants, car elle amne les
dirigeants porter leur attention sur linformation cruciale. Un bon rapport peut tirer de simples
activits de conformit des informations importantes sur les risques dentreprise. En dautres
mots, lintgration du tableau de bord de la conformit lentreprise offrira de nouvelles
perspectives lquipe de gestion pour surveiller lexcution des contrles lgard des risques
dentreprise, notamment ceux lis aux exigences rglementaires de conformit.
Le rapport peut permettre de dceler les lacunes du contrle interne de lentreprise,
habituellement en temps rel, afin que les dirigeants, qui comprennent les risques inhrents,
puissent prendre les mesures ncessaires pour rsoudre les problmes.
Quelques mesures cls peuvent aider assurer lefficacit des rapports ou des tableaux de
bord. Ds le dbut dune activit de surveillance des contrles, les entreprises devraient faire
ce qui suit :
dsigner les destinataires des rapports,
tablir les besoins dinformation de ces
derniers et adapter linformation ou les
tableaux de bord en fonction des besoins;

Tableau 4 Exemples de tableaux de bord

discuter du contenu et de la frquence de

production des rapports;
tablir les perspectives des diffrents
programmes de conformit pour produire
les rapports selon les besoins;
dterminer les besoins des divers rviseurs,
tant en interne quen externe, qui sont
susceptibles de lire les rsultats puis de
demander un supplment dinformations;
amliorer la rception du rapport ou du
tableau de bord en intgrant des outils de
surveillance des contrles la GGRC ou
des outils dcisionnels (comme Hyperion,
Business Objects ou Cognos).

Source : KPMG LLP aux tats-Unis (2008)

Rapports en anglais seulement

1000
1100
1200
2000
2100
2200
2210
2220
2230
2500
3000
4000
5000
5100
5200
5210

Country A
Country B
Country C
Country D
Country E
Country F
Country G
Country H
Country I
Country J
Country K
Country L
Country M
Country N
Country O
Country P

59
458
99
34

212
22
21
17
177
34
93
21

29
17
429
49
47
39
10
359
13
73
50
19
47
15
13

24
40
224
34
33
29
14
189
16
46
34
105
33
16
17
16

14
13

16
26
14
85
13

Cu

sto
exc mers
w
eed
ed ith
cre
dit
lim
it

dit
cre
out
Cu
sto
li m mers
it
with

Sale
s
sch orde
rs a
ed
nd
blo uling
cke
a
d fo greem
r b
ents
illin
g
Billi
ng
d
ord
ers ue lis
t (S
de
yet
inv livere ales
oic
db
ed)
ut n
ot

Inv
oic
but es cre
not
a
pro ted in
ces
sed S D
in F
I

Park
e
in v d purc
o ic
has
es
e

12
149
38
120
48
293
348
232
111
348

Sales

Go
od
Inv s Rec
oic
eip
u s a e R e c t and
e
ge
in P ipt in
dic
O li
ato
ne
item r
s
Po
ssib
le
ven
dor duplic
a
inv
oic te
es

Procurement
Blo
ck
in v ed pu
o ic
e s rchas
e

Operating Company

23
544
66
32
43

17
277
38

121
1161
205

55
67
54
36
19
84
63

33
39
32

161
97
185
209
181

47
37

241
201

97
69

54
40

269
213

379
2459
547
411
459
331
507
555
499
427
363
619
539
149
675
563

Source : KPMG LLP aux tats-Unis (2008)

Rapports en anglais seulement

14

G O U V E R N A N C E , G E S T I ON D E S R I S Q U E S E T C ON F O R M I T

CONC LUS ION

Lutilisation de logiciels de veille est cratrice de valeur. Elle permet la production de
tableaux de bord plus exacts dans de meilleurs dlais, et favorise ainsi la prise de dcisions
plus claires en temps opportun. Elle promeut en outre une perspective unique du risque
au sein de lentreprise. Enfin, elle contribue rduire les cots des tests des contrles et de
la conformit en gnral.
On peut certes attnuer les inconvnients de la conformit et en tirer une valeur ajoute
grce la dmarche rigoureuse de la GGRC. Toutefois, les efforts quil faut dployer sont
considrables. Le degr de ralisation des attentes de lentreprise dpendra nanmoins de la
maturit du programme de conformit de cette dernire, de lenvergure de son portefeuille
de contrles automatiss par rapport celui de ses contrles manuels ainsi que de son
cadre de gestion intgre.

C ollabora t eurs
Don F. Farineau
Peter Paul Brouwers
Keri L. Dawson
Diane K. Nardin
Maurice Op het Veld
Thomas Erwin

kpmg.ca

K P M G

s. r. l. /

S . E . N . C . R . L.

KPMG s.r.l./S.E.N.C.R.L., socit canadienne responsabilit limite constitue en vertu des lois
de lOntario, est le cabinet canadien affili KPMG International, rseau mondial de cabinets
offrant des services professionnels en vrification et en fiscalit, ainsi que des servicesconseils. Les cabinets membres de KPMG sont exploits dans 144 pays et emploient plus
de 137 000 professionnels.
KPMG au Canada compte plus de 4 800 employs, dont environ 450 fournissent des
services-conseils aux clients de tout le pays.

C o mmu n ique z

a v ec

n o us

Pour obtenir un complment dinformation, veuillez communiquer avec votre conseiller

KPMG ou avec lun de nos professionnels des Services-conseils en TI :
Montral

Rgion du Grand Toronto

Ouest du Canada

Jean-Franois Coulonval
514-840-2117
jcoulonval@kpmg.ca

Yvon Audette
416-777-8388
yaudette@kpmg.ca

Shaun Wilson
604-691-3188
shwilson@kpmg.ca

Francis Beaudoin
514-840-2247
fbeaudoin@kpmg.ca

Jeff Smith
416-777-8409
jmsmith@kpmg.ca

Jeff Thomas
403-691-8012
jwthomas@kpmg.ca

Ottawa

Sud-ouest de lOntario

Jim Alexander
613-212-5764
jalexander@kpmg.ca

David Evans
519-672-4880
djevans@kpmg.ca


Pour en savoir davantage sur les enjeux de gestion en TI, consultez notre site,
au www.kpmg.ca/fr/ms/oi/.

Linformation publie dans le prsent document est de nature gnrale. Elle ne vise pas tenir compte des
circonstances de quelque personne ou entit particulire. Bien que nous fassions tous les efforts ncessaires
pour assurer lexactitude de cette information et pour vous la communiquer rapidement, rien ne garantit quelle
sera exacte la date laquelle vous la recevrez ni quelle continuera dtre exacte dans lavenir. Vous ne devez
pas y donner suite moins davoir dabord obtenu un avis professionnel se fondant sur un examen approfondi des
faits et de leur contexte.
2008 KPMG s.r.l./S.E.N.C.R.L., socit canadienne responsabilit limite et cabinet membre du rseau KPMG de cabinets
indpendants affilis KPMG International, cooprative suisse. Tous droits rservs. KPMG et le logo de KPMG sont des marques
dposes de KPMG International. Les produits mentionns dans le prsent document peuvent tre des marques dposes de leurs
propritaires respectifs. 080512 F CR