De plus en plus d’entreprise se voient dans l’obligation de réaliser des controles internes pour protéger les actifs et prévenir les risques. Mais ces controles doivent être réfléchis 

18/08/2022

COMMENT AMELIORER LE PROCESSUS DE CONTROLE GRC ?

5 minutes de lecture

Au sein de chaque entreprise, il existe de nombreux contrôles et audits qui doivent être effectués à des dates précises. Le but est d’évaluer, de vérifier et de contrôler des éléments précis de la société pour s’assurer d’être en accord avec la réglementation en vigueur

Nous retrouvons différents types de contrôle parmi lesquels le contrôle de la comptabilité ou encore l’audit énergétique, mis en place en 2005. 

Dans cet article, nous allons nous pencher sur le cas du contrôle interne plus général qui va tourner autour de la gouvernance, des risques et de la conformité.

Qu’est-ce qu’un contrôle interne GRC ?

Un contrôle GRC est un processus impliquant l’ensemble d’une entreprise et dont le but sera de préserver l’ensemble des ressources de l’entreprise pour atteindre ses objectifs. Ainsi, l’objectif du contrôle sera multiple : 

  • Protéger les actifs contre les fraudes ou les négligences 
  • Minimiser les erreurs 
  • Remplir les objectifs conformément à la stratégie de la société

On distinguera le contrôle interne à l’entreprise qui se fera par une personne ou un groupe de personnes interne à l’entreprise et le contrôle externe qui évalue le fonctionnement du contrôle. Il s’agit d’organismes spécialisés ou de personne (un commissaire aux comptes par exemple) dans la vérification des objectifs, procédures et des audits réalisés.

En France, les entreprises doivent se conformer à plusieurs règlementations et autorités :

  • Des lois nationales comme la loi Sapin 2 ou la loi de sécurité financière
  • Des organismes nationaux à l’image de l’AMF (Autorité des Marchés Financiers) ou de la DGCCRF (Direction générale de la Concurrence, de la Consommation et de la Répression des fraudes)
  • Des lois internationales qui régissent notamment les embargos

Les étapes de mise en place d’un contrôle interne

La première étape consiste en l’évaluation des risques. Pour ce faire, il est possible d’utiliser une cartographie des risques (ou heatmap) ou de réaliser une classification des différents risques. Prenons l’exemple avec un contrôle de comptabilité : 

  • La réalité : c’est le risque qu’une opération soit comptabilisée alors qu’elle n’est pas réelle 
  • L’exhaustivité : toutes les opérations doivent être comptabilisées 
  • La mesure : les opérations doivent être associées au bon montant et cohérentes entres elles 
  • La classification : les opérations doivent être enregistrées au bon endroit et dans le bon exercice

Une fois que ces risques sont identifiés et classifiés, il va falloir commencer à réfléchir aux procédures permettant de les réduire.  

Enfin, il s’agira de régulièrement mettre à jour l’ensemble des procédures de contrôle en fonction de l’évolution de l’entreprise.

COSO, le référentiel le plus utilisé aujourd’hui

En 1992, un groupe d’étude a mis en avant celui qui aujourd’hui encore fait partie des plus utilisés : COSO (Comittee Of Sponsoring Organization). Celui-ci met en avant un processus commun de management des risques. 

Représenté sous forme d’un cube, il permet aux différentes entités de l’entreprise (filiale, division…) de suivre les mêmes objectifs de communication, stratégique, d’opération et financier dans le respect des principes de la GRC

Le COSO met en avant 5 composants : 

  • Environnement favorable : il s’agit ici de tout ce qui concerne la structure de l’entreprise. Cet environnement est la base sur laquelle repose le contrôle interne. 
  • Evaluation des risques : chaque risque doit être détecté, analysé et classé. Ce processus doit être dynamique et interactif car les risques influencent les objectifs  
  • Activité de contrôle : elle fait référence aux procédures et politiques mises en place pour gérer les risques. Elle peut être automatisée ou non selon le COSO 
  • Maitrise de l’information et de la communication : toutes les informations de l’entreprise doivent être centralisées et surtout traduites pour être compréhensibles par tout le monde  
  • Monitoring : il est important de suivre le contrôle pour pouvoir l’améliorer par la suite. 

Les principes généraux à respecter

Egalité : l’ensemble des activités doivent être orientées vers l’intérêt général de l’entreprise et ne doit pas accorder de privilège 

La séparation des taches (SoD) : toutes les taches ne sont pas compatibles entre elles et certaines combinaisons peuvent entraîner des risques importants pour votre entreprise. Il est donc important de bien définir et de répartir les différentes activités. 

La communication : il est essentiel que tout le monde adhère et participe au contrôle interne. Il ne doit pas être considéré comme quelque chose de négatif, au contraire. On parle ici de culture commune du contrôle interne. 

Se baser sur ce qui existe : pour améliorer le contrôle interne, il n’est pas nécessaire de tout révolutionner et de repartir de zéro. Souvent, un simple développement et une petite réorganisation peuvent tout changer. Il s’agira donc de faire le point sur ce qui se fait dans l’entreprise. 

Améliorer le processus de contrôle grâce à l’approche GRC

Une approche GRC est une stratégie de contrôle basée sur trois domaines : 

  • La gouvernance : Il s’agit de l’ensemble des processus et des décisions qui vont permettre à l’entreprise de gagner en efficacité. Cela passe par une communication transparente entre les entités décisionnaires et les instances d’administration 
  • Les risques : en entreprise, le risque est un évènement imprévu qui peut intervenir durant le déroulement normal de la société et qui va avoir une incidence et provoquer des dommages (économiques, moraux, matériels…) 
  • La conformité : de nombreuses lois et réglementations régissent le monde professionnel et il est important de respecter ces dernières afin de ne pas s’exposer à des sanctions. Il s’agira donc de mettre en place des procédures préventive pour éviter que la loi ne soit enfreinte.  

Aujourd’hui, si de nombreuses entreprises ont adopté une stratégie GRC, cette dernière n’est souvent pas assez ouverte et organisée en silo

Pourtant il est facile de mettre en place une organisation simple qui permettra d’améliorer le contrôle interne. La première étape est l’adoption d’un référentiel. 

Le logiciel GRC, la solution idéale pour optimiser votre contrôle interne

Les outils de contrôle interne ont évolué plus lentement que les nouvelles technologies mais aujourd’hui, de nombreux logiciels efficaces et fiables existent pour vous permettre de gérer les risques et la conformité de votre entreprise.  

Les premières solutions GRC remontent aux années 80 et s’apparentaient à un fichier Excel avec un très grand nombre de feuilles de calcul.  

Dans les années 90, de nouvelles versions ont été mises en avant sans qu’elles ne rencontrent le succès espéré par leur complexité importante. Il faudra attendre les années 2000 pour voir apparaître les premiers des logiciels de GRC simple d’utilisation.

SAP va être parmi les premiers éditeurs de logiciels à proposer une offre solide de solutions GRC. On distinguera notamment SAP GRC Access Control dont la dernière version (12.0) date de 2018 pour la version on-premise, et SAP IAG pour la version cloud SaaS.

Il y a de très nombreux avantages à utiliser une solution telle que SAP GRC Access Control : 

Un logiciel central : toutes les informations sont regroupées au sein d’un seul et même système. Elles sont donc facilement accessibles mais manipulables par un nombre réduit de personnes ce qui augmente la sécurité des données 

Une gestion des risques en temps réel : en quelques clics, vous aurez la possibilité de générer des rapports personnalisés qui prend en compte tous les risques de votre entreprise et ceci en temps réel pour une meilleure anticipation et réaction. Ainsi, il vous offre une meilleure visibilité et analyse des risques présents dans l’environnement SAP. 

Des audits externes réussis : l’ensemble des rapports et tableaux de bord fournit par les logiciels GRC sont auditables. Ces derniers peuvent être automatisés ce qui réduit fortement le risque d’erreur. 

Les derniers articles publiés :

LA GOUVERNANCE D’ENTREPRISE

Gérer une entreprise, c’est bien, le faire de manière éthique, c’est encore mieux. La gouvernance d’entreprise est un pôle important

La gestion des risques requiert un grand travail dans leur identification et leur évaluation. Toutes les entreprises sont confrontés à des risques

Gérer une entreprise, c’est bien, le faire de manière éthique, c’est encore mieux. La gouvernance d’entreprise est un pôle important de la

De plus en plus d’entreprise se voient dans l’obligation de réaliser des controles internes pour protéger les actifs et prévenir les risques.

L’ERP et le CRM permettent le gestion et l’échange des donnée des entreprise mais sont sensiblement différents par le fait que le

Retour haut de page