FR
keyboard_arrow_down
Choisir une langue:
FrenchEnglish

Digitalisation du contrôle interne

Comment bien choisir sa solution de Governance, risk & compliance (GRC) ?

Alors que de nouveaux acteurs sont entrés sur le marché pour aider les entreprises à digitaliser leur contrôle interne, le moment est propice à une réflexion sur les solutions les plus adaptées aux besoins, à commencer par les logiciels de Governance, Risk & Compliance (GRC).

Voici quelques idées pour aborder la réflexion.

 

Des solutions nécessaires pour supporter le déploiement du contrôle interne

La grande majorité des entreprises françaises (80% des sociétés du CAC 40, hors secteur financier, et du CAC Next 20) ont mis en place un référentiel commun de contrôle interne, appuyé par des campagnes d’autoévaluation. C’est ce que met en évidence notre analyse des documents annuels déposés par les entreprises.

La plupart des grandes entreprises en disposent d’une solution GRC. Mais les solutions en place ne sont pas toujours vues comme la meilleure vitrine de la digitalisation du contrôle interne de l’entreprise : elles ne sont pas forcément intégrées avec les autres applications de gestion des risques, l’accès pour les opérationnels n’est pas toujours facilité, fautes de licences suffisantes ou d’une expérience utilisateur satisfaisante...

 

Le paysage applicatif évolue avec de nouveaux acteurs pour répondre au besoin

Le paysage des outils et surtout des besoins d’outillage a beaucoup évolué.

Au-delà des solutions historiques, développées principalement pour SOX et la LSF, d’autres acteurs se sont positionnés sur des fonctionnalités de contrôle interne. Par exemple, Diligent qui a repris Galvanize, Workiva présent historiquement sur les documents annuels, et Blackline qui a complété son offre, et ServiceNow qui arrive dans le paysage, ou OneTrust !

D’autres acteurs plus récents et plus petits se positionnent, notamment en France, avec des solutions plus ciblées.

Ce nouvel éventail de solutions invite à engager la réflexion sur l'outil à choisir pour le contrôle interne, en impliquant d’autres fonctions de l’entreprise, qui ont des enjeux de digitalisation connexes : audit interne, gestion des risques et conformité, cyber, RSE, délégué à la protection des données (DPO), ...

 

Faut-il pour autant opter pour une solution unique répondant aux attentes de toutes ces fonctions ?

Les outils que nous avons explorés offrent rarement une solution parfaite pour répondre aux besoins de toutes les directions.

Les benchmarks évoluent rapidement, d’autant que les positionnements s'appuient en partie sur des processus déclaratifs, pas toujours représentatifs de la réalité de l’adéquation à des besoins précis.

Notre conviction est qu’il faudra le plus souvent construire un paysage applicatif composé de plusieurs solutions, l’essentiel étant d’assurer l’interopérabilité de ces solutions et de faciliter l’obtention d’une vision globale.

Pour les fonctions contrôle interne, une approche intégrée avec les fonctions risque et audit interne sera souvent plus pertinente - notre analyse des documents annuels 2021 montre que 45 % des entreprises non financières du SBF 120 ont une fonction contrôle interne regroupée avec une autre Direction, souvent risque et/ou audit interne. Ce qui renforce le besoin d’avoir une approche commune des référentiels de risque ou du suivi des plans d’action.

 

5 règles d'or pour choisir une solution de GRC

Lorsqu’une entreprise se lance dans un projet d’acquisition ou de changement d’outil de GRC, elle peut suivre ces 5 règles d’or pour guider ses choix :

  1. Développer une vision de moyen et long termes des cas d’usage candidats, en ayant une compréhension claire des modèles de tarification ;
  2. Simplifier l’expérience utilisateur final : ’interface principal de la fonction avec les collaborateurs, l’outil doit intégrer des fonctionnalités facilitantes, par exemple la capacité à attacher plusieurs “problèmes” à un même plan d’action ;
  3. Penser à la facilité de mise en place et de paramétrage : les développements spécifiques ne sont souvent plus possibles, le paramétrage est dans beaucoup de cas à la main des fonctions contrôle interne ;
  4. Privilégier l’agilité de déploiement et l’intégration progressive des cas d’usage, en identifiant dès le départ les interdépendances ;
  5. S’assurer de capacités de connexion agiles à la donnée, pour pouvoir intégrer une vision dynamique des risques et des contrôles.
 

Lors du développement de preuves de concept (POC) correspondant aux principaux cas d’usage candidats, il faudra avoir une focalisation importante sur l’expérience utilisateurs. Par exemple, en faisant découvrir les expériences offertes par quelques solutions aux utilisateurs finaux avant la rédaction des spécifications.

Enfin, même si le coût reste un élément important, les modèles de tarification - notamment en cloud - doivent être mis au regard des économies de temps et gains d’efficacité attendus pour l’ensemble des acteurs du contrôle interne, au-delà de la fonction elle-même.

Pour aller plus loin