Politique de gouvernance, gestion des risques et mise en conformité (GRC) : quelles sont les préoccupations des entreprises et comment l’ECM (Enterprise Content Management), le BPM (Business Process Management) et le RM (Records Management) sont-ils exploités pour répondre aux défis de la GRC ? OpenText, spécialiste de la gestion de l’information d’entreprise (EIM) et des échanges d’informations B2B dans le Cloud, a mené l’enquête avec l’AIIM (l’association des professionnels de la gestion de l’image et de l’information) auprès de 1 200 entreprises.
D’une façon générale, ce qui motive les dirigeants n’est pas tant le risque d’une pénalité financière pour non-conformité mais davantage la peur de l’atteinte à la marque, à son image et à sa réputation qui est citée comme principal moteur à la mise en place d’une politique de GRC.
Lorsque l’on entre dans les détails de ce qui inquiète le plus les entreprises, les risques se précisent. Le risque de sécurité (56 %) et les risques de confidentialité de l’information (52 %) sont les deux risques qui préoccupent le plus les organisations sondées. Le nombre élevé de récents incidents de sécurité ayant affecté de grands groupes du commerce de détail rapportés dans les médias est sans doute à l’origine de ces considérations. Le risque pour la réputation (48 %) et le risque réglementaire (42 %) ferment sans surprise le top 4 des préoccupations des entreprises confrontées à des questions de GRC. Les risques financier et opérationnel viennent ensuite, pour 35 % des répondants.
Près de la moitié des entreprises sondées prévoit d’investir dans les 12 prochains mois. Une politique de GRC demande du temps et des ressources. 46 % des entreprises interrogées prévoient d’investir en logiciels et services de GRC au cours des douze prochains mois. Ce nombre inclut 15% de dépenses en licences et 12 % en services Cloud/SaaS. A noter également que les entreprises possèdent peu d’expertise interne dans le domaine du risque et de la conformité puisque 24% des sondés cherchent à se faire accompagner par des prestataires de services.
Les garants de la GRC au sein de l’entreprise
Le sondage révèle que, d’une entreprise à l’autre, la GRC peut relever de différentes fonctions. En majorité, la GRC relève de la responsabilité du service juridique ou d’un directeur de la conformité (CCO). Toutefois, 56 % des organisations sondées ont déclaré ne pas avoir de CCO, un chiffre qui pourrait potentiellement traduire l’ignorance du sondé quant à l’existence de cette fonction dans son entreprise.
Des thèmes récurrents ont émergé lors des échanges avec les répondants au sujet des défis liés à leurs processus de GRC. Les sondés ont notamment soulevé les points suivants :
- De nombreux et différents systèmes sont utilisés pour gérer les documents de conformité telles que les politiques et procédures, informations relatives aux fournisseurs et les documents d’audit interne.
- Les processus supportant la GRC sont manuels et peu efficaces, à commencer par ceux dédiés à la conduite d’audits internes ou d’approbation de politiques.
- L’utilisation de feuilles de calcul et d’autres outils développés en interne est frustrante mais est toujours très répandue, notamment pour la cartographie des contrôles internes, l’état des politiques et le suivi de conformité.
Ces éléments soulignent la nécessité d’un système de référence centralisé pour le stockage des informations liées à la conformité, ainsi que le désir de passer de pratiques manuelles et artisanales à des processus plus efficaces, automatisés et auditables.
La gestion des contenus au service de la GRC
S’il peut paraître évident que les logiciels d’EIM (Enterprise Information Management) peuvent aider les organisations à aller plus loin dans leurs objectifs de gouvernance, de risque et de conformité, de nombreuses entreprises doivent encore finaliser leurs implémentations d’ECM (Enterprise Content Management) et de BPM (Business Process Management).
Les résultats de l’étude montrent que les contenus sont au cœur des questions de gouvernance, de risque et de conformité. En effet, les cinq fonctionnalités les plus importantes en matière d’ECM pour la GRC sont la gestion des enregistrements, la gestion des documents, celle des courriers électroniques, les traces d’audit, et les workflows/BPM. Toutefois, de nombreuses organisations éprouvent encore des difficultés à adopter un système généralisé et à véritablement développer une capacité de gestion des archives. Ou alors, elles l’utilisent de manière partielle, voire échouent à automatiser la gestion de leurs processus métiers et leurs workflows. D’autres sont bien conscientes de la valeur ajoutée de ces technologies d’EIM, mais s’avèrent incapables de capitaliser dessus.
Intégrer de l’EIM dans le cycle de vie des politiques – comme la gestion des enregistrements à des fins de classification et de rétention, les workflows pour automatiser les processus de développement de politiques, et le BPM pour la présentation de tableaux de bord et la production de rapports – apporte les contrôles et la rigueur nécessaires pour gérer ces documents réglementés. Mais seuls 9 % des répondants sont confiants sur le fait que leur politique est bien à jour. Dès lors, il est rassurant d’observer que 67 % des sondés considèrent que les systèmes d’EIM sont essentiels à la GRC et qu’ils ont besoin d’être optimisés pour cela, et que 30 % des sondés estiment que l’EIM joue un rôle important pour la GRC. Aussi, 85 % de répondants considèrent que les systèmes d’ECM/RM fournissent les capacités clés qui les aideraient à répondre à leurs impératifs de conformité