Fermer

juillet 12, 2018

Alexa rencontre le comité de vérification du conseil


L'objectif déclaré de SAP est d'éliminer 50% des activités manuelles au cours des trois prochaines années et de fournir aux utilisateurs un UX mains libres.

En tant que professionnel de la GRC, je pense que c'est une idée fantastique. nécessite des changements fondamentaux dans le monde de la gouvernance, des risques et de la conformité (GRC). Une grande partie de l'information créée par les professionnels de la GRC est aujourd'hui subjective, non capturée sous forme numérique, ou largement dispersée et difficile à consolider et à intégrer.

Ne me croyez pas? Il suffit de demander à Amazon Alexa

Imaginez une réunion du comité de vérification et des risques du conseil aujourd'hui. Imaginez le chef de la vérification, des risques ou de la conformité (DPV) siégeant à la table du conseil d'administration pendant que le comité du conseil pose les questions suivantes. Dans mon cas, j'ai utilisé Amazon Alexa comme chef de la GRC. Mais aujourd'hui, je pense que la conversation serait quelque chose comme ça:

Membre du comité d'audit: Est-ce que tout est sous contrôle?

Alexa: "Désolé, je ne suis pas sûr. "

Comme tout CAE le sait, c'est la mauvaise réponse. Il n'y a qu'une seule réponse acceptable, à savoir «Oui, bien sûr». Un CAE prudent peut ajouter des qualifications «sauf pour». Mais la réponse ne peut pas être "je ne sais pas".

Membre du comité d'audit: Quelles sont nos 10 principales faiblesses de contrôle?

Alexa: "Le jury est toujours sur celui-là. "

Comme tous les professionnels du GRC le savent, même après avoir répondu« oui »à la question 1, il est important d'avoir une liste des 10 faiblesses de contrôle qui restent. Ils peuvent être triviaux, mais vous devez au moins les regarder.

Membre du comité d'audit: Quels sont nos 10 principaux risques?

Alexa: "Je vais m'y pencher. "

C'est une question favorite (si bête). Mais il doit être répondu. Les 10 principaux risques ont probablement déjà eu lieu. Une meilleure question serait, quels sont les 10 meilleurs risques? Mais aujourd'hui, la réponse serait la même

Membre du comité d'audit: Quelles sont les vérifications les plus importantes que nous devons effectuer?

Alexa: "Je ne sais pas, mais je Je me pencherai là-dessus pour vous. "

Je suis en attente de la réponse.

Levons brièvement la séance et demandons-nous: Que se passe-t-il? Sera-t-il possible de réduire l'effort manuel des professionnels de la GRC? Un UX mains-libres est-il possible à distance d'examiner les informations GRC?

Quel est le problème aujourd'hui?

La plupart des informations GRC sont basées sur des opinions subjectives supportées par des processus manuels et le jugement humain. L'efficacité du contrôle peut être une chose vague et subjective. (La plupart des institutions financières et de nombreuses autres entreprises qui ont chuté lors de la dernière crise financière ont signalé des contrôles «efficaces» sur l'information financière peu avant la faillite.)

Les faiblesses du contrôle peuvent être factuelles et découler d'audits ou d'autres sources. Mais la couverture n'est jamais continue et jamais complète à 100%. Au mieux, c'est une supposition rétrospective basée sur ce que nous pensons savoir aujourd'hui.

Les 10 principales listes de risques sont généralement des risques purement défensifs, avec des hypothèses quant à la fréquence et la probabilité. Une meilleure question serait, "Quels sont les 10 meilleurs risques-ceux qui sont entrepris pour réaliser un gain?" Les professionnels de la GRC n'ajouteront aucune valeur tant qu'ils ne commenceront pas à examiner les opportunités aussi bien que les pertes. Pour les audits les plus importants, l'histoire montre que la corrélation entre les ressources d'audit et les principaux risques commerciaux est très faible. Souvent, ce qui est considéré comme le plus important pour les auditeurs n'est pas important pour l'entreprise.

Qu'est-ce qui doit changer?

Très brièvement et très simplifié à l'extrême: Nous devons passer d'une approche manuelle basée sur les croyances à GRC pratique une approche basée sur les données qui peut être automatisée et prendre en charge les requêtes en temps réel . La plupart des GRC aujourd'hui est une tentative de deviner sagement et bien. L'automatisation des suppositions n'améliorera pas la qualité de l'estimation. Laissons les données nous dire l'état de la GRC.

Toutes les données de la GRC doivent être liées aux objectifs d'affaires du résultat final. Ceci n'est presque jamais fait aujourd'hui. Voici un exemple de la logique nécessaire:

  • Mesurer l'efficacité du contrôle interne en termes de performance commerciale par rapport à un objectif. Toutes les données sur les écarts de performance doivent être expliquées soit par des données sur les déficiences du contrôle, soit par des données sur les risques imprévus, soit par des données sur l'identification et l'évaluation des risques erronés. Notez que des contrôles extrêmement efficaces, quelle que soit la manière dont ils sont mesurés, peuvent également avoir des effets négatifs sur les objectifs de l'entreprise. Mesurez-le également
  • Les principaux problèmes sont les déficiences dans les performances de contrôle, expliquées par des données illustrant l'impact sur les objectifs métier critiques ou les processus métier critiques.
  • Les risques les plus importants sont ceux associés aux meilleures opportunités. Opportunity peut être mesurée.

Les audits les plus importants sont ceux qui se concentrent sur la mesure de la fiabilité des réponses aux questions ci-dessus.

L'univers de vérification sera la salle de conférence numérique. Jetez un coup d'œil à notre courte vidéo sur SAP Digital Boardroom for GRC

La GRC doit être numérisée

Tout ce qui est nécessaire existe aujourd'hui. Tout est question d'intégration, d'automatisation, de surveillance continue, de prédiction et de création de rapports.

J'aimerais savoir ce que vous pensez de la façon dont les pratiques GRC peuvent évoluer pour réduire l'activité manuelle et l'UX mains libres. Quelles technologies sont nécessaires? Que faites-vous aujourd'hui pour faire le changement?

Rejoignez-nous à la conférence IIA / ISACA GRC à Nashville

Aller à la Conférence IIA / ISACA GRC à Nashville du 13 au 15 août ? Cherchez-moi là-bas au stand 317 avec mes collègues de notre équipe GRC. Continuons la conversation

En savoir plus

Apprenez-en plus sur les problèmes de gouvernance, de risque, de conformité et de sécurité en lisant nos blogs GRC mardi

Cet article a été publié à l'origine sur le blog SAP Analytics et est republié avec sa permission

Suivez SAP Finance en ligne: @SAPFinance (Twitter) | – LinkedIn | Facebook | YouTube

<! – Commentaires ->




Source link