GRC intelligente pour l'entreprise intelligente

Nous avons tous entendu parler de la transformation numérique et de l’entreprise intelligente . Mais quelle est exactement l'entreprise intelligente et quel impact aura-t-elle, le cas échéant, sur la gouvernance, les risques et la conformité (GRC)? Je suggérerai que l'impact pourrait être profond.

Qu'est-ce qu'une entreprise intelligente?

Une entreprise intelligente est une entreprise qui exploite un aperçu fondé sur les données pour piloter des décisions et actions automatisées . ].

Qu'est-ce que cela signifie exactement?

Chaque jour, des millions de points de données sont générés à partir d'appareils intelligents, de transactions quotidiennes, d'enregistrements blockchain, du sentiment de la clientèle et du retour des utilisateurs.

Imaginez maintenant. en utilisant l'apprentissage par la machine et l'intelligence artificielle pour détecter des tendances invisibles dans ces données afin de prédire si ces tendances conduisent à des comportements spécifiques ou à des résultats fonctionnels, et pour appliquer le meilleur plan d'action lorsque ces configurations

Qu'est-ce que cela a à voir avec la GRC?

Mes collègues et moi-même essayons réellement de prévoir l'avenir de la GRC dans le contexte de l'entreprise intelligente. Il est difficile de prédire l'avenir en dépit de l'évolution rapide de la technologie.

Donc, au lieu d'essayer de prédire l'avenir, appliquons les attributs et les capacités de l'entreprise intelligente au passé.

La seule force motrice de la GRC Sarbanes-Oxley (SOX) et exigences similaires concernant l’efficacité des contrôles internes font l’objet d’une surveillance au cours de la dernière décennie.

Le contrôle interne est réputé efficace, s’il n’ya pas de déficience majeure ou de faiblesse importante. Ainsi, des «contrôles» sont en place pour prévenir ces événements ou conditions. Les auditeurs documentent, testent et rendent compte de ces contrôles.

Qu'est-ce que cela a à voir avec l'entreprise intelligente?

Observons une “faiblesse matérielle” récente mais typique, signalée comme l'exige la législation SOX.

«La faiblesse concerne les contrôles généraux de la technologie de l'information dans les domaines de l'accès des utilisateurs et de la gestion des modifications de programme sur certains systèmes de technologie de l'information prenant en charge les processus de reporting financier de l'entreprise. Les problèmes d'accès sont liés à l'étendue des privilèges accordés aux utilisateurs autorisés à accéder aux systèmes de l'entreprise. "

En d'autres termes, les auditeurs de l'entreprise ont documenté et examiné les contrôles en place, évalué leur efficacité, mis en évidence des modèles ou des lacunes, et prédit résultats défavorables possibles.

N’est-il pas possible pour une technologie intelligente de discerner où l’accès des utilisateurs et la gestion des modifications de programme sont inappropriés? La technologie prédictive n’est-elle pas en mesure d’extrapoler l’impact? L'apprentissage automatique ne peut-il pas suggérer des actions correctives?

Trouver une faiblesse matérielle me semble un cas d'utilisation d'un système de GRC intelligent – à l'exception du fait qu'un système de GRC intelligent «efficace» suggérerait, voire mettrait en œuvre, une action corrective bien avant la défaillance. est devenu matériel.

Et alors?

L’avantage évident est l’économie de coûts et peut-être la rapidité. Des tâches manuelles coûteuses, peu fiables et prenant beaucoup de temps peuvent être remplacées par des outils intelligents.

Mais allons plus loin. Si les organisations peuvent détecter et prévenir les défaillances du contrôle interne à l'aide d'outils intelligents, pourquoi les auditeurs font-ils rapport sur «l'efficacité du contrôle interne» et certifient-ils que cela se produit?

Si des contrôles d'accès insuffisants peuvent entraîner une faiblesse importante, le défaut de utiliser des technologies intelligentes pour surveiller l'accès est encore plus sérieux?

Les auditeurs ne devraient-ils pas se contenter de faire rapport et de certifier l'efficacité du «GRC intelligent»? Ce ne sont plus les contrôles qui importent. C'est la capacité de détecter ou de prédire intelligemment les carences.

La première ligne de défense est maintenant la capacité de la technologie GRC intelligente à détecter les commandes absentes ou défectueuses.

Relever le niveau des exigences en matière de GRC

Intelligent GRC utilise le outils de l'entreprise intelligente pour obtenir un aperçu fondé sur les données de l'état des risques et pour piloter des mesures correctives et des actions automatisées .

Pensez-y de cette façon. Dans les véhicules d’aujourd’hui, il n’est pas nécessaire d’ouvrir périodiquement le capot et de vérifier manuellement le niveau d’huile. Un capteur détectera le bas niveau d'huile et vous alertera. Le «contrôle» est maintenant le capteur, pas l’inspection manuelle – ce que beaucoup de voitures ne permettent même pas. Il est important de centrer l’attention sur la conception, la fiabilité d’intégration et l’efficacité des divers capteurs du véhicule.

En quoi cela affectera-t-il les rapports SOX, par exemple? Que se passe-t-il si une entreprise ne met pas en œuvre les technologies intelligentes nécessaires pour garantir la fiabilité des rapports financiers? L’impossibilité d’adopter des outils intelligents ne devrait-elle pas être considérée comme une lacune importante ou une faiblesse matérielle?

Pour revenir à l’analogie automobile, il ne suffit pas de vérifier manuellement l’huile. Il est nécessaire de déterminer que l’automobile est équipée de capteurs intelligents pour assurer la sécurité et la fiabilité de ses opérations. Les contrôles sont importants. L'intelligence a plus d'importance.

Dans l'entreprise intelligente, les professionnels de la GRC doivent se concentrer sur l'utilisation efficace de la technologie intelligente pour gérer les risques. Les technologies intelligentes peuvent surveiller les tendances, prévoir les résultats, évaluer les risques en fonction de problèmes et d'incidents, suggérer ou mettre en œuvre des actions correctives, générer des alertes, etc.

Les normes actuelles d'audit, de gestion des risques et de conformité ne reconnaissent pas les technologies intelligentes.

Cela a de nombreuses implications. En voici trois.

• Les normes GRC doivent être repensées et réécrites. L'intelligence est le contrôle.
• Les professionnels de la GRC doivent enfin comprendre, adopter et utiliser des technologies intelligentes pour servir leurs clients.
• Les pratiques de la GRC intelligente doivent s'aligner sur les performances de l'entreprise .

Pour en savoir plus sur ce sujet, veuillez read Conseil du directeur financier: Sortir du contrôle.

Suivez SAP Finance en ligne: @SAPFinance (Twitter) | LinkedIn | Facebook | YouTube

Pourquoi l'IA, l'apprentissage automatique, la compréhension prédictive et les assistants numériques sont-ils devenus les nouveaux outils indispensables des directeurs financiers avant-gardistes pour améliorer leurs performances commerciales? Regardez la diffusion Web du 6 novembre.

<! – Comments ->