LA GOUVERNANCE, LES RISQUES ET LA 
CONFORMITÉ (GRC)
CONFÉRENCIERS : DENIS JOLIN ET VINCENT GROLEAU
DATE : 31 MARS 2015
htt...
OBJECTIF ET AGENDA
Objectif
 Présenter, à travers des concepts connus et des méthodologies, 
notre expérience de la GRC
A...
GRC : DÉFINITION GLOBALE
3
Gouvernance : englobe la culture, les politiques, les lois, les 
réglementations et institution...
GOUVERNANCE D’ENTREPRISE
Définitions
Gouvernance mise en place pour diriger et gérer les affaires d'une 
entreprise de faç...
GOUVERNANCE D’ENTREPRISE
Principaux acteurs :
• Actionnaires
• Conseil d’administration
• Employés
• Clients et fournisseu...
6
GOUVERNANCE TI
La gouvernance des TI est un processus de gestion, fondé sur l’utilisation 
de bonnes pratiques, qui perm...
7
GOUVERNANCE TI
A. La gouvernance TI relève de la 
responsabilité du comité de direction et 
du « management exécutif », ...
GOUVERNANCE TI
Domaines :
• Planification stratégique
• Gestion des risques
• Gestion des ressources
• Gestion du portefeu...
GESTION DES RISQUES : DIFFÉRENTS TYPES
Dépendamment de l’industrie dans laquelle elles 
oeuvrent, il existe différents typ...
RISQUE TI : UN DES PLUS IMPORTANTS
10
RISQUE TI : UN DES PLUS IMPORTANTS
Le risque technologique est considéré comme un sous‐
ensemble du risque opérationnel.
C...
RISQUE TI : UN DES PLUS IMPORTANTS
L’Univers des risques technologiques est un pilier du volet de 
gouvernance des risques...
13
CONFORMITÉ
Se conformer aux exigences internes
 Politiques
 Directives
 Normes
Se conformer aux exigences externes
...
14
DIFFÉRENTES RÉGLEMENTATIONS TOUCHANT LES TI
• Loi Sarbanes‐Oxley (SOX)
• Lois sur la protection des renseignements pers...
CONFORMITÉ TI (DESJARDINS)
15
CONFORMITÉ TI (DESJARDINS)
 Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer sous un 
dénominateur ...
CONFORMITÉ TI (DESJARDINS)
1500 contrôles 286 contrôles Desjardins!
Avant Après
L’approche traditionnelle qui traite les «...
MODÈLE DES 3 LIGNES DE DÉFENSE SELON 
L’IIA
18 Pour fin de discussion
Source : IIA Position Paper:, THE THREE LINES OF DEF...
MODÈLE DES 3 LIGNES DE DÉFENSE
«First line of defense »
§ «Owner»of the risk management process
§
§Loss data tracking
BU P...
1ÈRE LIGNE : OPÉRATIONS
Première ligne de défense
 Composition
 Gestionnaires opérationnels 
qui endossent et gèrent les...
2ÈME LIGNE : «SURVEILLANCE»
 Composition
 Fonction (et/ou comité) de gestion 
des risques qui facilite et surveille la 
...
 Composition
 Fonction d'audit interne 
dotée de ressources et de 
compétences adéquates qui 
doit appliquer les normes ...
AUTRES PARTIES PRENANTES
23
Autres parties prenantes
 Composition
 Auditeurs externes, 
régulateurs et autres organes 
e...
MODÈLE DES 3 LIGNES DE DÉFENSE SELON 
L’ISACA
24 Pour fin de discussion
Source : ISACA publication : Effective IT Governan...
AUTRES MODÈLES 
25
L’analogie du fromage 
suisse laisse croire qu’il 
faut des défaillances dans 
toutes les lignes de 
dé...
APPLICATION PRATIQUE : DESJARDINS
• Permet de rencontrer les besoins des Agréments de 
Bâle
• Requis par l’Autorité des ma...
Le modèle des 3 lignes de défense
L’approche proposée favorise une gestion de la performance des activités du Mouvement De...
 Définition des rôles génériques requis pour instaurer une gestion par processus, aligner les rôles et
responsabilités en...
CONCLUSION
Pour bien réussir dans l’implantation de la GRC, il faut :
1. L’appui inconditionnel de la haute direction
2. U...
Merci de votre attention
Denis Jolin : denis.jolin@desjardins.com
Vincent Groleau : vincent.groleau@ca.ey.com
30
Prochain SlideShare
Chargement dans…5
×

Isaca quebec présentation grc-31 mars 2015_site_2

1 315 vues

Publié le

LA GOUVERNANCE, LES RISQUES ET LA
CONFORMITÉ (GRC)
CONFÉRENCIERS : DENIS JOLIN ET VINCENT GROLEAU
DATE : 31 MARS 2015
ISACA-Québec

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 315
Sur SlideShare
0
Issues des intégrations
0
Intégrations
13
Actions
Partages
0
Téléchargements
56
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Isaca quebec présentation grc-31 mars 2015_site_2

  1. 1. LA GOUVERNANCE, LES RISQUES ET LA  CONFORMITÉ (GRC) CONFÉRENCIERS : DENIS JOLIN ET VINCENT GROLEAU DATE : 31 MARS 2015 http://www.isaca‐quebec.ca
  2. 2. OBJECTIF ET AGENDA Objectif  Présenter, à travers des concepts connus et des méthodologies,  notre expérience de la GRC Agenda  GRC : définition et applications  Le modèle des 3 lignes de défense  Approche appliquée : Desjardins 2
  3. 3. GRC : DÉFINITION GLOBALE 3 Gouvernance : englobe la culture, les politiques, les lois, les  réglementations et institutions qui définissent la manière dont les  entreprises doivent être dirigées et gérées Risque : est le résultat de l’incertitude sur la réalisation des objectifs ; la  gestion du risque est l’ensemble des activités coordonnées qui visent à  diriger et contrôler une organisation pour tirer avantage des opportunités  et gérer les évènements négatifs Conformité : décrit le fait d’adhérer et de démontrer son adhésion aux  lois et règlements externes ainsi qu’aux politiques et procédures internes  de l’entreprise Source : OCEG (Open Compliance & Ethics Group)
  4. 4. GOUVERNANCE D’ENTREPRISE Définitions Gouvernance mise en place pour diriger et gérer les affaires d'une  entreprise de façon à assurer un meilleur équilibre entre les instances de  direction, les instances de contrôle et les actionnaires ou sociétaires ‐ Grand dictionnaire terminologique  Système formé par l'ensemble des processus , réglementations, lois et   institutions  destinés à cadrer la manière dont l'entreprise est dirigée,  administrée et contrôlée ‐ Wikipédia 4
  5. 5. GOUVERNANCE D’ENTREPRISE Principaux acteurs : • Actionnaires • Conseil d’administration • Employés • Clients et fournisseurs Référentiel : • COSO 5
  6. 6. 6 GOUVERNANCE TI La gouvernance des TI est un processus de gestion, fondé sur l’utilisation  de bonnes pratiques, qui permet à l’organisation d’optimiser ses  investissements informatiques dans le but :  de contribuer aux objectifs de création de valeur;  d’accroître la performance des processus informatiques et de leur  orientation clients;   de garantir que les risques liés au système d’information sont sous  contrôle;   de maîtriser les aspects financiers du système d’information;   et développer les solutions et les compétences en TI, dont  l’organisation aura besoin dans le futur, tout en développant la  transparence d’action ‐ IT Governance Institute
  7. 7. 7 GOUVERNANCE TI A. La gouvernance TI relève de la  responsabilité du comité de direction et  du « management exécutif », elle fait  partie intégrante de la gouvernance  d'entreprise. B. Pour la direction TI, elle consiste à mener  et à organiser les entités et les processus  en ligne avec la stratégie et les objectifs  de l'entreprise; dans le but de créer de la  valeur ‐ IT Governance Institute
  8. 8. GOUVERNANCE TI Domaines : • Planification stratégique • Gestion des risques • Gestion des ressources • Gestion du portefeuille de projets • Gestion de la valeur Enjeu principal : • Harmoniser les TI aux stratégies d’affaires et livrer de la valeur ajoutée 8
  9. 9. GESTION DES RISQUES : DIFFÉRENTS TYPES Dépendamment de l’industrie dans laquelle elles  oeuvrent, il existe différents types de risque auxquels les  organisations sont confrontés. Les risques communs à l’ensemble des organisations sont : • Réputation • Stratégique • Opérationnel • Technologique 9
  10. 10. RISQUE TI : UN DES PLUS IMPORTANTS 10
  11. 11. RISQUE TI : UN DES PLUS IMPORTANTS Le risque technologique est considéré comme un sous‐ ensemble du risque opérationnel. Catégories de risques Mouvement Catégories de risques opérationnels Catégories de risques technologiques 11
  12. 12. RISQUE TI : UN DES PLUS IMPORTANTS L’Univers des risques technologiques est un pilier du volet de  gouvernance des risques technologiques.  Il vise à :  Circonscrire la portée des  activités de gestion des  risques technologiques;  Faciliter l’identification  initiale des risques  inhérents importants et  pertinents pour  l’organisation;  Soutenir la consolidation  des risques ainsi que la  reddition de compte. 12
  13. 13. 13 CONFORMITÉ Se conformer aux exigences internes  Politiques  Directives  Normes Se conformer aux exigences externes  Lois et règlements de l'industrie  Lois et règlements à l'échelle nationale  Lois et règlements à l'échelle internationale
  14. 14. 14 DIFFÉRENTES RÉGLEMENTATIONS TOUCHANT LES TI • Loi Sarbanes‐Oxley (SOX) • Lois sur la protection des renseignements personnels • Loi canadienne anti‐pourriel (projet de loi C‐28) • HIPAA : Health Insurance Portability and Accountability Act • Les Accords de Bâle (Bâle II et III) • USA Patriot Act • PCI‐DSS
  15. 15. CONFORMITÉ TI (DESJARDINS) 15
  16. 16. CONFORMITÉ TI (DESJARDINS)  Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer sous un  dénominateur commun l’ensemble des exigences :  52‐109, PCI, Visa, Interac, Mastercard, Bâle II et les contrôles propres à des tiers   CobIT 5 : référentiel en gouvernance des TI, présente les bonnes pratiques de  gestion des TI   ISO 27002 : norme des meilleures pratiques des domaines de sécurité de  l’information, tels :  La gestion des accès  La gestion des incidents  Le plan de continuité  La sécurité physique et environnementale  La gestion de l‘exploitation et des télécommunications  L’acquisition, développement et maintenance des systèmes d’information 16
  17. 17. CONFORMITÉ TI (DESJARDINS) 1500 contrôles 286 contrôles Desjardins! Avant Après L’approche traditionnelle qui traite les « exceptions » engendre de  nombreux programmes de conformité distincts qui font en sorte que  la gestion des exigences selon plusieurs règlementation n’est pas  uniforme ni efficace Chevauchement Une intégration permettant de réduire les coûts, la complexité et la  charge de travail liés aux efforts de conformité est nécessaire; de  grandes économies de coûts peuvent être réalisées lorsque le  chevauchement est évité et qu’une définition commune des  exigences est appliquée Harmonisation 17
  18. 18. MODÈLE DES 3 LIGNES DE DÉFENSE SELON  L’IIA 18 Pour fin de discussion Source : IIA Position Paper:, THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL, JANUARY 2013  Link: https://na.theiia.org/standards‐ guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf
  19. 19. MODÈLE DES 3 LIGNES DE DÉFENSE «First line of defense » § «Owner»of the risk management process § §Loss data tracking BU Process and Risk Owners « » § business line compliance.  § Validates the overall risk framework § Provides assurance that the  risk management process is functioning as  BU Process and Risk Owners BU Process and Risk Owners BU Process and Risk Owners • Interprétation et élaboration • Surveillance et information Executive Management /  Boards Perform Oversight Haute direction/  Conseil d’administration Surveillance Première ligne de défense Identification, gestion, atténuation et notification des risques Propriétaires des risques et des processus de l’UF* Gestion des  risques et  conformité § business line compliance.  § Validates the overall risk framework § Provides assurance that the  risk management process is functioning as  Audit interne  Troisième ligne de défense Tests et vérification Fonctions de  gouvernance  et de contrôle • Conception et facilitation • Surveillance et information Deuxième ligne de défense Propriétaires des risques et des processus  de l’UF Propriétaires des risques et des processus  de l’UF Propriétaires des risques et des processus  de l’UF * Unité fonctionnelle 19
  20. 20. 1ÈRE LIGNE : OPÉRATIONS Première ligne de défense  Composition  Gestionnaires opérationnels  qui endossent et gèrent les  risques et qui mettent en  œuvre des mesures  correctives permettant de  remédier aux déficiences des  processus et des contrôles  Prise de position de l’IIA : Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficace – janvier 2013  Parmi les rôles et les responsabilités :  Mettre en place des dispositifs de contrôle interne efficaces et mettre en œuvre au quotidien  des procédures de gestion des risques et de contrôle  Identifier, évaluer, contrôler et atténuer les risques, piloter l'élaboration et la mise en œuvre  des règles et procédures internes et s'assurer que les activités sont compatibles avec les  objectifs fixés  Définir et mettre en place des procédures de contrôle détaillées et superviser l'application de  ces procédures par leurs employés  S’assurer que des contrôles de gestion et de supervision adéquats sont en place pour garantir  la conformité et mettre en évidence les contrôles défaillants, les processus inadéquats et les  événements inattendus 20
  21. 21. 2ÈME LIGNE : «SURVEILLANCE»  Composition  Fonction (et/ou comité) de gestion  des risques qui facilite et surveille la  mise en œuvre de pratiques  efficaces de gestion des risques par  la direction opérationnelle  Fonction de conformité chargée de  surveiller divers risques spécifiques  tels que le non‐respect des lois et  des réglementations en vigueur   Fonction de contrôle de gestion qui  d’une part effectue le suivi des  risques financiers et de l’information  financière et, d’autre part, assiste  dans la conception et surveille  l’efficacité des contrôles non  financiers Deuxième ligne de défense Prise de position de l’IIA : Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficace – janvier 2013  Parmi les rôles et les responsabilités :  Soutenir les orientations de la direction, définir les rôles et les responsabilités et fixer des objectifs relatifs à leur  mise en œuvre  Élaborer des référentiels de gestion des risques   Identifier les enjeux connus et émergents   Expliciter les évolutions de l'appétit et de la tolérance au risque de l'organisation   Aider la direction à mettre au point des processus et des contrôles afin de gérer les risques et les enjeux   Émettre des encadrements et donner des formations sur les processus de gestion des risques   Faciliter et surveiller la mise en œuvre de pratiques efficaces de gestion des risques par la direction opérationnelle  (1ère ligne de défense)  Alerter la direc on opéra onnelle à propos des enjeux émergents et de l'évolu on de la réglementa on ou des  scénarios de risque   Surveiller l'adéquation et l'efficacité du contrôle interne, l'exactitude et l‘intégralité de l’information, la conformité  aux lois et aux réglementations, et la correction des déficiences en temps opportun 21
  22. 22.  Composition  Fonction d'audit interne  dotée de ressources et de  compétences adéquates qui  doit appliquer les normes  internationales généralement  admises pour la pratique de  l'audit interne, être rattachée  à un niveau suffisamment  élevé dans l'organisation pour  pouvoir assurer ses  responsabilités de manière  indépendante et avoir une  relation étroite et effective  avec le Conseil ou l’organe de  gouvernance équivalent Troisième ligne de défense Prise de position de l’IIA : Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficace – janvier 2013  Parmi les rôles et les responsabilités :  Fournir aux organes de gouvernance une assurance globale fondée sur le plus haut degré  d'indépendance organisationnelle et d'objectivité au sein de l’organisation  S’assurer de l'efficience et l'efficacité des opérations, la protection des actifs, la fiabilité et  l'intégrité des processus d’information et veiller à ce que l’organisation se conforme aux lois,  réglementations, normes, procédures et contrats  S’assurer de la mise en place des composantes du référentiel de gestion des risques et de  contrôle interne, dont l'environnement de contrôle interne, et des composantes du  référentiel de gestion des risques de l’organisation (c.‐à‐d. l'identification des risques, leur  évaluation et leur traitement) 22 3ÈME LIGNE : AUDIT INTERNE
  23. 23. AUTRES PARTIES PRENANTES 23 Autres parties prenantes  Composition  Auditeurs externes,  régulateurs et autres organes  externes qui peuvent jouer un  rôle important dans le  dispositif global de  gouvernance et de contrôle  de l’organisation  Parmi les rôles et les responsabilités :  Fournir une assurance aux parties prenantes de l’organisation (ou aux membres de la  coopérative) , notamment à ses organes de gouvernance Prise de position de l’IIA : Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficace – janvier 2013
  24. 24. MODÈLE DES 3 LIGNES DE DÉFENSE SELON  L’ISACA 24 Pour fin de discussion Source : ISACA publication : Effective IT Governance Through the Three Lines of Defense, Risk IT and COBIT Link: http://www.isaca.org/Journal/Past‐Issues/2012/Volume‐1/Documents/12v1‐Effective‐IT‐Governance.pdf
  25. 25. AUTRES MODÈLES  25 L’analogie du fromage  suisse laisse croire qu’il  faut des défaillances dans  toutes les lignes de  défenses pour qu’un  risque se matérialise.
  26. 26. APPLICATION PRATIQUE : DESJARDINS • Permet de rencontrer les besoins des Agréments de  Bâle • Requis par l’Autorité des marchés parce que  Desjardins a été identifiée comme Institution  financière d’importance systémique intérieure • Initiative de l’équipe Risques opérationnels et  contrôles internes • Appuyer par le Comité de Direction du Mouvement 26
  27. 27. Le modèle des 3 lignes de défense L’approche proposée favorise une gestion de la performance des activités du Mouvement Desjardins tout permettant de répondre aux exigences d’agrément en risque opérationnel Modèle générique de l’IIA(1) 1LDD2LDD3LDD  Identification des risques des processus dont ils sont propriétaires  Conception et mise en œuvre des contrôles internes  Gestion et atténuation des risques  Mesure, suivi et reddition des risques et de l’efficacité des contrôles (attestation)  Conception du dispositif/cadre de gestion des risques  Mise en place des encadrements (politiques, normes, etc.)  Soutien, conseil et formation de la 1ère ligne de défense  Revue critique des activités de gestion des risques de la 1ère ligne de défense  Reddition consolidée à la haute direction et au CA afin de soutenir leur responsabilité de surveillance  Revue indépendante du dispositif/cadre de gestion des risques(2)  Évaluation périodique et objective des activités des 1ère et 2ème lignes de défense Application chez Desjardins  Désigne les secteurs d’affaires et les fonctions de soutien qui sont les véritables propriétaires de la gestion des opérations et des risques associés  Désigne les fonctions de gestion de risque, de conformité et de contrôle qui ont la responsabilité d’encadrer, d’outiller et de soutenir les activités de gestion de risque de la 1ère ligne de défense et de réaliser une revue critique de ses travaux (Bureau du chef de la gestion des risques, Bureau du chef de la conformité, DP Gouvernance financière, DP Risque et Conformité TI, Actuaire en chef) Note: Les fonctions de soutien ont toutes une responsabilité d’encadrement des opérations de l’organisation. Cette responsabilité ne font pas d’elles une 2ième ligne de défense.  Désigne le Bureau de la Surveillance du Mouvement Desjardins qui est responsable de réaliser une évaluation périodique, indépendante et objective des activités des 1ère et 2ième lignes de défense Les bonnes pratiques suggèrent une approche de gestion des opérations basée sur un alignement par processus, une meilleure gestion des données et la mise en place du modèle des 3 lignes de défense. À l’image des banques canadiennes, Desjardins devrait donc opter pour le modèle des 3 lignes de défense. En prenant cette décision, Desjardins répondra aux exigences de la demande d’agrément pour le Risque Opérationnel 27 (1) Inspiré d’une prise de position publiée par l’Institut des auditeurs internes (IIA) en janvier 2013 : Les trois lignes de maîtrise, pour une gestion des risques et un contrôle efficace. (2) L’IIA utilise le concept de gestion des risques dans un sens large et global qui regroupe les domaines de la gestion des risques, de la conformité et du contrôle interne.
  28. 28.  Définition des rôles génériques requis pour instaurer une gestion par processus, aligner les rôles et responsabilités en matière de gestion des risques, de la conformité et des contrôles sur le modèle des 3 lignes de défense et optimiser la 2e ligne de défense : (2) Vue partielle de la 2LDD: vue axée sur le domaine du risque opérationnel (3) Conformité, Gouvernance financière, Criminalité financière, Impartition, Continuité, Technologies et Qualité des données de risque 1LDD 2LDD(2) Propriétaire de processus (1 seul par processus) Mandataire (1 ou + par processus) Coordonnateur RCC (Risque – Conformité – Contrôle) Responsables de Programmes experts(3) Intégrateur RCC (Risque – Conformité – Contrôle) 3LDD Audit interne Responsable de soutenir le propriétaire et le mandataire dans la gestion des RO du processus, d’assurer la cohérence avec la performance globale attendue du processus et de faire les liens nécessaires afin de soutenir les programmes experts Imputable de la performance du processus, il travaille avec ses mandataires et son équipe pour assurer le développement cohérent du processus en lien avec les besoins du membre et la vision stratégique Mouvement Responsable d’assurer la gestion d’un programme expert spécifique dans une perspective Mouvement ainsi que de soutenir et d’outiller le coordonnateur RCC et la 1LDD dans l’application et le suivi des activités propres à son programme Responsable d’assurer la vision d’ensemble en matière de risque, de conformité et de contrôle et de produire le profil de risque opérationnel du Mouvement Desjardins Responsable de la performance de son périmètre afin d’atteindre les cibles fixées par le propriétaire et assurer la bonne tenue des opérations Évaluation indépendante, périodique et objective de la 1LDD et de la 2LDD GESTIONPARPROCESSUS EXPERTGPP Définition des rôles génériques 3LDD MVT 28
  29. 29. CONCLUSION Pour bien réussir dans l’implantation de la GRC, il faut : 1. L’appui inconditionnel de la haute direction 2. Une culture de risque forte dans toute l’organisation 3. Une approche documentée basée sur les processus  d’affaires (et de soutien) 4. Un langage commun et des méthodes harmonisées 5. Des outils communs pour recenser les risques et les  contrôles et assurer une reddition adéquate 29
  30. 30. Merci de votre attention Denis Jolin : denis.jolin@desjardins.com Vincent Groleau : vincent.groleau@ca.ey.com 30

×