Isaca quebec présentation grc-31 mars 2015_site_2

30
LA GOUVERNANCE, LES RISQUES ET LA CONFORMITÉ (GRC) CONFÉRENCIERS : DENIS JOLIN ET VINCENT GROLEAU DATE : 31 MARS 2015 http://www.isacaquebec.ca

Transcript of Isaca quebec présentation grc-31 mars 2015_site_2

Page 1: Isaca quebec présentation grc-31 mars 2015_site_2

LA GOUVERNANCE, LES RISQUES ET LA CONFORMITÉ (GRC)

CONFÉRENCIERS : DENIS JOLIN ET VINCENT GROLEAU

DATE : 31 MARS 2015

http://www.isaca‐quebec.ca

Page 2: Isaca quebec présentation grc-31 mars 2015_site_2

OBJECTIF ET AGENDA

Objectif Présenter, à travers des concepts connus et des méthodologies, notre expérience de la GRC

Agenda GRC : définition et applications Le modèle des 3 lignes de défense Approche appliquée : Desjardins

2

Page 3: Isaca quebec présentation grc-31 mars 2015_site_2

GRC : DÉFINITION GLOBALE

3

Gouvernance : englobe la culture, les politiques, les lois, les réglementations et institutions qui définissent la manière dont les entreprises doivent être dirigées et gérées

Risque : est le résultat de l’incertitude sur la réalisation des objectifs ; la gestion du risque est l’ensemble des activités coordonnées qui visent à diriger et contrôler une organisation pour tirer avantage des opportunités et gérer les évènements négatifs

Conformité : décrit le fait d’adhérer et de démontrer son adhésion aux lois et règlements externes ainsi qu’aux politiques et procédures internes de l’entreprise

Source : OCEG (Open Compliance & Ethics Group)

Page 4: Isaca quebec présentation grc-31 mars 2015_site_2

GOUVERNANCE D’ENTREPRISE

Définitions

Gouvernance mise en place pour diriger et gérer les affaires d'une entreprise de façon à assurer un meilleur équilibre entre les instances de direction, les instances de contrôle et les actionnaires ou sociétaires ‐Grand dictionnaire terminologique 

Système formé par l'ensemble des processus , réglementations, lois et  institutions  destinés à cadrer la manière dont l'entreprise est dirigée, administrée et contrôlée ‐Wikipédia

4

Page 5: Isaca quebec présentation grc-31 mars 2015_site_2

GOUVERNANCE D’ENTREPRISE

Principaux acteurs :

• Actionnaires

• Conseil d’administration

• Employés

• Clients et fournisseurs

Référentiel :

• COSO

5

Page 6: Isaca quebec présentation grc-31 mars 2015_site_2

6

GOUVERNANCE TI

La gouvernance des TI est un processus de gestion, fondé sur l’utilisation de bonnes pratiques, qui permet à l’organisation d’optimiser ses investissements informatiques dans le but : de contribuer aux objectifs de création de valeur; d’accroître la performance des processus informatiques et de leur orientation clients; 

de garantir que les risques liés au système d’information sont sous contrôle; 

de maîtriser les aspects financiers du système d’information;  et développer les solutions et les compétences en TI, dont l’organisation aura besoin dans le futur, tout en développant la transparence d’action ‐ IT Governance Institute

Page 7: Isaca quebec présentation grc-31 mars 2015_site_2

7

GOUVERNANCE TI

A. La gouvernance TI relève de la responsabilité du comité de direction et du « management exécutif », elle fait partie intégrante de la gouvernance d'entreprise.

B. Pour la direction TI, elle consiste à mener et à organiser les entités et les processus en ligne avec la stratégie et les objectifs de l'entreprise; dans le but de créer de la valeur

‐ IT Governance Institute

Page 8: Isaca quebec présentation grc-31 mars 2015_site_2

GOUVERNANCE TI

Domaines :• Planification stratégique• Gestion des risques• Gestion des ressources• Gestion du portefeuille de projets• Gestion de la valeur

Enjeu principal :

• Harmoniser les TI aux stratégies d’affaires et livrer de la valeur ajoutée

8

Page 9: Isaca quebec présentation grc-31 mars 2015_site_2

GESTION DES RISQUES : DIFFÉRENTS TYPES

Dépendamment de l’industrie dans laquelle elles oeuvrent, il existe différents types de risque auxquels les organisations sont confrontés.Les risques communs à l’ensemble des organisations sont :• Réputation• Stratégique• Opérationnel• Technologique

9

Page 10: Isaca quebec présentation grc-31 mars 2015_site_2

RISQUE TI : UN DES PLUS IMPORTANTS

10

Page 11: Isaca quebec présentation grc-31 mars 2015_site_2

RISQUE TI : UN DES PLUS IMPORTANTS

Le risque technologique est considéré comme un sous‐ensemble du risque opérationnel.

Catégories derisques Mouvement

Catégories de risques opérationnels

Catégories de risques technologiques

11

Page 12: Isaca quebec présentation grc-31 mars 2015_site_2

RISQUE TI : UN DES PLUS IMPORTANTSL’Univers des risques technologiques est un pilier du volet de gouvernance des risques technologiques. Il vise à :

Circonscrire la portée des activités de gestion des risques technologiques;

Faciliter l’identification initiale des risques inhérents importants et pertinents pour l’organisation;

Soutenir la consolidation des risques ainsi que la reddition de compte.

12

Page 13: Isaca quebec présentation grc-31 mars 2015_site_2

13

CONFORMITÉSe conformer aux exigences internes Politiques Directives Normes

Se conformer aux exigences externes Lois et règlements de l'industrie Lois et règlements à l'échelle nationale Lois et règlements à l'échelle internationale

Page 14: Isaca quebec présentation grc-31 mars 2015_site_2

14

DIFFÉRENTES RÉGLEMENTATIONS TOUCHANT LES TI

• Loi Sarbanes‐Oxley (SOX)• Lois sur la protection des renseignements personnels• Loi canadienne anti‐pourriel (projet de loi C‐28)• HIPAA : Health Insurance Portability and Accountability Act• Les Accords de Bâle (Bâle II et III)• USA Patriot Act• PCI‐DSS

Page 15: Isaca quebec présentation grc-31 mars 2015_site_2

CONFORMITÉ TI (DESJARDINS)

15

Page 16: Isaca quebec présentation grc-31 mars 2015_site_2

CONFORMITÉ TI (DESJARDINS)

Les référentiels Cobit 5 et ISO 27002 ont été utilisés afin de classer sous un dénominateur commun l’ensemble des exigences : 52‐109, PCI, Visa, Interac, Mastercard, Bâle II et les contrôles propres à des tiers 

CobIT 5 : référentiel en gouvernance des TI, présente les bonnes pratiques de gestion des TI 

ISO 27002 : norme des meilleures pratiques des domaines de sécurité de l’information, tels : La gestion des accès La gestion des incidents Le plan de continuité La sécurité physique et environnementale La gestion de l‘exploitation et des télécommunications L’acquisition, développement et maintenance des systèmes d’information

16

Page 17: Isaca quebec présentation grc-31 mars 2015_site_2

CONFORMITÉ TI (DESJARDINS)

1500 contrôles 286 contrôles Desjardins!

Avant Après

L’approche traditionnelle qui traite les « exceptions » engendre de nombreux programmes de conformité distincts qui font en sorte que la gestion des exigences selon plusieurs règlementation n’est pas uniforme ni efficace

ChevauchementUne intégration permettant de réduire les coûts, la complexité et la charge de travail liés aux efforts de conformité est nécessaire; de grandes économies de coûts peuvent être réalisées lorsque le chevauchement est évité et qu’une définition commune des exigences est appliquée

Harmonisation

17

Page 18: Isaca quebec présentation grc-31 mars 2015_site_2

MODÈLE DES 3 LIGNES DE DÉFENSE SELON L’IIA

18 Pour fin de discussion

Source : IIA Position Paper:, THE THREE LINES OF DEFENSE IN EFFECTIVE RISK MANAGEMENT AND CONTROL, JANUARY 2013 Link: https://na.theiia.org/standards‐guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf

Page 19: Isaca quebec présentation grc-31 mars 2015_site_2

MODÈLE DES 3 LIGNES DE DÉFENSE

«First line of defense »§ «Owner»of the risk management process§§Loss data tracking

BU Processand RiskOwners

« »§business line compliance. 

§ Validates the overall risk framework§ Provides assurance that the  risk management process is functioning as 

BU Processand RiskOwners

BU Processand RiskOwners

BU Processand RiskOwners

• Interprétation et élaboration• Surveillance et information

Executive Management / Boards

PerformOversight

Haute direction/ Conseil d’administration

Surveillance

Première ligne de défense

Identification, gestion, atténuation etnotification des risques

Propriétairesdes risques etdes processus

de l’UF*

Gestion des risques et conformité

§business line compliance. 

§ Validates the overall risk framework§ Provides assurance that the  risk management process is functioning as 

Audit interne Troisième ligne de défense

Tests et vérification

Fonctions de gouvernance et de contrôle

• Conception et facilitation• Surveillance et information

Deuxième ligne de défense

Propriétairesdes risques etdes processus 

de l’UF

Propriétairesdes risques etdes processus 

de l’UF

Propriétairesdes risques etdes processus 

de l’UF

* Unité fonctionnelle

19

Page 20: Isaca quebec présentation grc-31 mars 2015_site_2

1ÈRE LIGNE : OPÉRATIONS

Première ligne de défense

Composition Gestionnaires opérationnels 

qui endossent et gèrent les risques et qui mettent en œuvre des mesures correctives permettant de remédier aux déficiences des processus et des contrôles 

Prise de position de l’IIA : Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficace – janvier 2013

Parmi les rôles et les responsabilités : Mettre en place des dispositifs de contrôle interne efficaces et mettre en œuvre au quotidien 

des procédures de gestion des risques et de contrôle Identifier, évaluer, contrôler et atténuer les risques, piloter l'élaboration et la mise en œuvre 

des règles et procédures internes et s'assurer que les activités sont compatibles avec les objectifs fixés

Définir et mettre en place des procédures de contrôle détaillées et superviser l'application de ces procédures par leurs employés

S’assurer que des contrôles de gestion et de supervision adéquats sont en place pour garantir la conformité et mettre en évidence les contrôles défaillants, les processus inadéquats et les événements inattendus

20

Page 21: Isaca quebec présentation grc-31 mars 2015_site_2

2ÈME LIGNE : «SURVEILLANCE»

Composition Fonction (et/ou comité) de gestion 

des risques qui facilite et surveille la mise en œuvre de pratiques efficaces de gestion des risques par la direction opérationnelle

Fonction de conformité chargée de surveiller divers risques spécifiques tels que le non‐respect des lois et des réglementations en vigueur 

Fonction de contrôle de gestion qui d’une part effectue le suivi des risques financiers et de l’information financière et, d’autre part, assiste dans la conception et surveille l’efficacité des contrôles non financiers

Deuxième ligne de défense

Prise de position de l’IIA : Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficace – janvier 2013

Parmi les rôles et les responsabilités :

Soutenir les orientations de la direction, définir les rôles et les responsabilités et fixer des objectifs relatifs à leur mise en œuvre

Élaborer des référentiels de gestion des risques  Identifier les enjeux connus et émergents  Expliciter les évolutions de l'appétit et de la tolérance au risque de l'organisation  Aider la direction à mettre au point des processus et des contrôles afin de gérer les risques et les enjeux  Émettre des encadrements et donner des formations sur les processus de gestion des risques  Faciliter et surveiller la mise en œuvre de pratiques efficaces de gestion des risques par la direction opérationnelle 

(1ère ligne de défense) Alerter la direc on opéra onnelle à propos des enjeux émergents et de l'évolu on de la réglementa on ou des 

scénarios de risque  Surveiller l'adéquation et l'efficacité du contrôle interne, l'exactitude et l‘intégralité de l’information, la conformité 

aux lois et aux réglementations, et la correction des déficiences en temps opportun

21

Page 22: Isaca quebec présentation grc-31 mars 2015_site_2

Composition Fonction d'audit interne 

dotée de ressources et de compétences adéquates qui doit appliquer les normes internationales généralement admises pour la pratique de l'audit interne, être rattachée à un niveau suffisamment élevé dans l'organisation pour pouvoir assurer ses responsabilités de manière indépendante et avoir une relation étroite et effective avec le Conseil ou l’organe de gouvernance équivalent

Troisième ligne de défense

Prise de position de l’IIA : Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficace – janvier 2013

Parmi les rôles et les responsabilités :

Fournir aux organes de gouvernance une assurance globale fondée sur le plus haut degré d'indépendance organisationnelle et d'objectivité au sein de l’organisation

S’assurer de l'efficience et l'efficacité des opérations, la protection des actifs, la fiabilité et l'intégrité des processus d’information et veiller à ce que l’organisation se conforme aux lois, réglementations, normes, procédures et contrats

S’assurer de la mise en place des composantes du référentiel de gestion des risques et de contrôle interne, dont l'environnement de contrôle interne, et des composantes du référentiel de gestion des risques de l’organisation (c.‐à‐d. l'identification des risques, leur évaluation et leur traitement)

22

3ÈME LIGNE : AUDIT INTERNE

Page 23: Isaca quebec présentation grc-31 mars 2015_site_2

AUTRES PARTIES PRENANTES

23

Autres parties prenantes

Composition Auditeurs externes, 

régulateurs et autres organes externes qui peuvent jouer un rôle important dans le dispositif global de gouvernance et de contrôle de l’organisation

Parmi les rôles et les responsabilités :

Fournir une assurance aux parties prenantes de l’organisation (ou aux membres de la coopérative) , notamment à ses organes de gouvernance

Prise de position de l’IIA : Les trois lignes de maîtrise pour une gestion des risques et un contrôle efficace – janvier 2013

Page 24: Isaca quebec présentation grc-31 mars 2015_site_2

MODÈLE DES 3 LIGNES DE DÉFENSE SELON L’ISACA

24 Pour fin de discussion

Source : ISACA publication : Effective IT Governance Through the Three Lines of Defense, Risk IT and COBITLink: http://www.isaca.org/Journal/Past‐Issues/2012/Volume‐1/Documents/12v1‐Effective‐IT‐Governance.pdf

Page 25: Isaca quebec présentation grc-31 mars 2015_site_2

AUTRES MODÈLES 

25

L’analogie du fromage suisse laisse croire qu’il faut des défaillances dans toutes les lignes de défenses pour qu’un risque se matérialise.

Page 26: Isaca quebec présentation grc-31 mars 2015_site_2

APPLICATION PRATIQUE : DESJARDINS

• Permet de rencontrer les besoins des Agréments de Bâle

• Requis par l’Autorité des marchés parce que Desjardins a été identifiée comme Institution financière d’importance systémique intérieure

• Initiative de l’équipe Risques opérationnels et contrôles internes

• Appuyer par le Comité de Direction du Mouvement

26

Page 27: Isaca quebec présentation grc-31 mars 2015_site_2

Le modèle des 3 lignes de défense L’approche proposée favorise une gestion de la performance des activités du Mouvement Desjardins tout permettant de répondre aux exigences d’agrément en risque opérationnel

Modèle générique de l’IIA(1)

1LD

D2

LDD

3LD

D

Identification des risques des processus dont ils sont propriétaires

Conception et mise en œuvre des contrôles internes Gestion et atténuation des risques Mesure, suivi et reddition des risques et de l’efficacité

des contrôles (attestation)

Conception du dispositif/cadre de gestion des risques Mise en place des encadrements (politiques, normes, etc.) Soutien, conseil et formation de la 1ère ligne de défense Revue critique des activités de gestion des risques de la

1ère ligne de défense Reddition consolidée à la haute direction et au CA afin de

soutenir leur responsabilité de surveillance

Revue indépendante du dispositif/cadre de gestion des risques(2)

Évaluation périodique et objective des activités des 1ère

et 2ème lignes de défense

Application chez Desjardins

Désigne les secteurs d’affaires et les fonctions de soutien qui sont les véritables propriétaires de la gestion des opérations et des risques associés

Désigne les fonctions de gestion de risque, de conformité et de contrôle qui ont la responsabilité d’encadrer, d’outiller et de soutenir les activités de gestion de risque de la 1ère ligne de défense et de réaliser une revue critique de ses travaux (Bureau du chef de la gestion des risques, Bureau du chef de la conformité, DP Gouvernance financière, DP Risque et Conformité TI, Actuaire en chef)

Note: Les fonctions de soutien ont toutes une responsabilité d’encadrement des opérations de l’organisation. Cette responsabilité ne font pas d’elles une 2ième ligne de défense.

Désigne le Bureau de la Surveillance du Mouvement Desjardinsqui est responsable de réaliser une évaluation périodique, indépendante et objective des activités des 1ère et 2ième lignes de défense

Les bonnes pratiques suggèrent une approche de gestion des opérations basée sur un alignement par processus, une meilleure gestion des données et la mise en place du modèle des 3 lignes de défense. À l’image des banques canadiennes, Desjardins devrait donc opter pour le modèle des 3 lignes de défense.En prenant cette décision, Desjardins répondra aux exigences de la demande d’agrément pour le Risque Opérationnel

27

(1) Inspiré d’une prise de position publiée par l’Institut des auditeurs internes (IIA) en janvier 2013 : Les trois lignes de maîtrise, pour une gestion des risques et

un contrôle efficace.(2) L’IIA utilise le concept de gestion des risques dans un sens large et global qui regroupe les domaines de la gestion des risques, de la conformité et du

contrôle interne.

Page 28: Isaca quebec présentation grc-31 mars 2015_site_2

Définition des rôles génériques requis pour instaurer une gestion par processus, aligner les rôles et responsabilités en matière de gestion des risques, de la conformité et des contrôles sur le modèle des 3 lignes de défense et optimiser la 2e ligne de défense :

(2) Vue partielle de la 2LDD: vue axée sur le domaine du risque opérationnel(3) Conformité, Gouvernance financière, Criminalité financière, Impartition, Continuité, Technologies et Qualité des données de risque

1LDD

2LDD(2)

Propriétaire de processus(1 seul par processus)

Mandataire(1 ou + par processus)

Coordonnateur RCC(Risque – Conformité – Contrôle)

Responsables de Programmes experts(3)

Intégrateur RCC(Risque – Conformité – Contrôle)

3LDDAudit interne

Responsable de soutenir le propriétaire et le mandataire dans la gestion des RO du processus, d’assurer la cohérence avec la performance globale attendue du processus et de faire les liens nécessaires afin de soutenir les programmes experts

Imputable de la performance du processus, il travaille avec ses mandataires et son équipe pour assurer le développement cohérent du processus en lien avec les besoins du membre et la vision stratégique Mouvement

Responsable d’assurer la gestion d’un programme expert spécifique dans une perspective Mouvement ainsi que de soutenir et d’outiller le coordonnateur RCC et la 1LDD dans l’application et le suivi des activités propres à son programme

Responsable d’assurer la vision d’ensemble en matière de risque, de conformité et de contrôle et de produire le profil de risque opérationnel du Mouvement Desjardins

Responsable de la performance de son périmètre afin d’atteindre les cibles fixées par le propriétaire et assurer la bonne tenue des opérations

Évaluation indépendante, périodique et objective de la 1LDD et de la 2LDD

GES

TIO

N P

AR

PR

OC

ESS

US

EXP

ERT

GP

P

Définition des rôles génériques 3LDD MVT

28

Page 29: Isaca quebec présentation grc-31 mars 2015_site_2

CONCLUSION

Pour bien réussir dans l’implantation de la GRC, il faut :1. L’appui inconditionnel de la haute direction2. Une culture de risque forte dans toute l’organisation3. Une approche documentée basée sur les processus 

d’affaires (et de soutien)4. Un langage commun et des méthodes harmonisées5. Des outils communs pour recenser les risques et les 

contrôles et assurer une reddition adéquate

29

Page 30: Isaca quebec présentation grc-31 mars 2015_site_2

Merci de votre attentionDenis Jolin : [email protected]

Vincent Groleau : [email protected]

30