Oracle : 'L’informatique transforme la conformité en avantage compétitif'

Christian Meyer, responsable des produits Finances chez Oracle France, explique les enjeux liés à la mise en conformité réglementaire, et montre comment et pourquoi les solutions informatiques apportent des bénéfices

Pourquoi une solution de gestion de la conformité et des risques ?

Les directives et des réglementations (par pays ou par secteur), favorisent l’élaboration d’un cadre permettant d’évaluer si l’entreprise fonctionne convenablement sous divers aspects. Il est vrai que ces mesures se multiplient, et l’institut Gartner prévoit un doublement de ces règles d’ici à 2012.

Pour assumer ces changements dans l’organisation, et s’assurer de respecter la conformité légale ou sectorielle, les entreprises nécessitent une plate-forme de gestion de la Gouvernance, des Risques et de la Conformité (GRC). Cette suite d’outils intégrés joue le rôle d’environnement de contrôle plus ou moins automatisé des règles existantes et à venir.

Cet environnement de contrôle rassemble des solutions de “self-assessment” (autoévaluation par l’entreprise et alimentation des outils d’audit), de tests, de corrections (remédiation), et de workflow spécifique. Au-dessus de ces briques, on trouve généralement un outil de pilotage de l’environnement de contrôle pouvant superviser plusieurs applications (GRC intelligence).

Ces directives ne sont pas toutes obligatoires. Pourquoi les entreprises se lestent-elles de contraintes supplémentaires ?

Le poids de la contrainte varie selon plusieurs paramètres. Outre les spécificités du secteur économique et les réglementations géographiques, la capacité à réagir devient essentielle. Une entreprise réactive corrige le tir uniquement au moment où l’obligation s’impose, tandis qu’une organisation proactive s’adapte beaucoup plus vite et dispose de processus flexibles.

La gestion de la conformité apporte donc son lot d’avantages. L’entreprise dispose d’une meilleure connaissance de ses processus et des risques, ainsi que des mesures correctives possibles. Et la pro-activité devient essentielle, car la mise en conformité non anticipée s’avère de plus en plus onéreuse. Sans elle, on entre dans un tourbillon: de plus en plus de règles dont la mise en conformité demande de plus en plus d’argent… En effet, ces solutions automatisent fortement ces changements et diminuent les risques tout en assurant un spectre plus large: le même contrôle est assuré de la même manière à des endroits différents du système d’information, et dans des lieux (ou pays) différents. Des garanties de cohérence et de couverture automatique qui contribuent aux économies d’échelle.

Quels types de contrôle distingue-t-on dans cette discipline ?

On décèle trois types de règles ou de contrôles. Le contrôle de séparation des tâches (droits et habilitations) assure qu’un utilisateur ne doit pas pouvoir accomplir des tâches antinomiques. Par exemple, l’utilisateur qui valide une facture ne doit pas en lancer le règlement (afin d’éviter les risques la fausse facturation, la surfacturation, etc.). Nous fournissons ces règles en standard dans nos produits. Libre au client de les utiliser ou non.

Les règles vérifiant que les nouveaux paramétrages ne rendent pas les contrôles moins stricts deviennent incontournables. Si les ERP paramétrables deviennent plus souples, les modifications de paramètres peuvent aussi générer des failles dans les contrôles. Ces règles permettent donc une surveillance pour assurer que la politique de contrôle reste cohérente. Cela passe par un audit systématique des éléments de paramétrage. S’ils évoluent, une alerte prévient une personne habilitée qui peut vérifier ou intervenir.

Troisième catégorie, les contrôles de pilotage des transactions interviennent au cœur des flux transactionnels. Par exemple, elles définissent la possibilité ou l’interdiction de modifier l’échéancier de règlement d’un fournisseur.

Pour toutes ces règles, les alertes peuvent être préventives ou détectives. Dans le premier cas, elles empêchent a priori la modification ; dans le second, elles l’identifient a posteriori.

Chez Oracle, proposez-vous une offre spécifique ?

Nos solutions combinent trois outils. GRC Manager (issu du rachat de Stellent en novembre 2006) assure la gestion documentaire des risques, des processus, de la conformité… Et GRC Controls (issu du rachat de LogicalApps en octobre dernier, spécialiste des contenus et des contrôles) prend en charge la surveillance des accès, des configurations et des transactions. Ces contrôles sont agnostiques, et les connecteurs assurent la compatibilité avec les applications. Aujourd’hui, nous proposons des connecteurs pour Oracle, Siebel, Peoplesoft et JD Edward, et dès 2008 pour SAP, Hyperion et les applications spécifiques (legacy). Enfin, le module GRC Intelligence, développé par nos équipes à partir de GRC Manager s’appuie sur la BI Oracle.