La plupart des grandes entreprises ont déployé un ou plusieurs systèmes de GRC pour assurer la visibilité dans des domaines tels que le risque opérationnel, le risque informatique et la gouvernance du risque de modèle, à l'appui des politiques et des profils de risque de l'entreprise.
Les solutions GRC sont conçues pour garantir que les organisations sont en mesure de surveiller et de contrôler efficacement leurs processus opérationnels sous-jacents afin de s'assurer que l'activité est alignée sur le profil de risque souhaité par l'organisation.
Aujourd'hui, les feuilles de calcul font partie intégrante des processus opérationnels de toute organisation. Ces fichiers Excel sont essentiels pour certains des contrôles GRC - soit comme preuves à l'appui des contrôles, soit comme contrôles eux-mêmes. À ce titre, les feuilles de calcul doivent être surveillées et gérées en vue de leur modification. Historiquement, l'une des questions de contrôle pouvait être aussi simple que "veillez-vous à ce que toute modification apportée à la feuille de calcul soit examinée et approuvée ?" La réponse peut être "oui", mais elle n'est pas nécessairement étayée par des preuves ou une piste d'audit.
Les feuilles de calcul sont notoirement difficiles à gérer pour ce qui est des changements. Excel ne dispose pas de la fonction "redline" comme Word, de sorte que pour prouver que les feuilles de calcul ont été examinées et approuvées lorsqu'elles ont été modifiées, soit la feuille de calcul est conçue pour n'autoriser les modifications que dans le cadre de paramètres étroits, soit d'importantes ressources humaines sont déployées pour vérifier toutes les modifications apportées. Dans un fichier complexe à plusieurs lignes et à plusieurs feuilles de calcul, cette tâche demande beaucoup de travail ; étant donné que les organisations ont généralement des dizaines, voire des centaines ou des milliers de feuilles de calcul critiques, cette charge de travail ne doit pas être sous-estimée si l'on veut que les révisions soient effectuées de manière efficace.
Automatisation de la gestion des risques dans les feuilles de calcul
Reconnaissant le rôle que jouent les feuilles de calcul dans les initiatives de GRC, les autorités de réglementation ont pris conscience de la simplicité de la réponse "oui" décrite ci-dessus. Elles exigent désormais que les organisations fournissent des preuves plus détaillées de la gestion des risques et du contrôle des feuilles de calcul. Par exemple, pour la conformité à la loi Sarbanes-Oxley, le Public Company Accounting Oversight Board (PCAOB) incite les auditeurs à s'assurer que les entreprises surveillent et contrôlent correctement leurs feuilles de calcul critiques afin de démontrer que leur gestion des feuilles de calcul est précise, transparente et immédiate.
Le concept est également applicable à d'autres réglementations telles que CCAR, DFAST, Solvabilité II, BCBS 239, IFRS9, GDPRIFRS9, SR 11-7, etc., où les régulateurs recherchent des contrôles appropriés car ils reconnaissent qu'une mauvaise gestion des feuilles de calcul pourrait entraîner des ruptures de contrôle.
Mais ne vous inquiétez pas - il existe une technologie qui aide les organisations à effectuer des contrôles de manière rentable, transparente et opportune. Une solution de gestion des risques liés aux feuilles de calcul permet aux organisations de mesurer, de surveiller et de gérer chaque fois qu'une modification est apportée à une feuille de calcul critique pour l'entreprise. Il peut s'agir par exemple du dépassement d'un seuil de valeur, d'une modification du code d'une macro ou du non-fonctionnement d'un flux de données externe dans le fichier Excel. Le gestionnaire du processus GRC est alerté de cette rupture de contrôle et peut lancer un processus de remédiation à entreprendre par le propriétaire d'Excel. Cette procédure de remédiation est un processus en boucle fermée et auditable, qui renvoie au responsable du contrôle GRC que le responsable d'Excel a examiné et approuvé en détail toutes les mises à jour et modifications.
Une telle solution de gestion des risques sur tableur complète les systèmes GRC traditionnels avec des preuves et des fonctionnalités précises, transparentes, vérifiables et rentables. Si la gestion des feuilles de calcul pour la GRC est un domaine que vous explorez, n'hésitez pas à nous contacter.
Gérez vos feuilles de calcul Shadow IT
Avec ClusterSeven, prenez le contrôle des ressources informatiques de l'utilisateur final cachées dans votre entreprise et qui peuvent créer des risques cachés.
