oracle user productivity kit : outil de valorisation de la ... · pdf filelivre blanc oracle...
TRANSCRIPT
Oracle User Productivity Kit : outil de valorisation de la GRC et de limitation des risques
Livre blanc OracleDécembre 2009
Livre blanc Oracle – Oracle User Productivity Kit : outil de valorisation de la GRC et de limitation des risques
1
Avant-proposAujourd’hui, l’efficacité et la performance de la gouvernance, de la gestion des risques, etde la conformité (GRC) constituent, plus que jamais, un enjeu crucial pour les entreprises.
Avec la multiplication des exigences de conformité en entreprise, les conséquencesfinancières des problèmes de GRC ont pris une ampleur considérable. Selon de récentesétudes réalisées par la London Business School, les problèmes « tactiques » – commel’inefficacité des services informatiques – peuvent avoir des répercussions « stratégiques »se traduisant par un repli de la capitalisation boursière supérieur à 14 millions de dollars.
Un célèbre organisme spécialisé dans l’analyse de la GRC sur le plan organisationnel meten avant l’importance du rôle de l’automatisation, et plus particulièrement des systèmesfinanciers, sur l’amélioration de l’efficacité et de la performance des processus et descapacités de gouvernance et de gestion de la conformité. Toujours est-il qu’en l’absencede formation utilisateur adaptée, ces systèmes financiers perdent tout leur intérêt et lesrisques GRC se multiplient dans l’entreprise. Le problème concerne donc à la fois ladirection opérationnelle et le conseil d’administration.
Ce livre blanc se propose d’étudier le rapport entre les problèmes tactiques de conformitécôté utilisateurs, et la stratégie de GRC mise en place par la direction. Parallèlement, ledocument passe en revue les principaux atouts d’Oracle User Productivity Kit (UPK) dansle cadre d’une démarche visant à prévenir tout effet boule de neige. L’objectif : éviter queles questions tactiques de conformité ne dégénèrent en problèmes stratégiques deperformance.
IntroductionSur la cinquantaine de sociétés cotées en bourse ayant signalé des faiblesses matériellesde leur système d’information ou financier au regard de la loi Sarbanes-Oxley, 64 %faisaient également état de faiblesses matérielles liées à des questions RH – et plusprécisément à des problèmes de formation et de recrutement.
En quoi cela concerne-t-il les dirigeants de l’entreprise ? Dans le contexte actuel derenforcement du cadre réglementaire, la révélation de telles défaillances dans un rapportfinancier annuel s’est soldée, pour les sociétés concernées, par un repli moyen de 6,7millions de dollars de leur capitalisation boursière. Les entreprises n’étant pas parvenues àcorriger ces failles dans les 12 mois suivants ont continué à en payer la note, avec unebaisse moyenne de 7,4 millions de dollars de leur valorisation boursière. Pire encore, dans
Livre blanc Oracle – Oracle User Productivity Kit : outil de valorisation de la GRC et de limitation des risques
2
les deux années suivant la publication initiale de ces faiblesses matérielles, lesperformances boursières de l’ensemble de ces sociétés restaient 50,4 % en deçà du restedu marché.
Les sociétés incapables de résoudre leurs problèmes ont donc payé un lourd tribut, avecun déficit de performance cumulé de 62,9 % par rapport au marché, sur l’ensemble de lapériode 2005-2007 étudiée.1
Toutefois, les enjeux de la GRC s’expriment à la fois en termes de risques etd’opportunités. En effet, une entreprise capable de gérer les contraintes réglementairesplus efficacement et plus rentablement que ses concurrents est gagnante sur tous lesfronts. D’un côté elle supprime les coûts considérables de la non-conformité et de l’autre,elle peut enfin consacrer plus de temps et de ressources à des investissements axés surl’innovation et la croissance. Un usage éclairé des technologies constitue un facteurd’écart majeur entre champions de la conformité et retardataires en la matière. Ainsi, chezles champions, « le ratio contrôles automatisés/contrôles manuels est nettement supérieuraux autres sociétés ».2
Ces bons élèves de la conformité encadrent les utilisateurs de leur ERP (EnterpriseResource Planning) et autres systèmes financiers par le biais de formations et de servicesd’assistance performants. L’objectif : favoriser la maîtrise (initiation, surveillance et mises àjour) des contrôles automatiques intégrés aux applications.
Les points à retenir
•• Le besoin de mesures efficaces de gouvernance, de gestion des risques et de conformité
(GRC) est en plein essor à travers le monde.
•• L’efficacité des mesures de GRC dépend en grande partie de la qualité de la formation et de
l’assistance offertes aux utilisateurs d’ERP et d’autres systèmes financiers.
•• Le manque de formations adaptées aux systèmes financiers en place explique certaines
défaillances sur le plan de la GRC – de nouvelles études mettant en évidence l’impact majeur
de ces problèmes de conformité sur la valorisation boursière d’une entreprise.
•• Oracle User Productivity Kit permet d’éviter aux utilisateurs d’ERP de commettre des erreurs
tactiques susceptibles de se transformer en problèmes stratégiques par effet boule de neige.
Livre blanc Oracle – Oracle User Productivity Kit : outil de valorisation de la GRC et de limitation des risques
3
Un besoin de « transparence active »
La loi Sarbanes-Oxley n’est pas la seule réglementation à promouvoir un renforcement des mesures de GRC.
La dernière décennie a vu naître à travers le monde tout un arsenal législatif et réglementaire, avec entre autres,
la mise en place du dispositif Bâle II, et des nouvelles normes ISO et IFRS (International Financial Reporting
Standards).
Avec la globalisation de la chaîne d’approvisionnements, les entreprises ont vu naître un besoin de disposer
d’informations plus précises sur leurs partenaires commerciaux. Mais les managers ne sont pas les seuls à prôner
une amélioration de la visibilité opérationnelle. En effet, législateurs, actionnaires, clients et autres acteurs
concernés exigent également plus de transparence de la part des entreprises.
Dov Seidman, Président directeur général de LRN, et expert reconnu sur la notion de performance
organisationnelle conjuguant principes et rentabilité, décrit cette mutation comme une évolution vers une
transparence « active » : « Pour prospérer dans un monde hyper-transparent », affirme-t-il, « nous devons
apprendre à être “activement transparents” pour tourner à notre avantage une situation propre à notre époque ».3
Effet boule de neige des questions tactiques sur les objectifs stratégiques del’entreprise
Le point de départ du processus de transparence active et de renforcement des capacités de GRC d’une
entreprise se situe au niveau tactique.
L’accompagnement et la mise en œuvre de tels processus exigent que les collaborateurs aient été correctement
formés aux processus métier et à l’ERP en place. La fonction Aide du système doit être suffisamment
documentée ; quant au processus de mise à niveau et de modification du système, il doit être clairement défini
et correctement exécuté. En matière de formation, il convient également de tenir compte des différents styles
d’apprentissage des utilisateurs.
Sans ces mesures, les « problèmes tactiques » apparaissent dans l’entreprise, avec pour corollaire une
aggravation des risques sous divers aspects : tests mal conçus et mal exécutés, processus et documentation
système de qualité médiocre, et mauvaise communication durant la phase d’implémentation du système.
Ces effets secondaires entraînent à leur tour toute une série de problèmes, comme l’incapacité à démontrer la
bonne exécution des processus, des erreurs d’interprétation (et d’exécution) des processus, ou des insuffisances
au niveau de la mise en œuvre des systèmes financiers. Les effets conjugués de ces problèmes compromettent
l’exécution des missions essentielles de l’entreprise, notamment le respect des obligations réglementaires et la
mise en place d’une dynamique visant à développer et maintenir un avantage compétitif. Le non-respect de ces
impératifs met en péril la réalisation des objectifs stratégiques de l’entreprise – objectifs qui influent, la plupart
du temps, sur la performance de l'ensemble du groupe.
Livre blanc Oracle – Oracle User Productivity Kit : outil de valorisation de la GRC et de limitation des risques
4
Problèmes « matériels » imputables aux lacunes de la formation et de ladocumentation
En y regardant de plus près, il semblerait que les faiblesses matérielles impactant les entreprises aux termes de
la loi Sarbanes-Oxley résultent de problèmes tactiques – et soient en grande partie liés au degré de maîtrise des
utilisateurs de systèmes d’informations financières. D’après une étude réalisée par Compliance Week4, les
problèmes de personnel, la documentation, les procédures financières et les systèmes financiers constituent
quatre des six causes de faiblesse matérielle les plus fréquemment invoquées.
Chacun de ces motifs porte notamment sur la capacité de l’entreprise à gérer correctement ses systèmes
financiers, à former et à accompagner convenablement les utilisateurs de ces systèmes. Les collaborateurs ne
bénéficiant pas d’une formation adéquate à l’ERP de leur entreprise et à ses processus système seront davantage
susceptibles de mal documenter les processus métier dont ils sont responsables – une condition pourtant
essentielle de la loi Sarbanes-Oxley, section 404.
Un déficit de formation peut également nuire à la bonne utilisation du système. L’absence d’information sur les
contrôles automatiques prévus pour faciliter le respect des exigences réglementaires en est un exemple criant,
tout comme le risque pour les utilisateurs de se retrouver malgré eux en infraction avec les procédures
financières en place dans le cadre de la politique de conformité de l’entreprise.
Ces lacunes expliquent par conséquent l’importance du système financier et de la formation des utilisateurs
pour les entreprises engagées dans d’importants programmes de conformité Sarbanes-Oxley et, plus
généralement, dans une démarche de GRC. Dans leurs récentes préconisations sur les missions des DSI au
service des directions financières, les analystes Gartner recommandent aux entreprises de faire « évoluer leurs
processus de conformité jusqu’alors basés sur des tableurs et des serveurs de fichiers » pour s'orienter vers une
plate-forme d’entreprise « dotée d’un référentiel commun dédié aux documents de conformité SOX, de
workflows efficaces et d’un reporting flexible ».5
De même, une enquête menée par CFO Research Services révèle qu’une majorité des entreprises cotées
interrogées « préfèrent exploiter les contrôles automatiques au sein de leurs systèmes ERP plutôt que
d’optimiser leurs contrôles manuels », ce afin de renforcer leur démarche de conformité dans le cadre de la loi
Sarbanes-Oxley.6
Enfin, dans l’une de ses récentes publications sur les meilleures pratiques de GRC, le cabinet Deloitte souligne
que « le système d’information fournit les données à l’origine d’une meilleure analyse et d’un décisionnel avisé.
L’automatisation favorise ce processus. »7
Livre blanc Oracle – Oracle User Productivity Kit : outil de valorisation de la GRC et de limitation des risques
5
Savoir transformer les risques en opportunités
« La GRC est une question de personnes et de comportements ». Ce précepte figure dans le guide Deloitte
précédemment cité. Ce point est important pour appréhender le rôle du système d’information dans un contexte
de gouvernance et de conformité. Tout l’intérêt de l’automatisation dépend, en fin de compte, du degré de
formation et d’accompagnement dont les utilisateurs bénéficient. En d’autres termes, la qualité du logiciel se
mesure aux compétences des personnes qui le paramètrent, l’exécutent et l’utilisent.
Oracle UPK aide les entreprises à valoriser le potentiel et les avantages de leurs systèmes ERP dans une optique
GRC. En entreprise, cette plate-forme complète de développement de contenus soutient les stratégies GRC de
réduction des risques humains et technologiques, et permet de recentrer des ressources sur des missions de
croissance. Avec ses avantages tactiques, Oracle UPK offre aux entreprises les moyens de remplir leurs objectifs
GRC stratégiques.
La plate-forme est optimisée pour les applications Oracle (notamment Oracle E-Business Suite, PeopleSoft
Enterprise, JD Edwards EnterpriseOne, JD Edwards World, Siebel et Hyperion), mais aussi pour d’autres
applications comme SAP, Lawson, Maximo, Microsoft, etc.
Gros plan sur les avantages d’Oracle UPK :
• Documentation des transactions système : pour les analyses d’écarts (fit-gap analysis) qui favorisent des gains
de temps et d’argent sur les implémentations et les mises à niveau, ainsi que le détail des étapes de chaque
procédure
• Scripts des tests d’acceptation utilisateur : pour tester les applications avant leur mise en production et
garantir la précision du système
• Outils de conception de tutoriels ultra modernes : pour permettre aux entreprises d’élaborer et d’adapter
rapidement leur documentation, leurs supports de formation en présentiel, et leurs formations en ligne pour
une parfaite adéquation aux besoins de l’entreprise et de chaque apprenant, avec à la clé un transfert optimal
des connaissances
• Aide à la performance intégrée à l’application avec informations transactionnelles et tutorielles. L’avantage :
un support en temps réel garant de l’efficacité des utilisateurs
Dans une perspective GRC, Oracle UPK permet aux entreprises de capter simultanément les processus système
et de produire les documents critiques indispensables à chaque étape du cycle de vie des applications. L’objectif
: assurer une parfaite conformité réglementaire des utilisateurs et de la société. Grâce à l’aide à la performance
intégrée à l’application, les collaborateurs peuvent s’assurer qu’ils utilisent l’application dans le respect des
diverses réglementations et procédures applicables.
Livre blanc Oracle – Oracle User Productivity Kit : outil de valorisation de la GRC et de limitation des risques
6
La documentation fournit, par ailleurs, un journal d’audit en cas de problème : les utilisateurs et auditeurs
internes peuvent ainsi réitérer le fonctionnement présumé d’un processus ou d’une transaction métier, et
signaler les écarts par rapport aux plans initiaux ou les erreurs commises en cours de route. En améliorant le
respect des règles de reporting financier, Oracle UPK se positionne ainsi en gardien de la conformité
procédurale côté utilisateur.
Dernier atout, la formation ne prend pas fin à la date de lancement de l’application. En effet, la formation et le
support restent disponibles dans Oracle UPK tout au long du cycle de vie du système ERP. En cas d’oubli des
acquis ou d’intégration de nouveaux collaborateurs, les utilisateurs retrouvent le contenu des formations au sein
même de l’application.
ConclusionÀ l’ère de la transparence active, utilisateurs, responsables informatiques et cadres dirigeants ont tous un rôle
majeur à jouer dans l’efficacité de leur GRC, et dans les systèmes et formations qui la sous-tendent.
Avant de laisser les acteurs externes – actionnaires, législateurs et organismes de réglementation – passer au
crible les données de votre entreprise, il convient impérativement de cerner l’impact des problèmes tactiques
sur la réalisation des objectifs stratégiques. Le but : éviter les problèmes liés à une mauvaise exploitation de
votre ERP, à une documentation insuffisante de vos processus métier et au déficit de formation de vos
utilisateurs.
Notes1 Bruce Weber, The Valuation Damage from Financial Systems Weaknesses: A Study of SOX Disclosures. Arbeitspapier des Professors für
Informationsmanagement an der London Business School, 17. Juni 2008.2 What We Learned: A Shift from ‘Get It Done’ to ‘Make It Business As Usual. Zusammenfassung einer Untersuchung des 404 Institute, 2008. © KPMG
LLP.3 „Why ‘How’ Matters More Than Ever.“ Dov Seidman, Business Week Online, 26. Juni 2008.4 Bruce Weber, The Valuation Damage from Financial Systems Weaknesses: A Study of SOX Disclosures. Arbeitspapier des Professors für
Informationsmanagement an der London Business School, 17. Juni 2008.5 French Caldwell, John E. Van Decker, Sarbanes-Oxley Update: How to Best Support the CFO. Gartner, 24. Apri 2008. © Gartner.6 Eric Laursen, „Automation and Sarbanes-Oxley Compliance.“ CFO.com, 18. Oktober 2005. © CFO Publishing Corporation.7 Growing Confidence (The Smart Way to Manage Governance, Risk and Compliance). Deloitte, 2008. © Deloitte Development LLC.
Oracle User Productivity Kit : outil de valorisation de la GRC et delimitation des risquesDécembre 2009Oracle CorporationSiège mondial500 Oracle ParkwayRedwood Shores, CA 94065États-UnisRenseignements :Téléphone : +1.650.506.7000Fax : +1.650.506.7200oracle.com
Copyright © 2009, Oracle et/ou ses filiales. Tous droits réservés. Ce document est fourni à titred’information uniquement et son contenu est susceptible d’être modifié sans préavis. Oraclene garantit pas que ce document est exempt d'erreurs, ni qu'il est soumis à d'autres garantiesou conditions, formelles ou tacites, y compris les garanties et conditions implicites de valeurmarchande ou d'adéquation à un usage particulier. Oracle décline notamment touteresponsabilité concernant ce document, lequel ne l’engage en aucune façon, directe ouindirecte, à honorer toute obligation contractuelle. Toute reproduction ou transmission de cedocument, même partielle, sous quelque forme et par quelque procédé que ce soit, et quelqu’en soit l’usage, est interdite sans autorisation écrite préalable. Oracle est une marquedéposée d’Oracle Corporation et/ou de ses filiales. Les autres noms mentionnés peuvent êtredes marques commerciales appartenant à leurs détenteurs respectifs.12/ 09
Oracle s’engage à développer des pratiques et des produits contribuant à protéger l’environnement