Les principales nouveautés de la version 4 d'ARCM, l'outil de Software AG dédié à la GRC

Nouvelle version majeure de l'outil ARIS Risk & Compliance Manager - ARCM

Joelle Tardy, responsable pour la France de l’activité « Risk & Compliance » au sein de l’éditeur Software AG, nous a fait découvrir en avant première les principales nouveautés de la version 4.0 de l’outil ARIS Risk & Compliance Manager (ARCM).

ARCM est le composant de la plateforme ARIS dédié à la gestion des risques, de la conformité et plus généralement de la gouvernance d’entreprise. Cet outil fait donc partie de la famille des outils de la GRC (Governance, Risk and Compliance).

La relation est étroite entre le domaine de la GRC et celui du BPM. Il est donc légitime de voir les grands éditeurs du BPM proposer des solutions dans le domaine de la GRC, ce pour trois raisons principales :

1. Une grande partie des risques d’une entreprise ou d’une organisation est directement associée l'exécution des processus opérationnels.
2. La mise en œuvre d’une démarche de GRC impose la mise en œuvre de processus rigoureux dédiés à l’évaluation des risques et à la mise en œuvre de dispositif de contrôles
3. Les référentiels de gouvernance (référentiels de risques, de contrôles, etc) peuvent être représentés sous formes de modèles (arborescence de risques, de contrôles,etc), ce que propose la plupart des outils de modélisation du marché

La nouvelle version ARCM 4.0 est une version majeure qui apporte 3 principales fonctionnalités :

1. Un renforcement du niveau d’intégration entre le management des Risques et de la Conformité avec le management des processus de l’entreprise,
2. La mise à disposition d’un outil, Easy Customizing, dédié à l’accélération de la mise en œuvre de l’outil en mode autonome,
3. Un nouveau module « Audit Management » pour accompagner les clients dans la planification, l’exécution et le reporting des audits en liaison avec les autres informations GRC gérées dans l’outil.

La solution ARIS GRC et ses différents modules

Nous vous proposons dans cet article de détailler deux nouvelles fonctionnalités que nous avons eu l'occasion de parcourir avec Joelle Tardy.

ARCM Easy Customizing

La nouvelle version d’ARIS Risk & Compliance Manager 4.0 propose un outil permettant de configurer rapidement et simplement la plateforme ARCM.

Cette configuration est rendue accessible à tous au travers d’une configuration de type xml (modification des formulaires, listes, workflows, règles, rôles, reportings et statistiques, notifications, etc).

Cette nouvelle approche a pour principaux objectifs de permettre :

• Une réduction du temps de mise en oeuvre de l’application,
• Moins d'efforts dans des projets de migration futurs (compatibilité de la solution configurée avec les futures mises à jour de l’outil ARCM),
• L’autonomie des clients vis-à-vis de l’éditeur

Définition des plans d'audit avec ARIS

La nouvelle version d’ARIS Risk & Compliance Manager 4.0, dispose d’une nouvelle fonctionnalité de gestion des Audits : "Audit Management".

ARIS Risk & Compliance Manager permet en effet de fournir l’ensemble des données pour un audit. L’outil dispose déjà de modules pour la gestion de tests, la gestion des plans d’action, la gestion des risques, la gestion d'enquêtes et la gestion des déficiences, permettant ainsi de documenter toutes les informations pertinentes pour un audit.

Le processus de gestion des audits dans ARCM est subdivisé en quatre processus principaux :

La première étape du processus correspond à la planification de l’audit. Dans cette phase, l'audit et ses étapes doivent être définis et mis en phase, les personnes responsables affectées à l’audit ainsi que la portée de celui-ci.

Pour avoir une meilleure vue d'ensemble, toutes ces informations peuvent être documentées dans l’outil de modélisation de la solution (ARIS Business Architect ou ARIS Business Designer). Pour la documentation du plan d’audit, un modèle de type "calendrier de projet" va permettre de planifier l’audit, ses ressources etc. La méthodologie complète avec tous les nouveaux attributs et les connexions utilisées pour la gestion des audits est disponible dans ARIS Business Architect 7.2.2.

Exemple de modèle de planification de l’audit

Exécution des plans d'audit avec le nouveau module "Audit Management"

Le contexte de l’audit peut s’appuyer sur de multiples périmètres caractérisés par une entité organisationnelle, un processus, un système d'information, une catégorie de risque, ou encore une norme règlementaire.

Dans ARIS Risk & Compliance Manager, il sera possible de visualiser toutes les  informations pertinentes relatives à tous ces éléments. Ceci permettra par exemple de visualiser les résultats des campagnes de test, les évaluations de risques, les plans d’actions en cours, les résultats des questionnaires, etc, pour chaque périmètre retenu.

Le plan d’audit est ensuite exécuté dans ARIS Risk & Compliance Manager 4.0, ou les différents rôles (propriétaire de l’audit, ou d’une sous-tâche d’un audit, superviseur de l’audit, responsable de l’audit, etc) vont être prévenus par mail des différentes tâches qu’ils doivent accomplir dans le cadre du plan d’audit :

• Exécution des étapes de l’audit
• Préparation et vérification des documents, par exemple, document de travail, des listes de contrôle, des évidences,  documents applicables etc
• Téléchargement des documents
• Visualisation des différents éléments relatifs à la portée de l’Audit (résultats des campagnes de test, des évaluations de risques, plans d’actions, questionnaires, incidents et pertes, déficiences, etc) :

Visualisation dans ARCM 4.0 des éléments (ici résultats de tests) rattachés à un audit

Ce nouveau module Audit Management et son intégration avec les autres modules existants d’ARIS Risk & Compliance Manager 4.0 vont permettre de :

• Réutiliser des meilleures pratiques : les utilisateurs peuvent définir leur propre modèle d’audit, pour différents types d'audit (audit de processus, audit organisationnels, audit de sécurité, l'audit informatique, etc)
• Préciser les responsabilités définies au travers du workflow : les différentes ressources de l’audit  sont  assignées à des tâches et des responsabilités claires,
• Proposer une meilleure vue d'ensemble sur les tâches à venir et le temps de préparation et d’éxécution,
• Apporter une flexibilité accrue pour la planification : ajuster les changements de dates, les horaires, les situations facilement, Identifier les interférences avec d'autres audits ou ressources Visibilité en temps réel des statuts et des conclusions des audits,
• Identifier les processus ou sites critiques  sur la base des résultats des activités de GRC gérées dans l’outil,
• Identifier rapidement les dysfonctionnements au travers des informations GRC et de l’orientation Processus ,
• Réutiliser des informations relatives à la gestion des risques et de la conformité à des  fins d’audit : toutes les preuves / évidences  pertinentes GRC dans un système unique au lieu d’informations en silos indépendants dans diverses applications non intégrées,
• In fine, réduire les coûts d'exécution des programmes d'audit.

La nouvelle version d’ARIS Risk & Compliance Manager permet  ainsi d’assurer la continuité et l’intégration de l’ensemble des activités de pilotage des risques et du contrôle interne et autres activités liées à la GRC : de la modélisation des données maîtres au travers de la démarche processus, à l’établissement de la cartographie des risques, la mise en œuvre et le suivi du contrôle interne, la gestion des actions correctives, l’audit et le reporting.