Bienvenue sur mon blog

Vedette

Mots-clefs

, , , , , , ,

Résilience : ce terme, appartenant au vocabulaire de la physique, s’emploie initialement pour exprimer la résistance aux chocs des matériaux.
Il fut ensuite utilisé en psychologie afin de préciser l’aptitude d’un être à affronter un stress intense et à s’y adapter.
Citons quelques synonymes de ce terme se rapprochant de notre propos : cohésion, homogénéité, robustesse, solidité, sûreté.
La résilience, nouveau mot à la mode dans les contextes actuels de crise et dans les années à venir, résumant l’agilité nécessaire à tout type d’organisation afin de « survivre » maintenant et dans le futur.
Afin d’éviter toute erreur d’interprétation, ceci n’exprime pas l’idée de revenir à une situation identique (comme résultante d’un Plan de Continuation de l’Activité), mais d’apporter une « assurance » évolutive et permanente des éléments composant, au sens large, tout système de contrôle interne, en corrélation avec la gestion des risques, et l’adaptation des objectifs stratégiques d’une organisation.

Quelle est la nécessité d’élaborer un blog à propos du contrôle interne, qu’une forte majorité de non-praticien considère comme une simple conformité réglementaire ou, dans de petites entités, comme inutile et coûteux?
Si vous consultez Internet à ce sujet, vous constaterez l’existence de peu de blogs traitant de ce sujet. Quelques uns ont pour auteurs des cabinets d’expertise comptable, d’autres émanent de professionnels (secteurs public et marchand).
Ces derniers sont tombés en désuétude par abandon par leurs auteurs.
C’est pour cela que l’expérience est tentée.

Les principaux objectifs de ce blog sont :
– de démystifier les concepts, de démontrer les processus de mise en oeuvre opérationnelle et les « passerelles » menant à la finalité d’un tel système : l’aide au décisionnel.
– d’apporter une vision dynamique et « agile » de l’implantation et de l’évolution
permanente de tout système de contrôle interne.
– de mettre en avant les similitudes, mais aussi les spécificités, entre secteur
« marchand » (privé) et secteur public.
– de mettre en exergue et de montrer les similitudes, mais également les complémentarités, entre le Contrôle permanent et la Qualité.
– d’entamer une réflexion, sous forme de recherche et développement (R&D), des évolutions de la fonction « Contrôle Interne » en tant que telle, mais aussi par rapport aux fonctions de Management des risques, de Conformité (incluant un nouveau phénomène : la protection des données), l’audit interne et la gouvernance.

Cette réflexion est déjà entamée, à l’aide d’une application de curation de contenu, depuis novembre 2011, consultable à l’aide de l’url : http://www.scoop.it/t/recherche-et-developpementcontrole-interne-r-d.
Il serait intéressant qu’un échange interactif de points de vue s’effectue ultérieurement (en premier sur ce blog et en second par l’utilisation de l’url déjà citée).

Enfin, un concept innovant, qui fera l’objet de posts ultérieurs, pourrait permettre au contrôle interne de participer plus amplement à la création de valeur et à l’amélioration de la performance : risques maîtrisés = opportunités.
Le contrôle interne est l’un des moyens de maîtrise des risques. Il offre également la possibilité d’identifier des gisements de valeur au travers de l’utilisation de constats objectifs ressortants du fonctionnement de l’entreprise.
Couplés à une réelle maîtrise de l’information, ceci améliorera de manière significative la prise de décision.

En espérant que les thèmes et les sujets, qui seront traités, participent au Knowledge-Management (KM) que vous recherchez, je vous souhaite une bonne lecture.

Publicités

GDPR : Il faut siffler la fin de la récrée, il est temps que le DSI reprenne son autorité !

Mots-clefs

, , , , , , , , , , , , , ,

partnership-526413_1280

L’intelligence d’une gestion globale des risques implique une organisation transversale et « agile ». Transversalité ne sous-entend pas intervention de différentes fonctions, chacune disposant de sa propre spécificité (spécialistes informatiques, juristes, risk-managers, …), mais la présence d’une organisation fluide et cohérente.

Le meilleur rattachement opérationnel du DPO, afin de pouvoir exercer au mieux sa mission, doit être auprès du DSI. Le DPO s’insérant dans le système de contrôle interne du SI et des outils numériques qui y sont rattachés. Le DSI est l’opérationnel le plus qualifié en termes d’architecture du SI et des bases de données, de leurs contenus et de leur organisation que ce soit de manière indépendante ou par utilisation d’interfaces. Ce qui n’empêche pas la mise en place d’une  communication interactive avec les fonctions principales comme la Conformité, le Risk-management et l’Animation du contrôle interne.

De même, le DPO a sa place dans toute équipe projet, ce qui permet la prise en compte de façon préventive des éléments réglementaires liés à la GDPR (mieux vaut prévenir que guérir).

information-2160912_640 Nous nous focalisons sur les différentes données informatiques et les outils permettant leur entrée, leur traitement, leur interaction, leur conservation, leur archivage et leurs accès tant en interne qu’en externe. Mais n’omettons pas un élément de la protection : l’humain.  En dehors du non respect des règles de sécurité en termes de BYOD, les risques liés à la protection des données sont aussi présents lors de l’impression, du transport, de l’utilisation, du classement, de l’archivage et de la destruction de tout support papier s’y rapportant.

(…)

La GDPR est une belle nouvelle, car c’est une loi qui renforce l’Europe et promeut l’intérêt général des citoyens de l’UE. Elle va dans le sens de la démocratie des usages d’Internet et constitue une réponse démocratique contre l’autocratie de l’internet américain menée avec génie par les GAFA (Google, Apple, Facebook, Amazon).

C’est aussi une incroyable aubaine pour l’ensemble des acteurs de l’économie de service dédié au monde de l’entreprise qu’elle soit côté en bourse ou start-up. Cette loi les concerne directement dès lors qu’un de ses prestataires gère un programme de fidélisation par exemple.http://www.globalsecuritymag.fr/GDPR-Il-faut-siffler-la-fin-de-la,20170925,73906.html

via GDPR : Il faut siffler la fin de la récrée, il est temps que le DSI reprenne son autorité ! — Cybercriminalité

 

A consulter également :

La fonction de DPO attise les convoitises et déclenche des luttes de pouvoirs dans les entreprises

Data protection officer (DPO) : définition, formation et salaire

RGPD, le dossier pour tout comprendre

 

En passant

III Kongres GRC 2017

Mots-clefs

, , , , , , , ,

poland-1713622_1280

Source : Strona Startowa

En passant

Comment bien faire part de vos commentaires sur le projet de ERM COSO ?

Mots-clefs

, , , , , , , , , , , , , , , ,

geometry-1848713_1280

Last July, I submitted written comments and suggestions to COSO on the draft of the ERM framework update. In this post, I remind you of those comments and discuss (see Comment) how well they have been addressed in the final edition. (At the time, I discussed them with several people involved in the update, who […]

Lire la suite

Cyber-vocabulaire : la fin du big data à l’ère digitale

Mots-clefs

, , , , , , ,

dictionary-432041_1280

La DGLFLF publie une nouvelle édition de ses recommandations en termes de vocabulaire des techniques de l’information et de la communication. http://www.cio-online.com/actualites/lire-cyber-vocabulaire -la-fin-du-big-data-a-l-ere-digitale-9696.html

via Cybercriminalité Cyber-vocabulaire : la fin du big data à l’ère digitale — Cybercriminalité

En passant

Bruxelles pose les bases d’un marché unique des données

Mots-clefs

, , , , , , , , , , , , , , ,

map-of-europe-2426540_1280

Afin de booster le marché de l’IoT, la Commission européenne a adopté des propositions législatives pour harmoniser les certificats de cybersécurité et limiter les restrictions au transfert de données non personnelles.

L’année dernière, le président de la Commission européenne, Jean-Claude Juncker, avait mis le paquet sur le numérique dans son « discours de l’Union ». En 2017, la question passe au second plan dans son discours au Parlement européen, avec pourtant deux briques essentielles pour un marché unique des objets connectés : l’interopérabilité des données et la cybersécurité.

Ces propositions qui complètent le règlement européen sur la protection des données doivent « débloquer des opportunités pour l’économie des données dans l’Union européenne« , assure le vice-président de la Commission en charge du numérique, Andrus Ansip, sur son blog. http://www.usine-digitale.fr/article/bruxelles-pose-les-bases-d-un-marche-unique-des-donnees.N586823

Lire la suite

En passant

La France, premier pays européen à adapter son environnement législatif à la blockchain

Mots-clefs

, , , , , , , , , , , , , , , ,

Etablissements financiers

Finance – Banque – Organismes financiers

Le Trésor proposera cet automne un projet d’ordonnance pour faciliter la transmission de certains titres financiers au moyen de la technologie blockchain.

Les professionnels de la finance devraient bientôt disposer d’un cadre juridique plus sécurisant pour l’échange de titres ou de parts de fonds via la blockchain. Le Trésor proposera cet automne un projet d’ordonnance sur le sujet. Ce texte, qui ferait de la France le premier pays à adapter son environnement législatif à la nouvelle technologie, s’inscrit dans le cadre de la loi Sapin II de décembre 2016. Celle-ci « habilite le gouvernement à modifier le cadre législatif pour faciliter la transmission de certains titres financiers au moyen de la technologie blockchain ».

La direction générale du Trésor, qui vient de publier les résultats de la consultation publique du printemps dernier, est désormais entrée dans la phase de rédaction de l’ordonnance. Les acteurs devraient être à nouveau consultés – cette fois sur le texte – dans les semaines qui viennent. https://www.lesechos.fr/finance-marches/gestion-actifs/030547771744-la-france-premier-pays-europeen-a-adapter-son-environnement-legislatif-a-la-blockchain-2113424.php#Tgr2uD0Jt3rT5udt.99

Lire la suite

Protection des données – Des règles plus adaptées pour les petites entreprises

Mots-clefs

, , , , , , , , , , , , , , , , , , , , , , , , ,

debate-1993399_1280

Présentation claire et synthétique pour PME. Mieux vaut quelques images actives qu’un long discours (n’oubliez pas de passer le curseur de votre souris ou votre pointeur sur certaines représentations graphiques, des informations complémentaires vous seront soumises sur le thème indiqué dans la figure).

Je vous fais part de la réaction de @francisjubert (expert des technologies numériques appliquées)  https://twitter.com/francisjubert/status/908259910810566657, que je partage, « Un tutoriel très bien fait qui mériterait d’être largement diffusé au-delà même du monde des PME. »


information-2160912_640 Vérifiez si vous avez besoin d’un délégué à la protection des données (DPO).

Ce n’est pas toujours obligatoire. Cela dépend du type et de la quantité de données que vous collectez, si le traitement des données est votre principale activité et si vous effectuez ces opérations à grande échelle.


Le renforcement des règles relatives à la protection des données à compter de mai 2018 se traduira par un renforcement du contrôle par les citoyens de leurs données ainsi que par l’accroissement des avantages que pourront tirer les entreprises de conditions de concurrence équitables. Un seul ensemble de règles pour toutes les entreprises exerçant des activités dans l’UE, indépendamment du lieu où elles sont établies.
Découvrez quelles sont les incidences pour votre PME.

Lire la suite

En passant

La CNIL ouvre les données de déclarations pour aider la préparation au GDPR

Mots-clefs

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

database-1954920_1280

Nouvelle démarche open-data, la CNIL publie la liste intégrale des déclarations de traitements effectuées depuis 1979. La première cible, ce sont les entreprises déclarantes devant retrouver les déclarations les concernant pour se préparer au GDPR.

Cette semaine, la CNIL a publié en open-data la liste intégrale des formalités préalables accomplies auprès de la CNIL depuis 1979. Le site de l’autorité administrative indépendante propose en téléchargement une série de fichiers CSV aisés à exploiter dans un tableur ou une base de données, chaque fichier comprenant les déclarations des organismes dont les noms sont classés entre deux lettres de l’alphabet (de A à B, C, de D à F, etc.).

Chaque enregistrement intègre : la raison sociale du responsable du traitement, le nom du déclarant, l’adresse de l’organisme, la date de déclaration, la finalité du traitement, un identifiant et le type de déclaration (déclarations simplifiées (DS), déclarations ordinaires (DO), déclarations normales (DN), demandes d’avis (DA), demandes d’autorisation (DT), demandes d’autorisation recherches médicales (DR), demandes d’autorisation évaluation de pratiques de soins (DE)).
http://www.cio-online.com/actualites/lire-la-cnil-ouvre-les-donnees-de-declarations-pour-aider-la-preparation-au-gdpr-9665.html ou http://www.lemondeinformatique.fr/actualites/lire-la-cnil-aide-les-entreprises-a-se-conformer-a-gdpr-69211.html  Lire la suite

En passant

Les atteintes aux données ne sont pas nécessairement dues aux cybercriminels

Mots-clefs

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

suspects-1294323_1280

Adage : « n’imaginez pas un complot là où l’incompétence suffit à expliquer les faits ».

L’assureur Beazley a réalisé une étude de sinistralité sur les pertes de données qui remet en avant les causes accidentelles.

L’adage « n’imaginez pas un complot là où l’incompétence suffit à expliquer les faits » se vérifie une nouvelle fois dans les résultats de l’étude de sinistralité de l’assureur Beazley consacrée aux atteintes aux données. Certes, les cyberattaques par ransomwares ont, selon cette étude, connu une hausse de 50 % et le cybercrime est la première cause des atteintes aux données. Mais 30 % de ces incidents sont causés par une erreur (non-intentionnelle) d’un collaborateur ou d’un fournisseur de service qui disposait légitimement des données. http://www.cio-online.com/actualites/lire-les-atteintes-aux-donnees-ne-sont-pas-necessairement-dues-aux-cybercriminels-9661.html

Lire la suite

En passant

L’« open controlling » pour réveiller la fonction contrôle de gestion

Mots-clefs

, , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

office-875692_1280

Passer du contrôle de gestion (tueur) à la gestion des contrôles (des pépites)

Le journal Les Echos a publié en avril 2017 un article relatif à une étude du consultant Bearing Point, « Les basiques de la transformation de la fonction finance en entreprise ». Parmi les sept recommandations formulées dans l’étude, j’ai été particulièrement interpellé par la quatrième d’entre elles.

En effet, que ce soit dans la presse économique ou orientée « business », c’est la première fois que j’y lisais une telle préconisation, à savoir que le DAF (Directeur administratif et financier) devait « Passer de la position de frein à l’innovation, au rôle de promoteur » !

Outre sa pertinence et son originalité, ce conseil développe une puissance exceptionnelle car il s’adresse directement au DAF ou au directeur du contrôle de gestion « corporate » de l’entreprise, et pas simplement au responsable financier d’une société d’ingénierie, ou au contrôleur de gestion d’une activité de R&D et d’innovations.

Cette reconnaissance médiatisée du rôle si particulier que doit jouer la fonction finance – gestion de n’importe quelle entreprise face à l’innovation conforte les travaux que nous avons réalisés avec Sophie Hooge, et rassemblés dans l’ouvrage Performance de la R&D et de l’innovation (Presses des Mines de Paris,2016).

Lire la suite