Découvrez nos solutions sans obligation d’achat
Préparez-vous à une nouvelle série de mots à la mode qui vont s’abattre sur votre département informatique : gouvernance, gestion des risques et conformité. La gouvernance, la gestion des risques et la conformité est un terme qui décrit le processus par lequel les risques sont traités, la gouvernance d’entreprise est gérée et les lois sont respectées. Elle couvre la gestion des parties prenantes internes et externes de l’entreprise, telles que les employés, les clients, les fournisseurs, les partenaires, les salariés et les membres de leur famille, ainsi que la conformité aux politiques et procédures de l’entreprise. La gouvernance et la conformité aux risques, ou GRC en abrégé, désigne la pratique de la gestion de la conformité aux lois, règlements, procédures et politiques propres à une entreprise. [Sources : 8,13,6,6]
Le GRC (Governance, Risk Management and Compliance), également appelé GRC, est la manière dont une organisation traite les trois domaines qui l’aident à atteindre ses objectifs : la gouvernance, la gestion des risques et la conformité. Il s’agit de gérer les parties prenantes internes et externes de l’entreprise, telles que les employés, les clients, les fournisseurs, les partenaires, les employés et les membres de la famille, ainsi que l’adhésion aux politiques et procédures de l’entreprise. [Sources : 11,15]
La différence entre la gouvernance et la gestion des risques est que la gouvernance est un cadre, la gestion des risques est un mécanisme, et les deux principes conduisent au succès à long terme pour les grandes et petites organisations. La différence entre les deux est que la gouvernance a été la création de la théorie et est le cadre et les mécanismes sont appliqués. [Sources : 9,1]
La gestion des risques est une tâche complexe qui nécessite de multiples parties prenantes et l’implication de différents départements. Il existe de nombreux fournisseurs d’applications informatiques qui traitent cette question, mais la plupart des entreprises utiliseront un ou plusieurs systèmes de gestion des risques, tels que les cadres de gestion des risques (ERM), de gestion des risques (RMM) et de gouvernance. Alors que de nombreuses entreprises sont passées à un « cadre de gestion des risques » qui s’applique à tous les aspects de leurs processus d’affaires, des processus commerciaux aux opérations, le processus de gestion des risques est toujours celui qui utilise l’ERM. Ce domaine a été abordé en créant un cadre de gouvernance qui traite des processus d’affaires et de la gestion des risques. [Sources : 7,3,13,8]
En introduisant la gestion des risques à l’échelle de l’entreprise, ces pratiques améliorent considérablement la gouvernance d’entreprise en mettant de meilleures informations entre les mains des administrateurs. Les lignes directrices du TSE contribuent à souligner l’importance de cette initiative et à permettre aux gestionnaires de risques de rehausser le profil de la gestion des risques au sein de leur entreprise. Comme l’ont constaté les auteurs, les entreprises performantes ont une meilleure discipline en matière de gouvernance, et les organisations dotées d’une bonne gouvernance intègrent mieux et de manière plus transparente la gestion des risques dans les principaux processus opérationnels. Statistiquement, les organisations qui n’ont pas une meilleure gouvernance ont généralement des risques plus faibles, des bénéfices plus élevés et des coûts plus bas que les organisations qui ont une bonne gouvernance, ont-ils constaté. Une étude récente du US Government Accountability Office (GAO) fournit des conseils sur la manière d’améliorer la gestion des risques. Sources : 14,14,1]
Un cadre et un processus normalisés pour la gestion des risques permettent une évaluation et une gestion uniformes des risques et facilitent l’examen de l’efficacité du processus. La gestion des risques ne garantit pas le succès, mais elle crée un cadre permettant aux conseils d’administration et aux organisations de réfléchir à leurs activités commerciales et d’évaluer leurs risques et les risques auxquels ils sont confrontés, puis d’introduire des moyens pour atténuer ces risques. La réussite de la gouvernance des risques dépend donc de la manière dont le conseil d’administration et la direction peuvent gérer conjointement les risques. Sources : 10,12,7]
L’accent est mis sur la gestion des risques de l’entreprise (ERM), qui décrit comment une organisation aborde et gère les risques. En effet, les lignes directrices de la TSE encouragent les entreprises à adopter une approche de gestion des risques de l’entreprise (ERM) qui soit cohérente avec leur méthodologie de gestion des risques, laquelle utilise une combinaison d’évaluation, d’atténuation et de gestion des risques. Les cadres (figure du haut) sont formulés et réglementés par des procédures spécifiques, telles que les cadres d’évaluation et de gestion des risques (RAM) et de gestion des risques (RP). Sources : 10,3,14]
Dans un environnement de cybersécurité, la gestion des risques implique la mise en œuvre d’un processus complet de gestion des risques informatiques qui alimente les fonctions de gestion des risques à l’échelle de l’entreprise, notamment l’évaluation, la gestion, l’atténuation et la réduction des risques. Dans le contexte informatique, cela signifie qu’un « processus complet de gestion des risques informatiques » est introduit dans toutes les fonctions de gestion des risques à l’échelle de l’entreprise. Sources : 2,5]
Le gouvernement d’entreprise définit la responsabilité de la gestion des risques au sein d’une organisation et définit les moyens et les niveaux auxquels la gestion des risques est mise en œuvre. La gestion des risques de l’entreprise consiste à gérer les risques globaux d’une organisation pour s’adapter à sa gouvernance et à sa tolérance au risque. [Sources : 17,0]
Dans les structures du conseil de gouvernance d’entreprise, la responsabilité de la supervision de la gestion des risques incombe généralement au comité d’audit, mais peut être partagée par le comité des risques si l’entreprise en possède un. Même en l’absence d’un membre du conseil de direction, des problèmes peuvent se poser en matière de gestion des risques, comme la supervision primaire de la gestion des risques. Comme mentionné, les comités de gouvernance des risques évaluent les risques à l’aide de processus de gestion des risques standard adaptés aux besoins de leurs entreprises respectives. Les décisions prises par ces organes et d’autres doivent tenir compte de l’ensemble de la gestion des risques d’une entreprise. Chaque comité de gestion des risques d’une banque examine de manière indépendante le risque de la banque et évalue les risques en fonction d’un ensemble standard de normes et de risques, ainsi que d’un processus adapté aux exigences de sa tolérance au risque et de sa gouvernance. [Sources : 0,16,7,4]
Sources :
- [0] : https://diligent.com/en-gb/blog/how-does-risk-management-relate-to-corporate-governance-diligent/
- [1] : http://futureofcio.blogspot.com/2012/11/board-room-debate-governance-vs-risk.html
- [2] : https://www.cio.com/article/3206607/what-is-grc-and-why-do-you-need-it.html
- [3] : https://www.enisa.europa.eu/topics/threat-risk-management/risk-management/current-risk/business-process-integration/governance
- [4] : https://analystprep.com/study-notes/frm/part-1/foundations-of-risk-management/governance-of-risk-management/
- [5] : https://blog.eccouncil.org/what-is-governance-risk-management-and-compliance/
- [6] : https://www.vaultes.com/governance-risk-and-compliance/
- [7] : https://www.csoonline.com/article/2118508/risk-governance-understood.html
- [8] : https://www.networkworld.com/article/2298611/governance–risk-management-and-compliance-and-what-it-means-to-you.html
- [9] : https://www.amazon.com/Governance-Risk-Management-Compliance-Us-Avoiding/dp/1118024303
- [10] : https://cio-wiki.org/wiki/Risk_Governance
- [11] : https://www.ibm.com/cloud/learn/grc
- [12] : https://www.governancetoday.com/GT/Articles/The_foundations_of_good_governance_Part_3__Risk_management.aspx?WebsiteKey=0cf4306a-f91b-45d7-9ced-a97b5d6f6966
- [13] : https://learn.g2.com/grc
- [14] : https://iveybusinessjournal.com/publication/stronger-corporate-governance-and-its-implications-on-risk-management/
- [15] : https://tallyfy.com/guides/governance-risk-management-compliance-grc/
- [16] : https://corpgov.law.harvard.edu/2018/03/20/risk-management-and-the-board-of-directors-5/
- [17] : https://github.com/cloudsecurityalliance/CSA-Guidance/blob/master/Domain%202-%20Governance%20and%20Enterprise%20Risk%20Management.md