Gouvernance d’entreprise, risk management et conformité
13/01/2013 | Estelle Hanot | Autres || 4 commentaires
LE CERCLE. Les différentes crises de ces dernières années ont conduit les entreprises et les grands de l’audit à revoir leur approche de la GRC (governance Risk Compliance). Suite à l'étude réalisée et publiée en janvier 2013, par Deloitte et Forbed Insights, 91 % des personnes interrogées ont indiqué des plans de réorganisation et priorisation de leur approche de l’environnement du risk management.
Suite au climat de volatilité du business actuel, plusieurs études ont été menées par les Big 4 (PWC, Ernst & Young, Deloitte, KPMG). Celles-ci sont principalement axées sur le risk management qui était par le passé l’apanage du secteur de l’assurance.
Plus de la moitié des spécialistes interrogés croient que la volatilité des risques sera dans les domaines de la technologie, de la régulation et en géopolitiques, elle pourrait augmenter les trois prochaines années. Les efforts dans l’ERM (Entreprise Risk Management) vont s’intensifier ainsi que le rôle des CIOs*.
Dans leur questionnaire, l’une des informations collectées, fut la mise en évidence des cinq sources de risques les plus importantes en volatilité (Source : Deloitte Development LLC) :
- L’environnement économique global : 41 %
- Les budgets (dépenses) des gouvernements : 32 %
- Les changements de législations : 30 %
- Les médiats sociaux : 27 %
- Les risques financiers : 27 %
Les nouveaux challenges pour les CIOs seront une augmentation des initiatives en ERM qui devront être adressées aux actionnaires siégeant. La tâche n’étant pas aisée, ils seront amenés à expliquer de manière claire les évolutions des risques de leur compagnie.
Il faudra aussi sécuriser davantage les supports d’informations de leur business en présentant des propositions de stratégies et en définissant les budgets devant être alloués à cette tâche. La bonne nouvelle est qu’il existe maintenant une reconnaissance de la discipline par les plus hautes instances de l’entreprise.
Graphisme Source : Deloitte Consulting, LLP
Comment créer une feuille de route en GRC ?
Aux États-Unis, différentes entreprises se sont spécialisées dans la discipline afin de répondre à ce nouveau challenge. David Walter, RSA directeur pour Archer eGRC Solutions, a présenté lors d’un séminaire à Washington DC des pistes vers lesquelles les compagnies pourraient s’acheminer.
Il existe différents modèles de GRC avec un cycle de vie déjà très avancé, dans ces derniers il existe 4 étapes principales :
- Étape 1 : Réagir à l’idée de mise en place de la GRC (en opposition à l’implantation d’un programme), c'est de préparer le terrain pour la mise en place de nouvelle conformité sans pour autant vraiment comprendre quel est le point de vue et la stratégie.
- Étape 2 : L’anticipation : bien des organisations sont à ce stade, quel horizon ont-elles et de quelles manières devront-elles réagir pour y faire face, et être plus efficace dans la réaction ?
- Étape 3 : La collaboration : comment combiner le risk management et l’audit management, et identifier les risques globaux afin de prioriser les fonctionnalités ?
- Étape 4 : L’orchestration, c’est l’étape finale où le management doit travailler de concert afin d’harmoniser la GRC, cela signifie : développement durable, consistance, efficacité, transparence. L’utilisation de plateforme avec une visualisation transparente est un exemple d’orchestration.
Qui sont les acteurs ?
Des comités de structuration composés de personnes hautement qualifiées, avec une expérience significative et respectée de la pratique journalière de sa discipline dans différentes fonctions citées ci-dessous, doivent être mis en place afin d’atteindre l’objectif pour que la gouvernance et la gestion des risques de l’entreprise soient un succès.
Selon l’entreprise GRC Solution inc., il est nécessaire de visualiser la GRC en tenant compte :
- Des alignements de stratégies,
- De la valeur délivrée,
- Du risk management,
- Des ressources humaines disponibles et du management,
- Des mesures de performances.
Dans le domaine du business international, et dans les multinationales, il est nécessaire de mettre en place la GRC dans quatre domaines majeurs :
- Département juridique,
- Les départements techniques et de la technologie,
- Les départements financiers,
- Et enfin les départements opérationnels.
Afin d’atteindre ces challenges, il est nécessaire de définir les critères, la flexibilité et les supports afin de supporter les innovations et les programmes ayant une valeur ajoutée.
Donc le succès dépendra :
- De la culture de l’entreprise et de l’engagement, de la collaboration et des transferts de connaissances.
- La régularité des meetings et des mesures communes.
- La priorisation des règles de sécurités de l’entreprise sur base de ligne de configuration.
- La capacité de lier les services aux revenus, les configurations aux services, les processus à la production, et les employés au contrôle.
Pour y réussir, il faudra apporter :
- La culture du changement par un accompagnement,
- La culture de causalité (en sciences sociales, la causalité est la recherche des facteurs ayant amené tel ou tel phénomène social, c’est aussi la notion de cause et effet),
- La culture de conformité et du désir de continuité réduisant les variances.
Et dans quel but ?
Ajuster et augmenter le nouvel environnement du risk management, qui par le passé était réservé uniquement au secteur de l’assurance.
Définition
* Chief information officer (CIO), ou Chief Technology Officer (CTO) ou Information Technology (IT) Director, est le titre utilisé communément dans les entreprises anglophones, celui-ci est donné au Senior Executive responsable de la technologie de l’information et des systèmes informatiques qui ont pour but le développement des objectifs de l’entreprise. Le titre de Chief Information Officer dans les grandes écoles peut être la plus haute distinction d’un spécialiste hautement qualifié ou expérimenté en technologie, tout dépendra de l’institution, alternativement ces titres sont utilisés pour cette position. Généralement, le CIO reporte au Chief executive officer, Chief operations officer ou Chief financial officer. Dans une organisation militaire, ils reportent aux officiers de commandement.
Bonjour,
Merci pour cet éclairage méthodologique.
Comment positionneriez-vous le référentiel SI Cobit®5 de l'ISACA® dans une mission GRC ?
“COBIT® is a registered trademark of the Information Systems Audit and Control Association® (ISACA®).
Je vous remercie d’avoir donné certaines références de normalisation applicable à la GRC, j’ajouterais la norme ISO 27001 section 4 bien connue et j’attire aussi l’attention sur les législations locales qui doivent être appliquées (ainsi que la NIST SP 800-39).
L'ISACA® étant le Risk IT Framework, il est positionné dans la Gouvernance de l’IT Management.
Malheureusement, je ne suis pas en mesure de donner un benchmark du SI Cobit®5 que vous évoquez, car d’une part mon rôle n’est pas de l’évaluer, et ensuite, c’est aux équipes de chaque entreprise d’appliquer et c’est un projet qui ne peut se mesurer qu’après au minimum deux années de mise en application.
Merci de votre contribution à cet article.
Estelle Hanot
"[Cobit 5, une des] références de normalisation applicable à la GRC".
Cobit 5 n'est pas présenté par leur auteurs comme un norme à l'instar de l'ISO 38500 (la norme proposé par l'ISO en matières de gouvernance de SI).
Selon leur auteurs eux-mêmes, c'est un "globally accepted framework", soit mot à mot un "cadre de travail globalement accepté" que certains désignent par "référentiel SI" ou "Best Practice".
http://www.isaca.org/cobit/pages/default.aspx
Je suis tout à fait en accord avec cette position traduite par "Globally accepted", car la technologie de l'information est représentée dorénavent dans tous les départements d'une entreprise, d'une banque ou d'un groupe multinational. Il est à préciser que la GRC est en provenance des USA, et qu'il existe des directives européennes applicable dans nos pays qui ne sont pas identiques aux référenciels américains. il est important de souligner que par exemple il y a des différences flagrantes concernant les bases de données de personnes, et que nos pays sont mieux protégés qu'à l'étranger, et qu'elles doivent être aplliquées de manière obligatoire et non en "Best Practice".
Par exemple la directive 95/46/CE dont la définition ci-dessous provient de Wikipedia:
La directive 95/46/CE constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Publiée au Journal officiel de l'Union européenne du 23 novembre 1995, elle est officiellement intitulée « directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ».
Elle ne couvre pas les données personnelles traitées dans le cadre du troisième pilier de l'UE, à savoir la coopération policière et judiciaire en matière pénale, ce qui inclut l'ensemble des fichiers de police, de justice et de renseignement. Par ailleurs, elle ne concerne que la réglementation des Etats-membres ; les données personnelles collectées par des institutions communautaires sont régies par le règlement 45/2001, lequel institua le Contrôleur européen de la protection des données (CEPD). La directive 95/46/CE institua, elle, le G29 afin de coordonner l'activité des différentes autorités de protection des données personnelles.