+1-416-273-6883 / +1-855-366-8444
hello@blendedperspectives.com

Ré-imaginer la GRC (gouvernance, risque et conformité)

8 janvier 2021

Covid19 ! !! Le vrai risque est-il la façon dont nous gérons le risque ?

Cette pandémie a mis en évidence le fait que de tels chocs externes peuvent avoir un impact opérationnel et financier très important sur les organisations. Dans ce contexte, la gestion des risques n'est pas seulement importante, elle est essentielle à la survie. Mais le véritable risque est-il la façon dont nous gérons le risque ? 

Réimaginer la GRC (gouvernance, risque et conformité) 1

On peut soutenir que de nombreuses entreprises qui disposaient aujourd'hui de solides capacités de gestion des risques auront survécu plus favorablement à cette pandémie. Seul le temps nous le dira.

Dans cet article, nous allons :

  • définir et discuter de la gestion des risques en général,
  • examiner l'approche de Gartner en matière de gestion intégrée des risques (IRM),
  • discuter de l'erreur des "architectures forteresses" et des raisons pour lesquelles elles nuisent à une gestion efficace des risques
  • discuter des problèmes tactiques liés à la manière dont la gestion des risques est effectuée aujourd'hui et enfin
  • proposer une approche de plateforme intégrée.

Définir le risque

Au cœur de la GRC se trouve bien sûr la gestion des risques. La gouvernance et la conformité sont en grande partie là pour limiter ou minimiser les risques. J'aime à considérer le risque comme quelque chose qui ne s'est pas encore produit ou dont l'impact reste à déterminer. Il existe de nombreux cadres pour la gestion des risques, en fonction des types de risques concernés. L'accent sera mis ici sur la gestion des risques de l'entreprise.

Un bon endroit pour commencer ceci discussion est de comprendre les types de risques auxquels la direction doit faire face. La HBR (Harvard Business Review) a publié un article novateur qui préconise également d'éviter la classification des risques en "silos". En d'autres termes, par exemple, les risques informatiques, les risques commerciaux et les risques juridiques.

Réimaginer la GRC (gouvernance, risque et conformité) 2

Le risque peut être considéré comme ;

  1. Évitables - Ils sont généralement de nature opérationnelle et l'approche consiste à les empêcher autant que possible de se produire. Les modèles de règles basés sur le contrôle, comme la conformité, jouent le rôle d'identifier les résultats ou les problèmes qui devront être atténués. Les risques informatiques, par exemple, relèvent largement de ce domaine.
  2. Stratégique - Ces risques peuvent aller du produit aux risques commerciaux ou financiers. De nombreuses entreprises choisissent d'accepter ces risques car ils font partie intégrante de leur ADN.
  3. Externe - Covid 19 en est un bon exemple. L'accent est mis ici sur l'identification des chocs externes et leur traduction en impact sur l'organisation.

Selon les auteurs, les entreprises qui ont réussi ont fait de la gestion systématique des risques une partie essentielle du fonctionnement de l'organisation au niveau exécutif plutôt qu'une fonction compartimentée. Comme pour les transformations, le succès est en grande partie le résultat d'une transparence des progrès - on peut en dire autant de la gestion des risques. Pour nous, une facette essentielle de cette approche est que les risques, lorsqu'ils sont identifiés, doivent être visibles et faciles à analyser dans toute l'organisation plutôt que d'être enfouis dans des feuilles de calcul, des présentations PowerPoint et des systèmes autonomes. Un autre élément clé de cette approche est que la gestion des risques est donc très variable en fonction de la stratégie de l'organisation, de son appétit pour le risque ainsi que de la portée et de l'échelle de ses opérations. À cet égard, il n'existe pas de solution unique. Il est très peu probable qu'une seule application puisse répondre à la complexité des besoins des différentes organisations.

Pour plus d'informations sur ce cadre de gestion des risques, veuillez consulter le site suivant Gestion des risques - un nouveau cadre.

Comment Gartner voit-il la gestion des risques

Suite au cadre de gestion des risques ci-dessus, Gartner parle de cet espace comme d'une gestion intégrée des risques (IRM) qui a une GRC fonctionnelle en fonction de la structure de l'entreprise. domaines. C'est un modèle pratique, mais il montre aussi la complexité de ce domaine.

Réimaginer la GRC (gouvernance, risque et conformité) 3

Comme il s'agit d'un espace riche en acronymes, nous avons prévu un tableau pour accompagner ce graphique funky :

  • DRM Gestion du risque numérique
  • VRM Gestion des risques liés aux fournisseurs
  • BCM Gestion de la continuité des activités
  • AM Audit Management
  • CCO Conformité et surveillance de l'entreprise
  • ELM Gestion juridique d'entreprise

 

Gartner développe ce point plus en détail :

"Gestion intégrée des risques (IRM) est un ensemble de pratiques et de processus soutenus par une culture consciente des risques et des technologies habilitantes, qui améliore la prise de décision et la performance grâce à une vision intégrée de la façon dont une organisation gère son ensemble unique de risques".

Selon la définition de Gartner, l'IRM possède certains attributs :

  1. Stratégie : Mise en place et mise en œuvre d'un cadre, y compris l'amélioration des performances grâce à une gouvernance efficace et à l'appropriation des risques.
  2. Évaluation : Identification, évaluation et hiérarchisation des risques
  3. Réponse : Identification et mise en œuvre de mécanismes pour atténuer les risques
  4. Communication et reportingMise à disposition des moyens les meilleurs ou les plus appropriés pour suivre et informer les parties prenantes de la réponse de l'entreprise aux risques.
  5. Surveillance : Identification et mise en œuvre de processus permettant de suivre méthodiquement la gouvernance objectifla propriété/responsabilité des risques, le respect des politiques et des décisions définies dans le cadre du processus de gouvernance, les risques liés à ces politiques et décisions. objectifet l'efficacité de l'atténuation des risques et des contrôles
  6. La technologie : Conception et mise en œuvre d'une architecture de solution IRM (IRMS)

Pour comprendre toute l'étendue du risque, les organisations ont besoin d'une vue globale de toutes les unités commerciales et des fonctions de risque et de conformité, ainsi que des principaux partenaires commerciaux, fournisseurs et entités externalisées. Pour développer cette compréhension, les responsables du risque et de la sécurité doivent tenir compte des six attributs de la GIR.

Source : Gestion intégrée des risques (IRM)

Nous pensons qu'il s'agit d'une vision louable, mais dont l'exécution laisse à désirer. La majorité des acteurs de leur quadrant magique sont loin de supporter l'étendue des fonctionnalités de leur modèle. 

Le DRM (sécurité) et le VRM sont presque toujours gérés par des processus, des équipes et des outils distincts. Bien entendu, cela ne signifie pas qu'il ne s'agit pas d'un sujet digne d'intérêt. objectif. Cependant, la réalité des organisations d'aujourd'hui est qu'elles souffrent de ce que nous appelons des "architectures forteresses", ce qui est en fait le contraire de l'esprit de la GIR.

L'émergence d'architectures "forteresses

Il est important de souligner que la gestion intégrée des risques doit être effectuée dans toute l'entreprise, selon les critères suivants "une vue complète de toutes les unités commerciales et des fonctions de risque et de conformité, ainsi que des principaux partenaires commerciaux, fournisseurs et entités externalisées".. La grande question est donc de savoir comment ? Aujourd'hui, 70% des équipes Agile utilisent Jira, et un grand nombre d'équipes utilisent Microsoft project et un outil PPM comme Clarity ou Planview. 

La foule ITSM est probablement sur Service Now. La GRC a également son propre monde - peut-être êtes-vous sur Lockpath. Il est juste de dire qu'il y a presque un aspect tribal à cela, ainsi que le contrôle des outils de chaque tribu. Nous connaissons des situations où la tribu responsable de Service Now se plaint amèrement auprès de la direction générale si Jira Service Desk est demandé par les utilisateurs.

Chaque tribu se bat pour son propre territoire. Il nous semble que si des cadres tels que l'IRM, ITIL4 et SAFe appellent davantage à l'intégration de bout en bout, très peu de choses ont changé, du moins pour l'instant, en ce qui concerne les différents silos. 

La photo ci-dessous en dit long.  

Réimaginer la GRC (gouvernance, risque et conformité) 4

L'ironie de ces forteresses est que Gartner perpétue ce problème. Le Magic Quadrant consacre essentiellement un segment de l'informatique, puis classe les meilleures solutions de chaque segment. Il permet aux DSI de se décider plus facilement, mais il n'aborde pas la bonne manière de relever les défis et de trouver des solutions intra-organisationnelles - il justifie simplement chacune des forteresses.

Nous pensons également qu'il dissimule des risques spécifiques dans chaque forteresse, empêchant toute visibilité au niveau de l'entreprise dans son ensemble. Examinons maintenant les risques de certains des cadres concurrents et très crédibles utilisés aujourd'hui dans les organisations pour prouver notre point de vue.

Le risque est dans l'œil du spectateur

Je souhaite présenter quatre petites études de cas qui amplifient les problèmes que peuvent poser les processus et les systèmes de forteresse.

Le risque est traité de manière fonctionnelle dans chacun de ces grands processus :

  1. Risque lié à la gestion de projet
  2. Risque lié à la transformation numérique
  3. Gestion des incidents et alertes (ITIL)
  4. Cas d'entreprise

 

Réimaginer la GRC (gouvernance, risque et conformité) 5

1. Risque lié à la gestion du projet

Tout bon chef de mission tient un journal RAID dans lequel se trouve une liste de contrôle. Registre des risques. Les risques auront généralement un indice de risque composite - probabilité par rapport à l'impact - ainsi qu'une stratégie d'approche du risque et une catégorisation. En général, les chefs de projet conservent ces risques dans des feuilles de calcul ou dans une application dédiée à la planification en cascade, comme Clarity ou Planview, et font apparaître les plus importants d'entre eux dans une présentation Powerpoint. statut rapport. Beaucoup d'administration pour une situation en constante évolution.

Ces risques peuvent être exposés aux parties prenantes de l'entreprise, mais rarement plus loin que cela. Vous pouvez parier que, dans une grande organisation, des milliers de risques sont identifiés par les chefs de projet et les équipes, sans jamais être examinés par l'équipe GRC. Pourtant, avec des budgets informatiques très élevés et des efforts de transformation de l'informatique, cela n'est tout simplement pas suffisant.

2. Risque lié à la transformation numérique

Si de nombreuses organisations ont encore une organisation typique de gestion du personnel telle que celle décrite ci-dessus, beaucoup d'autres connaissent une forme de transformation numérique. Le risque joue ici aussi un rôle important ;

" Risques liés au programme - Au cours de la planification, les équipes ont identifié les risques et les obstacles liés au programme qui pourraient avoir une incidence sur leur capacité à respecter leurs objectifs. objectifs. Ceux-ci sont résolus dans un contexte de gestion plus large, devant l'ensemble du train. Un par un, les risques sont discutés et traités avec honnêteté et transparence, puis classés dans l'une des catégories suivantes : Résolu - Les équipes conviennent que le risque n'est plus une préoccupation.
Approprié - Quelqu'un dans le train s'approprie le risque car il ne peut être résolu lors de la planification de l'IP.
Acceptation - Certains risques ne sont que des faits ou des problèmes potentiels qui doivent être compris et acceptés.
Atténué - Les équipes identifient un plan pour réduire l'impact du risque.
Vote de confiance - Une fois les risques du programme traités, les équipes votent sur leur confiance dans la réalisation de leur IP d'équipe. objectifs."

© Scaled Agile, Inc.

Il est probable qu'un programme Agile à grande échelle dispose de sa propre boîte à outils qui stocke également ces risques. Mais encore une fois, quelle proportion de ces outils est facilement accessible à l'équipe GRC ?

3. Gestion des incidents et alertes (ITIL)

En général, ce sont les opérations informatiques qui gèrent les incidents et les systèmes de production. Le risque fait partie de la nature du jeu. C'est souvent le risque de déployer de nouvelles versiond'applications défaillantes qui soutiennent une équipe d'exploitation informatique indépendante. 

La gestion des changements et la gestion des incidents sont des processus importants dans ce domaine. domaine. ITIL4, le cadre le plus récent, a sa propre approche de la gestion des risques, par exemple la gestion des risques en tant que pratique générale de gestion d'entreprise. Les équipes sont inondées de risques dans les opérations informatiques. Il suffit de penser à toutes les alertes que les équipes d'exploitation reçoivent concernant les performances et la sécurité des applications. Elles sont déjà triées par des systèmes sophistiqués tels que Opsgenie Ces risques sous-jacents doivent également trouver leur chemin vers une fonction centrale de GRC lorsqu'ils sont suffisamment graves.

4. Cas d'entreprise

Pour ne pas être en reste, il est probable que chaque analyse de rentabilité documentée et soumise pour approbation contienne une bonne dose de risques également documentés dans un document Word ou des diapositives PowerPoint.

Ces "risques stratégiques" existeront toujours et sont généralement acceptés par l'entreprise avec des mesures d'atténuation en place. Donc, là encore, beaucoup plus de risques. En fait, on trouve des risques partout, gérés séparément et en silos. Pourtant, nous savons que les risques liés à l'analyse de rentabilité sont souvent basés sur les risques informatiques liés à la livraison et aux coûts. Les risques s'entremêlent donc également dans ces différents silos.

Conclusions - le cas d'une plateforme GRC flexible et intégrée

La gestion des risques est pratiquée à des degrés divers et avec une efficacité variable dans la plupart des organisations. Le problème est qu'elle est trop décentralisée et inaccessible à tout groupe GRC officiel. Malheureusement, nous sommes d'avis que les unités GRC recréent souvent tous ces risques en demandant simplement à toutes les équipes de leur dire quels sont leurs risques, encore une fois. Les équipes GRC devraient être en mesure de "récolte" risques à travers une organisation par le biais d'une plateforme unique qui les rend facilement accessibles. Les risques ne manquent pas - mais ce sont les professionnels expérimentés de la GRC qui peuvent tirer la sonnette d'alarme lorsqu'ils constatent des schémas ou des risques cohérents au sein de l'organisation.

Plus tôt, nous avons discuté de la nature intégrée des meilleures pratiques GRC et du fait que de nombreuses entreprises ont développé des "architectures forteresses". HBR et Gartner ainsi qu'un certain nombre de cadres bien étayés préconisent tous la transparence et une intégration fondamentalement meilleure au-delà des lignes fonctionnelles traditionnelles. Mais il est clair que ce n'est pas le cas.  

Nous pensons qu'il existe une meilleure solution. Jira est un exemple de plateforme qui vous permet de tout gérer. Qu'il s'agisse d'un risque, d'une histoire, d'un contrôle, d'une demande, d'une vente, de "n'importe quoi", c'est configurable dès le départ. C'est ce que nous appelons une plateforme "low code/no code". Nos clients utilisent Jira pour à peu près tout ce que vous pouvez imaginer. Mais l'essentiel est qu'elle peut être utilisée pour fournir une solution intégrée qui brise les architectures fortifiées sans nécessiter un énorme codage personnalisé. Aujourd'hui, nous savons que beaucoup de nos clients, en fait un grand nombre d'organisations (2000+), gèrent les risques dans Jira. Nous observons une tendance à placer tous les risques liés à l'informatique dans Jira.

L'approche que nous adoptons consiste à commencer par un "plan" de solution et une configuration de base de départ.

Réimaginer la GRC (gouvernance, risque et conformité) 6

Comme on peut le constater, Atlassian fournit une base ainsi qu'un marché de milliers d'applications, que nous utilisons pour créer des modèles de solutions sophistiquées. https://www.blendedperspectives.com/solutions/

Réimaginer la GRC (gouvernance, risque et conformité) 7

Cela devient une plateforme unique pour gérer la GRC et remplacer autant que possible les architectures forteresses. Il n'y a pas de frontières dans cette solution (autres que la sécurité et l'accès), ce qui permet aux équipes de GRC de voir tous les risques en temps réel, dès qu'ils apparaissent.

La solution complète se trouve ici https://www.blendedperspectives.com/solutions/grc-governance-risk-and-compliance/ ainsi que discuté plus en profondeur dans notre webinaire Une affaire risquée Lancer une solution GRC d'entreprise entièrement intégrée.

Enfin, l'une des choses que le Covid 19 nous a apprises est qu'il existe des risques très réels et dangereux qui peuvent nous nuire considérablement. La façon dont nous gérons les risques est d'une importance capitale. L'entreprise doit faire preuve d'une transparence totale sur les risques et se débarrasser des architectures de forteresse. 

Réimaginer la GRC (gouvernance, risque et conformité) 8

Regardez notre webinaire sur le lancement de la nouvelle "solution GRC d'entreprise entièrement intégrée" de Blended Perspectives, appelée Synthesis™.

Nous démontrerons le "pourquoi" et le "comment" de notre approche intégrée basée sur les plans de notre solution Synthesis™. De plus, si vous avez déjà Jira et Confluence, nous vous montrerons comment vous pouvez migrer vers une infrastructure que vous possédez déjà en économisant potentiellement des centaines de milliers, voire des millions de dollars, sur une solution GRC autonome.

GRC
fr_CAFR
Partager ceci