Fermer

octobre 1, 2020

Principaux risques pour 2020 et comment impliquer toutes les parties prenantes


Partie 11 de la série « Contrôles et gestion des risques»

La prédiction des risques est parfois plus un art qu'une science. Et ce blog ne parle pas de notre état actuel de préparation à un scénario de pandémie comme celui auquel nous sommes confrontés avec le coronavirus. De plus, n'étant pas médecin, je ne suis certainement pas qualifié pour commenter.

Ce blog se concentrera plutôt sur des rapports qui consolident les points de vue sur les principaux risques pour l'année à venir, mais avec une nouvelle tournure, j'espère.

In gouvernance, risques et conformité, nous nous concentrons généralement exclusivement sur les risques commerciaux – donc ceux fournis par les dirigeants. Ici, je veux comparer ces contributions avec les préoccupations de la communauté au sens large en ce qui concerne les principaux risques qu'elle estime être les plus urgents.

D'après mon expérience, les parties prenantes du processus de gestion des risques, qu'il s'agisse d'employés, de sous-traitants, et ainsi de suite, seront beaucoup plus impliqués s'ils peuvent se rapporter – personnellement, c'est-à-dire – aux événements à risque qu'on leur demande de gérer. Présenter ces risques uniquement du point de vue de l'organisation les coupe de ce lien. Je voudrais proposer quelques réflexions sur la manière de concilier les points de vue, les entreprises et la communauté, pour garantir un résultat positif pour les deux parties. À cette fin, j'ai sélectionné deux rapports:

  • Initiative de gestion des risques d'entreprise (ERM) de l'Université d'État de Caroline du Nord – Executive Perspective On Top Risks 2020 : NC State a travaillé avec Protiviti dans le domaine de l'arpentage membres et dirigeants du C-suite dans le monde entier sur les risques susceptibles d'affecter leurs organisations au cours des huit dernières années.
  • Forum économique mondial (WEF) – Global Risk Report 2020 : Les conclusions du WEF sont basées sur une enquête auprès de membres de communautés diverses. Le WEF a également travaillé avec des universitaires (Université nationale de Singapour, Université d'Oxford et Université de Pennsylvanie) pour cette 15 e édition du rapport.

Principaux risques de la NCSU Enterprise Risk Management Initiative

Sur les 10 principaux risques identifiés, trois sont généralement inclus dans le cadre de contrôle interne: l'impact des modifications réglementaires (# 1), les cybermenaces (# 6) et la confidentialité et la sécurité de l'information (# 7).

Ces trois risques sont non seulement de nature opérationnelle, mais comportent également des aspects intrinsèquement de non-conformité, ce qui explique pourquoi ils sont également surveillés par les équipes de contrôle et de conformité.

Malheureusement, les propriétaires de contrôle ont parfois l'impression de simplement «cocher la case» lorsqu'ils exécutent les activités de contrôle liées à ces risques. En conséquence, l'efficacité du programme de réponse aux risques qui les entoure est souvent remise en question.

La question devient donc: Comment pouvons-nous changer cette perception d'une simple «approche bureaucratique de gestion des risques» et accroître l'engagement de sorte que les risques soient adéquatement pris en charge? C'est là que le deuxième rapport entre en jeu.

Principaux risques du WEF

Du WEF, et donc du point de vue de la communauté au sens large, les principaux risques concernent principalement quatre catégories:

  • Environmental: ] action climatique, conditions météorologiques extrêmes, etc.
  • Technologique: cyberattaques, panne des infrastructures d'information, etc.
  • Sociétal: crises hydriques et alimentaires, maladies infectieuses, etc.
  • Géopolitique: ] conflits interétatiques, échec de la gouvernance mondiale, etc.

Bien entendu, la plupart des organisations ne peuvent à elles seules atténuer ces risques. Mais certains des risques qui empêchent les cadres de dormir la nuit sont également énumérés ici.

Faire en sorte que les deux points de vue se rencontrent

Les gouvernements poussent généralement de nouvelles réglementations pour mieux protéger les consommateurs ou les investisseurs, mais aussi pour répondre aux certains des risques environnementaux et sociétaux. Par exemple, des réglementations récentes en matière d'environnement, de santé et de sécurité (EH&S) ont été publiées pour réduire la pollution et tenter de lutter contre le changement climatique. En outre, les pays où l'eau est déjà une ressource rare ont introduit des lois sur l'eau. Ce sont des réglementations que les entreprises doivent respecter et, en tant que telles, font partie de «l'impact des changements réglementaires et de l'examen minutieux sur la résilience opérationnelle, les produits et les services», classé parmi les principaux risques en 2020 par les dirigeants.

Foster more l'implication des employés et autres parties prenantes

Les risques n ° 6 (cybermenaces) et n ° 7 (confidentialité / gestion de l'identité et sécurité de l'information) s'alignent parfaitement sur les risques technologiques du rapport du WEF. Par conséquent, au lieu de simplement viser le respect d'une approche «cocher la case», pourquoi ne pas présenter le règlement d'une manière à laquelle les employés – ou toute autre partie prenante – peuvent s'identifier?

  • Les réglementations environnementales à travers le monde ne le sont pas. conçu uniquement pour réduire les coûts en réduisant l'utilisation de la consommation d'énergie ou en réduisant les déchets grâce à des méthodes de recyclage, mais, plus important encore, pour protéger l'eau et d'autres ressources.
  • Réglementations sur la confidentialité des données telles que le règlement général de l'UE sur la protection des données (GDPR) ou le Le Consumer Privacy Act (CCPA) aux États-Unis est vraiment axé sur la protection de nos données personnelles – en tant que consommateurs et citoyens.
  • Et la législation souvent perçue comme ayant peu de valeur ajoutée, la Sarbanes Oxley Act, ne vise pas à créer plus de travail pour organisations de conseil et éditeurs de logiciels. Il s’agit de protéger l’investissement du public en garantissant la véracité des états financiers des entreprises.

En présentant les risques commerciaux avec une «lentille citoyenne», je crois fermement que les programmes de gestion des risques seraient plus efficaces. Les parties prenantes au processus seront plus impliquées à la fois pour représenter adéquatement le risque et atténuer l'effet de la menace ou essayer de réduire sa probabilité.

Pensez-vous que je suis trop naïf? J'ai hâte de lire vos réflexions et commentaires sur Twitter @TFrenehard

Si vous souhaitez en savoir plus sur ce sujet et en discuter, jetez un œil à la SAP Conference on Application and Information Security – Building Digital Trust qui aura lieu les 20 et 21 octobre 2020 à Dublin, Irlande.

En savoir plus sur le logiciel SAP pour la gestion des risques d'entreprise . Cet article a été initialement publié sur SAP Community et est republié avec autorisation.

Suivez SAP Finance en ligne: @SAPFinance (Twitter) | LinkedIn | Facebook | YouTube




Source link