Qu’est-ce que le GRC ? L’importance croissante de la gouvernance, du risque et de la conformité

« La gouvernance consiste à déterminer qui fait quoi, comment et sur la base de quelles données », explique Tilcia Toledo, directrice générale principale de FTI Consulting. « La gouvernance concerne qui est présent dans la salle, ce qu’ils sont autorisés à faire ou ne pas faire, quelles sont les données sur lesquelles ils s’appuient et quelle est la cadence de leurs actions. »

Toledo affirme que la gouvernance s’applique à plusieurs niveaux au sein de l’organisation, garantissant que le conseil d’administration, la direction et les travailleurs comprennent les règles, les respectent et subissent les conséquences s’ils ne les respectent pas.

Risque: La composante de gestion des risques de GRC garantit que tout risque associé aux activités organisationnelles est identifié et traité de manière à soutenir les objectifs commerciaux de l’organisation. Dans le contexte informatique, cela signifie disposer d’un processus complet de gestion des risques informatiques qui s’intègre dans la fonction de gestion des risques d’entreprise d’une organisation.

Le risque fait référence à l’appétit pour le risque de l’organisation, qui établit les risques qu’elle est à l’aise de prendre et ceux qu’elle ne prend pas, puis gère le risque résiduel, c’est-à-dire les risques qui subsistent même après la mise en œuvre de contrôles pour les risques inacceptables.

« Le risque concerne les domaines dans lesquels l’organisation veut jouer et ceux où elle ne veut pas jouer. Il s’agit de limites qu’il ne veut pas franchir pour le moment », ajoute Toledo, soulignant que le risque d’entreprise est en constante évolution.

Conformité: La fonction de conformité au sein de GRC consiste à s’assurer que les activités organisationnelles se déroulent d’une manière qui respecte les lois et réglementations relatives à ces activités. Cela signifie par exemple s’assurer que les systèmes informatiques et les données contenues dans ces systèmes sont utilisés et sécurisés correctement.

La conformité englobe les lois et réglementations que l’organisation doit suivre dans le cadre de l’exécution de sa stratégie, explique Toledo. « En d’autres termes, quelles sont les lois et l’environnement réglementaire dans lesquels l’entreprise opère. »

Bien que la gouvernance, le risque et la conformité se concentrent chacun sur des exigences spécifiques, Toledo affirme qu’ils se chevauchent et fonctionnent ensemble. Par exemple, la fonction risque s’appuie sur des pratiques de gouvernance pour atténuer les risques en mettant en œuvre des contrôles et en alertant les superviseurs si les actions dépassent les limites de risque de l’organisation.

Le caractère stratégique de la GRC à l’ère du numérique

La gouvernance, le risque et la conformité sont depuis longtemps des éléments de réussite organisationnelle, mais les dirigeants d’entreprise et les experts GRC affirment que la GRC est devenue une priorité absolue pour les organisations en raison de la complexité croissante de faire des affaires à l’ère numérique où être connecté à l’échelle mondiale est la norme, et non la norme. l’éxéption.

Les menaces modernes telles que les cyberattaques et les violations de données ont accru la nécessité d’une stratégie GRC solide au sein de toutes les organisations, et le volume croissant de lois et de réglementations concernant la protection et la sécurisation des données exerce également une pression sur les organisations pour qu’elles disposent d’une fonction GRC mature. Il en va de même pour les conséquences d’un échec dans l’un des trois domaines, car les organisations qui subissent une cyberattaque réussie ou ne parviennent pas à protéger les données qu’elles détiennent peuvent être importantes, voire catastrophiques.

« Je considère le GRC comme quelque chose de stratégique car lorsqu’il fonctionne correctement, il protège l’organisation. Cela aide à le préserver et à conserver des éléments comme une solide réputation », explique Toledo.

Comment fonctionne le GRC dans l’entreprise

Comme d’autres parties des opérations de l’entreprise, la GRC comprend un mélange de personnes, de processus et de technologies.

Pour mettre en œuvre un programme GRC efficace, les dirigeants d’entreprise doivent d’abord comprendre leur activité, sa mission et ses objectifs, selon Ameet Jugnauth, vice-président du conseil d’administration de la section de Londres de l’ISACA et membre du groupe de travail sur les tendances émergentes de l’ISACA.

Les dirigeants doivent ensuite identifier les exigences légales et réglementaires auxquelles l’organisation doit répondre et établir le profil de risque de l’organisation en fonction de l’environnement dans lequel elle opère, explique-t-il.

« Comprenez l’entreprise, votre environnement commercial (interne et externe), votre appétit pour le risque et ce que le gouvernement attend de vous. Tout cela définit votre GRC », ajoute-t-il.

Les rôles qui dirigent ces activités varient d’une organisation à l’autre. Les organisations de taille moyenne à grande disposent généralement de dirigeants de niveau C – à savoir un responsable de la gouvernance, un responsable des risques et un responsable de la conformité – pour superviser ces tâches, explique McKee. Ces dirigeants dirigent les départements de risque ou de conformité avec des équipes dédiées.

Les petites entreprises confient généralement les responsabilités GRC à des administrateurs ou à des gestionnaires (un responsable de la conformité ou un directeur de gestion des risques) ou elles peuvent confier des responsabilités GRC à d’autres dirigeants.

Rôles et responsabilités du GRC

Selon Stanley, le GRC descend souvent des niveaux supérieurs de direction, les rôles et responsabilités se répartissant comme suit :

• Conseil d’administration: assure la surveillance et l’approbation des politiques et des décisions stratégiques
• PDG: fait preuve de leadership et veille à ce que les efforts de GRC disposent de ressources adéquates
• Directeur des Risques : assure la direction des efforts de gestion des risques, tels que l’évaluation et le reporting des risques au conseil d’administration et à la direction générale
• Responsable de la conformité : assure la surveillance de la conformité, la formation et la communication concernant la conformité
• DSI/CTO : assure la gestion des risques pour la technologie et les actifs numériques, ainsi que la conformité et la sécurité de l’ensemble de l’informatique.
• CFO: assure la conformité et la production de rapports sur les réglementations financières et la gestion des risques liés aux finances d’une organisation
• Légal: assure la conformité à toutes les exigences légales tout en gérant les risques juridiques
• HEURE: met en œuvre les politiques GRC liées aux RH, telles qu’une politique d’utilisation autorisée et des politiques de comportement des employés
• IL: assure la protection et la sécurité des données avec des politiques et des contrôles
• Chefs de département: mettre en œuvre les processus et contrôles GRC au sein de leurs départements respectifs et identifier et gérer les risques spécifiques à leur département
• Audit interne: fournit une évaluation indépendante et des recommandations d’amélioration
• Employés : adhérez à la politique et signalez tout problème de risque ou de conformité qu’ils observent

« Il existe également des équipes GRC interfonctionnelles qui se mobilisent pour des initiatives GRC spécifiques, combinant l’expertise de différents départements », ajoute Stanley.

Néanmoins, la responsabilité et l’imputabilité du GRC sont partagées, et elles se retrouvent souvent jusqu’aux plus hauts niveaux de l’organisation, les PDG étant en fin de compte responsables et imputables, disent les experts.

Certifications GRC

Bien que les professionnels GRC aient des parcours universitaires et professionnels variés, beaucoup ont obtenu des certifications axées sur le risque, la conformité et/ou la gouvernance, notamment les suivantes.

• Responsable de la sécurité de l’information certifié ISACA (CISM)
• Certifié ISACA en contrôle des risques et des systèmes d’information (CRISC)
• Auditeur certifié des systèmes d’information ISACA (CISA)
• Certifié ISC2 en gouvernance, risque et conformité (CGRC)
• OCEG GRC Professionnel (GRCP)
• Auditeur OCEG GRC (GRCA)

D’autres options incluent la certification d’auditeur interne certifié (CIA) de l’Institut des auditeurs internes, avec un accent sur la conformité, et la certification en assurance de la gestion des risques (CRMA), avec un accent sur le risque.

Cadres GRC

Les dirigeants du GRC utilisent généralement un cadre pour organiser et exécuter les tâches du GRC. Les cadres GRC, comme tous les cadres, spécifient des éléments mesurables clairement définis qui mettent en lumière l’efficacité des efforts GRC d’une organisation, fournissant des éléments de base que les organisations peuvent (et doivent) adapter à leur environnement.

Les cadres comprennent :

• ISACA COBIT pour la gouvernance informatique
• Cadre de risque informatique de l’ISACA
• COSO pour le contrôle interne
• Divers cadres et normes NIST

Logiciel GRC

Le logiciel GRC prend également en charge les programmes GRC d’entreprise en permettant aux organisations de créer et de coordonner des politiques et des contrôles, ainsi que de les mapper aux exigences réglementaires et de conformité interne.

Ces options logicielles, généralement proposées sous forme de SaaS par abonnement, automatisent également de nombreux processus, ce qui augmente l’efficacité et réduit la complexité.

Culture GRC

Bien que les cadres aident les organisations à établir des programmes GRC solides et que les logiciels GRC contribuent à les mettre en œuvre, les fonctions de prise de décision, de gestion des ressources et du portefeuille, de gestion des risques et de conformité réglementaire incluses dans ces cadres ne seront efficaces que si la direction exécutive de l’organisation soutient également le changement culturel.

En savoir plus sur la gouvernance informatique :