Qu’est-ce que le GRC ?L’importance croissante de la gouvernance, du risque et de la conformité

La nécessité de gérer les risques, de se conformer aux réglementations et d’établir des processus pour gérer ces tâches fait partie de la gestion d’une organisation depuis aussi longtemps qu’elle existe.

Cependant, au cours des dernières décennies, le nombre de lois, la complexité des affaires, les types de risques et l’utilisation de la technologie ont explosé, rendant ces tâches de plus en plus essentielles au succès des organisations modernes.

Aujourd’hui, même les petites entreprises peuvent opérer à l’échelle mondiale et doivent faire face aux lois internationales et à de nombreuses menaces qui, si elles ne sont pas correctement gérées, peuvent conduire à leur survie ou à leur fermeture.

En conséquence, la gestion des risques et la garantie du respect des règles et réglementations sont passées d’opérations cloisonnées à une discipline collective connue sous le nom de GRC, avec des structures de gouvernance guidant et protégeant la mission d’une organisation.

Qu’est-ce que le GRC ?

La gouvernance, les risques et la conformité (GRC) sont une stratégie opérationnelle permettant de gérer la gouvernance globale d’une organisation, la gestion des risques d’entreprise et les efforts de conformité réglementaire. Cette approche disciplinée permet aux organisations d’aligner leurs efforts en matière de gouvernance, de risque et de conformité sur leurs objectifs stratégiques, leurs objectifs commerciaux et la technologie qui permet leurs opérations.

« GRC est complet. Il donne le ton et la stratégie, définit les politiques et les procédures et indique clairement ce qui est attendu », déclare la politique de gouvernance, de risque, de conformité et de confidentialité d’American Security & Privacy. Lisa McKee, directrice et membre de l’association de gouvernance Emerging d’ISACA. Groupe de travail sur les tendances, explique :

McKee compare le GRC aux lois sur la route et la conduite automobile. Les routes, comme les autoroutes, sont divisées en voies afin que les conducteurs (comme les organisations) puissent atteindre leur destination le plus rapidement possible tout en minimisant les risques d’accidents en suivant les réglementations et panneaux de signalisation établis, les limites et les limites.

Pourquoi le GRC est-il important ?

Une stratégie GRC bien planifiée peut générer des avantages significatifs, notamment une prise de décision améliorée, des investissements informatiques plus optimaux, l’élimination des silos et la réduction des divisions et des divisions.

En raison de son importance croissante, la GRC est devenue une fonction de haut niveau dans de nombreuses organisations, la responsabilité GRC étant confiée aux dirigeants de niveau C. Des pratiques exemplaires, des cadres et des technologies ont été développés pour soutenir ce travail.

« Dans l’environnement commercial moderne, le GRC est important pour de multiples raisons. L’augmentation des lois sur la confidentialité et la protection des données, la mondialisation et l’interconnectivité ont rendu l’environnement réglementaire plus complexe », déclare Chris Stanley, développeur de contenu d’examen CGRC, agence de formation et de certification ISC2. « Ce niveau de complexité nécessite un cadre GRC robuste pour aider les organisations à éviter les atteintes à leur réputation et les sanctions juridiques. »

Stanley note que « les progrès technologiques tels que l’IA, l’IoT et le cloud computing introduisent également des problèmes de conformité et de nouvelles menaces de cybersécurité ».

Il ajoute: « Les parties prenantes font confiance aux organisations pour protéger leur vie privée et leurs données, et ces parties prenantes exigent de plus en plus des responsabilités de la part des organisations, y compris de leurs individus. Un cadre GRC solide tient les entreprises responsables et, en retour, renforce la confiance des investisseurs et la stabilité financière. »

Pourtant, de nombreuses organisations continuent de développer leurs capacités GRC.

Une enquête menée en 2023 auprès de plus de 1 300 personnes interrogées dans le monde entier qui influencent ou gèrent les programmes de risque et de conformité de leur organisation a révélé que ce chiffre n’était que de 53 %. De plus, 20 % évaluent leurs programmes à un stade précoce, selon le rapport sur l’état des risques et de la conformité publié par l’éditeur de logiciels GRC NAVEX.

Décomposer ce que signifie GRC

Chaque élément de GRC a un objectif et un processus :

Gouvernance : l’aspect gouvernance de GRC garantit que les activités organisationnelles, telles que la gestion des opérations informatiques, sont alignées de manière à soutenir les objectifs commerciaux de l’organisation, tout en adhérant aux paramètres de risque et aux besoins de conformité établis par l’organisation.

déclare Tyrsia Toledo, directrice générale principale chez FTI Consulting. « La gouvernance concerne qui est dans la salle, ce qu’ils sont autorisés à faire et ce qu’ils ne sont pas autorisés à faire, sur quelles données ils s’appuient et dans quel ordre leurs actions se produisent. Est-ce vrai ? »

Selon Toledo, la gouvernance s’applique à plusieurs niveaux au sein d’une organisation pour garantir que le conseil d’administration, la direction et les employés comprennent les règles, les respectent et subissent les conséquences s’ils ne les respectent pas.

Risque : La composante de gestion des risques de GRC garantit que tous les risques associés aux activités d’une organisation sont identifiés et traités d’une manière qui soutient les objectifs commerciaux de l’organisation. Dans un contexte informatique, cela signifie disposer d’un processus complet de gestion des risques informatiques qui s’aligne sur la fonction de gestion des risques d’entreprise de l’organisation.

Le risque est défini comme l’appétit pour le risque d’une organisation (l’appétit pour le risque est défini comme l’établissement des risques acceptables et inacceptables pour une organisation et la gestion du risque résiduel, c’est-à-dire le risque qui subsiste même après la mise en œuvre de contrôles pour les risques inacceptables).

« Le risque correspond à l’endroit où une organisation veut jouer et à l’endroit où elle ne veut pas jouer. Le risque est la frontière entre l’endroit où une organisation veut jouer et l’endroit où elle ne veut pas jouer », a déclaré Toledo. les risques pour les entreprises évoluent constamment.

Conformité : la fonction de conformité de GRC consiste à garantir que les activités d’une organisation sont menées d’une manière conforme aux lois et réglementations applicables à ces activités. Cela signifie par exemple s’assurer que les systèmes informatiques et les données qu’ils contiennent sont utilisés et protégés de manière appropriée.

La conformité comprend les lois et réglementations qu’une organisation doit suivre lors de la mise en œuvre de sa stratégie, explique Toledo. « Autrement dit, quel est l’environnement juridique et réglementaire dans lequel l’entreprise évolue ?

Alors que la gouvernance, le risque et la conformité se concentrent chacun sur des exigences spécifiques, Toledo affirme qu’ils se chevauchent et fonctionnent ensemble. Par exemple, les fonctions de risque s’appuient sur des pratiques de gouvernance pour réduire les risques en appliquant des contrôles et en alertant les supérieurs de tout comportement qui dépasse les limites de risque de l’organisation.

Le caractère stratégique de la GRC à l’ère du numérique

La gouvernance, le risque et la conformité sont depuis longtemps des facteurs de réussite organisationnelle, mais à l’ère du numérique, où la connexion mondiale est la norme plutôt que l’exception, selon les dirigeants d’entreprise et les experts GRC. d’une priorité pour les organisations.

Les menaces modernes telles que les cyberattaques et les violations de données ont accru la nécessité d’une stratégie GRC solide dans toutes les organisations, et l’augmentation des lois et réglementations concernant la protection et la sécurité des données a également accru la nécessité pour les organisations de disposer d’une capacité GRC mature. sur. Les organisations qui subissent une attaque réussie ou qui ne parviennent pas à protéger les données qu’elles détiennent peuvent faire face à des conséquences graves, voire catastrophiques.

« GRC est stratégique car lorsqu’il fonctionne correctement, il peut protéger votre organisation. Parce que nous pouvons la maintenir », explique Toledo.

Comment fonctionne le GRC en entreprise

Comme toute autre partie des opérations d’une entreprise, GRC est composé d’une combinaison de personnes, de processus et de technologies.

Selon Ameet Jugnauth, vice-président du conseil d’administration du chapitre de Londres de l’ISACA et membre du groupe de travail sur les tendances émergentes de l’ISACA, pour mettre en œuvre un programme GRC efficace, les dirigeants d’entreprise doivent d’abord comprendre leur activité, leur mission et leurs objectifs.

Les dirigeants doivent ensuite identifier les exigences légales et réglementaires auxquelles l’organisation doit répondre et établir le profil de risque de l’organisation en fonction de l’environnement dans lequel elle opère, explique-t-il.

« Comprendre l’entreprise, l’environnement commercial (interne et externe), l’appétit pour le risque et ce que le gouvernement veut réaliser. Tout cela définit la GRC », ajoute-t-il.

Le rôle de direction de ces activités diffère selon l’organisation. Dans les moyennes et grandes organisations, les dirigeants de niveau C supervisent généralement ces activités : directeur de la gouvernance, directeur des risques et directeur de la conformité, explique McKee. Ces dirigeants dirigent des départements de risques et de conformité avec des équipes dédiées.

Les petites et moyennes entreprises confient généralement la responsabilité GRC à un membre du conseil d’administration ou à un responsable (comme un responsable de la conformité ou un directeur de la gestion des risques), ou peuvent confier la responsabilité GRC à un autre cadre supérieur.

Rôles et responsabilités du GRC

Selon Stanley, les GRC descendent souvent du plus haut niveau de direction, avec des rôles et des responsabilités divisés en :

• Conseil d’administration : supervise et approuve les décisions politiques et stratégiques.
• Directeur général (PDG) : assure le leadership et garantit des ressources adéquates pour les efforts de GRC.
• Directeur des risques : assure le leadership dans les efforts de gestion des risques, y compris l’évaluation des risques et la production de rapports au conseil d’administration et à la direction.
• Directeur de la conformité : assure la surveillance de la conformité, la formation à la conformité et les communications.
• CIO/CTO : Assurer la gestion des risques liés à la technologie et aux actifs numériques, ainsi que la conformité et la sécurité informatiques globales.
• CFO (Chief Financial Officer) : Se conforme aux réglementations financières, en rend compte et gère les risques financiers de l’organisation.
• Juridique : gérez les risques juridiques tout en garantissant le respect de toutes les exigences légales.
• Ressources humaines : mettre en œuvre les politiques GRC liées aux ressources humaines, telles que les politiques d’utilisation autorisée et les politiques de conduite des employés.
• Informatique : assurez la protection et la sécurité des données grâce à des politiques et des contrôles
• Chefs de département : mettre en œuvre les processus et les contrôles GRC au sein de chaque département pour identifier et gérer les risques spécifiques au département.
• Audit interne : effectue des évaluations indépendantes et des recommandations d’amélioration.
• Employés : adhérez aux politiques et signalez tout risque ou problème de conformité.

« Des équipes GRC interfonctionnelles sont également créées pour rassembler l’expertise de différents départements pour des initiatives GRC spécifiques », ajoute Stanley.

Pourtant, la responsabilité et l’obligation de rendre compte du GRC sont partagées et souvent transférées aux plus hauts niveaux de l’organisation, les PDG assumant la responsabilité et l’obligation de rendre compte en dernier ressort, selon les experts.

Diplôme GRC

Les professionnels GRC viennent d’horizons éducatifs et professionnels variés, mais beaucoup possèdent des certifications axées sur le risque, la conformité et la gouvernance, notamment :

• Responsable de la sécurité de l’information certifié ISACA (CISM)
• Responsable certifié des systèmes d’information et des risques ISACA (CRISC)
• Auditeur certifié des systèmes d’information ISACA (CISA)
• Certification ISC2 en gouvernance, risque et conformité (CGRC)
• OCEG GRC Professionnel (GRCP)
• Auditeur OCEG GRC (GRCA)

D’autres certifications incluent la certification Certified Internal Auditor (CIA) de l’Institute of Internal Auditors, qui se concentre sur la conformité, et la Risk Management Assurance Certification (CRMA), qui se concentre sur le risque.

Cadre GRC

Les dirigeants du GRC utilisent généralement des cadres pour organiser et exécuter les tâches du GRC. Le cadre GRC, comme d’autres cadres, spécifie des mesures bien définies qui éclairent l’efficacité des efforts GRC d’une organisation et fournit des éléments de base que les organisations peuvent (et devraient) ajuster en fonction de leur environnement.

Le cadre comprend :

• COBIT pour la gouvernance informatique de l’ISACA
• Cadre de risque informatique de l’ISACA
• COSO sur le contrôle interne
• Divers cadres et normes NIST

Logiciel GRC

Le logiciel GRC prend également en charge les programmes GRC d’entreprise en permettant aux organisations de créer et d’aligner des politiques et des contrôles et de les mapper aux exigences réglementaires et de conformité interne.

Généralement proposées sous forme de SaaS par abonnement, ces options logicielles automatisent de nombreux processus, augmentant ainsi l’efficacité et réduisant la complexité.

Culture GRC

Les cadres aident les organisations à établir un programme GRC robuste, et les logiciels GRC peuvent contribuer à rendre cela possible, mais les fonctions de prise de décision, de gestion des ressources et du portefeuille, de gestion des risques et de conformité réglementaire ne seront efficaces que si la direction exécutive de l’organisation soutient également le changement culturel.