Pour la première fois depuis longtemps, nous devons passer de la gestion des risques localisés dans un contexte de croissance économique à la gestion de ces problèmes dans des circonstances beaucoup moins certaines.
Selon Google Trends, les recherches de «planification de la continuité des activités» ont explosé le 12 mars, à peu près au même moment où les États-Unis ont déclaré une urgence nationale en réponse à l'épidémie de coronavirus. La pandémie a mis cette fonction de back-office souvent négligée sous les projecteurs, entraînant des troubles économiques.
Pour la première fois depuis longtemps, nous devons passer de la gestion des risques localisés au sein des chaînes d'approvisionnement tierces, de l'infosec et des opérations dans un paysage de croissance économique à la gestion de ces problèmes dans des circonstances beaucoup moins précises. Si vous ne l'avez pas déjà fait, le moment est venu d'élaborer votre plan d'urgence.
Les plans de continuité des activités (BCP) - et les politiques solides de gouvernance, de risque et de conformité (GRC), en général - peuvent aider les entreprises à se préparer et à gérer de nombreux événements perturbateurs, y compris les catastrophes naturelles, les violations de la cybersécurité, les attaques terroristes, la fraude et le détournement de fonds.
Nous croyons aux avantages de la mise en œuvre de la technologie pour rationaliser les politiques, automatiser les processus et créer des flux de travail reproductibles afin que les organisations puissent quantifier les risques dans des tableaux de bord digestibles pour obtenir une source unique de vérité. Nous avons constaté que la plupart des entreprises se posent les mêmes questions sur la mise en œuvre de la technologie pour renforcer leurs programmes GRC. Nous avons donc demandé à notre équipe de réussite client, qui vient tous de GRC consulting arrière-plans, ce qu'on leur demande généralement.
Voici ce qu'ils nous ont dit.
À quoi dois-je penser avant de mettre en œuvre un outil GRC?
Avant de dépenser de l'argent sur un outil destiné à résoudre un problème permanent, la plupart des entreprises veulent savoir ce dont elles ont besoin en tant qu'organisation pour que la mise en œuvre réussisse. Avant de choisir de mettre en œuvre une technologie GRC, il est important que les organisations alignent les personnes et les équipes sur un objectif commun et définissent les processus existants entourant GRC. L'une des plus grandes erreurs que nous voyons commettre par les dirigeants de GRC lors d'une mise en œuvre est de trop compliquer un processus qui devrait être simple. Ne vous laissez pas distraire par des cloches et des sifflets brillants lors de la mise en service initiale. Au lieu de cela, définissez vos incontournables, construisez autour de ceux-ci et continuez à innover sur vos processus avec agilité à mesure que le paysage réglementaire évolue.
Comment mon processus GRC se compare-t-il aux autres?
Même les organisations les plus sophistiquées, avec les processus les mieux définis, veulent savoir comment ce qu'elles font se compare à ce que leurs pairs ont mis en place. Dans un espace comme GRC, qui change à la minute pour refléter les exigences de l'industrie et les préoccupations du gouvernement et des consommateurs (plus récemment concernant la confidentialité des données), aucune entreprise ne veut être laissée pour compte. Afin de rester agile en réponse aux menaces émergentes et proactif pour en prévenir de nouvelles, recherchez une technologie qui vous permet de modifier facilement les politiques et les procédures dans votre flux de travail sans avoir à payer d'énormes frais de consultation. De plus, faites appel à vos partenaires pour fournir des modèles et des meilleures pratiques pour les flux de travail réglementaires ou de conformité courants dans votre secteur.
Comment mon organisation peut-elle travailler de manière transversale pour gérer les risques?
L'établissement de partenariats entre les silos organisationnels est essentiel pour créer une culture du risque au sein de votre entreprise. Une forte culture du risque, de haut en bas, est essentielle au succès global de tout programme de gestion des risques - et elle ne se construit pas d'elle-même. Commencez par identifier les lacunes de la culture du risque existante. Impliquez les principales parties prenantes et créez quelques déclarations fondamentales sur la culture souhaitée, en soulignant les domaines de croissance. Engagez-vous à ces changements et créez des politiques et des procédures qui reflètent une forte culture du risque.
Plus important encore, communiquez souvent sur les risques. Éduquez tous les membres de l'organisation sur leurs rôles et responsabilités individuels en matière de gestion des risques. Vous saurez que vous avez une forte culture du risque lorsque toutes les décisions sont conformes aux principes éthiques et que la responsabilité des risques est claire et cohérente dans toute l'organisation.
Que dois-je faire en termes de méthodologie de notation des risques?
Parce que chaque organisation a son propre appétit pour le risque, chaque organisation devra définir sa propre méthodologie. Il existe de nombreuses ressources sur la façon de marquer et le type de calculs à utiliser. Un calcul simple commun du risque est probabilité d'événement x ampleur de la perte, où une probabilité élevée est comprise entre 80% et 100% et une probabilité faible est inférieure à 30%. En fin de compte, c'est à chaque organisation individuelle de décider elle-même comment évaluer le risque.
Comment puis-je encourager l'adoption et aider tout le monde à considérer le risque dans tout ce qu'ils font?
Faire adhérer l'entreprise aux processus de GRC sur lesquels les dirigeants ont convenu peut être le plus gros obstacle, avec le potentiel de ruiner complètement une mise en œuvre de plusieurs mois. C'est pourquoi il est essentiel d'impliquer les utilisateurs finaux au début de la construction. Obtenez leurs commentaires sur la sélection et la personnalisation des outils et encouragez-les à remettre en question le statu quo en GRC. Posez des questions telles que «Pourquoi avons-nous besoin de centraliser les risques?» en cours de route pour s'assurer qu'aucune pierre n'est laissée de côté.
La rétroaction ne doit pas non plus s'arrêter lorsque l'outil est «actif», car la nature changeante du risque ne cesse d'évoluer simplement parce qu'un outil est en place. Les dirigeants de GRC peuvent également envisager une certaine gamification. Donner aux utilisateurs une visibilité sur les données collectées peut aider à avoir accès à une vue d'ensemble et à répondre à des questions telles que «Quel service dégage le plus de capital-risque?»
Avec l'augmentation du coût de la conformité, la lutte contre le risque peut sembler intimidante. Mais au lieu de le craindre, acceptez-le comme inévitable et changez votre point de vue pour regarder le risque à travers la lentille de la croissance. Si vous étiez en mesure de quantifier et d'atténuer 20% des risques associés à la gestion de votre entreprise, quels risques supplémentaires seriez-vous en mesure de prendre pour développer votre entreprise?
Découvrez comment nous pouvons aider votre entreprise