Trois façons d’optimiser votre fonction Gouvernance, Risques et Conformité

Nous avons récemment discuté de l’importance croissante de la gouvernance, du risque et de la conformité (GRC), alors que les organisations cherchent à se protéger contre la multitude de menaces auxquelles elles seront confrontées en 2019.

Nous vivons et travaillons dans un monde où les risques sont plus grands que jamais, et les sanctions en cas de non-conformité et de mauvaise gouvernance sont également de plus en plus lourdes et sont de plus en plus appliquées par les organismes de réglementation. La GRC est donc devenue l’une des fonctions les plus importantes de toute entreprise, appréciée par le conseil d’administration et jouant un rôle central dans la stratégie de nombreuses organisations.

Pour les entreprises qui s’engagent dans la GRC, il y a un défi permanent à relever pour s’assurer qu’elle fonctionne comme il se doit. Que devraient faire ces organisations pour optimiser leur fonction GRC ?

https://www.acl.com/grc/6-grc-trends-and-predictions-for-2018/

1) Utiliser l’évaluation des risques pour aider à se concentrer sur les priorités principales

Il y a un tel volume de menaces potentielles et de lois à respecter que la gestion de tout cela peut sembler presque exagérée. C’est pourquoi il est si important que les équipes GRC se concentrent sur ce qui doit vraiment être traité cette année-là.

Pour ce faire, il faut déplacer les nombreux silos de risque et de conformité qui existent encore dans de nombreuses organisations, même celles qui parlent de la GRC dans son ensemble. Toutes les équipes doivent plutôt examiner leur rôle et leur place dans les objectifs globaux de l’organisation. La réalisation d’évaluations efficaces des risques au niveau de l’entreprise peut être d’une grande aide pour pondérer et hiérarchiser les efforts, mais aussi pour démontrer l’impact de chaque risque sur l’organisation.

Une fois les priorités convenues, il est alors plus simple de comprendre ce qu’il faut faire pour chacune d’entre elles – répartir les responsabilités et les tâches au sein des équipes de conformité, avec des délais pour s’assurer que rien n’est manqué.

2) Automatiser – les bons outils sont essentiels

The need for continuous and digital compliance is a real and urgent one for most companies in most industries, and automation can play a significant role here. It is surprising to see how many firms are still using analogue tools, such as Microsoft Excel for compliance, when there are automated tools that are far more effective, are inexpensive, easy to implement and ensure that nothing gets missed.

In a major organisation there will be hundreds of different applications holding information and data, and spreadsheets are simply not capable of managing this effectively. Modern compliance is highly complex and requires secure process and strong permissions, which Excel cannot offer. A more collaborative and central tool is essential, otherwise data relationships can be missed which can be disastrous.

Compliance in 2019 is on-going and continuous and requires a platform that utilises automation of processes to ensure nothing falls through the cracks and users know exactly how their data relates to compliance and alerted when requirements change.

3) Involve business lines and collaborate

Le fait que la conformité et le risque sont des questions d’affaires ne devrait pas être un fait qui a besoin d’être souligné. Mais il n’est que trop facile de transférer la responsabilité de ces défis aux équipes informatiques. C’est une erreur à bien des égards. La plupart des services informatiques ont assez à faire avec la lutte quotidienne contre les incendies, plutôt que d’utiliser et de gérer la technologie pour répondre à une stratégie organisationnelle majeure. L’informatique devrait bien sûr être impliquée, mais la GRC devrait en réalité être un travail d’équipe et de collaboration entre les équipes.

Un exemple récent est celui du PIBR. Bien que les équipes de TI de nombreuses entreprises aient été chargées de la gestion (et de la conformité) de GDPR, elles n’étaient pas assez proches des données pour vraiment comprendre comment cela fonctionne. Un objectif primordial doit être d’établir des liens entre le propriétaire de l’entreprise et les données de l’organisation. Tout projet du GDPR est trop vaste et trop complexe pour que les TI puissent s’en occuper sans ce lien, et les TI ne peuvent pas identifier l’information sur l’IP à elles seules.

Toutes les données doivent être identifiées et qualifiées avec précision et les personnes les mieux placées pour le faire sont celles qui travaillent avec les données tous les jours – les utilisateurs métier, pas les équipes informatiques.

La GRC est un secteur dont l’utilisation se répand de plus en plus d’année en année. Mais pour vraiment tirer profit de la GRC, une organisation doit déployer une évaluation des risques, disposer des bons outils et collaborer entre les différents secteurs d’activité.

Pour en savoir plus sur la façon dont Oxial aide les organisations à relever les défis de la GRC, veuillez visiter cette page.

Share This!