Aujourd'hui, la variété des risques auxquels une organisation est confrontée fait de la gestion des risques de l'entreprise (ERM) un élément essentiel d'un programme de gouvernance, de risque et de conformité (GRC).
Que signifie ERM ? Et que signifie GRC ? Si la GRE et les programmes traditionnels de GRC visent à résoudre les mêmes problèmes, ils les abordent sous des angles différents. L'ERM et la GRC peuvent être considérées comme des alternatives concurrentes ou peuvent hypothétiquement exister indépendamment, mais elles sont plus efficaces lorsqu'elles travaillent ensemble grâce à des pratiques centrées sur le risque et fondées sur des données.
La GRE, c'est la création de valeur
Essentiellement, la GRE est un examen complet d'une organisation, axé sur les risques, qui partage la même finalité que la GRC : la poursuite de la réalisation des objectifs de l'entreprise. La GRE englobe donc toutes les fonctions, y compris la gouvernance et la conformité, en les simplifiant dans un cadre commun qui comprend l'identification et l'évaluation des objectifs, des exigences et des risques à l'origine des problèmes.
Certains risques ont des implications transversales, ce qui signifie que certaines activités d'atténuation peuvent être bénéfiques pour plus d'un département. Cela signifie qu'un cadre GRE efficace permet de rationaliser les contrôles, de réduire les redondances et de renforcer les contrôles en veillant à ce qu'ils soient mûrs sur le plan interfonctionnel.
La GRE est donc une création de valeur. Si la gestion des risques est indépendante et axée sur la valeur, la GRE peut contribuer simultanément aux objectifs de GRC et au résultat net. Lorsque l'accent est mis sur la conformité ou que l'on se préoccupe trop de cocher des cases, il est peu probable que l'on fasse plus que maintenir le statu quo. En revanche, si l'accent est mis sur la gestion des risques, votre organisation peut instaurer une culture de gestion des risques efficace et obtenir un avantage concurrentiel durable.
La GRC est une protection de la valeur
La GRC est souvent définie comme l'approche alternative à l'ERM, axée sur la conformité, un terme industriel largement utilisé pour décrire une solution logicielle. Il s'agit d'un terme général qui englobe tous les efforts en matière de gouvernance, de risque et de conformité, y compris l'ERM.
Le terme "GRC" a été utilisé comme une vaste classification des efforts d'une organisation - à travers ces trois disciplines distinctes - pour assurer la satisfaction continue des objectifs à court et à long terme. L'approche traditionnelle consiste à classer les composantes de la GRC comme leurs propres ensembles de processus. Naturellement, cela signifie que chaque composante - risque, conformité et chaque fonction de gouvernance, telle que l'audit, la sécurité informatique et la gestion des politiques - est traitée comme son propre silo, avec ses propres praticiens, experts en la matière et gestionnaires.
Plus récemment, les programmes de GRC ont commencé à s'écarter de l'approche traditionnelle en silos. Une approche d'entreprise ("eGRC") permet d'aligner le programme global sur les solutions de gestion des risques de l'entreprise, qui visent à briser les silos et à éliminer les redondances et autres inefficacités.
La GRC est, par conséquent, une protection de la valeur. Dans une organisation axée sur la GRC, la priorité est donnée aux objectifs de la direction, de la gouvernance et de la conformité plutôt qu'à une solide intelligence économique basée sur les risques. En raison de cette focalisation, la GRC seule peine à piloter efficacement une organisation centrée sur le risque. Au lieu d'être proactive, elle fonctionne souvent comme un programme réactif d'archivage.
L'ERM ne peut se faire sans GRC
L'ERM et la GRC se rapprochent de plus en plus. L'eGRC préconise une approche de la GRC plus proche de l'ERM, et le modèle des trois lignes de défense (3LOD) de la gestion des risques suggère qu'il n'est plus possible de faire de l'ERM sans faire de la GRC. Ce modèle intègre intrinsèquement la conformité, la supervision exécutive et l'audit dans la gestion des risques et est encouragé par les régulateurs, enseigné par les associations, les conférences, les experts et les consultants.
Déjà répandu dans les grandes institutions financières, il fait désormais son chemin dans les banques de plus petite taille. Le modèle 3LOD n'est peut-être pas un sujet brûlant en dehors du secteur des services financiers, mais on le retrouve souvent à la base de modèles de gestion des risques plus complexes qui prévalent dans d'autres secteurs, comme le RCSA.
Ce qu'il faut retenir de la nature de l'ERM et de la GRC, c'est que la gestion des risques nécessite une vision holistique ainsi qu'une collaboration et une coordination efficaces au sein de l'entreprise. Vous devez disposer d'une méthode organisée et intelligente pour évaluer les risques de manière cohérente, gérer la conformité et coordonner les audits.
Nous contacter
Se défendre contre les risques liés aux fournisseurs et à l'entreprise
Découvrez nos solutions VRM/ERM les plus performantes.
