Dans un environnement hautement concurrentiel, les entreprises tentent de comprendre, d’organiser et maîtriser leurs infrastructures et services technologiques tant en termes de rentabilité que pour respecter certaines exigences de gouvernance, de sécurité et de conformité.
Apparu au début des années 2000 face à la forte médiatisation de multiples catastrophes financières qui ont poussé les entreprises à améliorer leurs processus de contrôle interne et de gouvernance, le terme GRC désigne la façon dont les organisations gèrent trois domaines qui aident l’entreprise à atteindre ses objectifs.
“J’ai rejoint Synetis en 2017 pour y créer les practices “Gouvernance, gestion des Risques et Conformité » (GRC) et “Sécurité Opérationnelle” (SecOp). Mon expérience professionnelle peut être résumée en trois temps forts. Le premier temps fort a été consacré à diverses activités technologiques opérationnelles de renseignement et de sécurité au sein du ministère des Armées. Le second est concentré sur la conception, le développement et la transformation, sécurisé, de systèmes d’informations dans de nombreux secteurs d’activités. Cette période m’a permis de mieux appréhender les attentes de mes clients, d’enrichir ma connaissance des entreprises et de leurs difficultés. Impliqué très tôt dans de multiples projets complexes, mon rôle principal et troisième temps fort de mon parcours, est de contribuer à l’amélioration des capacités des organisations en effectuant des transformations réussies et sécurisées afin d’atteindre les objectifs qu’elles poursuivent.”
Cédric GASPARD – Practice Manager GRC – Synetis.
Qu’est-ce que « la GRC » et pourquoi en avons-nous besoin ?
En tant que métier, le rôle principal de la GRC est de créer une approche synchronisée de trois domaines, en évitant la répétition des tâches et en garantissant l’efficacité des approches utilisées.
La GRC fait référence à une stratégie de gestion de la gouvernance globale, à la gestion des risques de l’entreprise et à la conformité aux réglementations. Pour mieux comprendre, il faut voir la GRC comme une approche structurée pour aligner l’outil informatique sur les objectifs de l’entreprise, tout en gérant efficacement les risques tout en respectant les exigences de conformité.
Une stratégie GRC bien planifiée comporte de nombreux avantages : prise de décision améliorée, investissements informatiques optimaux, élimination des silos et réduction de la fragmentation entre les divisions et les départements, pour n’en nommer que quelques-uns.
La GRC peut vous aider à aligner vos activités informatiques sur vos objectifs, exigences, métiers, à gérer efficacement les risques et à rester au top de la conformité.
La GRC, nouveau concept révolutionnaire ?
Dans une organisation « optimisée », la GRC est considérée comme un ensemble intégré de toutes les fonctionnalités nécessaires à la prise en charge de la performance.
La GRC ne pèse pas sur l’entreprise, elle la soutient et l’améliore.
La gouvernance s’intéresse à la façon dont les entreprises sont gérées au plus haut niveau, y compris aux mécanismes, processus et relations qui permettent une répartition et une compréhension sans heurts des droits et des responsabilités des différents décideurs au sein de l’entreprise.
Chaque aspect de chaque entreprise présente un potentiel de risque (réputation, sécurité, sécurité financière, santé, etc.…) qu’il est presque impossible d’éviter. La gestion des risques est donc l’ensemble des processus qui identifient, analysent et répondent de manière appropriée à chaque risque potentiel.
Il est possible que de multiples risques conflictuels surviennent, obligeant une entreprise à choisir entre minimiser les risques pour parfaire sa sécurité et accepter certains risques pour accroitre ses bénéfices, il est donc nécessaire de s’assurer que les bonnes décisions soient prises ou qu’elles le soient en toute connaissance de cause. C’est là que la conformité entre en jeu ; les entreprises doivent se conformer à diverses normes, lois, réglementations, etc., pour éviter les pénalités résultant de la non-conformité.
La GRC renvoie non seulement aux acteurs en charge de son application mais également aux institutions (politiques, lois, etc…) qui définissent la structure de la direction et de l’administration des entreprises.
Les dirigeants et les conseils d’administration font face à une problématique capitale, pour maîtriser la façon dont leurs entreprises fonctionnent, causée par une réglementation toujours plus complexe et des fuites de données confidentielles aux effets dévastateurs.
La GRC est un progrès qui exige toutefois que les acteurs de la gouvernance bénéficient d’informations précises, actualisées et exhaustives sur l’entreprise. Une condition sine qua non, pour prendre les bonnes décisions et éliminer tout risque inutile, garantir la conformité et minimiser les risques.
Parfois assimilé à la notion de contrôle, le «C» de GRC est une référence à la conformité. Le respect de la conformité implique des contrôles informatiques, ainsi que l’audit de ces contrôles pour s’assurer qu’ils fonctionnent comme prévu. Les organisations utilisent également des contrôles pour gérer, réduire les risques identifiés.
Qu’est-ce qu’une solution GRC ?
Une solution IT GRC permet de créer, coordonner des stratégies et des contrôles et de les mapper sur les exigences de conformité réglementaires et internes. Ces solutions, dans le Cloud ou « On Premise », introduisent l’automatisation de nombreux processus, ce qui accroît l’efficacité et réduit la complexité et le risque d’erreur.
Avant de rechercher une solution logicielle, il est primordial de préparer son environnement, d’évaluer les risques de l’organisation, d’examiner les contrôles et de s’interroger sur leur efficacité.
Existe-t-il des contrôles et sont-ils pertinents ? Les contrôles existants fonctionnent-ils ? Ajoutez des contrôles, si nécessaire, et corrigez ceux qui n’opèrent pas comme attendu.
Bien que la GRC ait tendance à se concentrer sur l’informatique, la mise en œuvre d’une stratégie implique toute une organisation et nécessite un examen minutieux de l’ensemble des personnes concernées/impliquées et des processus qui seront affectés.
Il existe de nombreuses solutions de GRC sur le marché, telles que Openpages GRC Platform (IBM), Enterprise GRC (Rsam), GRC Platform (MetricStream), Archer Platform (RSA), qui permettent aux entreprises de s’adapter au changement, de faire face aux risques et aux problèmes de conformité réglementaire tout en promouvant une stratégie GRC entièrement intégrée.Des solutions à prix abordables, parfois gratuites, sont disponibles, ces dernières ne disposent cependant pas de fonctionnalités aussi étendues que les solutions payantes.
Qui est concerné par la GRC ?
À la question de savoir qui doit être impliqué dans une adaptation réussie de la GRC, la réponse est simple : « tout le monde ». Il existe des éléments de gouvernance, de gestion des risques et de conformité qui partent du sommet d’une organisation aux unités d’affaires et aux équipes. Un membre de la direction ne peut avoir pour lui seul la connaissance et la responsabilité pour toutes les questions relatives à la gestion des risques et à la conformité. Il y en a tout simplement trop, et leur gestion doit être appréhendée avec les responsables des unités d’affaires et des responsables spécifiques de la conformité.
Il va de soi que la nécessité d’une collaboration, d’une communication efficace et la nécessité pour toutes les parties concernées d’être informée de l’état de la situation dans son ensemble plutôt que résumée au simple rôle de chacun, est constante pour les entreprises quel qu’en soit la forme, la taille ou la complexité. Les avantages de la GRC doivent être communiqués à tous les échelons dans le cadre d’une stratégie de gestion du changement afin de garantir que tous ont souscrit aux besoins et aux avantages escomptés.
Quels sont les principaux rôles impliqués dans la GRC ?
Toute personne occupant un poste de niveau CEO / Board / Direction doit être en mesure de fournir une capacité de surveillance stratégique et de prise de décision ainsi qu’une communication claire et en temps voulu tout au long de la chaîne pour permettre aux collaborateurs de s’acquitter efficacement de leurs rôles. Quiconque assume la responsabilité globale des opérations financières d’une entreprise a un rôle important à jouer dans la mise en œuvre de la GRC, notamment en ce qui concerne la définition des indicateurs financiers des changements.
Toute grande entreprise devrait déjà avoir des responsables de la gestion des risques au niveau de la direction car leurs rôles en matière de GRC sont étendus. Ils doivent identifier les menaces (et les opportunités) et proposer des réponses stratégiques afin de minimiser les risques pour l’entreprise, ainsi que d’assurer la surveillance continue.
De même, toute personne ayant la responsabilité de la conformité doit être impliquée dans toutes les décisions de planification, en élaborant des stratégies permettant à l’entreprise de répondre aux exigences requises par les normes, les lois, les règlements, etc.
En ce qui concerne la manière dont la GRC est mise en œuvre et communiquée aux employés pour assurer leur adhésion, une grande partie de cette responsabilité revient aux ressources humaines. Sans un département des ressources humaines efficace, toute réforme stratégique majeure de ce type est vouée à l’échec.
Les responsables informatiques sont eux responsables de toute solution technologique achetée ou développée pour répondre aux besoins de la stratégie GRC et devront certainement être impliqués dans le processus de prise de décision. Ils seront également responsables de la manière dont les informations seront collectées dans l’ensemble de l’entreprise et de la manière dont elles seront fournies, le cas échéant.
Quelles sont les étapes clés pour une mise en œuvre ?
Après avoir identifié les principaux acteurs de la mise en œuvre de la GRC dans votre entreprise, il reste encore beaucoup à prendre en compte avant de pouvoir réussir. Il existe cinq étapes pour s’assurer que la GRC est correctement installée au cœur d’une stratégie d’entreprise :
– Définir ses objectifs
Si cela semble évident, c’est que c’est le cas. Cette étape trop souvent négligée peut faire toute la différence entre succès et échec. Comment espérer réaliser un changement significatif sans connaître ce que vous souhaitez réaliser ? L’idée est ici de rassembler les parties prenantes clés et le personnel du projet afin de comprendre collectivement ce que la GRC peut représenter pour l’organisation et de définir des priorités basées sur cette compréhension.
– Faire le point sur la situation actuelle
Après avoir clarifié ce que la GRC peut signifier pour l’organisation, une autre étape clé consiste à comprendre ce qui se passe actuellement dans les domaines de la gouvernance, de la gestion des risques et de la conformité avant de changer quoi que ce soit. Une enquête sur les activités de réglementation permettra non seulement de mieux comprendre ce qui sera obtenu de la GRC, mais également de résoudre toutes les autres faiblesses pouvant également être résolues et qui étaient auparavant hors du champ du projet.
– Choisir un périmètre de test
Il est certes possible de passer directement au déploiement de la GRC dans toutes les activités de l’entreprise, et c’est la seule option possible pour les petites entreprises, mais l’idéal serait de choisir un périmètre d’essai. S’il est possible d’identifier un domaine qui bénéficiera de la GRC et qui concentrera les énergies sur sa mise en œuvre, des enseignements pourront être intégrés dans le déploiement progressif.
– Démontrer les avantages
Il est possible d’obtenir des gains rapidement qui peuvent aider dans la communication interne visant à obtenir l’engagement du personnel. Il ne s’agit pas seulement de dissiper la confusion et le manque de soutien pouvant résulter d’un changement mal communiqué, mais bien de montrer aux principaux collaborateurs et responsables les avantages évidents de la GRC, couvrant des sujets tels que les facteurs à l’origine, les implications personnelles, les contrôles mis en place et les prochaines étapes.
– Définir ce qui représenterait le succès
C’est l’une des étapes les plus importantes, car c’est la façon de démontrer que le projet en vaut la peine. Parmi les avantages énumérés, il faut choisir ceux qui sont les plus pertinents et leur attribuer un chiffre, qu’il s’agisse d’un objectif financier ou d’un objectif basé sur des règles et des procédures mesurées pour montrer que la GRC améliore les choses.
Suivre ces cinq étapes et documenter les résultats, garanti d’avoir la plupart des informations nécessaire pour avancer avec connaissance, recherche et autorité en matière de GRC. Le processus fonctionne selon un cycle d’amélioration continu, ce qui signifie qu’il y aura toujours plus à apprendre. Chacune de ces 5 étapes peut et doit être répétée à chaque cycle.
Comment gérer au mieux la GRC ?
Lorsqu’il s’agit de mettre en œuvre une stratégie GRC ou de commencer à utiliser des outils et des processus connexes, les pièges potentiels sont nombreux. Des conseils sur les attentes des guides GRC et les leçons tirées des entreprises déjà engagées peuvent aider à se mettre sur la bonne voie.
Faire des recherches et s’assurer de bien comprendre ce que l’on achète, dans le cas d’achat de produit pour la gestion de la GRC, qui répond complètement aux attentes. Dans le cas contraire cela représentera un gaspillage d’argent et un surplus de travail.
Le but initial est de minimiser les dépenses et la charge de travail excessive. Comprendre ce que représente la GRC, quels en seront les impacts et ce qu’il convient de faire pour obtenir de bons résultats.
Adopter une approche itérative pour tout changement majeur de stratégie d’entreprise, cela s’applique également à la GRC. Il n’y a aucun moyen de la corriger à 100% dès la première itération car trop de facteurs et d’acteurs sont impliqués, ce qui augmente la probabilité de devoir revoir sans cesse les différents aspects.
Il est donc préférable de planifier plusieurs itérations dès le départ, en particulier en tenant compte de la gestion des risques et de la conformité, qui doivent être surveillées et réexaminées régulièrement.
Travaillez en collaboration. L’équipe projet chargée de la mise en œuvre de la GRC doit être diversifiée en termes de représentation des différents rôles, faute de quoi les décisions prises ne seront pas représentatives et ne pourront pas atteindre tout ce qu’elles sont censées accomplir. Cela garantit également que les évolutions soient communiquées à tous ceux qui ont besoin d’en connaitre. C’est ici l’un des principaux objectifs de l’introduction de la GRC.
Communiquer ! Une bonne communication au sein de l’entreprise est essentielle pour éviter les incompréhensions sur la nature de la GRC et sur ses objectifs. Ceci est indispensable dans les domaines d’activité où les workflows seront directement affectés, en particulier ceux dans lesquels des changements de personnel pourraient être apportés pour refléter une approche plus rationalisée.
L’année 2018 a placé la gouvernance, les risques et la conformité (GRC) sur le devant de la scène. On observe une augmentation du « temps d’antenne » attribué aux problèmes de risque et de conformité. De nouvelles affaires concernant les nouvelles réglementations, notamment en matière de protection des données personnelles tel que le RGPD, ont fait leurs apparitions.
La GRC est supposée être un pas dans la bonne direction, mais de médiocres communications internes peuvent en faire un problème potentiel voir la rendre totalement inefficace.
Préparer et fournir les bonnes ressources, communiquer et prévoir les ressources financières et humaines adéquates en amont ; en plus de s’assurer que ces ressources soient disponibles, une planification rigoureuse doit être mise en place pour savoir comment les utiliser correctement.
Synetis – Parole d’expert© – Avril 2019