Gouvernance

3 pistes pour optimiser la gestion des risques et la conformité

Si vous avez consulté notre guide sur la gestion des risques en entreprise, vous avez peut-être identifié de nombreux acteurs susceptibles de gérer les risques et la conformité. À l’échelle de votre entreprise, toutes ces personnes vont être amenées à collaborer sur une démarche lourde, longue et complexe. Comment optimiser le processus ? Cet article propose 3 pistes pragmatiques pour une gestion des risques et de la conformité efficace, à la mesure de ses enjeux.

1 / Respecter les étapes de la gestion des risques

Comme nous l’expliquons dans l’article sur les étapes de la gestion des risques en entreprise, on peut parfois lire qu’il y a 5 étapes de GRE – gestion des risques en entreprise. Parfois 4, de temps en temps 8. Peu importe, en réalité, car il s’agit à chaque fois de subdivisions de mêmes phases. Pour une gestion des risques et de la conformité performante, la démarche reste en fait toujours la même.

Première étape, identifier les risques, ce qui réclame de mobiliser un groupe de travail pluridisciplinaire. Il s’agit effectivement de ne laisser aucun périmètre sans surveillance, même si la prétention à l’exhaustivité se discute.

La deuxième phase consiste à analyser les risques. Elle réclame de définir quelles sont les activités centrales pour la société et ses “actifs” essentiels, qu’ils soient financiers ou non-financiers. Les valeurs de l’entreprise peuvent être des actifs, son personnel également.

Vient ensuite le classement des risques, généralement par degré de gravité. La gravité dépend de la phase d’évaluation. Elle est souvent le produit de l’impact supposé du risque et de sa probabilité.

L’étape d’évaluation donne lieu à la définition des niveaux de sécurisation à atteindre. Ceux-ci débouchent, en avant-dernière phase, sur le choix de solutions et leur mise en place. Pour fonctionner sur le long terme, la démarche a enfin besoin d’être régulièrement réévaluée et reparamétrée.

C’est d’abord le respect strict de cette démarche par étapes qui permet d’optimiser la gestion des risques.

Les risques surgissent parfois où on les attend le moins, y compris au cœur du conseil d’administration. La composition de votre CA mérite-t-elle d’être revisitée ? Des membres plus jeunes amélioraient-ils la performance du conseil ? Les procédures choisies sont-elles en phase avec les meilleures pratiques de gouvernance ?Nous avons dédié un outil à l’évaluation des performances du conseil d’administration. Demandez une démo de Diligent Evaluations.

2 / Automatiser la gestion des risques et de la conformité

Plus la taille de l’entreprise est grande, plus son exposition aux risques est sérieuse, même s’il existe des exceptions à cette règle. Il suffit de comparer votre structure à la typologie des risques de l’entreprise pour en avoir le cœur net. Avoir beaucoup de fournisseurs, par exemple, revient à multiplier les risques liés à la supply chain.

L’influence des vulnérabilités humaines sur la probabilité du risque n’est pas non plus à négliger. Plus il y a de personnel, plus la formation aux risques se complique. Elle relève en effet souvent de différentes filiales. Les méthodes traditionnelles de gestion des risques par échange d’emails, fichiers partagés et feuilles Excel montrent alors leurs limites.

C’est particulièrement vrai en ce qui concerne le risque et la conformité juridiques, ou “compliance”. L’expansion d’une société sous forme de différentes filiales implique souvent de confronter l’équipe de la direction juridique à de nouvelles réglementations. Les juristes internes incarnent déjà une profession surbookée, tant les textes de lois se renouvellent régulièrement. Ajoutez à cela des lois étrangères, et la gestion de la conformité juridique devient d’une grande complexité.

La solution à cette problématique, et plus généralement à la gestion des risques et de la conformité dans leur globalité, consiste à automatiser. Un outil comme Diligent Entities facilite la gestion internationale d’entités. Il centralise au sein d’une source sécurisée les données juridiques. Ce logiciel automatise aussi le respect des différentes procédures juridiques nationales et internationales. De quoi soulager les équipes responsables, bien sûr, mais aussi s’assurer d’une gestion des risques performante, parce que numérisée.

3 / Ne pas résumer la GRC à une équipe

Quand une entreprise déploie un processus de gouvernance, gestion des risques et de la conformité – GRC – elle constitue en général un groupe de travail. Il est important que ce groupe de travail soit pluridisciplinaire. L’analyse doit porter sur tous les champs d’émergence éventuelle des risques. Elle réclame donc de faire participer tous les départements, et différents niveaux hiérarchiques.

Bien sûr, des postes comme risk manager ou responsable GRC occupent le cœur de la stratégie. Ils ne peuvent cependant pas porter à eux seuls la démarche d’analyse du risque, pas plus que le choix des solutions de suppression ou de réduction du risque.

De la même façon, il serait illusoire de penser qu’un risque aussi quotidien que le risque informatique puisse être la seule responsabilité de la direction des systèmes d’information (DSI). Comme nous l’expliquons dans un article sur la cybersécurité en entreprise, plus des deux tiers des cyberattaques s’expliquent par des vulnérabilités humaines. Par des erreurs ou négligences de la part des clients et des salariés. L’étude Cybersécurité : gérer les menaces de l’intérieur de The Economist Intelligence Unit estime ainsi que les salariés sont impliqués dans 43% des cas de cyberattaques.

La priorité, dans une démarche de GRC, consiste donc à former en interne sur les objectifs et moyens mis en place pour gérer le risque. Prioriser les employés fait toujours partie des bonnes pratiques de la gouvernance et de la gestion des risques. Dans le cas de la cybersécurité, il s’agit d’ailleurs d’une stratégie reconnue comme efficace par 35% des managers.

La mise en conformité d’une entreprise, et sa gestion des risques, relève d’une responsabilité collective, autant qu’individuelle. Elle réclame un changement culturel autant qu’opérationnel. Cela implique de gros efforts de communication interne.

Tous les niveaux hiérarchiques sont ainsi concernés, de l’employé au dirigeant, en passant par les membres du conseil d’administration et les actionnaires. Les outils pour aider à l’assimilation interne de la compliance et de la gestion des risques sont de plusieurs ordres : charte éthique, cartographie des risques, systèmes d’alertes et, bien sûr, formation interne.

La GRC en un seul et même logiciel

Diligent a récemment intégré les sociétés Galvanize et Steele Compliance, deux grands noms de la GRC. Cette nouvelle est riche de conséquences positives pour les entreprises qui entendent performer dans ce domaine. Diligent sera bientôt en mesure d’offrir un outil intégré de GRC, combinant l’audit, la gestion des risques, la cybersécurité, l’éthique et la conformité juridique. Les sociétés clientes vont ainsi profiter d’une gestion numérisée des risques, plus simple et plus sécurisée. Pour en savoir plus sur ces récentes acquisitions et leurs implications, consultez l’article sur Diligent comme nouveau fournisseur GRC mondial.

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

BLOGS À NE PAS MANQUER