L’approche GRC : de la conformité à la gestion du risque

La conformité n’est désormais plus l’argument qui justifie l’approche GRC (gouvernance, risque et conformité). 70 % des personnes interrogées dans un récent sondage mené par MetricStream indiquent que c’est principalement pour gérer le risque qu’ils ont adopté une solution GRC. Dans cet article, MetricStream explore les raisons qui poussent les entreprises à accorder de plus en plus d’importance à la gestion du risque et s’interroge sur la manière dont la technologie peut aider les sociétés à construire une infrastructure GRC uniformisée et transparente. La publication de cet article, paru initialement sur le blog de MetricStream, a été autorisée sur la présente page.

La faillite qu’a connue Enron est indéniablement l’un des exemples de fraudes comptables les plus marquants dans l’histoire des entreprises, tant aux États-Unis que dans le reste du monde. L’escroquerie d’Enron a également prouvé une réalité qui, bien qu’évidente, est souvent ignorée. Un code de conduite ou un manuel de conformité bien rédigé ne constitue pas un programme de conformité efficace. Enron disposait d’un solide code de conduite, du moins sur le papier, mais celui-ci n’a pas empêché l’effondrement massif de l’entreprise spécialisée dans l’énergie.

Le directeur des systèmes d’information (DSI) d’aujourd’hui semble avoir enfin renoué avec la réalité. Si vous pensez que la conformité est la raison qui pousse le DSI des temps modernes à adopter une approche GRC, vous faites fausse route. Les solutions GRC ne sont pas encore arrivées à maturité, bien qu’elles continuent d’évoluer. Vite, très vite. Si les DSI sont désormais convaincus de l’importance de l’approche GRC, c’est la gestion du risque et non plus la conformité qui les incite à investir dans les solutions disponibles. La conformité est devenue un prérequis.

Dans un récent sondage mené par MetricStream, 70 % des personnes interrogées indiquaient adopter l’approche GRC pour améliorer la surveillance du risque au sein de leur entreprise. Bien entendu, d’autres facteurs tels que la cybersécurité, la conformité réglementaire et celle des tiers poussent également les entreprises sur cette voie, mais ces aspects sont devenus secondaires par rapport à la gestion du risque.

Comment définir la gestion du risque et pour quelle raison est-elle compliquée ? Le lexique du Financial Times définit la gestion du risque comme « le processus qui vise à identifier, à quantifier et à gérer les risques auxquels fait face une organisation. Lorsque les résultats des activités commerciales sont incertains, ils sont réputés contenir certains éléments de risque ». Si plusieurs paramètres peuvent compliquer la gestion du risque, la mobilité est certainement celui qui contribue le plus au potentiel de risque d’une entreprise. Sur l’échelle des menaces, la mobilité a dépassé les tablettes et les smartphones. Aujourd’hui, même les données sont mobiles. Dans un récent entretien avec MetricStream, le DSI d’une grande banque a affirmé disposer de 3 000 applications sur le cloud. Cela signifie qu’aujourd’hui, les données sont partout et qu’elles sont extrêmement mobiles.

Pour permettre l’adoption à grande échelle des solutions GRC, MetricStream, leader sur le marché des applications dans ce domaine, travaille sur une GRC omniprésente tout en s’efforçant de simplifier l’approche. Une technologie GRC réellement fédératrice et omniprésente peut aider les organisations à développer un écosystème GRC centralisé et transparent. Elle peut contribuer à mettre en place, dans l’entreprise, une culture de sensibilisation et de responsabilité en matière de GRC en donnant à chaque employé et à chaque fonction dans l’entreprise les moyens de gérer ses propres risques et sa propre conformité en toute indépendance, tout en regroupant les données recueillies dans l’ensemble des services pour fournir un éclairage complet et de qualité sur la gouvernance, le risque et la conformité. Dans le cadre de sa stratégie de GRC omniprésente, MetricStream offre des fonctions de GRC préintégrées aux applications client.

MetricStream a à cœur de simplifier les solutions GRC. « Notre objectif, c’est d’assurer que les exigences de nos clients en ce qui concerne la gouvernance, le risque et la conformité soient satisfaites et parfaitement intégrées dans leurs solutions commerciales ou d’ERP actuelles », indique French Caldwell, évangéliste en chef chez MetricStream.

À l’avenir : pour rendre les solutions GRC tout à fait omniprésentes et intégrées, il faudra recourir, par exemple, à des technologies avancées d’analyse et de surveillance qui intégreront les informations sur le risque et les réglementations.