Gouvernance, gestion des risques et conformité
Gouvernance, gestion des risques et conformité
La gouvernance des technologies de l’information (TI) GRC est le domaine qui regroupe les concepts de contrôle des risques et de conformité. Dans le monde des affaires en constante évolution d’aujourd’hui, il est devenu nécessaire pour chaque entreprise de gérer de manière (gestionnaire) ses risques stratégiques et opérationnels, ses contrôles internes d’entreprise et de se conformer aux exigences réglementaires.
Il n’est pas possible de répondre efficacement à ces besoins sans utiliser des outils de gestion des risques et de conformité, de contrôle interne et d’audit interne.
Choisir le bon outil est en soi une question difficile. Un produit fabriqué en tenant compte des meilleures pratiques de l’industrie, contenant des normes établies par des organisations internationales telles que l’Institut des auditeurs internes (IIA) et le groupe de conformité et d’éthique ouverte (OCEG), et avec lequel vous pouvez travailler dans une relation à long terme, saine et efficace avec son fabricant et/ou fournisseur est la solution la plus optimale.
Avec plus de 15 ans d’expérience, PROYA s’est associé à MEGA International, qui compte 30 ans d’expérience, et a commencé à proposer le package Hopex GRC, l’une des familles de produits les plus ambitieuses et complètes dans le domaine de la gestion intégrée des risques (IRM).
La plateforme de MEGA, construite sur le référentiel central, garantit que tous vos objectifs de GRC sont atteints.
Douleurs
Manque de conscience du risque
- Les entreprises comprennent que les initiatives de conformité ne permettent pas toujours d’éliminer les risques.
- Les organisations doivent promouvoir une culture de prise de conscience des risques.
Gestion des risques en silos
- La gestion des risques en silos ne permet pas de comprendre le contexte ni de s’adapter aux changements rapides de l’environnement commercial et réglementaire.
Impact des risques sur l'organisation
- Les entreprises ont des difficultés à évaluer rapidement et de manière exhaustive l’impact sur les risques et les opérations commerciales.
- Mettre en place une approche intégrée avec les opérations commerciales pour passer d’une culture de conformité à une culture de prise de conscience des risques.
- HOPEX IRM permet aux responsables des risques, aux auditeurs, aux contrôleurs internes, aux responsables de la protection des données, aux responsables de la conformité, aux responsables de la sécurité des systèmes d’information, aux conseillers juridiques, aux équipes informatiques et aux équipes opérationnelles de travailler ensemble pour l’identification et le contrôle des risques de la manière la plus efficace et efficiente possible.
Comprendre les risques dans le contexte des opérations
- HOPEX IRM tire parti de manière unique des informations gérées par les services informatiques, les services métier ou la conformité en matière de confidentialité pour mieux comprendre le contexte des risques et leur impact sur l’entreprise.
- En combinant HOPEX IRM avec d’autres solutions HOPEX, les entreprises peuvent gérer efficacement les risques à l’échelle mondiale, en veillant à ce que les employés partagent une compréhension commune des actifs, des processus et des technologies de l’entreprise, tout en garantissant la conformité en matière de protection des données.
- La compréhension du contexte permet de mieux qualifier et quantifier l’impact des risques.
Principaux avantages de la gestion intégrée des risques HOPEX
Adopter une culture axée sur la gestion des risques
Suivre le rythme des changements constants
Gestion des risques avec une approche intégrée
Accélérer les efforts de gestion des risques
Nouveau bureau intégré de gestion des risques
- Englobe la gestion des risques d’entreprise (ERM), le contrôle interne (IC) et la gestion des incidents, ainsi que les exigences réglementaires.
- Utilise un bureau unifié.
Tableaux de bord personnalisables
Utilisez des tableaux de bord personnalisables pour surveiller efficacement les efforts de gestion des risques.
HOPEX IRM - Gestion des risques
Avec HOPEX IRM, les gestionnaires de risques peuvent capturer et définir les risques de la manière suivante :
– Créer un risque et l’attribuer à la partie prenante concernée.
– Décrire le contexte du risque en précisant quelle partie de votre organisation est affectée.
– Évaluer les risques directement ou lancer une campagne d’évaluation automatique.
– Compiler et rapporter les résultats de l’évaluation des risques.
– Capturer la méthode de traitement des risques.
– Définir les efforts d’atténuation avec les contrôles pertinents et/ou un plan d’action.
– Rapporter sur l’efficacité des efforts d’atténuation des risques avec une analyse des tendances.
Gestion des risques - Identifier les risques
Les gestionnaires de risques peuvent créer un nouveau risque, capturer toutes les informations pertinentes et définir l’objectif du risque ainsi que la méthode de traitement.
Gestion des risques - Définir le contexte
Les gestionnaires de risques peuvent également définir le contexte d’un risque en précisant quels processus, entités, applications et lignes métier sont affectés.
Gestion des risques - Évaluation directe des risques
- Les gestionnaires de risques peuvent évaluer les risques directement…
- Ou désigner une partie prenante en tant qu’évaluateur de risques pour un contexte particulier.
Modèles d'évaluation des risques
- Les risques peuvent être évalués dans tous leurs contextes possibles à l’aide de nouveaux modèles d’évaluation :
- Risques par processus métier
- Risques par processus organisationnel
- Risques par applications
- Risques par lignes métier
- Risques par entités
- Les risques sont évalués en termes de probabilité d’occurrence, d’impact et de niveau de contrôle.
Suivi de campagne de gestion des risques
Le gestionnaire des risques peut suivre l’avancement des campagnes d’évaluation et générer des rapports sur les résultats.
Plans d'action en gestion des risques
- Les gestionnaires de risques peuvent définir des plans d’action pour remédier aux risques et les assigner aux contributeurs appropriés…
- …qui peut accéder à ses propres plans d’action assignés et autres tâches depuis son interface dédiée.
Widgets du tableau de bord
Les widgets pour les risques sont disponibles sur le tableau de bord :
– Atténuation des risques (Risk Mitigation)
– Risques par statut (Risks per Status)
– Rapport de carte thermique des risques (aggrégué) (Risk Heatmap Report – Aggregated)
– Évaluation des risques (Risk Assessment)
Construisez un tableau de bord personnalisé et suivez l’avancement global des efforts de gestion des risques.
HOPEX IRM – Contrôle interne
HOPEX IRM soutient les Contrôleurs dans leurs efforts d’atténuation :
- Créez des Contrôles et spécifiez les Risques qui sont atténués
- Spécifiez les exigences réglementaires ou commerciales mises en œuvre
- Décrivez les procédures ou les outils informatiques ainsi que les entités mettant en œuvre le Contrôle
- Créez des listes de vérification d’exécution et lancez des campagnes d’exécution
- Planifiez et automatisez les évaluations de Contrôle
- Rapportez sur l’efficacité des Contrôles en ce qui concerne l’atténuation des Risques
Fonctionnalités de contrôle interne
- Les contrôleurs internes peuvent créer et définir des contrôles…
- … Et décrire comment le contrôle doit être mis en œuvre (processus), par qui (entités) et quoi (applications).
Fonctionnalités de contrôle interne
- Les contrôleurs internes peuvent également spécifier les méthodes de contrôle et les étapes d’exécution correspondantes.
- Plusieurs étapes d’exécution du Contrôle peuvent être créées dans plusieurs formats pour le même Contrôle. Ces étapes recevront plus tard une réponse des exécuteurs de contrôle.
Fonctionnalités de contrôle interne
- Les contrôleurs internes peuvent préparer et lancer des campagnes d’exécution de contrôle automatisées qui envoient des listes de contrôle d’exécution de contrôle à…
- … Contrôler les exécuteurs, qui remplissent ensuite leurs listes de contrôle d’exécution depuis leur interface dédiée.
Fonctionnalités de contrôle interne
- Les contrôleurs internes peuvent suivre l’avancement de leurs campagnes d’exécution.
- Et inspectez les résultats de l’exécution du contrôle.
Fonctionnalités de contrôle interne
Les contrôleurs internes peuvent évaluer directement les contrôles et analyser les résultats.
HOPEX IRM – Gestion des incidents
HOPEX IRM vous permet non seulement de capturer les Incidents, mais aussi de les analyser :
- Documents Incidents avec les dates de découverte et d’occurrence réelle, le contexte, les conséquences financières et les parties de l’organisation qui ont été affectées
- Examiner les incidents par la partie prenante responsable de la partie affectée de l’organisation
- Définir, attribuer et suivre la progression des actions correctives
Fonctionnalités de gestion des incidents
Contributors can declare a new Incident from their dedicated Interface and provide all the relevant information.
Fonctionnalités de gestion des incidents
Un contributeur différent, précédemment désigné comme Approbateur d’Incident, peut soit demander au Déclarant d’Incident une modification, soit approuver ou rejeter complètement l’Incident.
Fonctionnalités de gestion des incidents
Avant de valider l’Incident, un Risk Manager peut
- Capturer des informations financières concernant l’incident (pertes, gains, recouvrements et provisions)
Contextualiser l’incident en spécifiant le risque matérialisé, le contrôle défaillant et d’autres informations liées à la taxonomie
Fonctionnalités de gestion des incidents
Avant de valider l’Incident, un Risk Manager peut
- Capturer des informations financières concernant l’incident (pertes, gains, recouvrements et provisions)
Contextualiser l’incident en spécifiant le risque matérialisé, le contrôle défaillant et d’autres informations liées à la taxonomie
Fonctionnalités de gestion des incidents
Le Risk manager peut analyser les Incidents de différentes manières (ventilation, évolution, rapport aux risques, financier…)
- Incidents vs niveau de risque net
- Répartition des pertes
- Répartition des incidents et des pertes
- Évolution des incidents et des pertes
HOPEX IRM – Conformité réglementaire, contrôles et risques
La solution prend en charge les efforts de conformité :
- Gérez les cadres réglementaires et créez les exigences de votre organisation
- Spécifiez les parties de votre organisation qui sont concernées par les exigences réglementaires ou commerciales
- Définir les contrôles mettant en œuvre la conformité réglementaire
- Rapport sur l’efficacité des contrôles en ce qui concerne la conformité aux exigences
- Identifier et gérer les risques de non-conformité
Fonctionnalités partagées de conformité réglementaire
Les responsables de la conformité peuvent créer des exigences dans le cadre d’un cadre réglementaire ou des propres exigences de l’organisation.
Fonctionnalités partagées de conformité réglementaire
Les responsables de la conformité peuvent spécifier quelles parties de l’organisation doivent se conformer à l’exigence (processus, entités et applications).
Fonctionnalités partagées de conformité réglementaire
Les Compliance Officers peuvent analyser l’efficacité des Contrôles mis en place en matière de conformité suite à une campagne d’Evaluation des Contrôles menée par un Contrôleur Interne.
Fonctionnalités partagées de conformité réglementaire
Les responsables de la conformité peuvent également identifier les risques de non-conformité. Ces Risques peuvent ensuite être gérés par les Risk Managers concernés. Les responsables de la conformité peuvent également analyser les informations collectées lors des campagnes d’évaluation des risques.
Audit interne
HOPEX vous donne les outils nécessaires pour piloter vos activités d’Audit Interne :
- Créez des plans à long et à court terme alignés sur la stratégie et l’orientation de votre conseil
- Gérez vos auditeurs en fonction de leur charge de travail, de leurs compétences et de leurs dépenses
- Générer automatiquement des programmes de travail/plans d’activités
- Affectez l’auditeur principal et les auditeurs les mieux adaptés à vos audits et activités correspondantes
- Capturez toutes les informations contextuelles pertinentes pour une activité et définissez des instructions et des feuilles de test pour vos auditeurs
- Documenter les constatations, soulever de nouveaux risques et émettre des recommandations
- Suivre et rendre compte de l’avancement des recommandations et lancer des audits de suivi si nécessaire
- Les auditeurs peuvent continuer à effectuer leur travail d’audit hors ligne (sans connexion Internet) sur l’application Audit Everywhere.
Fonctionnalités d'audit interne
Les directeurs d’audit peuvent regrouper les audits dans un seul plan d’audit. Les ressources, les compétences, les disponibilités, les dépenses et les délais peuvent être gérés pour le plan d’audit global.
Fonctionnalités d'audit interne
L’auditeur principal peut créer un programme de travail pour les audits auxquels il est affecté. Chaque activité peut avoir des documents de travail et toute information de base nécessaire à l’auditeur pour mener à bien ses tâches. Une fois prêt, le programme de travail est envoyé au directeur de l’audit pour examen.
Fonctionnalités d'audit interne
Si un audit est récurrent, les auditeurs principaux peuvent gagner du temps en « clonant » un programme de travail d’audit déjà existant, économisant ainsi du temps de planification.
Fonctionnalités d'audit interne
Une fois que l’auditeur a validé le programme de travail, les activités d’audit sont envoyées aux auditeurs auxquels elles ont été affectées. Les auditeurs peuvent alors remplir l’activité et toutes les feuilles de test qu’ils ont été amenés à remplir.
Fonctionnalités d'audit interne
Une constatation étant un incident découvert par l’équipe d’audit, les auditeurs peuvent créer de nouveaux risques par rapport à leurs constatations. Ces Risques devront alors être gérés par les Risk managers.
Fonctionnalités d'audit interne
Une fois que les auditeurs ont terminé leurs activités, documenté leurs constatations, ainsi que rédigé et assigné leurs recommandations à un audité, les activités peuvent être soumises à l’auditeur principal pour examen.
HOPEX vous donne les outils et les informations nécessaires pour maintenir vos audits internes alignés sur les priorités stratégiques de votre organisation :
- Effectuer des tests d’assurance qualité, de conformité, de RBIA et de contrôle
- Priorisez la portée de vos audits pour vous concentrer sur les risques les moins gérés et les contrôles les moins performants