La gouvernance des technologies de l’information (TI) GRC est le domaine qui regroupe les concepts de contrôle des risques et de conformité. Dans le monde des affaires en constante évolution d’aujourd’hui, il est devenu nécessaire pour chaque entreprise de gérer de manière (gestionnaire) ses risques stratégiques et opérationnels, ses contrôles internes d’entreprise et de se conformer aux exigences réglementaires.

Il n’est pas possible de répondre efficacement à ces besoins sans utiliser des outils de gestion des risques et de conformité, de contrôle interne et d’audit interne.

Choisir le bon outil est en soi une question difficile. Un produit fabriqué en tenant compte des meilleures pratiques de l’industrie, contenant des normes établies par des organisations internationales telles que l’Institut des auditeurs internes (IIA) et le groupe de conformité et d’éthique ouverte (OCEG), et avec lequel vous pouvez travailler dans une relation à long terme, saine et efficace avec son fabricant et/ou fournisseur est la solution la plus optimale.

Avec plus de 15 ans d’expérience, PROYA s’est associé à MEGA International, qui compte 30 ans d’expérience, et a commencé à proposer le package Hopex GRC, l’une des familles de produits les plus ambitieuses et complètes dans le domaine de la gestion intégrée des risques (IRM).

La plateforme de MEGA, construite sur le référentiel central, garantit que tous vos objectifs de GRC sont atteints.

• Mettre en place une approche intégrée avec les opérations commerciales pour passer d’une culture de conformité à une culture de prise de conscience des risques.
• HOPEX IRM permet aux responsables des risques, aux auditeurs, aux contrôleurs internes, aux responsables de la protection des données, aux responsables de la conformité, aux responsables de la sécurité des systèmes d’information, aux conseillers juridiques, aux équipes informatiques et aux équipes opérationnelles de travailler ensemble pour l’identification et le contrôle des risques de la manière la plus efficace et efficiente possible.

• HOPEX IRM tire parti de manière unique des informations gérées par les services informatiques, les services métier ou la conformité en matière de confidentialité pour mieux comprendre le contexte des risques et leur impact sur l’entreprise.
• En combinant HOPEX IRM avec d’autres solutions HOPEX, les entreprises peuvent gérer efficacement les risques à l’échelle mondiale, en veillant à ce que les employés partagent une compréhension commune des actifs, des processus et des technologies de l’entreprise, tout en garantissant la conformité en matière de protection des données.
• La compréhension du contexte permet de mieux qualifier et quantifier l’impact des risques.

• Englobe la gestion des risques d’entreprise (ERM), le contrôle interne (IC) et la gestion des incidents, ainsi que les exigences réglementaires.
• Utilise un bureau unifié.

Utilisez des tableaux de bord personnalisables pour surveiller efficacement les efforts de gestion des risques.

Avec HOPEX IRM, les gestionnaires de risques peuvent capturer et définir les risques de la manière suivante :

– Créer un risque et l’attribuer à la partie prenante concernée.
– Décrire le contexte du risque en précisant quelle partie de votre organisation est affectée.
– Évaluer les risques directement ou lancer une campagne d’évaluation automatique.
– Compiler et rapporter les résultats de l’évaluation des risques.
– Capturer la méthode de traitement des risques.
– Définir les efforts d’atténuation avec les contrôles pertinents et/ou un plan d’action.
– Rapporter sur l’efficacité des efforts d’atténuation des risques avec une analyse des tendances.

Les gestionnaires de risques peuvent créer un nouveau risque, capturer toutes les informations pertinentes et définir l’objectif du risque ainsi que la méthode de traitement.

Les gestionnaires de risques peuvent également définir le contexte d’un risque en précisant quels processus, entités, applications et lignes métier sont affectés.

Le gestionnaire des risques peut suivre l’avancement des campagnes d’évaluation et générer des rapports sur les résultats.

Les widgets pour les risques sont disponibles sur le tableau de bord :

– Atténuation des risques (Risk Mitigation)
– Risques par statut (Risks per Status)
– Rapport de carte thermique des risques (aggrégué) (Risk Heatmap Report – Aggregated)
– Évaluation des risques (Risk Assessment)

Construisez un tableau de bord personnalisé et suivez l’avancement global des efforts de gestion des risques.

HOPEX IRM soutient les Contrôleurs dans leurs efforts d’atténuation :

• Créez des Contrôles et spécifiez les Risques qui sont atténués
• Spécifiez les exigences réglementaires ou commerciales mises en œuvre
• Décrivez les procédures ou les outils informatiques ainsi que les entités mettant en œuvre le Contrôle
• Créez des listes de vérification d’exécution et lancez des campagnes d’exécution
• Planifiez et automatisez les évaluations de Contrôle
• Rapportez sur l’efficacité des Contrôles en ce qui concerne l’atténuation des Risques

Les contrôleurs internes peuvent évaluer directement les contrôles et analyser les résultats.

HOPEX IRM vous permet non seulement de capturer les Incidents, mais aussi de les analyser :

• Documents Incidents avec les dates de découverte et d’occurrence réelle, le contexte, les conséquences financières et les parties de l’organisation qui ont été affectées
• Examiner les incidents par la partie prenante responsable de la partie affectée de l’organisation
• Définir, attribuer et suivre la progression des actions correctives

Contributors can declare a new Incident from their dedicated Interface and provide all the relevant information.

Un contributeur différent, précédemment désigné comme Approbateur d’Incident, peut soit demander au Déclarant d’Incident une modification, soit approuver ou rejeter complètement l’Incident.

Le Risk manager peut analyser les Incidents de différentes manières (ventilation, évolution, rapport aux risques, financier…)

La solution prend en charge les efforts de conformité :

• Gérez les cadres réglementaires et créez les exigences de votre organisation
• Spécifiez les parties de votre organisation qui sont concernées par les exigences réglementaires ou commerciales
• Définir les contrôles mettant en œuvre la conformité réglementaire
• Rapport sur l’efficacité des contrôles en ce qui concerne la conformité aux exigences
• Identifier et gérer les risques de non-conformité

Les responsables de la conformité peuvent créer des exigences dans le cadre d’un cadre réglementaire ou des propres exigences de l’organisation.

Les responsables de la conformité peuvent spécifier quelles parties de l’organisation doivent se conformer à l’exigence (processus, entités et applications).

Les Compliance Officers peuvent analyser l’efficacité des Contrôles mis en place en matière de conformité suite à une campagne d’Evaluation des Contrôles menée par un Contrôleur Interne.

Les responsables de la conformité peuvent également identifier les risques de non-conformité. Ces Risques peuvent ensuite être gérés par les Risk Managers concernés. Les responsables de la conformité peuvent également analyser les informations collectées lors des campagnes d’évaluation des risques.

HOPEX vous donne les outils nécessaires pour piloter vos activités d’Audit Interne :

• Créez des plans à long et à court terme alignés sur la stratégie et l’orientation de votre conseil
• Gérez vos auditeurs en fonction de leur charge de travail, de leurs compétences et de leurs dépenses
• Générer automatiquement des programmes de travail/plans d’activités
• Affectez l’auditeur principal et les auditeurs les mieux adaptés à vos audits et activités correspondantes
• Capturez toutes les informations contextuelles pertinentes pour une activité et définissez des instructions et des feuilles de test pour vos auditeurs
• Documenter les constatations, soulever de nouveaux risques et émettre des recommandations
• Suivre et rendre compte de l’avancement des recommandations et lancer des audits de suivi si nécessaire
• Les auditeurs peuvent continuer à effectuer leur travail d’audit hors ligne (sans connexion Internet) sur l’application Audit Everywhere.

Les directeurs d’audit peuvent regrouper les audits dans un seul plan d’audit. Les ressources, les compétences, les disponibilités, les dépenses et les délais peuvent être gérés pour le plan d’audit global.

L’auditeur principal peut créer un programme de travail pour les audits auxquels il est affecté. Chaque activité peut avoir des documents de travail et toute information de base nécessaire à l’auditeur pour mener à bien ses tâches. Une fois prêt, le programme de travail est envoyé au directeur de l’audit pour examen.

Si un audit est récurrent, les auditeurs principaux peuvent gagner du temps en « clonant » un programme de travail d’audit déjà existant, économisant ainsi du temps de planification.

Une fois que l’auditeur a validé le programme de travail, les activités d’audit sont envoyées aux auditeurs auxquels elles ont été affectées. Les auditeurs peuvent alors remplir l’activité et toutes les feuilles de test qu’ils ont été amenés à remplir.

Une constatation étant un incident découvert par l’équipe d’audit, les auditeurs peuvent créer de nouveaux risques par rapport à leurs constatations. Ces Risques devront alors être gérés par les Risk managers.

Une fois que les auditeurs ont terminé leurs activités, documenté leurs constatations, ainsi que rédigé et assigné leurs recommandations à un audité, les activités peuvent être soumises à l’auditeur principal pour examen.

HOPEX vous donne les outils et les informations nécessaires pour maintenir vos audits internes alignés sur les priorités stratégiques de votre organisation :

• Effectuer des tests d’assurance qualité, de conformité, de RBIA et de contrôle
• Priorisez la portée de vos audits pour vous concentrer sur les risques les moins gérés et les contrôles les moins performants