HOPEX IRM (Gestion Intégrée des Risques)
HOPEX IRM (Gestion Intégrée des Risques)
Gouvernance, gestion des risques et conformité
La gouvernance GRC Information Technologies (IT) est le domaine qui rassemble les concepts de maîtrise des risques et de conformité sous son toit. Dans le monde des affaires en rapide évolution d’aujourd’hui, chaque entreprise est devenue une nécessité (gérable) pour gérer ses risques stratégiques et opérationnels, ses contrôles internes d’entreprise et sa conformité aux exigences réglementaires.
Il n’est pas possible de répondre efficacement à ces besoins sans recourir à des outils de gestion des risques et de conformité, de contrôle interne et d’audit interne.
Choisir le bon outil est une question difficile en soi. Un produit fabriqué en tenant compte des meilleures pratiques de l’industrie, contenant des normes établies par des organisations internationales telles que l’Institut des auditeurs internes (IIA) et l’Open Compliance and Ethics Group (OCEG), et avec lequel vous pouvez travailler dans une relation à long terme, saine et efficace avec son fabricant et/ou fournisseur, le choix est la solution la plus optimale.
Avec plus de 15 ans d’expérience, PROYA s’est associé à MEGA International, qui a 30 ans d’expérience, et a commencé à proposer le package Hopex GRC, l’une des familles de produits les plus ambitieuses et les plus complètes dans le domaine de l’IRM (Integrated Risk Management)
La plate-forme de MEGA, construite sur le référentiel central, garantit que tous vos objectifs GRC sont atteints.
Des douleurs
Manque de sensibilisation aux risques
- Les entreprises comprennent que les initiatives de conformité ne permettent pas toujours d’éliminer les risques.
- Les organisations doivent promouvoir une culture de sensibilisation aux risques.
Gestion des risques en silos
- La gestion des risques en silos ne permet pas de comprendre le contexte et de s’adapter aux changements rapides de l’environnement commercial et réglementaire.
Impact du risque sur l'organisation
- Les entreprises ont du mal à évaluer rapidement et de manière exhaustive l’impact sur les risques et les opérations commerciales.
- Mettre en œuvre une approche intégrée avec les opérations commerciales, pour passer d’une culture de la conformité à une culture consciente des risques.
- HOPEX IRM permet aux gestionnaires de risques, aux auditeurs, aux contrôleurs internes, aux responsables de la confidentialité des données, aux responsables de la conformité, aux RSSI, aux conseillers juridiques, aux équipes informatiques et aux équipes opérationnelles de travailler ensemble à l’identification et au contrôle des risques de la manière la plus efficace et efficiente.
Comprendre les risques dans le contexte des opérations
- HOPEX IRM exploite de manière unique les informations gérées par l’informatique, l’entreprise ou la conformité à la confidentialité pour mieux comprendre le contexte des risques et leur impact sur l’entreprise.
- En combinaison avec d’autres solutions HOPEX, les entreprises peuvent gérer efficacement les risques à l’échelle mondiale, en s’assurant que les employés partagent une compréhension commune des actifs, des processus et des technologies de l’entreprise tout en garantissant le respect de la confidentialité des données.
- Comprendre le contexte permet de mieux qualifier et quantifier l’impact des risques
Principaux avantages de la gestion intégrée des risques HOPEX
Passer à une culture consciente des risques
Suivez les changements constants
Gérer les risques avec une approche intégrée
Accélérer les efforts de gestion des risques
Gestion intégrée des risques Nouveau bureau
- Englobe la gestion des risques d’entreprise (ERM), le contrôle interne (IC) et la gestion des incidents, ainsi que les exigences réglementaires.
- Utilise un bureau unifié
Tableaux de bord personnalisables
Utilisez des tableaux de bord personnalisables pour surveiller efficacement les efforts de gestion des risques.
HOPEX IRM – Gestion des risques
Avec HOPEX IRM, les gestionnaires de risques peuvent capturer et définir les risques :
- Créer un risque et l’attribuer à la partie prenante concernée
- Décrivez le contexte du risque en précisant quelle partie de votre organisation est concernée
- Évaluer les risques directement ou lancer une campagne d’évaluation automatique
- Compiler et rapporter les résultats de l’évaluation des risques
- Méthode de traitement Capture Risk
- Définir les efforts d’atténuation avec les contrôles pertinents et/ou un plan d’action
- Rapport sur l’efficacité des efforts d’atténuation des risques avec analyse des tendances
Gestion des risques Identifier les risques
Les gestionnaires de risques peuvent créer un nouveau risque, capturer toutes les informations pertinentes et définir un objectif de risque & méthode de traitement.
Gestion des risques Définir le contexte
Les Risk Managers peuvent également définir le contexte d’un Risque en précisant quels Processus, Entités, Applications et Métiers sont concernés.
Gestion des risques Évaluation directe des risques
- Les gestionnaires de risques peuvent évaluer les risques directement…
- Ou désignez une partie prenante comme évaluateur des risques pour un contexte particulier.
Modèles d'évaluation des risques
- Les risques peuvent être évalués dans tous leurs contextes possibles grâce à de nouveaux modèles d’évaluation :
- Risques par processus métier
- Risques par processus organisationnel
- Risques par application
- Risques par métier
- Risques par entité
- Les risques sont évalués selon la probabilité d’impact, le niveau de contrôle
Suivi de la campagne de gestion des risques
Le gestionnaire de risques peut surveiller la progression d’une campagne d’évaluation et rendre compte des résultats.
Plans d'action de gestion des risques
- Les gestionnaires de risques peuvent définir des plans d’action pour remédier aux risques et les affecter au bon contributeur…
- …Qui peut accéder aux plans d’action qui lui sont assignés et à d’autres tâches depuis son interface dédiée.
Widgets du tableau de bord
Des widgets pour les risques sont disponibles depuis le tableau de bord :
- Atténuation des risques, risques par statut, rapport de cartographie des risques (agrégé), évaluation des risques
Créez un tableau de bord personnalisé et suivez la progression globale des efforts de gestion des risques.
HOPEX IRM – Contrôle Interne
HOPEX IRM soutient les contrôleurs dans leurs efforts d’atténuation :
- Créer des contrôles et spécifier quels risques sont atténués
- Spécifier les exigences réglementaires ou commerciales mises en œuvre
- Décrire les procédures ou outils informatiques ainsi que les entités mettant en œuvre le Contrôle
- Créer des listes de contrôle d’exécution et lancer des campagnes d’exécution
- Planifier et automatiser les évaluations de contrôle
- Rapport sur l’efficacité des contrôles en matière d’atténuation des risques
Fonctionnalités de contrôle interne
- Les contrôleurs internes peuvent créer & ; définir les contrôles…
- … Et décrivez comment le contrôle doit être mis en œuvre (processus), par qui (entités) et quoi (applications).
Fonctionnalités de contrôle interne
- Les contrôleurs internes peuvent également spécifier les méthodes de contrôle et les étapes d’exécution correspondantes.
- Plusieurs étapes d’exécution du Contrôle peuvent être créées dans plusieurs formats pour le même Contrôle. Ces étapes recevront plus tard une réponse des exécuteurs de contrôle.
Fonctionnalités de contrôle interne
- Les contrôleurs internes peuvent préparer & ; lancer des campagnes d’exécution de contrôle automatisées qui envoient des listes de contrôle d’exécution de contrôle à…
- … Contrôler les exécuteurs, qui remplissent ensuite leurs listes de contrôle d’exécution depuis leur interface dédiée.
Fonctionnalités de contrôle interne
- Les contrôleurs internes peuvent surveiller la progression de leurs campagnes d’exécution.
- Et inspectez les résultats de l’exécution du contrôle.
Fonctionnalités de contrôle interne
Les contrôleurs internes peuvent évaluer directement les contrôles et analyser les résultats.
HOPEX IRM – Gestion des incidents
HOPEX IRM vous permet non seulement de capturer les Incidents, mais aussi de les analyser :
- Documenter les incidents avec les dates de découverte et d’occurrence réelle, le contexte, les conséquences financières et les parties de l’organisation qui ont été affectées
- Examiner les incidents par la partie prenante responsable de la partie affectée de l’organisation
- Définir, attribuer et suivre la progression des actions correctives
Fonctionnalités de gestion des incidents
Les Contributeurs peuvent déclarer un nouvel Incident depuis leur Interface dédiée et fournir toutes les informations pertinentes.
Fonctionnalités de gestion des incidents
Un contributeur différent, précédemment désigné comme Approbateur d’Incident, peut soit demander au Déclarant d’Incident une modification, soit approuver ou rejeter complètement l’Incident.
Fonctionnalités de gestion des incidents
Avant de valider l’Incident, un Risk Manager peut
- Capturez des informations financières concernant l’incident (pertes, gains, recouvrements et provisions)
Contextualiser l’incident en spécifiant le risque matérialisé, le contrôle défaillant et d’autres informations liées à la taxonomie
Fonctionnalités de gestion des incidents
Avant de valider l’Incident, un Risk Manager peut
- Capturez des informations financières concernant l’incident (pertes, gains, recouvrements et provisions)
Contextualiser l’incident en spécifiant le risque matérialisé, le contrôle défaillant et d’autres informations liées à la taxonomie
Fonctionnalités de gestion des incidents
Le Risk manager peut analyser les Incidents de différentes manières (ventilation, évolution, rapport aux risques, financier…)
- Incidents par rapport au niveau de risque net
- Répartition des pertes
- Répartition des incidents et des pertes
- Évolution des incidents et des pertes
HOPEX IRM – Conformité réglementaire, contrôles et risques
La solution prend en charge les efforts de conformité :
- Gérer les cadres réglementaires et créer les exigences de votre organisation
- Indiquez quelles parties de votre organisation sont concernées par les exigences réglementaires ou commerciales
- Définir les contrôles mettant en œuvre la conformité réglementaire
- Rapport sur l’efficacité des contrôles en ce qui concerne la conformité aux exigences
- Identifier et amp ; Gérer les risques de non-conformité
Fonctionnalités partagées de conformité réglementaire
Les responsables de la conformité peuvent créer des exigences dans le cadre d’un cadre réglementaire ou des propres exigences de l’organisation.
Fonctionnalités partagées de conformité réglementaire
Les responsables de la conformité peuvent spécifier quelles parties de l’organisation doivent se conformer à l’exigence (processus, entités et applications).
Fonctionnalités partagées de conformité réglementaire
Les Compliance Officers peuvent analyser l’efficacité des Contrôles mis en place en matière de conformité suite à une campagne d’Evaluation des Contrôles menée par un Contrôleur Interne.
Fonctionnalités partagées de conformité réglementaire
Les responsables de la conformité peuvent également identifier les risques de non-conformité. Ces Risques peuvent ensuite être gérés par les Risk Managers concernés. Les responsables de la conformité peuvent également analyser les informations collectées lors des campagnes d’évaluation des risques.
Audit interne
HOPEX vous donne les outils nécessaires pour piloter vos activités d’Audit Interne :
- Créez des plans à long et à court terme alignés sur la stratégie et l’orientation de votre conseil d’administration
- Gérez vos auditeurs en fonction de leur charge de travail, de leurs compétences et de leurs dépenses
- Générer des programmes de travail/plans d’activités automatiquement
- Attribuez l’auditeur principal et les auditeurs les mieux adaptés à vos audits et activités correspondantes
- Capturez toutes les informations contextuelles pertinentes pour une activité et définissez des instructions et des feuilles de test pour vos auditeurs
- Documenter les résultats, soulever de nouveaux risques et émettre des recommandations
- Suivre et rendre compte de l’avancement des recommandations et lancer des audits de suivi si nécessaire
- Les auditeurs peuvent continuer à effectuer leur travail d’audit hors ligne (sans connexion Internet) sur l’application Audit Everywhere.
Fonctionnalités d'audit interne
Les directeurs d’audit peuvent regrouper les audits dans un seul plan d’audit. Les ressources, les compétences, les disponibilités, les dépenses et les délais peuvent être gérés pour le plan d’audit global.
Fonctionnalités d'audit interne
L’auditeur principal peut créer un programme de travail pour les audits auxquels il est affecté. Chaque activité peut avoir des documents de travail et toute information de base nécessaire à l’auditeur pour mener à bien ses tâches. Une fois prêt, le programme de travail est envoyé au directeur de l’audit pour examen.
Fonctionnalités d'audit interne
Si un audit est récurrent, les auditeurs principaux peuvent gagner du temps en « clonant » un programme de travail d’audit déjà existant, économisant ainsi du temps de planification.
Fonctionnalités d'audit interne
Une fois que l’auditeur a validé le programme de travail, les activités d’audit sont envoyées aux auditeurs auxquels elles ont été affectées. Les auditeurs peuvent alors remplir l’activité et toutes les feuilles de test qu’ils ont été amenés à remplir.
Fonctionnalités d'audit interne
Une constatation étant un incident découvert par l’équipe d’audit, les auditeurs peuvent créer de nouveaux risques par rapport à leurs constatations. Ces Risques devront alors être gérés par les Risk managers.
Fonctionnalités d'audit interne
Une fois que les auditeurs ont terminé leurs activités, documenté leurs constatations, ainsi que rédigé et assigné leurs recommandations à un audité, les activités peuvent être soumises à l’auditeur principal pour examen.
HOPEX vous donne les outils et les informations nécessaires pour maintenir vos audits internes alignés sur les priorités stratégiques de votre organisation :
- Effectuer des tests d’assurance qualité, de conformité, de RBIA et de contrôle
- Donnez la priorité à la portée de vos audits pour vous concentrer sur les risques les moins gérés et les contrôles les moins performants