La gouvernance GRC Information Technologies (IT) est le domaine qui rassemble les concepts de maîtrise des risques et de conformité sous son toit. Dans le monde des affaires en rapide évolution d’aujourd’hui, chaque entreprise est devenue une nécessité (gérable) pour gérer ses risques stratégiques et opérationnels, ses contrôles internes d’entreprise et sa conformité aux exigences réglementaires.

Il n’est pas possible de répondre efficacement à ces besoins sans recourir à des outils de gestion des risques et de conformité, de contrôle interne et d’audit interne.

Choisir le bon outil est une question difficile en soi. Un produit fabriqué en tenant compte des meilleures pratiques de l’industrie, contenant des normes établies par des organisations internationales telles que l’Institut des auditeurs internes (IIA) et l’Open Compliance and Ethics Group (OCEG), et avec lequel vous pouvez travailler dans une relation à long terme, saine et efficace avec son fabricant et/ou fournisseur, le choix est la solution la plus optimale.

Avec plus de 15 ans d’expérience, PROYA s’est associé à MEGA International, qui a 30 ans d’expérience, et a commencé à proposer le package Hopex GRC, l’une des familles de produits les plus ambitieuses et les plus complètes dans le domaine de l’IRM (Integrated Risk Management)

La plate-forme de MEGA, construite sur le référentiel central, garantit que tous vos objectifs GRC sont atteints.

• Mettre en œuvre une approche intégrée avec les opérations commerciales, pour passer d’une culture de la conformité à une culture consciente des risques.
• HOPEX IRM permet aux gestionnaires de risques, aux auditeurs, aux contrôleurs internes, aux responsables de la confidentialité des données, aux responsables de la conformité, aux RSSI, aux conseillers juridiques, aux équipes informatiques et aux équipes opérationnelles de travailler ensemble à l’identification et au contrôle des risques de la manière la plus efficace et efficiente.

• HOPEX IRM exploite de manière unique les informations gérées par l’informatique, l’entreprise ou la conformité à la confidentialité pour mieux comprendre le contexte des risques et leur impact sur l’entreprise.
• En combinaison avec d’autres solutions HOPEX, les entreprises peuvent gérer efficacement les risques à l’échelle mondiale, en s’assurant que les employés partagent une compréhension commune des actifs, des processus et des technologies de l’entreprise tout en garantissant le respect de la confidentialité des données.
• Comprendre le contexte permet de mieux qualifier et quantifier l’impact des risques

• Englobe la gestion des risques d’entreprise (ERM), le contrôle interne (IC) et la gestion des incidents, ainsi que les exigences réglementaires.
• Utilise un bureau unifié

Utilisez des tableaux de bord personnalisables pour surveiller efficacement les efforts de gestion des risques.

Avec HOPEX IRM, les gestionnaires de risques peuvent capturer et définir les risques :

• Créer un risque et l’attribuer à la partie prenante concernée
• Décrivez le contexte du risque en précisant quelle partie de votre organisation est concernée
• Évaluer les risques directement ou lancer une campagne d’évaluation automatique
• Compiler et rapporter les résultats de l’évaluation des risques
• Méthode de traitement Capture Risk
• Définir les efforts d’atténuation avec les contrôles pertinents et/ou un plan d’action
• Rapport sur l’efficacité des efforts d’atténuation des risques avec analyse des tendances

Les gestionnaires de risques peuvent créer un nouveau risque, capturer toutes les informations pertinentes et définir un objectif de risque & méthode de traitement.

Les Risk Managers peuvent également définir le contexte d’un Risque en précisant quels Processus, Entités, Applications et Métiers sont concernés.

Le gestionnaire de risques peut surveiller la progression d’une campagne d’évaluation et rendre compte des résultats.

Des widgets pour les risques sont disponibles depuis le tableau de bord :

• Atténuation des risques, risques par statut, rapport de cartographie des risques (agrégé), évaluation des risques

Créez un tableau de bord personnalisé et suivez la progression globale des efforts de gestion des risques.

HOPEX IRM soutient les contrôleurs dans leurs efforts d’atténuation :

• Créer des contrôles et spécifier quels risques sont atténués
• Spécifier les exigences réglementaires ou commerciales mises en œuvre
• Décrire les procédures ou outils informatiques ainsi que les entités mettant en œuvre le Contrôle
• Créer des listes de contrôle d’exécution et lancer des campagnes d’exécution
• Planifier et automatiser les évaluations de contrôle
• Rapport sur l’efficacité des contrôles en matière d’atténuation des risques

Les contrôleurs internes peuvent évaluer directement les contrôles et analyser les résultats.

HOPEX IRM vous permet non seulement de capturer les Incidents, mais aussi de les analyser :

• Documenter les incidents avec les dates de découverte et d’occurrence réelle, le contexte, les conséquences financières et les parties de l’organisation qui ont été affectées
• Examiner les incidents par la partie prenante responsable de la partie affectée de l’organisation
• Définir, attribuer et suivre la progression des actions correctives

Les Contributeurs peuvent déclarer un nouvel Incident depuis leur Interface dédiée et fournir toutes les informations pertinentes.

Un contributeur différent, précédemment désigné comme Approbateur d’Incident, peut soit demander au Déclarant d’Incident une modification, soit approuver ou rejeter complètement l’Incident.

Le Risk manager peut analyser les Incidents de différentes manières (ventilation, évolution, rapport aux risques, financier…)

La solution prend en charge les efforts de conformité :

• Gérer les cadres réglementaires et créer les exigences de votre organisation
• Indiquez quelles parties de votre organisation sont concernées par les exigences réglementaires ou commerciales
• Définir les contrôles mettant en œuvre la conformité réglementaire
• Rapport sur l’efficacité des contrôles en ce qui concerne la conformité aux exigences
• Identifier et amp ; Gérer les risques de non-conformité

Les responsables de la conformité peuvent créer des exigences dans le cadre d’un cadre réglementaire ou des propres exigences de l’organisation.

Les responsables de la conformité peuvent spécifier quelles parties de l’organisation doivent se conformer à l’exigence (processus, entités et applications).

Les Compliance Officers peuvent analyser l’efficacité des Contrôles mis en place en matière de conformité suite à une campagne d’Evaluation des Contrôles menée par un Contrôleur Interne.

Les responsables de la conformité peuvent également identifier les risques de non-conformité. Ces Risques peuvent ensuite être gérés par les Risk Managers concernés. Les responsables de la conformité peuvent également analyser les informations collectées lors des campagnes d’évaluation des risques.

HOPEX vous donne les outils nécessaires pour piloter vos activités d’Audit Interne :

• Créez des plans à long et à court terme alignés sur la stratégie et l’orientation de votre conseil d’administration
• Gérez vos auditeurs en fonction de leur charge de travail, de leurs compétences et de leurs dépenses
• Générer des programmes de travail/plans d’activités automatiquement
• Attribuez l’auditeur principal et les auditeurs les mieux adaptés à vos audits et activités correspondantes
• Capturez toutes les informations contextuelles pertinentes pour une activité et définissez des instructions et des feuilles de test pour vos auditeurs
• Documenter les résultats, soulever de nouveaux risques et émettre des recommandations
• Suivre et rendre compte de l’avancement des recommandations et lancer des audits de suivi si nécessaire
• Les auditeurs peuvent continuer à effectuer leur travail d’audit hors ligne (sans connexion Internet) sur l’application Audit Everywhere.

Les directeurs d’audit peuvent regrouper les audits dans un seul plan d’audit. Les ressources, les compétences, les disponibilités, les dépenses et les délais peuvent être gérés pour le plan d’audit global.

L’auditeur principal peut créer un programme de travail pour les audits auxquels il est affecté. Chaque activité peut avoir des documents de travail et toute information de base nécessaire à l’auditeur pour mener à bien ses tâches. Une fois prêt, le programme de travail est envoyé au directeur de l’audit pour examen.

Si un audit est récurrent, les auditeurs principaux peuvent gagner du temps en « clonant » un programme de travail d’audit déjà existant, économisant ainsi du temps de planification.

Une fois que l’auditeur a validé le programme de travail, les activités d’audit sont envoyées aux auditeurs auxquels elles ont été affectées. Les auditeurs peuvent alors remplir l’activité et toutes les feuilles de test qu’ils ont été amenés à remplir.

Une constatation étant un incident découvert par l’équipe d’audit, les auditeurs peuvent créer de nouveaux risques par rapport à leurs constatations. Ces Risques devront alors être gérés par les Risk managers.

Une fois que les auditeurs ont terminé leurs activités, documenté leurs constatations, ainsi que rédigé et assigné leurs recommandations à un audité, les activités peuvent être soumises à l’auditeur principal pour examen.

HOPEX vous donne les outils et les informations nécessaires pour maintenir vos audits internes alignés sur les priorités stratégiques de votre organisation :

• Effectuer des tests d’assurance qualité, de conformité, de RBIA et de contrôle
• Donnez la priorité à la portée de vos audits pour vous concentrer sur les risques les moins gérés et les contrôles les moins performants