Accueil
 > Rapports de TEC > Blogue de TEC > Les défis de la définition et la gestion de la gouvernanc...

Les défis de la définition et la gestion de la gouvernance, la gestion des risques et conformité

Écrit par : Predrag Jakovljevic
Date de publication : juillet 18 2013

Comme indiqué dans Solutions SAP pour la Gouvernance, Risque et Conformité , une grande partie de la création de valeur et l'innovation au sein des entreprises se déroule comme une conséquence des relations complexes entre les personnes, les processus et systèmes qui sont tous, en règle générale, inégale entre les différentes organisations, fonctions et zones géographiques. Cette fragmentation peut contenir toute entreprise de retour dans un certain nombre de façons:

  • Fragmentation organisationnelle causée par déconnectés, les activités de GRC dirigé par le ministère habituellement traduit par des politiques incohérentes, la difficulté à prédire le risque, le manque de transparence de l'entreprise, et la duplication des efforts. Comme les entreprises à accroître la collaboration avec les partenaires commerciaux, les conséquences de ne pas avoir organe central de coordination des activités de GRC à l'échelle intensifier parce que la plupart des législations les tient responsables de la bonne gouvernance et de la conformité au sein de leur propre organisation, ainsi qu'à travers l'entreprise étendue (chaîne d'approvisionnement).
  • La plupart des entreprises n'ont pas l'intégrité de l'information GRC parce que leurs ministères utilisent différentes mesures, des normes, des logiciels et des méthodes d'analyse de risque et les informations de conformité. Cette fragmentation du système, il est difficile d'agréger les données, obtenir une vue complète des risques à l'échelle, de surveiller efficacement ces risques et de la conformité, et d'ajuster les processus d'affaires pour répondre à l'évolution des besoins, tendances du marché, et les mandats réglementaires.
  • Les politiques et les risques
  • sont généralement définis et mesurés au niveau géographique local, sans considération appropriée de leur impact sur les mandats mondiaux, multinationales, nationales ou régionales avec lesquelles l'organisation doit également se conformer. Les décideurs sont souvent pas conscients des interdépendances entre les mandats et les risques de non-conformité dans certaines régions et marchés, où le risque d'une région pourrait être l'occasion pour un autre.
  • Interne GRC discipline fragmentation est également un problème, car au niveau de l'entreprise, ainsi que les niveaux départemental ou régional, il existe une incertitude générale sur la signification et la portée des disciplines de la GRC. Plus important encore, l'équipe de gestion peut ne pas reconnaître que ces disciplines sont intimement liés et interdépendants, et, par conséquent, doit fonctionner de façon interdépendante au lieu de dans le cadre d'une stratégie intégrée.

Pour réussir, les entreprises doivent aligner leurs stratégies d'entreprise avec une supervision plus efficace et le cadre de la politique institutionnalisée, la gestion des risques et le contrôle des processus d'affaires. La seule façon d'atteindre cet objectif à travers une approche globale de la GRC qui unifie les zones fragmentées ci-dessus. C'est alors seulement que l'entreprise peut espérer saisir de nouvelles informations sur les menaces et les opportunités émergentes, et de les exploiter pour obtenir un avantage concurrentiel.

Selon AMR Research , environ les deux tiers des coûts de mise en conformité sont imputables aux gens. C'est parce que les efforts fragmentés GRC ont tendance à se traduire par "les gens à propulsion GRC» (ou inefficaces, les processus manuels qui sont reproduites dans les ministères). Encore plus important peut-être des occasions perdues qui résultent d'une approche tactique, fragmentée de la gestion GRC. Sans une stratégie GRC globale et cohérente, les entreprises sont privées d'un moyen de naviguer efficacement aujourd'hui est fortement réglementé (et en constante évolution) des milieux d'affaires, ainsi que d'un moteur essentiel du chiffre d'affaires et un avantage concurrentiel.

Par conséquent, une multiplicité de réglementations gouvernementales, la pression croissante des marchés financiers, et les demandes croissantes des parties prenantes ont renouvelé l'accent sur la GRC. Certaines organisations avant-gardistes ne voient GRC des activités distinctes, basées sur des projets gérés comme des fonctions distinctes. Au contraire, ils adoptent une stratégie GRC globale qui guide les gens, standardise les processus, et unifie la technologie pour intégrer GRC à tous les niveaux de l'organisation. C'est-à-dire, dans le visage de conditions changeantes de l'industrie, la conformité aux réglementations et exigences en matière de gouvernance, les entreprises doivent adopter une approche plus large et plus structurée de la gestion GRC pour identifier de manière proactive et de prévoir les inefficacités et d'erreurs, d'adopter une approche axée sur le risque envers intégration contrôles dans les processus d'affaires, et de surveiller continuellement les opérations afin d'optimiser et d'orienter les politiques futures (voir Solutions SAP pour la Gouvernance, Risque et Conformité ).

Pour gérer la technologie de l'information (IT) et les risques d'entreprise à tous les niveaux de l'organisation, des solutions intégrées de GRC doivent être capables de suivre les processus d'affaires et il contrôle automatiquement. Il faudrait non seulement une approche intégrée offrir cadres supérieurs un tableau de bord action montrant un profil plus complet et plus précis des risques de l'entreprise, mais il doit aussi détecter des événements à haut risque, et les réponses aux risques et mieux encore, une action préventive corrective ou, à prioriser.

Ceci est la dernière partie d'une série sur la façon dont diverses industries abordent les questions de conformité. Pour plus d'informations, veuillez consulter parties précédentes de cette série: Tu conformer (et plus, ou autre): En regardant la loi Sarbanes-Oxley, loi Sarbanes-Oxley importants mandats et ce qu'ils signifient pour la gestion de la chaîne d'approvisionnement, la loi Sarbanes-Oxley May Be Juste la pointe de l'iceberg de la conformité, de l'industrie automobile et de l'Alimentation, de la sécurité, et drogues, le Règlement "Evergreen"-environnementales pour la haute technologie et de l'électronique, de la chimie, pétrole et gaz Industries, et le commerce mondial et le rôle de la gouvernance, des risques Management, and Compliance Software.

GRC défini, en commençant par le référentiel central

plonger plus profondément dans les composants individuels GRC, gouvernance entraîne le rôle de surveillance, avec l'idée de fixer des objectifs stratégiques de l'entreprise veut poursuivre, puis la gestion de ces derniers. À cette fin, la gouvernance repose généralement sur un référentiel pour centraliser la gestion tout contenu GRC, orienter les stratégies de gouvernance et d'améliorer la performance des entreprises.

Un tel référentiel devrait centrale documenter et stocker des dossiers de rationaliser et de gérer le contenu GRC, y compris les cadres de contrôle des politiques d'entreprise et les procédures, les règlements, les mandats de l'industrie, les flux de processus métier, les bibliothèques de risque, les bibliothèques de contrôle, des plans de test, la preuve de la conformité; etc.) En d'autres termes, le dépôt central devrait permettre une couverture cohérente, efficace et efficient de contenu réglementaire (c'est-à-dire, des cadres, des lois, des politiques internes de l'entreprise, etc) en fournissant une visibilité sur les exigences connexes. Les entreprises peuvent ensuite recouper leurs politiques et procédures de l'organisation aux exigences réglementaires pour assurer la conformité.

La clé d'un référentiel central est contenu GRC centraliser et de gérer de multiples sources, et dans sa capacité à modéliser les processus d'affaires et de documenter les objectifs associés, les risques et les activités de contrôle. Tout aussi important est la bibliothèque de règles métier configurables, des contrôles de processus métier et IT contrôle pour assurer le bon ségrégation de-devoirs (SOD), le contrôle des processus d'affaires, et de la conformité commerciale sur l'environnement et la planète.

En exploitant un référentiel GRC bien peuplée, les entreprises devraient bénéficier de toute l'entreprise une visibilité sur l'ensemble des activités de GRC. Cette visibilité devrait permettre aux entreprises d'analyser les risques, prendre des décisions éclairées, et adopter une approche fondée sur le risque à plusieurs initiatives d'entreprises satisfaisants et des mandats réglementaires.

En outre, les utilisateurs devraient être en mesure de relier ces risques et des contrôles de sécurité multiples et cadres de contrôle, tels que le Comité of Sponsoring Organizations (COSO), le IT Infrastructure Bibliothèque (ITIL), ou les objectifs de contrôle Pour information et connexes Technologies (COBIT), et aux mandats américains comme la loi Sarbanes-Oxley (SOX) et (FDA) des règlements Food and Drug Administration. Le référentiel permet souvent également le respect des schémas de classification des produits officiels tels que le annexe tarifaire harmonisée US (HTS) et le Export Numéro de classification de contrôle (ECCN), qui est délivrée par l' Bureau of Industry and Security (BIS) pour les envois qui nécessitent une licence d'exportation.

Pour illustrer la puissance transformatrice d'un référentiel central GRC, envisager toutes les SOD nécessaire besoins définis au sein de toutes les solutions de conformité pertinentes. Ces SOD seraient alors inclure des applications de contrôle d'autorisation qui sont intégrés à l'application du référentiel GRC et l'accès. De cette façon, toutes les politiques de l'organisation, des initiatives et des règlements qui exigent SOD appropriées (ou, alternativement, qui doivent définition et l'attribution appropriée des contrôles compensatoires) serait automatiquement documenté dans le garde GRC, avec des liens vers les contrôles d'accès appropriés pour surveillance automatisée. Ce faisant, les entreprises doivent être en mesure de tirer parti des possibilités qu'ils n'auraient pas remarqué avant pour améliorer l'efficacité et la transparence, les portefeuilles risque-retour optimiser et d'accroître la prévisibilité de l'entreprise en rationalisant les commandes et les réponses des risques dans l'entreprise.

... Quel (idéalement) gère tous les risques envisageables

gestion des risques applications offrent un cadre pour l'identification des risques, l'analyse des impacts potentiels et des réponses appropriées et le suivi des mesures d'atténuation et de reporting, le tout dans une manière structurée. Lorsque mis en œuvre de manière globale, les pratiques plus efficaces de gestion des risques doivent être en mesure d'améliorer la prise de décision et créer une valeur significative dans toute l'entreprise.

Mais trop souvent, les pratiques actuelles de gestion des risques sont des tâches réactives, théoriques effectuées dans les silos départementaux, et ces pratiques donnent interactions cruciales entre les risques. Dans le même temps, parce que la gestion des risques est souvent considérée comme un exercice théorique sans méthodologie pratique, les organisations ne sont pas équipés pour reconnaître les risques critiques, d'analyser le risque et la récompense des compromis, et répondre en fonction appropriée sur le coût quantitatives et mesures d'analyse de prestations . L'idée est donc de déployer des applications de gestion des risques appropriées et mettre en œuvre des processus proactifs, en collaboration tout au long de toute l'entreprise. Ces applications permettront aux entreprises d'équilibrer de nouvelles opportunités commerciales avec des risques financiers, juridiques et opérationnels.

Une suite d'applications de gestion des risques à part entière devrait fournir un cadre de meilleures pratiques pour l'identification des risques de l'entreprise, l'analyse des risques en collaboration, la gestion des risques-réponse et la surveillance continue des risques et de reporting. Cette suite d'applications devrait aider les utilisateurs à anticiper et répondre aux conditions changeantes du marché efficacement. Les applications devraient également idéalement inclure au niveau exécutif, des tableaux de bord personnalisés, des tableaux de bord et des rapports qui fournissent aux utilisateurs une visibilité sur les mesures de risque et la conformité aux politiques.

L'objectif est que les utilisateurs soient en mesure de surveiller le portefeuille global de risque, y compris la cohésion, les profils globaux de risques au niveau des entités opérationnelles et ("cartes de chaleur"), puis d'analyser les risques en termes de gravité et impact sur une base monétaire et qualitative. En outre, les utilisateurs devraient être en mesure d'équilibrer les coûts de la prévention des risques contre les nouvelles occasions d'affaires. Ils devraient également être en mesure d'alerter la direction lorsque les risques à impact élevé et à haute probabilité dépassent les seuils spécifiques à l'entreprise, et donner la priorité à des mesures correctives à l'aide de tableaux de bord et des alertes basées sur les rôles.

... pour assurer la conformité à la fin de la journée

Last but not least, conformité entraîne l', actions réelles tactiques pour atténuer les risques. En d'autres termes, le respect est la réalisation de ces objectifs en fonction de seuils de tolérance établis pour l'entreprise. À savoir, comme mentionné précédemment, certains règlements ne sont pas obligatoires, mais recommandés. Par exemple, la réglementation de la FDA pour les fabricants de médicaments ne sont pas fixés des objectifs. Ainsi, la conformité est un objectif essentiel pour toute entreprise réglementée de fabrication de médicaments, mais les conditions de respect de la conformité sont subjective basée sur les produits, les processus de production, et (peut-être le plus important) la tolérance de chaque entreprise pour le risque. Le risque de réglementation est le risque d'être jugé non conforme, et si une entreprise accepte un risque très limité, le coût de la conformité sera logiquement élevé. Inversement, avec plus de risque permis, le coût de la conformité est réduit, mais le coût potentiel de non-conformité augmente.

, donc, a la responsabilité d'établir la tolérance au risque de l'organisation et de l'allocation des ressources nécessaires pour répondre à cette tolérance. Une équipe de mise en conformité (par exemple, de la qualité ou du service juridique) doit définir la stratégie réglementaire pour une société basée sur une interprétation de la réglementation relative à sa situation spécifique. Dans le même temps, l'équipe de conformité doit soigneusement équilibrer le coût de la conformité et le coût de la non-conformité.

Lors de l'examen des coûts de mise en conformité, il faut penser au coût total de possession (TCO). TCO devrait inclure le coût ponctuel de lancer le système (c'est-à-la mise en œuvre et la formation, l'acquisition de tout matériel ou logiciel n'est nécessaire, et validation), ainsi que la poursuite des coûts opérationnels et de maintenance (qui est, le coût du personnel, le coût de la formation continue, coût de l'entretien de tout matériel ou logiciel utilisé, etc.) Poursuivant coût comprend également les efforts constants pour maintenir le système de conformité en phase avec l'évolution des procédures d'utilisation normalisées (SOP). La composante informatique du système de conformité devra aussi évoluer avec les modes opératoires normalisés.

Le noyau de la conformité tourne autour d'un accès adéquat et contrôles d'autorisation, étant donné que ces applications visent à réduire le risque de contrôle dans les applications d'entreprise en appliquant SOD appropriées. Les applications puis gérer des rôles d'entreprise et le provisionnement conforme des utilisateurs, et d'accorder un accès d'urgence vérifiés pour les super-utilisateurs. Il faut permettre l'accès super-utilisateurs privilégiés, mais contrôlée afin qu'ils puissent répondre rapidement aux besoins d'urgence ou d'atténuer les situations où SOD ne peut être accompli.

Comme indiqué précédemment, deux pièces essentielles du puzzle GRC sont une bonne séparation des tâches et le contrôle d'accès sur les actifs d'information essentiels, qui sont les meilleures protections contre la fraude-et pré-requis pour la surveillance d'entreprise saine. Ce sont aussi les contrôles plus difficiles à déployer et à maintenir, compte tenu des milliers d'utilisateurs, des rôles et des processus qui nécessitent un accès et à l'évaluation de l'autorisation en cas de violation, les tests et assainissement.

l'immense tâche de gérer les accès des utilisateurs et des rôles ne peut être accompli lorsque les propriétaires de processus métier (qui peut déterminer un accès approprié en termes d'affaires) et des experts informatiques (qui permet de définir les objets techniques sous-jacents qui composent fonctions de l'entreprise ) travailler ensemble dans un environnement qui les processus d'affaires ponts, il capacités, et la pléthore d'applications d'entreprise utilisées dans l'organisation. C'est-à-dire, une société a besoin d'un pont qui relie la langue des affaires avec des capacités informatiques. Pour réaliser ce lien, un ensemble complet d'applications de contrôle d'accès est nécessaire qui permettra à toutes les parties prenantes de conformité des entreprises (y compris les chefs d'entreprise, les auditeurs et responsables de la sécurité de l'information) pour gérer conjointement l'application correcte de la SOD.

Conclusion et recommandations

Il est évident que les entreprises sont devenus plus conscients de la nécessité de solutions de TI qui soutiennent une stratégie GRC intégrée, englobant les aider à atteindre une plus grande transparence et de prévisibilité, de rationaliser les processus GRC, et en fin de compte à améliorer leur entreprise dans son ensemble rendement. Pour mieux soutenir ces objectifs stratégiques, les entreprises ont besoin de solutions logicielles qui permettront une meilleure transparence dans la performance des entreprises, de cultiver des résultats commerciaux prévisibles, et d'assurer la continuité des processus d'affaires. Un portefeuille GRC intégrée, plutôt qu'un ensemble de solutions ponctuelles, se dresse une bien meilleure chance de résoudre la fragmentation entre les organismes de gestion, systèmes d'information, et dans les régions d'exploitation.

Pourtant, chaque organisation doit tracer sa propre voie d'adopter un cadre GRC. Les entreprises doivent mettre en balance les exigences critiques de l'entreprise et la tolérance au risque avec la maturité organisationnelle GRC et l'engagement au plus haut niveau. Les entreprises peuvent choisir de commencer par identifier quelques rares zones à risques hautement prioritaires, et ensuite lancer une, proof-of-concept de déploiement entreprise spécifique ou d'une initiative axée sur des applications de GRC. Le succès de cette approche devrait aider à ouvrir la voie et de conduire la valeur d'une stratégie GRC complète. Suite à cela, il devrait fournir un modèle réutilisable et durable pour contrôler et traiter les futures zones GRC. Certains avantages potentiels d'une approche globale GRC pourraient inclure

    Marque et la réputation
  • mieux protégés;
  • Optimisée portefeuilles risque-retour (en raison de la transparence et la perspicacité de sélection et de rejet des projets basés sur l'impact du risque et de probabilité par rapport au potentiel de rendement);
  • Réduit les coûts de GRC et les ressources ainsi libérées pour l'innovation;
  • Amélioration de la performance de l'entreprise et la prévisibilité (en raison d'une meilleure visibilité, un processus systématique pour anticiper, surveiller et contrôler les risques et les outils pour déterminer de manière proactive les actions appropriées et les tâches critiques);
  • Continuité de l'activité
  • (en raison de l'automatisation des logiciels, la gestion par exception, l'analyse et les alertes, la visibilité de l'interdépendance des risques, etc);
  • Augmenté l'agilité des entreprises et la compétitivité (en raison de la capacité des décideurs à identifier et évaluer les alternatives, ce qui-si des scénarios futurs) et
  • Plus intelligente gestion des risques.

En général, les logiciels d'entreprise doit être testée et validée spécifiquement pour l'utilisation conforme de chaque société. Une fois les procédures normalisées d'exploitation d'une entreprise sont élaborés et documentés, la validation du système est largement fonction de la réalisation de tests de documenter ses processus dans le logiciel de prouver qu'il agit de la manière attendue. Il est donc important que le fournisseur (fournisseur de logiciels ou intégrateur de système) offre une compréhension profonde de la réglementation à laquelle la société doit se conformer. Si le vendeur ne peut plus apporter des outils de validation pré-compilés qui peuvent être utilisés directement ou légèrement modifiés pour certains des processus de validation de l'utilisateur d'entreprise, les économies de coûts de consultation et l'heure peuvent être importantes.

aussi cruciale est la compréhension de la configuration initiale et les aspects de gestion du changement en cours de fonctionnement d'un système d'entreprise dans un déploiement réglementé. Par exemple, chaque nouvelle version du produit nécessite de nouveaux tests et les processus de gestion des changements spécifiques doivent être suivies pour apporter la nouvelle version en production. Livré avec ceci est une compréhension profonde du logiciel, y compris la façon dont la base de données est structurée et dont le code source est conçu pour se comporter. Cette compréhension profonde est nécessaire pour soutenir le processus de test et de validation, et pour appuyer la prise de décisions sur quelles transactions doivent être suivis au niveau de la vérification.

En bref et pour résumer, les référentiels centraux de GRC gérer les risques imaginables pour aider à assurer la conformité. Pourtant, pour réussir à exploiter ce, logiciel émergentes stratégiques, GRC et sa gestion efficace exige une approche globale et structurée. C'est alors seulement que les entreprises peuvent orienter efficacement le personnel, de normaliser les processus d'affaires, et d'unifier la technologie pour intégrer GRC à tous les niveaux de l'organisation.

Ceci conclut la série Thou Shalt conformer (et plus), ou bien

 
comments powered by Disqus


©2014 Technology Evaluation Centers Inc. All rights reserved.