Demandez ceci avant de démarrer un programme ERM
Publié: 2020-02-04Qu'il s'agisse de prendre une décision personnelle ou professionnelle, nous sommes tous confrontés à des risques en permanence.
Éviter les risques fait partie de la vie depuis la nuit des temps, mais les entreprises modernes sont confrontées à des dangers plus fréquents et plus complexes que jamais. Il faut une collection de divers professionnels et outils pour éviter les menaces, tant pour les entreprises que pour les petites entreprises.
Par exemple, considérez le nombre de titres que vous avez probablement vus récemment similaires à "[Insérez une grande marque ici] confirme la violation de données." En avril 2019, la probabilité d'une année sur l'autre de subir une violation de données est passée de 2 % à 29,6 %. Les gros titres axés sur les violations de données, les pertes financières et les atteintes à la réputation sont monnaie courante dans le paysage commercial actuel, affectant des entreprises établies comme Marriott, Capital One et DoorDash.
La bonne technologie doit être en place avant qu'il ne soit trop tard, en particulier pour les entreprises qui traitent des informations sensibles. L'enjeu est trop important pour que la technologie d'atténuation des risques ne soit pas un élément clé de tout système informatique d'entreprise.
Les récentes découvertes d'IBM et du Ponemon Institute, publiées dans leur rapport conjoint 2019 sur le coût d'une violation de données, offrent une certaine clarté sur les enjeux. Entre autres conclusions, le rapport a révélé que le roulement des clients après une violation coûte en moyenne 1,4 million de dollars aux entreprises. De plus, parmi les entreprises de plus de 25 000 employés, le coût global était de 5,1 millions de dollars. Le coût était de 2,65 millions de dollars pour les entreprises de 500 à 1 000 employés.
Alors que les violations de données et les risques nouveaux et émergents surviennent, les entreprises se tournent vers la gestion des risques d'entreprise (ERM) pour lutter contre les risques et établir une source unique de vérité pour toutes les parties prenantes.
Programmes de gestion des risques d'entreprise
Dans le monde des affaires d'aujourd'hui, la collecte des efforts pour gérer les risques est sa propre fonction. Cette fonction est appelée gestion des risques d'entreprise (ERM) et joue un rôle essentiel dans la protection des entreprises contre les menaces internes et externes.
Selon G2, un programme de gestion des risques d'entreprise est "une stratégie commerciale conçue pour identifier, évaluer et se préparer à tous les dangers, dangers et autres potentiels de catastrophe susceptibles d'affecter les opérations et les objectifs d'une organisation".
En termes simples, la GRE implique des mesures préventives contre tout ce qui peut perturber l'objectif final d'une organisation. Mais, ce n'est pas tout à fait aussi simple. Il existe de nombreux composants et aspects d'une entreprise qui entrent dans des processus ERM efficaces.
C'est pourquoi le Committee of Sponsoring Organizations (COSO) pousse cette définition encore plus loin. Il est décrit comme un mouvement stratégique complet qui s'applique à toute une entreprise impliquant des employés à tous les niveaux.
Une stratégie ERM efficace comporte trois éléments identifiables : la discipline, la culture et le contrôle. Une entreprise doit avoir une structure en place qui intègre ces descripteurs pour surveiller et atténuer en permanence les risques au niveau de l'entreprise.
Cinq étapes pour évaluer le risque
Pourquoi la GRE est-elle importante ?
Il ne s'agit pas de savoir si votre entreprise sera confrontée à un risque, mais quand. Grâce à la GRE, les entreprises peuvent garder une longueur d'avance sur les risques qui les menacent aujourd'hui et à l'avenir. Cependant, il ne suffit pas de mettre en œuvre n'importe quel processus : afin de protéger toutes les facettes de votre entreprise, un système ERM doit être exécuté de manière intelligente et stratégique. Son objectif est de limiter autant que possible l'exposition et les dommages, au profit à la fois de l'entreprise et des employés, tout en conservant une culture du risque.
La mise en œuvre d'un programme ERM offre de nombreux avantages, permettant aux entreprises d'économiser du temps et de l'argent grâce à une efficacité accrue des opérations et des employés. Surtout si les processus actuels sont effectués par le biais d'un suivi et d'une coordination manuels, les solutions automatisées permettront aux entreprises de combler les lacunes en matière de couverture des risques, de la sécurité et de la conformité.
La transparence avec les employés permettra à l'atténuation des risques d'être au premier plan des opérations commerciales - particulièrement nécessaire dans des secteurs tels que la santé, les services financiers, la technologie et l'énergie, où les risques de tiers et de sécurité informatique sont au cœur des performances de l'entreprise.
Trois questions à se poser avant de démarrer un programme ERM
Avant d'établir un programme de GRE, il est important de se poser les bonnes questions. L'identification des objectifs fondamentaux du programme aidera à consolider les attentes de toutes les parties prenantes.
Quel est l'état actuel ?
Il devrait y avoir un processus d'évaluation constant des processus de gouvernance, de gestion des risques et de conformité d'une entreprise. Connaître l'état actuel de vos systèmes et de votre inventaire existants - à la fois des outils et des technologies formels ainsi que des approches ad hoc - sera nécessaire, c'est pourquoi il est essentiel d'inclure plusieurs personnes à ce stade.
Interviewer toutes les personnes impliquées dans ces processus et comprendre leurs points de vue, leurs objectifs et leurs points faibles vous permet de prendre une décision plus éclairée et, en fin de compte, d'avoir un meilleur jugement lors de l'établissement d'un programme ERM. L'analyse de vos propres pratiques peut être difficile, en particulier en ce qui concerne l'atténuation des risques.
Poser certaines de ces questions peut aider :
- Quel type d'informations personnellement identifiables (PII) ou de données sensibles traitons-nous ?
- Avons-nous tenu compte du paysage réglementaire de notre industrie lors de la collecte des risques ?
- Quelle est la complexité de nos risques ?
- Quelle est la complexité de notre structure organisationnelle ?
- Quels sont les scores de probabilité et d'impact des risques, à la fois individuellement et globalement ?
Où l'entreprise veut-elle aller ?
Poser cette question vous permet de façonner votre futur scénario ERM idéal. En conséquence, cela variera considérablement en fonction de l'entreprise et de l'industrie. Mais, il est toujours extrêmement important d'être raisonnable et précis. Envisagez de modéliser vos objectifs selon la méthodologie "SMART", qui signifie spécifique, mesurable, atteignable, pertinent et limité dans le temps. Rappelez-vous, cependant, que les influences extérieures telles que les réglementations, les lois et les contrats peuvent également être prises en compte dans la prise de décision.
Comment allons-nous d'ici à là?
Cette étape est la feuille de route pour l'ensemble du programme. Passer de la première à la deuxième étape nécessite d'analyser l'état actuel et futur potentiel de votre entreprise et de concevoir un plan de match pour aller de l'avant. Cela dépend de l'identification des lacunes de votre système et de la recherche d'un ERM qui fonctionne pour combler ces lacunes.
N'ayez pas peur de poser les bonnes questions
L'élaboration d'un programme de gestion des risques d'entreprise peut être une tâche ardue. Alors que de nombreuses entreprises s'appuient sur la saisie manuelle et les feuilles de calcul pour maintenir leur programme, d'autres transforment numériquement leur processus, en s'appuyant sur des solutions basées sur le cloud pour créer une source unique de vérité dans toute leur organisation.
Se renseigner sur ce qu'est la GRE, son importance et les questions à se poser avant de commencer un programme établit une base solide à partir de laquelle commencer. Au lieu de craindre le risque, les programmes ERM peuvent aider les entreprises à identifier les opportunités de prendre des risques plus importants tout en évitant un sentiment d'inquiétude constant.
Maintenant que vous connaissez bien la GRE et à quoi elle sert, découvrez les meilleures solutions logicielles de gestion des risques financiers disponibles pour vos besoins - uniquement sur G2.
