5 Tendances GRC : comment la gouvernance, les risques et la conformité vont-ils évoluer ?

Le rythme de changement dans le monde des affaires est époustouflant.

Les risques commerciaux évoluent quotidiennement, des fournisseurs tiers aux chaînes d'approvisionnement, aux problèmes de réglementation, aux problèmes de confidentialité, aux défis opérationnels, aux cyberattaques, aux soucis financiers, à la conformité environnementale, etc.

Ces problèmes ne sont pas isolés – ce sont des risques interconnectés qui nécessitent des solutions globales. Le besoin d'une approche consciente et holistique de la gouvernance, des risques et de la conformité (GRC) n'a jamais été aussi critique pour les organisations.

À mesure que l'environnement commercial évolue, les entreprises doivent faire évoluer leurs stratégies GRC pour conserver une vision globale des risques interconnectés, comprendre les implications financières de ces risques et prendre des décisions plus éclairées à tous les niveaux.

Voici quelques tendances GRC pour aider votre organisation à adopter une approche proactive pour transformer le risque en avantage stratégique.

1. Une culture de résilience et d'agilité pour faire face aux défis GRC

Essayez comme vous pouvez, vous ne pouvez pas éviter tous les risques. Les entreprises doivent développer une culture de résilience lorsqu'elles examinent et se préparent aux menaces les plus urgentes.

L' agilité dans la gestion des risques fait référence à la capacité d'une organisation à éviter un crash. D'autre part, la résilience est la façon dont une organisation s'en remet.

Alors que votre entreprise se prépare à l'inflation, à l'incertitude économique et au risque mondial de stagflation (un ralentissement brutal de la croissance), vous devez renforcer votre résilience pour surmonter les obstacles avec un impact commercial minimal.

La résilience a gagné en importance ces dernières années. Il s'intègre à la gestion des risques à l'échelle de l'entreprise et fonctionne dans toute l'organisation, offrant une vue complète des enjeux. Agilité et résilience se complètent.

L'agilité offre une vision stratégique de l'incertitude, tandis que la résilience offre des mesures tactiques pour s'engager dans tous les départements. La résilience est aussi une culture, car elle nécessite l'action de toutes les parties prenantes de l'organisation.

L'expert GRC Michael Rasmussen compare cette culture au corps humain :

Alors que 75 % des organisations reconnaissent que les systèmes technologiques cloisonnés posent un problème de gestion des risques, seulement 35 % prennent des mesures au niveau de l'entreprise pour résoudre le problème.

Lorsque les entreprises ont tiré parti d'une technologie intelligente et d'une vision globale des risques, PwC a constaté que leurs conseils d'administration et leurs dirigeants étaient cinq fois plus susceptibles d'avoir une grande confiance dans la capacité de l'organisation à assurer la confiance des parties prenantes, une plus grande résilience et de meilleurs résultats commerciaux. .

2. Le rôle du CIO évolue

Les leaders technologiques, comme les DSI, ont dépassé leurs rôles « secondaires » ou « arrière-plan » de mise en œuvre de logiciels et de gestion de projet. Ils sont désormais au centre des décisions de l'entreprise, devenant des décideurs critiques dans les fonctions commerciales essentielles telles que le marketing, les ventes, le développement de produits et les finances.

Le rapport 2022 sur l'état du DSI révèle que les DSI considèrent que leur rôle consiste à équilibrer l'innovation commerciale avec l'excellence opérationnelle. Les trois quarts des responsables informatiques s'attendent à ce que leur rôle conserve sa nouvelle importance, grâce à des efforts accélérés de transformation numérique, quelle que soit l'attention cyclique des organisations sur les problèmes informatiques.

Et plus de 80 % des DSI ont déclaré être considérés comme des acteurs du changement, axés sur l'innovation.

Ce changement radical de la prestation de services informatiques traditionnels vers un rôle plus stratégique permet aux DSI de se concentrer sur les objectifs commerciaux. Alors que vos responsables technologiques présentent de plus en plus d'analyses de rentabilisation aux dirigeants, ils bénéficient d'une approche de quantification des risques pour atteindre les objectifs stratégiques et fournir des informations précieuses au reste de la suite C.

Les anciennes échelles de mesure du risque, telles que faible, moyen, élevé, rouge, jaune et vert, étaient beaucoup trop subjectives et laissaient les parties prenantes incertaines quant à la manière dont les décisions en matière de risque s'alignaient sur les besoins de l'entreprise. En quantifiant le risque en termes monétaires, votre organisation peut avoir un langage de risque commun qui montre son impact sur la génération de revenus.

Ce langage commun conduit à une vision partagée du risque – essentielle à la prise de décision commerciale – élevant encore le rôle du CIO.

Le langage commun de la quantification des risques facilite également la planification et l'analyse de scénarios, car les conditions économiques obligent les entreprises à revoir leurs budgets. Les stratégies d'atténuation des risques diffèrent considérablement en termes de coût et réduisent les risques de différentes manières. La quantification des risques permet aux DSI de comparer les implémentations de contrôle, d'évaluer les mesures d'atténuation appropriées et de fournir des commentaires au conseil d'administration.

3. Les risques tiers deviennent plus critiques et font l'objet d'un examen plus minutieux

Les organisations s'appuient de plus en plus sur des tiers, de la gestion des installations et de la sécurité physique aux services juridiques et au support technique.

L'intégration de services tiers peut rendre votre entreprise plus compétitive en vous permettant de tirer parti de compétences spécialisées et de connaissances d'experts sans vous encombrer du développement de programmes internes. Mais à mesure que les relations avec les tiers et les fournisseurs qui touchent tous les aspects d'une organisation se développent, le potentiel de vulnérabilités de votre organisation augmente.

Lorsque vous travaillez avec des fournisseurs, leurs risques deviennent vos risques. Quoi de plus? Les tiers travaillent de plus en plus avec des tiers eux-mêmes. Toute violation ou défaillance subie par vos tiers (et leurs tiers) met votre entreprise en danger. En plus des pertes financières auxquelles vous faites face en raison des vulnérabilités de tiers, votre organisation risque d'endommager sa résilience opérationnelle et sa réputation.

Soixante-treize pour cent des entreprises ont exprimé leur inquiétude quant au fait que des tiers exercent trop de contrôle sur les données des clients avec des privilèges et des autorisations inutilement étendus. Et près de la moitié des organisations ont signalé une violation de données au cours de la dernière année, les trois quarts attribuant la violation à un tiers disposant de trop de droits d'accès privilégiés.

Outre les menaces commerciales immédiates résultant d'une violation, la perte potentielle de confiance des clients peut avoir un impact commercial quantitatif plus immédiat que les amendes réglementaires ou le risque de réputation. Selon IBM, 38 % du coût d'une violation de données provient d'une perte d'activité. Cela représente une moyenne de 1,52 million de dollars.

Pour établir et maintenir la confiance des clients dans les fournisseurs tiers, vous avez besoin d'une approche proactive de la gestion des risques tiers. Dans un contexte d'incertitude économique croissante, vous devez examiner de près les entreprises tierces en tant qu'entreprises - quels fournisseurs sont essentiels à la mission et lesquels vous pouvez éliminer avec un impact négatif minimal.

Alors que les organisations resserrent les vis de l'évaluation des fournisseurs actuels et de l'approbation de nouvelles relations, la gestion des risques liés aux tiers joue un rôle clé. Faisant partie d'un logiciel GRC holistique, les programmes de risques tiers centralisent toutes les informations essentielles sur les fournisseurs de votre entreprise, ce qui facilite la gestion des performances, des coûts et des risques.

Une gestion efficace des risques liés aux tiers comprend trois éléments : un processus de sélection des fournisseurs cohérent, une hiérarchisation significative des fournisseurs et une surveillance continue.

Processus d'examen

Étant donné que les tiers atteignent tous les recoins de votre organisation, chacun doit jouer un rôle dans la gestion des risques pour s'assurer que rien ne passe entre les mailles du filet. En tant qu'entreprise, vous devez vous mettre d'accord sur les critères et le cadre d'évaluation pour évaluer les tiers. Vous devez également décider des indicateurs de performance clés.

Vous pouvez examiner les contrats pour identifier les fournisseurs qui ne respectent pas leurs engagements et appliquer et gérer plus rigoureusement les accords de niveau de service (SLA). Avec le bon logiciel GRC holistique, chaque membre de l'équipe peut accéder aux données, outils et langage commun nécessaires pour effectuer ces évaluations.

Priorisation

La plupart des entreprises travaillent avec des dizaines de fournisseurs. La meilleure façon d'assurer le succès de la gestion des risques tiers est de hiérarchiser vos fournisseurs critiques. À l'aide de ces classements, vous pouvez développer un processus et une cadence de notation qui reflètent l'importance du fournisseur.

Suivez ces étapes pour commencer :

• Classez chaque relation tierce en fonction de son importance pour vos opérations.
• Répertoriez les données ou l'accès au réseau de chaque fournisseur : les systèmes et les niveaux d'autorisation.
• Pour chaque fournisseur, détaillez les opérations et fonctions potentiellement impactées par un incident.
• Utilisez ces informations pour décider des détails dont vous avez besoin pour évaluer les vulnérabilités de chaque fournisseur.

Contrôle continu

La plupart des entreprises effectuent une certaine diligence raisonnable, mais beaucoup ne surveillent pas les risques de tiers au-delà d'une liste de contrôle annuelle. À ce moment-là, les informations pourraient être obsolètes, les fournisseurs non conformes et votre entreprise en danger.

En surveillant en permanence votre risque tiers, vous restez au courant de l'évolution des surfaces de risque pour atténuer les vulnérabilités et créer des plans d'urgence selon les besoins, basés sur des données en temps réel plutôt que sur des informations recueillies au début de la relation.

Le TPRM est un sport d'équipe

La gestion des risques tiers concerne tout le monde, des chefs d'entreprise et des équipes d'audit interne aux services juridiques, de conformité et informatiques. Avec les bons outils et une communication claire, votre entreprise peut gérer les risques liés aux fournisseurs pour vous protéger et protéger vos clients.

4. Montée en puissance de la réglementation ESG

La conversation sur l'environnement, le social et la gouvernance (ESG) dans le cadre d'une GRC holistique s'est récemment intensifiée, les efforts ESG orientant les décisions en matière d'emploi, le comportement des consommateurs, les délibérations du conseil d'administration et les stratégies d'investissement.

Alors qu'au début de 2022, des entreprises comme BlackRock se sont prononcées pour faire de l'investissement durable une priorité, les contradictions entre les affirmations sur les fonds ESG et leurs rapports réels ont suscité l'intérêt des régulateurs.

La Securities and Exchange Commission a soumis deux projets de règles pour fournir des lignes directrices aux fonds ESG. Ces lignes directrices obligeraient les entreprises d'investissement et les entreprises incluses dans leurs fonds à démontrer leurs revendications en matière de durabilité avant d'utiliser des noms liés à la durabilité.

Plus de 80 % des consommateurs pensent que les entreprises devraient activement façonner les directives ESG, et presque tous (91 %) les chefs d'entreprise pensent que leur organisation est responsable d'agir sur les questions ESG. De plus, 86 % des employés souhaitent travailler pour des entreprises qui partagent leurs valeurs.

De la répression de la corruption au maintien de la responsabilité pour les objectifs de diversité, d'équité et d'inclusion (DEI) en passant par la réduction des émissions, les entreprises doivent prendre au sérieux la surveillance et le reporting ESG, sinon elles risquent de prendre du retard.

Divers cadres guident les facteurs ESG les plus importants pour des industries spécifiques, mais les États-Unis n'ont pas de norme établie pour l'ESG. Bien que les cadres fournissent des objectifs généraux de reporting, ils ne donnent pas un aperçu des pratiques de gestion ESG en cours.

Pour faciliter le suivi et le reporting, votre organisation doit aborder l'ESG dans le cadre de votre programme GRC holistique. En intégrant vos initiatives, données et objectifs existants dans un logiciel GRC robuste, vous obtenez une meilleure compréhension de vos progrès et risques ESG.

Ces efforts porteront leurs fruits, car les entreprises fourniront de plus en plus de rapports démontrant que leurs promesses ESG s'alignent sur leurs actions.

5. Le travail hybride introduit des risques pour les personnes, des risques cyber

Une organisation résiliente nécessite des structures flexibles et adaptables dans tous les domaines opérationnels. Si le travail hybride offre de la flexibilité aux employés, il augmente également le risque opérationnel.

Les organisations qui s'efforcent d'établir leur « nouvelle normalité » dans les modèles hybrides doivent adopter le changement et l'agilité pour protéger les données, gérer équitablement les employés et atteindre les objectifs DEI.

Les défis de la gestion des talents

Les modèles de travail hybrides introduisent un nouveau risque lié à la main-d'œuvre alors que les managers relèvent les défis d'une double main-d'œuvre : établir et maintenir des relations égales avec les employés sur site et à distance. L'un des dangers des modèles de travail hybrides est qu'ils s'appuient sur un style de "gestion par la marche", ce qui pourrait être désavantageux pour les travailleurs à distance.

Pour éviter un tel écart, votre organisation devrait investir dans des leaders. Fournissez-leur une formation et un développement pour favoriser les compétences en leadership virtuel et les aider à établir de meilleures connexions et relations avec les travailleurs à distance.

Votre approche de l'évaluation des performances doit également changer. Ne vous concentrez pas sur le temps d'un employé "au bureau". Basez les évaluations sur le respect par les employés de leurs obligations professionnelles, quel que soit leur lieu de travail.

Obstacles aux initiatives DEI

Les managers naviguant dans des environnements de travail hybrides peuvent créer par inadvertance deux "classes" d'employés : les employés de bureau ayant un lien solide avec la culture de l'entreprise et les travailleurs distants moins attachés à l'entreprise.

Les femmes et les personnes de couleur trouvent plus d'épanouissement dans le travail à domicile et sont plus susceptibles de travailler à distance que leurs homologues masculins blancs. Cette préférence peut entraver la mobilité interne de certains employés sous-représentés et compromettre la progression des objectifs DEI à l'échelle de l'entreprise.

Pour lutter contre ce risque, utilisez les données pour déterminer si la mobilité interne, l'évaluation des performances et les avantages sociaux sont équitables.

Après avoir analysé les données, identifiez les problèmes et adaptez les stratégies en milieu de travail à des approches plus équitables. Passez en revue ces questions régulièrement pour voir si vos équipes restent sur la bonne voie ou si de nouvelles préoccupations surgissent.

Cybersécurité et menaces de conformité

Les violations de données, les pannes informatiques majeures et les attaques de ransomwares ont été classées parmi les principaux problèmes à risque pour les entreprises du monde entier en 2022. Le travail à distance, qui contribue à l'augmentation des risques de cybersécurité, ne mène nulle part. Plus des trois quarts des employés à distance ont déclaré à Gallup qu'ils prévoyaient de travailler à distance ou de manière hybride au moins jusqu'en 2022.

Le rapport Tessian sur les comportements de sécurité a révélé que plus de la moitié des responsables informatiques pensent que leurs employés ont adopté des habitudes de cybersécurité à risque depuis qu'ils sont à distance - et plus d'un tiers des employés sont d'accord. Lorsque vos employés travaillent à domicile, ils quittent la sécurité relative des connexions sécurisées du bureau.

Les employés distants sont plus tentés d'accéder aux documents de travail sur des appareils personnels. Ajoutez des employés travaillant dans des cafés et d'autres lieux publics, et vous avez une recette pour un cyber-désastre.

Une étude de HP Wolf Security a révélé qu'environ un tiers des employés considèrent les politiques de sécurité comme un obstacle, et beaucoup travaillent même pour contourner les mesures de sécurité. Selon la société de sécurité, presque toutes les équipes informatiques (91 %) ont subi des pressions pour compromettre la sécurité afin de maintenir la continuité des activités, et 8 équipes sur 10 ont identifié le travail à distance comme une "bombe à retardement" d'une violation potentielle.

La protection contre les violations de données et les attaques de rançongiciels commence par la mise à jour des pratiques et politiques de cybersécurité de votre organisation.

• Adoptez l'authentification multifacteur.
• Assurez-vous que la formation des employés reflète les dernières avancées en matière de protection de la cybersécurité.
• Enfin, équipez le personnel informatique pour aider les employés à signaler à la fois les communications suspectes et leurs propres erreurs sans crainte de représailles.

Prioriser la gestion des risques

La gestion des risques est la responsabilité de chacun. Cultiver une culture de résilience et prendre le contrôle des relations avec des tiers améliorera votre attitude face au risque. Le risque devient un avantage stratégique lorsque vous responsabilisez votre CIO en tant qu'acteur du changement et que vous vous engagez à appliquer de solides pratiques de surveillance et de reporting ESG.

En accordant une attention particulière à votre personnel - le plus grand atout et risque de toute organisation - vous protégez les progrès de DEI, combattez les cybermenaces en constante évolution et assurez-vous que vos équipes restent efficaces dans des environnements hybrides complexes.

L'amélioration des pratiques de cybersécurité de votre organisation devrait être votre priorité. Choisissez l'authentification unique pour rendre l'authentification plus sûre et plus simple pour votre entreprise.