Protéger la rentabilité est essentiel pour toutes les entreprises. Une stratégie efficace de Gouvernance, Risque et Conformité (GRC) est essentielle pour s’assurer que les opérations, y compris les flux de revenus, sont sécurisées, protégées et maintenables en cas d’incident.
Les entreprises ont un objectif principal : gagner de l’argent pour leurs propriétaires. En termes simples, cela signifie vendre des produits et des services à un prix supérieur à leur coût de production, de commercialisation, de vente et de support.
Bien entendu, il existe des contraintes quant à la manière d’atteindre cet objectif de rentabilité. Nous devons respecter les lois et autres règlements, nous défendre contre les comportements criminels et protéger la sécurité de nos employés ainsi que notre capacité à faire des affaires. La Gouvernance, le Risque (en particulier la gestion du risque) et la Conformité – GRC – existent pour nous aider à trouver un compromis efficace entre la génération de profits et la gestion de l’entreprise conformément aux règles, règlements et bonnes pratiques.
Définitions
Commençons par quelques définitions. La gestion des risques identifie les risques auxquels l’organisation est confrontée, qui prennent de nombreuses formes (physiques, environnementaux, juridiques, sécuritaires, financiers, de réputation, etc.). La gouvernance concerne l’établissement de politiques internes et la mesure de leur respect, tandis que la conformité se concentre sur la manière dont l’entreprise s’aligne sur les règles externes – lois générales et réglementations spécifiques à l’industrie. Si vous pensez à ce stade qu’il y a un chevauchement significatif entre ces trois domaines, vous avez raison.
Ressentir l’Impact du GRC
L’existence du GRC ajoute une friction nécessaire aux opérations commerciales : il n’existe pas de régime GRC qui n’ait aucun impact négatif sur la productivité ou le budget. Le principal avantage, cependant, est que le GRC rend l’entreprise durable : des profits massifs à court terme ne valent pas grand-chose s’ils sont compensés par, par exemple, une amende à moyen terme pour des infractions à la protection des données ou une peine de prison pour le PDG pour comportement frauduleux. Il est donc clair que le GRC a définitivement sa place dans une entreprise, mais il y a des points clés à garder à l’esprit.
Tout d’abord, le GRC n’est pas un concept universel. L’étendue des régimes de gouvernance, de gestion des risques et de conformité dans une entreprise dépendra de la taille et de la complexité de l’entreprise ainsi que du marché dans lequel elle opère. Par exemple, la banque et la médecine se situent à l’extrémité la plus complexe du spectre de la conformité, car les industries sont fortement réglementées. Le transport maritime et la logistique peuvent être complexes en termes de gouvernance, en particulier lorsqu’ils opèrent à l’international, en raison des lois relatives au franchissement des frontières avec des véhicules et des cargaisons. De plus, aucune entreprise ou industrie n’a des profils de risque identiques : par exemple, un gestionnaire de fonds d’investissement mettra l’accent sur le risque financier, tandis qu’un détaillant sera plus enclin à se concentrer sur le risque de réputation.
Ensuite, le GRC n’est pas un concept binaire. Prenons la conformité, par exemple : bien que certaines législations soient claires et sans ambiguïté, les tribunaux du monde entier seraient beaucoup moins occupés si la plupart des lois n’étaient pas sujettes à débat et à désaccord. De même pour le risque : dans la plupart des cas, la gestion des risques consiste à identifier les risques et à les évaluer pour déterminer le niveau de risque acceptable – et ce niveau est généralement supérieur à zéro. En matière de gouvernance, peu importe combien de politiques et d’autres contrôles vous mettez en place en interne, il existe généralement un mécanisme permettant des exceptions (temporaires ou permanentes) tant qu’elles sont justifiées et que cette justification obtient l’approbation du comité ou du responsable concerné.
Troisièmement, et comme nous l’avons évoqué plus tôt, la G, le R et le C ne sont pas mutuellement exclusifs. Cela est particulièrement vrai pour la gouvernance : vous ne pouvez pas rédiger de politiques, de procédures et de normes sans d’abord avoir une motivation pour le faire. Une politique doit avoir de la valeur, et la principale façon d’y parvenir est que la politique vous aide à atténuer un risque – ce qui signifie qu’avant de commencer à rédiger, vous devez identifier et évaluer les risques auxquels l’organisation est confrontée. Et en ce qui concerne le chevauchement entre la conformité et le risque… eh bien, tandis que l’équipe de conformité se concentre sur les lois et règlements applicables à l’organisation, l’équipe de risque utilise les mêmes informations parce qu’elle s’intéresse à ce qui pourrait arriver si l’entreprise ne respecte pas ces lois et règlements.
La Position du GRC dans l’Organisation
Considérons maintenant où se situent les fonctions GRC dans l’organisation – et où se situe la cybersécurité par rapport à elles. Il n’y a pas de « bonne » place, en fait, car cela dépend de la structure de l’entreprise et, dans une certaine mesure, des personnalités de la haute direction. Cela ne devrait pas surprendre car cela a toujours été le cas avec l’équipe de cybersécurité : par exemple, en tant que CISO, ce correspondant relève actuellement du CTO, mais dans son rôle précédent, c’était du CIO et avant cela du CFO – et nous connaissons même un cas où le CIO et le CISO sont égaux et relèvent tous deux du responsable des risques. La gouvernance et la conformité devraient-elles être dans la même équipe ? Bien sûr, pourquoi pas, si cela fonctionne pour votre entreprise. Les deux devraient-ils relever du risque ? Encore une fois, rien ne dit le contraire.
Voies de Signalement Efficaces
Cependant, pourquoi avons-nous mentionné les personnalités de la haute direction ? Simple : conflit d’intérêts. Nombre d’entre vous ayant lu ceci auront rencontré des cas où le GRC ou la cybersécurité ont été annulés, ou au moins où leurs rapports ont été atténués, parce qu’ils relèvent de la fonction dont ils mesurent et rapportent le comportement. Il est donc courant que le GRC et la cybersécurité relèvent d’une fonction impartiale au sein de l’entreprise simplement parce que cela leur donne une voie de signalement sans risque d’être annulée à tort. Si vous pensez que toute entreprise où cela se produit a un problème, vous avez raison – mais « ne devrait pas se produire » est différent de « ne se produit pas ».
Enfin, examinons une défaillance courante du GRC – ou, plus précisément, une défaillance courante dans l’attitude des entreprises envers le GRC. Revenons à la première phrase de cet article : « Les entreprises ont un objectif principal : gagner de l’argent pour leurs propriétaires ». Le GRC existe pour aider l’organisation à trouver un équilibre entre la génération de profits et le respect des règles, des directives et des lois. Il ne le fait pas isolément, et il ne devrait pas non plus être un obstacle flagrant à la génération de revenus. L’équipe de gestion des risques identifie et évalue les risques, puis travaille avec la haute direction (généralement via un comité de risque de quelque sorte) pour établir l’appétit de l’entreprise pour le risque (qui, comme nous l’avons mentionné plus tôt, n’est pas nul) et rédige ensuite les contrôles en conséquence. L’équipe de gouvernance supervise et audite les employés de l’entreprise pour établir s’ils respectent correctement les contrôles, et rapporte à la haute direction en cas de problème. Si l’équipe de conformité constate un comportement contraire à une loi ou à un règlement, elle n’appelle pas la police ou le régulateur – elle en informe la haute direction. J’ai reçu un jour des conseils avisés d’un gestionnaire de risques lorsque je l’ai consulté à propos d’un rapport d’audit que j’avais reçu de l’équipe de gouvernance et lui ai demandé son avis sur ce que j’appelais une « exigence d’audit » – une déficience que l’équipe d’audit avait trouvée. « Il n’y a pas d’exigence d’audit, seulement une constatation d’audit », m’a-t-il dit, soulignant que les fonctions d’audit et de conformité ne font pas les règles (les exigences), elles sont là pour mesurer le respect des règles établies par la haute direction et pour identifier (trouver) les domaines nécessitant une amélioration.
La GRC est donc une fonction essentielle dans toutes les organisations sauf les plus petites et les plus simples. Où elle se situe dans l’organisation n’est pas gravé dans la pierre, et la composition précise et l’équilibre du personnel de risque, de gouvernance et de conformité sont définis au cas par cas. Mais tandis que la fonction GRC établit les risques et conçoit les contrôles, elle le fait en référence à la haute direction.La GRC est donc une fonction essentielle dans toutes les organisations sauf les plus petites et les plus simples. Où elle se situe dans l’organisation n’est pas gravé dans la pierre, et la composition précise et l’équilibre du personnel de risque, de gouvernance et de conformité sont définis au cas par cas. Mais tandis que la fonction GRC établit les risques et conçoit les contrôles, elle le fait en référence à la haute direction.