Voyons maintenant plus particulièrement en quoi consiste la partie “risk management & compliance” de la gouvernance et comment l’appréhender. Rappelons que le management du risque correspond à une méthodologie en deux étapes destinée à identifier les risques, à les qualifier et à les quantifier. Cette étape doit également permettre d’analyser l'impact des incidents de sécurité sur les unités d'affaires, sur les actifs informationnels, sur les technologies et les équipements. A l’issue de cette première étape l’on doit ensuite être capable de choisir l’action adaptée face au risque identifié, à savoir : l’éviter, l’accepter, le réduire ou le transférer, principe même de l’assurance. La partie conformité vient renforcer l’adoption de cette méthodologie pour répondre à des règlements et autres standards qui exigent en particulier un processus de traitement d'incidents rigoureux lorsqu’ils se produisent. Il faut également ajouter à la conformité, le respect des exigences en matière de lois, de politiques, d’obligations contractuelles pour lesquels le non-respect des engagements constitue lui-même un risque à ne surtout pas négliger et dont les conséquences doivent absolument être analysées. L’avantage de la démarche GRC est de ne plus voir le management du risque et la gestion de la conformité comme deux préoccupations différentes mais bien comme deux initiatives stratégiques conjointes ayant un impact direct sur les objectifs de résultat de toute organisation. L’un des principaux défis à relever lorsqu’une organisation désire mettre en place une véritable stratégie de gouvernance du risque et de la conformité, est représenté par le morcellement de l’information et des processus en son sein. D’après le Gartner, 60% des entreprises utilisent Word et Excel comme outils de base pour la gestion de leur GRC ! Assurément un traitement de texte ou un tableur possède des qualités incontestables, néanmoins ils limitent de fait la capacité d’une organisation à partager l’information en temps réel, à standardiser des processus, à comprendre les tendances et prendre des décisions rationnelles dictées par une vision globale et avisée quant aux risques et exigences de conformité. Les organisations qui s’appuient sur des procédures et des technologies anciennes au sein d’un environnement de plus en plus risqué et réglementé, se voient confrontées à de nombreux problèmes significatifs tels :
> Aborder le risque et la conformité comme un projet ponctuel plutôt que comme un processus durable et partie intrinsèque de l’organisation ;
> Les évaluations et les contrôles au sein des différents départements ne sont pas uniques mais redondants, même s’ils se rapportent à des informations identiques mais destinées à différents utilisateurs ; > Les résultats des évaluations sont isolés et dans l’incapacité de refléter de véritables tendances, ni d’identifier des problèmes récurrents ;
> Les responsables de département se disputent les priorités afin de réduire les risques dans la mesure où ils ne savent pas quels incidents ont les plus grands impacts. Comme on s’en rend très vite compte, de tels éléments non résolus peuvent menacer la capacité des organisations à délivrer leurs services au sens large et à développer leur activité.
