Cadres de gestion des risques d’entreprise
Les cadres de gestion des risques d’entreprise relayent les principes essentiels de gestion des risques. Vous pouvez utiliser un cadre ERM comme outil de communication pour identifier, analyser, répondre et contrôler les risques internes et externes. Un cadre ERM fournit des commentaires et des conseils structurés aux unités commerciales, à la direction et aux membres du conseil d’administration qui mettent en œuvre et gèrent les programmes ERM.
Les cadres ERM aident à établir une culture de gestion des risques cohérente, quels que soient le roulement des employés ou les normes du secteur. Ils guident les fonctions de gestion des risques et aident les entreprises à gérer la complexité, visualiser les risques, attribuer des responsabilités et définir la responsabilité d’évaluer et de surveiller les contrôles des risques. Un cadre ERM personnalisé aide l’entreprise à intégrer la gestion des risques dans les activités et fonctions importantes de l’entreprise.
Types de cadre de gestion des risques d’entreprise
Le cadre stratégique que vous choisissez dépend de votre secteur d’activité, de vos objectifs commerciaux, de la structure organisationnelle, de l’infrastructure technologique et des ressources disponibles. Certains cadres sont plus applicables aux entreprises, tandis que d’autres fournissent des approches plus personnalisables et basées sur des scénarios pour répondre aux besoins spécifiques d’une organisation en matière d’ERM.
Il existe également un sous-ensemble de cadres stratégiques de gestion des risques d’entreprise ; par exemple, certains peuvent mieux répondre aux besoins des secteurs très réglementés comme la finance et la santé. Vous pouvez utiliser l’un d’entre eux comme point de départ pour créer un cadre ERM personnalisé.
Le cadre de gestion de la Casualty Actuarial Society (CAS)
La Casualty Actuarie Society (CAS) est une entité internationale de certification et de formation professionnelle. L’organisation se concentre exclusivement sur les risques de dommages dans l’assurance, la réassurance, la finance et la gestion des risques d’entreprise.
La CAS, la Society of Actuaries (SOA) et l’Institut canadien des actuaires (ICA) parrainent un site Web de gestion des risques avec des ressources pédagogiques sur la gestion des risques. Le comité organise le cadre ERM par type de risque et par processus séquentiel de gestion des risques.
Les quatre types de risques sont définis comme suit :
- Risques liés au danger : cette catégorie comprend les actions en responsabilité, les dommages matériels, les catastrophes naturelles, la criminalité, les blessures liées au travail et les interruptions d’activité.
- Risques financiers : cette catégorie comprend le risque lié au marché, le risque de liquidité, le risque de crédit, le risque d’inflation et le risque de couverture.
- Risques opérationnels : cette catégorie comprend le risque opérationnel, le risque d’autonomisation, le risque informatique, le risque pour l’intégrité et le risque de rapport d’entreprise.
- Risques stratégiques : cette catégorie comprend la concurrence, le risque client, le risque démographique et culturel, le risque lié à l’innovation, la disponibilité des capitaux, la réglementation et le risque politique.
Le processus de gestion des risques du CAS comprend les sept étapes suivantes :
- Définition d'un contexte : la première étape consiste à définir le contexte des risques en fonction du fonctionnement actuel de l'organisation. Cette étape comprend la compréhension du contexte interne et externe et du contexte de l’ERM (par exemple, le danger pour des unités commerciales spécifiques et le risque environnemental de l’organisation).
- Identification des risques : documentez les menaces qui empêchent votre organisation d’atteindre ses objectifs commerciaux. Cette étape vous encourage également à définir comment vous pouvez profiter des risques pour obtenir un avantage sur la concurrence.
- Analyse des risques : au cours de cette étape, analysez les résultats de la probabilité de risque pour chaque risque et quantifiez l’impact.
- Intégration des risques : au cours de cette étape, regroupez les répartitions des risques, en tenant compte des corrélations et des effets du risque sur les portefeuilles. Mesurez cette étape par l’impact sur les indicateurs clés de performance (ICP).
- Hiérarchisation des risques : évaluez et hiérarchisez chaque risque afin de déterminer comment il s’ajoute au profil global de l’ERM.
- Exploitation des risques : cette étape nécessite de développer des stratégies permettant d’utiliser divers risques à l’avantage de l’organisation.
- Surveillance des risques : la dernière étape se concentre sur la réalisation d’évaluations continues de l’environnement de risque et des performances globales de l’ERM.
Les étapes du processus de gestion des risques peuvent s’appliquer à chaque risque individuellement. La liste de contrôle ci-dessous est basée dans l’ensemble sur la grille de cadre ERM du comité.
Le cadre intégré ERM du COSO
En 2017, COSO a publié un cadre ERM mis à jour, Gestion des risques d’entreprise — Intégration à la stratégie et aux performances, pour aborder l’importance de l’ERM dans la planification stratégique de l’entreprise et les performances. Cette version mise à jour tient compte de la complexité accrue des environnements professionnels modernes.
Le Committee of Sponsor Organizations of the Treadway Commission (COSO) est une initiative conjointe de cinq organisations du secteur privé qui se consacre à offrir un leadership éclairé en créant des cadres complets et en donnant des conseils sur la gestion des risques d’entreprise, le contrôle interne et la dissuasion de la fraude. Vous trouverez ci-dessous les organisations qui parrainent et financent l’initiative du secteur privé du COSO :
- American Accounting Association
- American Institute of Certified Public Accountants
- Financial Executives International
- Institute of Management Accountants
- The Institute of Internal Auditors
COSO a intégré la législation Sarbanes-Oxley Act (SOX) pour les lignes directrices en matière de gestion des risques dans son cadre ERM. Cette intégration a rendu le cadre COSO populaire auprès des grandes entreprises, des banques et des institutions financières soumis à des codes juridiques complets et à des activités à haut risque.
5 éléments interdépendants du cadre ERM COSO
Le cadre COSO actualisé comprend cinq éléments interdépendants de gestion des risques de l’entreprise. Ces éléments comprennent 20 principes qui couvrent les pratiques, de la gouvernance à la surveillance, quel que soit l’échelle de l’entreprise, le secteur d’activité ou le type d’organisation.
Les éléments suivants du cadre ERM largement utilisé s’adaptent aux modèles commerciaux, et non aux processus indépendants de gestion des risques :
- Gouvernance et culture : cette composante comprend cinq principes, dont les risques et la supervision du conseil d’administration, les structures d’exploitation, la définition de la culture, l’engagement en matière de valeurs fondamentales et les pratiques en matière de ressources humaines pour le recrutement, le développement et la rétention des employés.
- Stratégie et définition des objectifs : cette composante couvre quatre principes : l’analyse du contexte de l’entreprise, la définition de la propension au risque, les stratégies alternatives et les objectifs de l’entreprise.
- Performances : cette composante contient cinq principes, dont l’identification des risques, l’évaluation de la gravité des risques, la priorité des risques, la mise en œuvre de la réponse aux risques et le développement du portefeuille.
- Examen et révision : cette composante traite de trois principes : l’évaluation des changements substantiels, les évaluations des risques et des performances, et la poursuite de l’amélioration du cadre ERM.
- Informations, communication et rapports : cette section comprend l’exploitation de l’informatique, de la communication des risques et de la création de rapports sur la culture des risques et les performances.
Le tableau suivant résume les éléments et principes à jour du cadre ERM du COSO.
Le cadre ERM ISO 31000
Le cadre ERM 31000:2018 de l’Organisation internationale de normalisation (ISO) est un processus de gestion cyclique des risques qui comprend l’intégration, la conception, la mise en œuvre, l’évaluation et l’amélioration du processus ERM.
Le modèle ISO 31000 est examiné tous les cinq ans pour tenir compte de l’évolution du marché et des changements dans la complexité de l’entreprise. Ce cadre couvre divers risques et est personnalisable pour les organisations, quels que soient leur taille, leur secteur d'activité. Pour en savoir plus sur ce modèle et télécharger gratuitement des modèles et matrices, lisez « ISO 31000 : matrices, listes de contrôle, registres et modèles ».
Modèle ERM ISO/CEI 27001
La norme de sécurité ISO/CEI 27001fournit des exigences pour les systèmes de gestion de la sécurité de l’information (ISMS). Plus d’une dizaine de normes de sécurité fournissent des contrôles de gestion des risques en matière d’informations physiques et techniques pour les programmes ERM. Les entreprises numériques de divers secteurs adoptent la norme ISO 27001 pour gérer la sécurité financière, la propriété intellectuelle et les données internes.
Le cadre ERM de COBIT
COBIT (2019) est un cadre flexible de gouvernance et de gestion informatique créé par la Information Systems Audit and Control Association (ISACA). Le cadre conceptuel est un choix populaire pour gérer les risques dans un environnement d’entreprise numérisé.
COBIT fournit un modèle de gestion des risques pour les capacités des grandes entreprises et un modèle pour s’adapter à des domaines spécifiques des petites et moyennes entreprises. La gestion des risques liés à l’information et aux technologies n’est plus limitée au service informatique, en raison de l’intégration de l’informatique dans tous les aspects des opérations commerciales modernes.
« Nous examinons COBIT et COSO au niveau supérieur alors que nous mettons sur pied notre programme », explique Michael Fraser, PDG et architecte en chef de Refactr, une start-up basée à Seattle qui fournit une plateforme d’automatisation DevSecOps offrant des services informatiques en tant que code et des fonctionnalités adaptées au DevOps pour la cybersécurité. « Nous examinons également la façon dont ces cartes sont mises en place pour tous les contrôles que nous avons examinés dans ces cadres. Est-ce quelque chose que nous pouvons automatiser en interne ? Est-ce quelque chose qui nécessite un processus manuel ? Nous construisons ce contenu pour nos clients et nous vérifions qu’il s’agit d’un programme dynamique qui fonctionne pour nous et pour le client », explique-t-il.
COBIT est un cadre générique flexible permettant de créer un cadre ERM avec des processus alignés sur les objectifs de l’entreprise et de l’informatique afin d’éviter les silos de gestion des risques au sein d’une entreprise. Le cadre identifie les trois principes fondamentaux suivants pour l’élaboration d’un cadre de gouvernance et de gestion :
- Conceptuel : un cadre de gouvernance doit identifier les éléments critiques et leurs relations afin d’optimiser la cohérence et d’encourager l’automatisation.
- Agile : un cadre de gouvernance doit être ouvert et flexible aux nouveaux contenus et résoudre les problèmes liés à l’agilité, à l’intégrité et à la cohérence.
- Aligné : un cadre de gouvernance doit s’aligner sur différentes normes, d’autres cadres et d'autres exigences réglementaires.
Il existe également six exigences essentielles pour un système de gouvernance informatique d’entreprise qu’une organisation peut adapter et concevoir pour s’adapter à un cadre ERM :
- Utile : il doit satisfaire les parties prenantes dans l’ensemble des membres, de la direction et de l'encadrement.
- Holistique : le cadre ERM est construit à partir de composantes qui travaillent ensemble pour une approche complète de la gestion et de la gouvernance des risques.
- Dynamique : le cadre doit réagir aux changements apportés aux facteurs de conception du programme ERM et tenir compte de l’impact de chaque changement.
- Distinct : le cadre doit clairement distinguer les activités de gestion et de gouvernance.
- Personnalisé : le cadre doit être adapté à l’aide de facteurs de conception afin d’optimiser la gestion des risques et la gouvernance.
- Complet : le cadre doit fournir une couverture complète de l'ERM pour les fonctions informatiques et tous les traitements de l’information et de la technologie au sein de l’entreprise.
Le cadre ERM du NIST
Le National Institute of Standards and Technology (NIST) est un organisme du gouvernement fédéral des États-Unis (département du commerce des États-Unis). Le cadre du NIST est un cadre de cybersécurité utilisé par des entreprises privées qui font des affaires avec des agences gouvernementales des États-Unis, comme le Département de la défense (DoD).
Le modèle du cadre du NIST se concentre sur l’utilisation de moteurs commerciaux pour guider les activités de cybersécurité et la gestion des risques, avec trois composantes :
- Base du cadre : il s’agit d’un ensemble de cinq résultats en matière de cybersécurité, avec des sous-catégories, des activités et des références informatives communes à la plupart des secteurs d’activité et à l’infrastructure informatique essentielle.
- Identification : gestion des actifs, de l'environnement de l’entreprise, de la gouvernance, de l'évaluation des risques et de la stratégie de gestion des risques
- Protection : gestion des identités, contrôle des accès, sécurité des données, technologie de protection et maintenance
- Détection : anomalies et événements, processus de détection et surveillance continue
- Réponse : planification des réponses, communications, analyse, atténuation et améliorations
- Récupération : planification du rétablissement, améliorations et communications
- Niveaux de mise en œuvre : il s’agit d’un mécanisme qui aide les organisations à hiérarchiser et à atteindre les objectifs de cybersécurité afin de gérer les risques liés à la cybersécurité.
- Profils de cadre : ici, utilisez les éléments de base du cadre pour aider à développer des profils organisationnels et à aligner les activités de cybersécurité sur la mission, la tolérance au risque et les ressources disponibles.
Le cadre du NIST fournit une norme mondialement reconnue pour les lignes directrices et les meilleures pratiques en matière de cybersécurité qui s’appliquent aux organisations à l’échelle de l’entreprise disposant d’une infrastructure essentielle à protéger. Ce cadre est un modèle flexible permettant de créer un cadre ERM pour les organisations qui comptent sur la technologie, qui se préoccupent de la confidentialité des données et qui gèrent les risques associés aux dernières tendances en matière de main-d’œuvre numérique.
« Le Center for Internet Security cartographie une grande partie de son cadre ou de ses références au NIST et à l’ISO et les cartographie dans un cadre ERM », explique Michael Fraser. « Tout est interconnecté parce que vous essayez d’atténuer les risques. Vous essayez également de cocher des cases pour un scénario particulier, qu’il s’agisse d’un audit ou d’un client qui souhaite que nous fassions preuve de diligence raisonnable pour répondre à leurs normes de gestion des risques. »
Cadre ZEM du modèle de maturité des risques de la RIMS
L’évaluation du modèle de maturité des risques (RMM) de la société à but non lucratif Risk Management Society (RIMS) comprend 68 indicateurs de préparation qui décrivent 25 moteurs de compétences pour sept attributs critiques d’ERM afin de comparer les organisations à leurs concurrents, de suivre les progrès et d’aider à exécuter un plan d’action.
7 attributs du cadre ERM de la RIMS
Le cadre RMM de la RIMS identifie les sept attributs clés suivants de la compétence en matière d’ERM :
- Approche fondée sur l’ERM : cet attribut se concentre sur la culture des risques de l’entreprise et le degré d’engagement de la direction et des membres du conseil d’administration pour l’adoption d’une approche fondée sur l’ERM.
- Gestion des processus ERM : cet attribut se concentre sur la culture organisationnelle et le niveau d’intégration entre les processus opérationnels critiques pour des processus ERM explicites et répétables.
- Gestion de la propension au risque : cet attribut se concentre sur la responsabilisation de la direction et le niveau de sensibilisation à la prise de décision concernant la tolérance au risque et les écarts entre les risques perçus et réels.
- Discipline des causes profondes : cet attribut met l’accent sur la recherche des causes profondes liées à chaque risque, y compris la classification des risques, la découverte des résultats des risques, le lien avec les sources et l’amélioration de la réponse aux risques et des contrôles.
- Découverte des risques : cet attribut concerne l’évaluation des risques, l’analyse des sources d’informations et la documentation des risques et des opportunités.
- Gestion des performances : cet attribut se concentre sur la vision, la mission et la stratégie ERM, y compris la planification des objectifs, la communication, l’exécution et la mesure à l’aide d'ICP quantitatifs et qualitatifs.
- Résilience et durabilité de l’entreprise : cet attribut évalue les informations liées à l’ERM utilisées pour la planification opérationnelle, la planification de la reprise après sinistre et d’autres analyses de scénarios.
Évaluez chaque attribut à l’aide d’une échelle de cinq niveaux de maturité : inexistant, ad hoc (niveau un), initial (niveau deux), répétable (niveau trois), géré (niveau quatre) et leadership (niveau cinq). Le cadre RMM de la RIMS est un modèle flexible compatible avec des cadres ERM personnalisés basés sur la norme internationale ISO 31000:2018, le cadre ERM COSO mis à jour ou le cadre COBIT.
L’exemple des cadres ERM personnalisés
« Il n’existe pas de cadre unique, et vous commencerez à réaliser que vous avez besoin de quelque chose de différent », explique Michael Fraser de Refactr. « C’est ce que nous avons constaté chez Refactr, mais nous sommes uniques car nous aidons les organisations à créer l’automatisation qu’elles veulent utiliser pour les aider avec ces cadres particuliers. »
« Les cadres de gestion des risques qui existent sont des guides qui vous aident à comprendre ce que vous devez faire de façon standardisée », poursuit Michael Fraser. « Il existe donc quelque chose d’universel avec lequel vous pouvez travailler et que les autres comprennent. Ils [les cadres standard] sont là pour vous aider à créer votre programme de sécurité et non pas à matérialiser ce plafond de verre que vous n’atteignez jamais.
Michael Fraser vous conseille de vous demander si le cadre est assez bon pour que votre organisation fasse des affaires avec vos clients cibles. Le conseil le plus critique se résume à la raison, c’est-à-dire « Pourquoi avez-vous besoin d’un cadre de gestion des risques d’entreprise ? »
« Beaucoup de ces cadres de risque sont désuets dans leur contenu », dit-il. « Avec plus de personnes travaillant à domicile, vous ne possédez pas nécessairement les réseaux d’entreprise. Et qu'en est-il si vous êtes une entreprise travaillant sur le cloud ou une entreprise travaillant sur le cloud et à distance ?
Définition des objectifs pour les cadres ERM stratégiques
« La gestion des risques est la discipline générale de la cybersécurité, et l’accent est généralement mis sur les aspects technologiques. Mais pour l’entreprise, c’est une manière d'attirer et de fidéliser des clients rentables », explique Sean Cordero, conseiller chez Refactr. « L’une des choses qui font que certaines organisations vont voir ailleurs est l’explosion des services fournis sur le cloud. L’architecture cloud permet de faire aujourd'hui ce qui n’a que peu ou pas de pertinence pour la façon dont les choses ont été faites.
Sean Cordero conseille de répondre à certaines questions difficiles avant de créer un cadre de risque personnalisé. Posez les questions suivantes : quelqu’un va-t-il utiliser ce cadre ERM ? Cela aidera-t-il à faire avancer les choses du point de vue de l’industrie ? Prenez du recul et évaluez ce qu’est le risque et ce qui compte, à l’aide de trois contributions simples pour hiérarchiser la gestion stratégique des risques, avant de mettre en œuvre un cadre ERM personnalisé.
« Tout d’abord, regardez ce qui est requis par la loi. Deuxièmement, identifiez ce dont vos clients auront besoin, ce qui dépend du type d’organisation », explique Sean Cordero. « Si vous conservez des données sensibles pour vos clients et qu’ils se soucient de ces données sensibles, concentrez-vous sur les aspects de confidentialité, qu’il s’agisse du chiffrement ou d’une multitude de moyens d’y parvenir. Enfin, déterminez ce que vous valorisez en tant qu’organisation. Qu’est-ce qui vous convient lorsque vous pensez à vos clients et votre entreprise ? C’est une chose très introspective qui est parfois oubliée. Si vous le faites, vous saurez clairement où vous concentrer et pourrez ensuite sélectionner le cadre ou l’approche de gestion des risques appropriés. »
Comment développer un cadre de gestion des risques d’entreprise personnalisé ?
Le développement d’un cadre ERM personnalisé permet de mettre en œuvre une stratégie de gestion des risques, d’aligner les objectifs de l’entreprise et de promouvoir la prise de décision fondée sur les risques. Toutefois, la personnalisation d’un cadre d’ERM en fonction des objectifs internes, des besoins des clients, des réglementations du secteur, de la gouvernance informatique et des normes d’audit interne ne doit pas être écrasante.
La feuille de route suivante pour l’élaboration d’un cadre ERM personnalisé est basée sur les cadres de gestion et de risques opérationnels existants, les modèles ERM et les commentaires d’experts du secteur. Utilisez ce processus étape par étape pour développer et mettre en œuvre un programme ERM personnalisé. Pour en savoir plus sur la mise en œuvre de l’ERM, consultez notre « Guide de mise en œuvre de la gestion des risques d’entreprise ».
Première étape du cadre ERM : création d'une équipe ERM transversale
Sélectionnez les parties prenantes de différentes unités commerciales et de la direction pour le comité de direction de l’ERM. L’efficacité globale d’un cadre ERM personnalisé dépend du soutien de tous les niveaux de la direction, en particulier de l'encadrement, de la haute direction et du conseil d’administration.
Créez une équipe ERM transversale pour stimuler l’adhésion à différents niveaux opérationnels et avoir un impact sur la culture d'entreprise. L’équipe ERM définit des objectifs commerciaux, et élabore un profil de risque et un énoncé de propension au risque (RAS) en fonction des menaces et des opportunités au sein de son expertise.
Questions relatives à la première étape :
- Qui doit être inclus dans la création de la structure de gouvernance des risques ?
- Quels rôles et quelles responsabilités attribuerez-vous à chaque partie prenante au sein du comité des risques ?
- Les rôles et responsabilités sont-ils clairement définis (avec des descriptions) ?
- Le développement du cadre ERM est-il indépendant de fonctions commerciales spécifiques, ou favorise-t-il les domaines d’influence opérationnelle ?
- Devons-nous établir un comité de surveillance distinct de la gestion des risques pour les contrôles et contrepoids ?
Deuxième étape du cadre ERM : identification des risques
Reconnaissez et planifiez les événements liés aux risques, c’est-à-dire les menaces et opportunités internes et externes qui créent des doutes et peuvent affecter les résultats de l’entreprise. Utilisez votre profil de risque et votre RAS pour aligner la stratégie de l’entreprise sur l’identification des risques.
Le cadre ERM est le guide pour identifier et traiter les risques qui menacent les objectifs de l’entreprise. Utilisez-le comme guide pour distinguer les menaces à risque des opportunités de risque qui peuvent mener à l’atteinte des résultats souhaités. Cartographiez les événements de risque jusqu’aux activités de définition des objectifs à la première étape et identifiez les risques internes et externes. Assurez-vous d’inclure également la perspective des risques de votre client.
Tirez parti des bonnes pratiques du secteur et de l’expertise du comité directeur de l’ERM pour guider votre analyse des menaces et opportunités futures.
Questions relatives à la deuxième étape :
- Identifie-t-on les risques futurs, ou notre attention sur les menaces et opportunités actuelles est-elle trop faible ?
- Avons-nous développé une méthodologie répétable pour identifier les événements à risque à l’aide de normes et de procédures claires qui tirent parti de l’expertise collective ?
- Avons-nous identifié les opportunités de risques qui s’adaptent à la stratégie de l’entreprise et aident à atténuer d’autres menaces ?
- Pouvons-nous classer les risques avec précision à l’aide de paramètres, comme la probabilité et les pertes financières potentielles ?
- L’étape d’identification des risques de l’élaboration du cadre a-t-elle hiérarchisé les événements à risque pour la réponse et l’atténuation ?
Troisième étape du cadre ERM : évaluation des risques
L’évaluation des risques pose les bases de la gestion des risques et de la détermination de leur probabilité. Cette étape est la phase d’analyse lourde du développement du cadre : vous établirez un cadre d’évaluation des risques intégré.
Utilisez des outils d’évaluation et de conformité des risques comme une matrice d’évaluation des risques et des auto-évaluations des risques et des contrôles (RCSA) pour planifier la méthodologie d’évaluation. Les formulaires d’évaluation des risques sont utiles pour évaluer les risques et établir des contrôles des risques, qui est l’activité principale de la quatrième étape. Pour en savoir plus sur la planification d’une méthodologie d’évaluation des risques personnalisée, consultez notre guide de l’évaluation et de l’analyse des risques de l’entreprise.
Questions relatives à la troisième étape :
- Avons-nous établi les problèmes et l’impact (financier, opérationnel, interne, client) pour chaque événement à risque potentiel ?
- L’étape d’évaluation de l’élaboration du cadre a-t-elle démontré une compréhension fondée sur des faits du risque de l’entreprise et des capacités de l'ERM actuelles ?
- Avons-nous utilisé des outils d’évaluation des risques pour identifier les lacunes dans les capacités ERM existantes et déterminer la voie à suivre pour y remédier ?
- La phase d’évaluation des risques du développement a-t-elle changé sur la façon dont nous classons et hiérarchisons les types de risques, en fonction des paramètres d’identification des risques de la deuxième étape ?
Quatrième étape du cadre ERM : traitement des risques
Le traitement des risques est la phase d’action d’un cadre ERM. Cette étape comprend la conception et la mise en œuvre de l’environnement de contrôle et la création d’un plan d’action d’atténuation des risques qui couvre la façon de répondre à chaque type d’événement à risque identifié aux étapes précédentes.
Les responsables des risques gèrent l’environnement de contrôle. Attribuez des rôles et des responsabilités aux responsables des risques afin d’identifier quand et comment réagir. Déterminez quelles unités commerciales sont affectées et responsables des contrôles des risques spécifiques.
Les contrôles internes sont des actions spécifiques que les responsables des risques prennent pour répondre aux menaces ou exploiter les opportunités. Alignez des contrôles internes et externes distincts en fonction des objectifs de l’entreprise, des exigences des clients, des exigences juridiques et réglementaires du secteur, des normes de conformité et des structures de gouvernance.
Étapes du cadre ERM de réponse au risque
Le cadre ERM vous aide à traiter les différentes étapes de la réponse au risque et à déterminer les contrôles appropriés. Votre réponse et votre stratégie d’atténuation varient en fonction du type de risque, du profil de risque et de la tolérance au risque. Les étapes de la réponse aux risques comprennent les étapes suivantes :
- Accepter : s’il est plus cher d’atténuer le risque, d'accepter le risque et de surveiller les résultats.
- Éviter : il s’agit de la meilleure réponse aux menaces avec une probabilité élevée de perte financière ou de résultats préjudiciables.
- Réduire : s'il existe un risque mais qu'une opportunité est en mesure de surpasser la perte financière minimale ou d’autres facteurs, atténuez les menaces à l’aide de contrôles du cadre et surveillez-les.
- Partager : transférez les risques qui comportent des menaces plus importantes et utilisez des techniques d’assurance ou d’atténuation tierces pour vous protéger contre les pertes ou les résultats problématiques.
Questions relatives à la quatrième étape :
- Notre environnement de contrôle interne et notre stratégie de réponse et d’atténuation des risques comportent-ils des contrôles et équilibres appropriés qui créent une responsabilisation pour les responsables des risques ?
- Avons-nous mis en place une politique et une procédure pour examiner les contrôles des risques et la propriété des risques ?
- À quelle fréquence allons-nous surveiller et examiner les contrôles et les propriétaires ?
- Avons-nous établi la stratégie d’intervention et les contrôles appropriés par rapport à notre tolérance au risque pour des types spécifiques d’événements ?
- Avons-nous pris en compte les systèmes sous contrôle des fournisseurs externes et les partenariats dotés de la propriété interne et de contrôles d’intervention ?
Cinquième étape du cadre ERM : optimisation des risques
L’optimisation des risques est l’étape finale. Les outils spécifiques dont vous avez besoin pour optimiser les risques varient en fonction des ressources et des objectifs généraux. Consultez les objectifs de votre ERM pour choisir l’ensemble des fonctionnalités d’analyse et de la technologie de création de rapports dont vous avez besoin. Ceux-ci ne doivent pas diriger le type de cadre ERM que vous développez.
Surveillez et passez en revue les performances du programme ERM afin de créer une boucle de rétroaction objective fondée sur les données. Cette boucle itérative circule dans l’entreprise à tous les niveaux et dans toutes les directions afin d’optimiser la gestion des risques. Ensuite, utilisez ces données pour identifier les domaines où il est possible de réviser et d’améliorer le programme ERM.
Tirez parti des audits de conformité qui correspondent aux meilleures pratiques de votre secteur d’activité et aux exigences de gouvernance. Créez un tableau de bord de rapport des risques basé sur les rôles pour suivre et rendre compte des objectifs stratégiques en matière de risques, des indicateurs de contrôle et des ICP. Les plateformes logicielles ERM modernes fournissent des tableaux de bord dans le cloud dotés de fonctionnalités d’intelligence d’affaires intégrées et de création de rapports faciles à utiliser.
Questions relatives à la cinquième étape :
- Nos rapports de suivi des risques et nos tableaux de bord ERM permettent-ils à la direction de s’adapter aux environnements de risque en temps réel ?
- Avons-nous intégré les bonnes pratiques de gouvernance en matière d’informatique et de cybersécurité pour optimiser les risques de sécurité et déterminer si notre infrastructure ERM est conforme aux normes de sécurité modernes basées sur le cloud ?
- Notre infrastructure et nos opérations ERM permettent-elles la surveillance continue des risques, les rapports et la communication à l’aide de pratiques d’automatisation et d’intégration continue ?
- Quelle est notre cadence optimale pour examiner et modifier notre cadre ERM, en fonction de l’analyse de notre réponse aux risques et de l’environnement global des risques ?
- Notre cadre personnalisé permet-il la sensibilisation aux risques et la transparence et élimine-t-il le compartimentage des risques ?
Outils pour développer des composantes du cadre ERM personnalisé
La création d’un cadre ERM personnalisé implique de tirer parti des bonnes pratiques, des outils et de la stratégie éprouvée en matière de gestion des risques. Intégrez les outils de gestion des risques suivants pour développer des composantes de cadre ERM personnalisé qui répondent aux besoins de l’entreprise et du client :
- Énoncés de propension au risque (RAS) : cette documentation définit les principales considérations en matière de risque pour la réponse et l’atténuation des risques, en fonction des objectifs de l’entreprise et du profil de risque global.
- Modèles de tolérance aux risques : votre cadre ERM personnalisé doit indiquer le niveau auquel l’entreprise peut identifier, contrôler et répondre en toute sécurité aux menaces et aux opportunités. Pour obtenir des modèles d’évaluation des risques téléchargeables gratuitement, consultez « Modèles et exemples gratuits de formulaires d’évaluation des risques ».
- Tableaux de bord de rapport des risques : les plateformes de gestion des risques disposent de tableaux de bord de rapport des risques. Concevez des tableaux de bord basés sur les rôles en fonction des membres et des responsabilités du comité directeur du cadre ERM. Utilisez les tableaux de bord ERM pour surveiller les indicateurs clés de risque. Pour en savoir plus sur les fonctionnalités et les avantages des logiciels de gestion des risques, lisez « Comment choisir le bon logiciel de gestion des risques ? ».
- Analyse des données sur les risques et ICP : utilisez des indicateurs clés de risque pour surveiller et déterminer les seuils de risque et la responsabilisation. Les tableaux de bord ERM sont des outils permettant de surveiller et de rendre compte des indicateurs de risque et des ICP.
- Audits internes de conformité : tirez parti des RCSA pour chaque unité commerciale afin d’évaluer l’efficacité des contrôles internes et de mesurer les normes de conformité. Pour en savoir plus sur les audits de conformité, consultez la rubrique « Audit de conformité 101 : types, réglementations et processus ».
- Modèles de risques stochastiques : modélisez le risque à l’aide de cette forme populaire de modélisation financière afin de déterminer les prévisions des risques. La méthode identifie également la probabilité que les menaces incertaines et les opportunités de risque se produisent au hasard.
- Modèles de plan de gestion des risques : un plan de gestion des risques est un schéma au sein de votre cadre ERM qui vous aide à préciser votre approche ERM. Utilisez des modèles de plan de gestion des risques comme des registres des risques et une matrice d’évaluation des risques pour créer un cadre ERM personnalisé. Pour en savoir plus sur les plans de gestion des risques et pour trouver des modèles téléchargeables gratuitement, consultez « Modèles gratuits de plans de gestion des risques ».
Modèle de matrice d’évaluation des risques
Téléchargez la matrice d’évaluation des risques
Microsoft Excel | Microsoft Word | Adobe PDF
Utilisez ce modèle de matrice d’évaluation des risques pour obtenir un aperçu rapide de la relation entre la probabilité et la gravité des risques. La palette de couleurs simple du modèle fait la distinction entre différentes cotes de risque.
Critères personnalisés du cadre ERM
James Lam décrit un ensemble de critères standard pour son modèle ERM continu dans le livre Implementation Enterprise Risk Management. Il combine les composantes de cadres de gestion stratégique bien connus dans un cadre de communication personnalisable avec les critères suivants :
- Simple : James Lam recommande la simplicité lors de la détermination des principes directeurs de l’ERM. Il utilise l’exemple d’une feuille de route, assez simple à suivre mais suffisamment complète pour vous assurer d’arriver à l’endroit souhaité. Maintenez les composantes de votre cadre à sept ou moins, la plage optimale pour la mémoire humaine.
- Mutuellement exclusif, collectivement exhaustif (MECE) : un cadre ERM personnalisé doit être unique aux objectifs et aux ressources de votre entreprise. Les éléments doivent être isolés sans chevauchement ni redondance. Cela dit, James Lam recommande que les parties soient suffisamment complètes pour couvrir tous les niveaux de votre entreprise et tenir compte de chaque résultat.
- Équilibré et intégré : le cadre ERM doit s’intégrer à l’ensemble de l’organisation de l’entreprise et au contexte du programme de gestion des risques. James Lam utilise l’exemple d’un moteur automobile pour mettre en évidence son point de vue. Le cadre ne doit pas trop insister sur un élément, mais doit rester équilibré et harmonieux, tout comme le moteur et le volant d’un véhicule.
- Flexible : la dynamique changeante s'appliquant à l’échelle de l’entreprise, ainsi que le rythme rapide de l’innovation technologique et des changements du secteur, rendent indispensable la flexibilité d’un cadre ERM personnalisé. James Lam suggère de créer un modèle de cadre qui embrasse les objectifs commerciaux à long terme de votre organisation tout en tenant compte de la nature inexplicable d’un risque.
- Efficace : James Lam explique que l’efficacité d’un cadre dépend de sa mise en œuvre. Mesurez l’efficacité par l’intégration de la gestion des risques dans le processus de prise de décision et les résultats commerciaux de l’entreprise. Pour en savoir plus sur la mise en œuvre des programmes ERM, consultez notre « Guide de mise en œuvre de la gestion des risques d’entreprise ».
Exemples de cadres ERM populaires par secteur d’activité
Les entreprises de tous types et de toutes tailles sont confrontées à des risques externes et internes, quel que soit leur secteur d’activité. Toutefois, certains cadres ERM sont plus répandus dans des secteurs spécifiques en raison des lois sur la protection de la vie privée, des transactions financières, de l’environnement réglementaire et des exigences de gouvernance en matière de technologies et d’infrastructures.
Cadres ERM populaires par secteur d’activité
Ce diagramme n’est pas un ensemble de données exhaustif. Au lieu de cela, il met en évidence les cadres et modèles ERM populaires abordés dans cet article, ainsi que les secteurs qui les utilisent pour créer des programmes ERM personnalisés.
Cadres de gestion des risques d’entreprise pour les soins de santé
Johnson & Johnson est l’une des plus grandes entreprises de soins de santé au monde. L’entreprise a créé un cadre ERM personnalisé, guidé par le cadre ERM COSO, pour traiter des risques spécifiques aux soins de santé, tels que la réduction de la vitalité de l’entreprise en raison de la réforme des soins de santé.
Le cadre ERM Johnson & Johnson se compose des cinq éléments intégrés suivants :
- Stratégie et objectifs : le comité exécutif établit des buts stratégiques et des cibles financières qui passent en cascade aux unités commerciales mondiales par l’intermédiaire de la haute direction.
- Performance : établissez des réponses aux risques avec la direction, utilisez des fonctions de gestion des risques pour mettre en œuvre des politiques et des contrôles, et élaborez des plans d’action. L’entreprise surveille les performances tout au long de l’année à l’aide d’évaluations des risques, d’analyses et d’enquêtes.
- Examen et révision : le personnel, indépendamment de l’unité commerciale qu’il examine, teste, audite et évalue les performances de réponse aux risques. Ils signalent les activités d’atténuation des risques à la direction et passent en revue les indicateurs.
- Information, communication et rapports : le personnel en charge des risques clés rencontre le conseil d’administration, le comité exécutif et les chefs d’entreprise pour s’assurer de la responsabilité des programmes ERM. Ils organisent des formations et échangent des connaissances entre les unités commerciales. Ils utilisent l’intranet des employés et la communication directe pour diffuser des informations.
- Gouvernance et supervision : le conseil d’administration supervise les risques et se réunit régulièrement avec les dirigeants. Le comité exécutif établit des objectifs stratégiques et supervise les fonctions de risque des secteurs d’activité. Divers comités partagent les risques émergents et les pratiques standard entre les fonctions de risque essentielles comme la conformité aux soins de santé.
Cadres de gestion des risques d’entreprise pour les technologies de l'information
La popularité des services de gestion informatique, de la technologie logiciel en tant que service (SaaS) et du cloud computing a créé une nouvelle dynamique pour les entreprises numériques. Les fuites de données et la conformité à la sécurité informatique doivent concerner chaque organisation, quel que soit son secteur d’activité ou sa taille.
COBIT par ISACA aide à orienter les décisions en matière d’information et de technologie qui soutiennent et maintiennent les objectifs de l’entreprise. COBIT est complet et fournit un cadre de gouvernance et de gestion pour les technologies de l'information de l’entreprise qui apporte de la valeur ajoutée à toutes les décisions en matière d’information et de technologie.
Le cadre COBIT permet de maintenir l’équilibre entre la réalisation des avantages, l’optimisation des risques et l’utilisation des ressources informatiques. Il se compose d’un modèle de référence de processus, d’une série de pratiques de gouvernance et de gestion, et d’outils pour permettre la gouvernance d’une organisation.
Le modèle ERM SOC 2 Type 2
est un modèle de conformité et de sécurité des technologies de l'information qui garantit que les fournisseurs informatiques et de solutions SaaS (ou tout fournisseur de technologie « en tant que service ») gèrent les données en toute sécurité. Cet ensemble de critères, composé de cinq principes, a été développé par l’American Institute of CPAs (AICPA). Ces principes comprennent la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et le respect de la vie privée.
Cadres de cybersécurité réactifs
Sean Cordero a vu les normes de l’industrie et les organismes de certification augmenter pour répondre à la demande d’une gestion des risques moins normative et plus flexible. Il aide à diriger l’équipe de recherche principale pour le développement du contrôle des risques avec la Cloud Security Alliance (CSA), une autorité de premier plan en matière de sécurité sur le cloud.
« Lorsque vous faites ce type de recherche, vous le faites parce que vous voulez faire une différence », dit-il. « Il devient extrêmement complexe de commencer à apporter des changements à grande échelle lorsque vous commencez à parler de normes générales qui passent par plusieurs organismes de certification où ils ont un programme d’attestation et une validation par des tiers. »
Selon Sean Cordero, le processus de certification empêche la mise sur le marché d’un MVP ou d’une demande de fonctionnalité logicielle.
La combinaison de normes en retard sans mises à jour fréquentes, de processus de sécurité changeants et de technologies et d’outils de sécurité obsolètes (par exemple, les scanners de vulnérabilité) crée des questions que des cadres ERM plus réactifs pourraient être en mesure de résoudre.
Cadres informatiques flexibles
« Nous sommes à un point d’inflexion intéressant dans le secteur de la sécurité », explique Sean Cordero. « Est-ce un échec des normes, ou un échec de la technologie, ou des deux ? En raison de l’inflexibilité de certains cadres de risque, ou cadres de contrôle, et de la technologie existante superposée aux deux, il est presque impossible d’appliquer la majorité des normes de contrôle. »
Par expérience, Sean Cordero sait qu’il existe un mouvement dans les cadres de gestion des risques et de contrôle de la sécurité pour être moins prescriptifs et fournir plus de conseils en matière de mise en œuvre grâce à son travail de recherche avec Cloud Security Alliance.
« Nous ne disons plus : "Vous devez appliquer ces 15 points, sinon vous ne répondez pas à cette exigence" », explique-t-il. « Au lieu de cela, nous disons : "Vous devez utiliser un chiffrement validé par l’industrie pour les informations sensibles de l’entreprise et des clients." Nous ne définissons pas les « sensibles aux affaires ». C’est à vous de décider. »
Sean Cordero souligne également que les normes de contrôle apportent toujours de la valeur. Cela dit, ceux qui viennent d’être acquis dans les cadres existants ne sont pas durables dans un monde axé sur le cloud, car ils étaient destinés à un monde différent et à une approche différente.
En ce qui concerne les cadres ERM et l’approche de gestion des risques de l’ensemble du secteur, Sean Cordero pense que l’une des choses qui a toujours été un problème est l’idée de personnaliser un cadre ou un contrôle.
« Il ne s’agit finalement que d’une petite étape du processus de gestion des risques », explique-t-il. « Le cadre peut fournir une validation ou un aperçu du temps, de l’argent et des ressources dépensés. Je conseillerais aux entreprises de réfléchir au fait que vous pouvez vous rendre fou en essayant d’adopter un cadre de contrôle et de trouver comment mettre en œuvre toutes ces choses.
Cadre ERM pour les coopératives de crédit, les banques et les institutions financières
La gestion des risques est un élément essentiel de la gestion d’une coopérative de crédit à l’échelle de l’entreprise. L’article 704.21 des règles et règlements de la National Credit Union Administration (NCUA) exige que les coopératives de crédit élaborent et suivent une politique (ERM).
Les cadres ERM comme COSO permettent aux institutions financières et aux coopératives de crédit de mesurer et d’analyser les risques liés aux différentes fonctions d’une vue globale des risques de l’entreprise. Un cadre ERM bien conçu fournit au conseil d’administration et à la haute direction de l’entreprise un processus pour déterminer les éléments suivants :
- Le taux d’exposition aux risques
- Les niveaux maximaux de propension au risque
- Comment les expositions aux risques changent et les contrôles des risques appropriés pour gérer les changements ?
Le cadre ERM Barclays
Le cadre ERM de COSO a été adapté par d’importantes institutions financières d’entreprises comme Barclays, une banque internationale, et personnalisé pour tirer parti des composantes du cadre ERM qui stimulent la valeur commerciale et répondent aux normes de conformité réglementaires. Barclays utilise leur cadre ERM pour gérer les types de risques suivants :
Le Barclays Board Risk Committee est un groupe d’administrateurs non exécutifs qui publient un rapport annuel basé sur le cadre ERM Barclays, les codes de gouvernance financière, ainsi que les règles de transparence et d’orientation en matière d’information des organismes de réglementation financière dans lesquels ils opèrent. Le comité est chargé de recommander la propension au risque au conseil d’administration, de surveiller le profil de risque financier, opérationnel et juridique de Barclays, et de fournir des commentaires sur les menaces et opportunités financières et opérationnelles.
Le cadre juridique ERM de Deloitte
En 2018, le conglomérat international du conseil Deloitte a créé un cadre de gestion des risques juridiques. Le cadre juridique ERM de Deloitte a été élaboré en réponse à des attentes accrues en matière de gestion des risques. Ce cadre confère à Deloitte un avantage concurrentiel, car il contrôle les risques juridiques dans l’ensemble des activités de l’entreprise.
Le cadre juridique ERM de Deloitte comprend les quatre éléments suivants :
- Identification : définissez le risque juridique, comprenez l’univers des risques juridiques et assurez-vous du risque juridique entre les unités fonctionnelles, comme la conformité.
- Évaluation : définissez le seuil de propension au risque juridique, définissez-le et intégrez un processus d’évaluation des risques juridiques pour déterminer l’exposition aux risques par rapport à un ensemble de facteurs juridiques.
- Contrôle : intégrez un cadre de contrôle basé sur l’appétit pour le risque juridique, et créez des contrôles basés sur la technologie pour le contrôle des risques juridiques.
- Surveillance et rapport : utilisez une méthodologie définie pour évaluer l’efficacité des contrôles juridiques des risques, signaler les profils de risques juridiques et contrôler le succès de l’environnement aux parties prenantes désignées.
Cadre de gestion des risques d’entreprise pour les compagnies d'assurance
Le secteur de l’assurance continue d'adopter des cadres ERM complets qui ne se contentent pas de répondre aux normes de conformité. La plupart des assureurs utilisent une politique interne d’évaluation des risques et de la solvabilité (ORSA) pour répondre à la réglementation et aux exigences de gouvernance des États-Unis.
La politique ORSA aide les assureurs à évaluer les capacités de gestion des risques et à évaluer le risque de marché, le risque de crédit et de souscription, le risque de liquidité et le risque opérationnel. Cependant, la politique ORSA se limite à un programme de gestion des risques au stade précoce pour la conformité standard par rapport à des cadres complets ERM comme les cadres ERM CAS et COSO.
Ces cadres fournissent des stratégies et des outils systématiques d’optimisation du rendement des risques qui s’alignent sur les objectifs de l’entreprise et apportent de la valeur à l’assureur et à ses clients. Les assureurs qui adoptent des cadres ERM comme COSO créent des modèles complets de capital-risque qui soutiennent la gestion des risques en tant que stratégie commerciale essentielle.
Modèle ERM pour les compagnies d’assurance
Les modèles de capital-risque mesurent le montant de capital dont une organisation a besoin pour atteindre ses objectifs commerciaux, compte tenu de son profil de risque. Vous pouvez les utiliser pour développer des stratégies de risque et comparer les évaluations internes des risques. Ils peuvent également évaluer les agences et les exigences réglementaires en matière de capital-risque afin de déterminer les profils de risque.
De nombreux organismes d’assurance s’appuient sur une certaine forme de modèles de capital-risque comme forme de cadre ERM. La modélisation des risques aide à définir les risques en recueillant et en analysant des données qui fournissent des informations sur les interactions ou les objectifs de l'entreprise et en matière de risques. Les modèles de capital-risque aident à fournir un cadre pour soutenir le profil de risque et la propension au risque pour les risques d’un organisme d’assurance, et aident également à établir une culture du risque.
Cadre ERM intégré pour les organismes gouvernementaux
Les agences fédérales américaines et leurs dirigeants sont responsables de la gestion des missions à l’échelle de l’entreprise qui ont un impact sur divers secteurs. Les cadres ERM, comme la certification du modèle de maturité en cybersécurité (CMMC) et FedRamp, aident les agences gouvernementales à évaluer les risques et à identifier les menaces et les opportunités grâce à des programmes ERM qui s’alignent sur les buts et objectifs de l’agence.
Le modèle de maturité ERM CMMC
CMMC est un cadre plus récent de risques en matière de cybersécurité développé par le sous-secrétaire à la défense pour les acquisition et le soutien, le département de la défense et d’autres parties prenantes afin de mesurer la maturité en matière de cybersécurité des organismes gouvernementaux et des organisations de l’industrie qui travaillent avec le gouvernement fédéral. Le modèle fournit des processus de maturité, des bonnes pratiques en matière de cybersécurité et des contributions de la communauté de la sécurité et de plusieurs cadres et modèles du secteur de la sécurité.
Le cadre CMMC utilise les cinq niveaux de processus et de pratiques suivants pour mesurer la maturité en matière de cybersécurité :
- CMMC de niveau 1 :
- Processus : effectués
- Pratiques : hygiène informatique de base
- CMMC de niveau 2 :
- Processus : documentés
- Pratiques : hygiène informatique de niveau intermédiaire
- CMMC de niveau 3 :
- Processus : gérés
- Pratiques: bonne hygiène informatique
- CMMC de niveau 4 :
- Processus : examinés
- Pratiques : proactives
- CMMC de niveau 5 :
- Processus : optimisation
- Pratiques : proactives avancées
Le programme FedRAMP
Le Federal Risk and Authorization Management Program (FedRAMP) propose une approche normalisée de l’évaluation de la sécurité, de l’autorisation et de la surveillance continue des produits et services cloud. FedRAMP met l’accent sur la sécurité sur le cloud et la protection des informations fédérales lorsque les agences et les partenaires d’entreprise adoptent des solutions sur le cloud.
Le programme prend en charge des fournisseurs de services sur le cloud avec un processus d’autorisation et tient à jour un référentiel d’autorisations FedRAMP et de paquets de sécurité réutilisables. L’objectif est de faciliter la collaboration entre les organismes gouvernementaux à l’aide de cas d’utilisation, de solutions tactiques basées sur le cloud et d’un marché de sous-traitants.
Techniques d’application du cadre intégré ERM
Refactr travaille avec le département de la défense et les organismes gouvernementaux qui exigent des cadres stricts de gestion des risques et des pratiques de gouvernance. Michael Fraser identifie comment l’application du cadre ERM et des programmes de sécurité de Refactr se situe entre les partenariats avec le département de la défense et les clients des entreprises privées.
« À certains égards, le département de la défense est plus strict, mais selon le type de client, comme les entreprises financières, ils peuvent avoir des exigences qui sont à la hauteur de certaines des exigences du département de la défense », explique Michael Fraser. « Différents organismes gouvernementaux reconnaissent les différents cadres ERM, y compris le NIST et le COSO. Les cadres personnalisés peuvent également répondre à leurs normes de conformité aux risques.
« Qu’il s’agisse de l’Armée de l’air ou d’un fournisseur de cybersécurité, il existe un ensemble d’exigences que vous devez être en mesure de fournir, avec les informations qu’ils comprennent, qui vérifient que vous utilisez une sorte de cadre de risque. Un fournisseur de cybersécurité travaille probablement dans plusieurs cadres différents. La clé est d’avoir suffisamment d’informations pour donner une diligence raisonnable à un programme de sécurité, tout en essayant de respecter les meilleures pratiques de l’industrie qui s’adaptent à un cadre particulier. »
Modèles de gestion continue des risques
Selon Michael Fraser, il y a des moments dans le temps pendant les audits qui utilisent des cadres de conformité (comme FedRAMP et SOC 2 Type 2) où tout est basé sur l’intégrité.
« C’est là que l’automatisation intervient », explique Michael Fraser. « Pour aider à atteindre un certain seuil de couverture automatisée pour un cadre particulier. C’est un processus de diligence raisonnable suffisant et continu, même s’il y aura toujours des étapes manuelles à l’intérieur du cadre de conformité. »
Pour Michael Fraser, il y a une différence entre essayer de cocher toutes les cases d’un audit de conformité et avoir un certain pourcentage de couverture d’automatisation continue dans votre cadre de gestion des risques et de sécurité.
Michael Fraser souligne l’importance de la flexibilité et d’une perspective axée sur le client. Posez-vous la question : optez-vous pour une norme ardue comme le FedRAMP parce qu’elle fournit les normes de conformité les plus élevées pour un audit, ou le SOC 2 Type 2 est-il suffisant ? « Les clients disent, eh bien, vous êtes conforme au programme FedRAMP, cool » dit-il. « Je suis prêt à m’engager avec vous, même si vous n’avez pas de SOC 2 Type 2, car le programme FedRAMP est plus restrictif. »
Michael Fraser recommande aux entreprises de réutiliser un pourcentage de leur cadre ERM personnalisé pour les futurs besoins internes et les critères des clients. « Il est essentiel de savoir ce dont vous avez besoin à long terme pour savoir ce dont vous avez besoin au cours des 30, 90 ou 180 prochains jours », explique-t-il.
Suivez et gérez facilement les composantes du cadre ERM grâce à Smartsheet
Donnez à vos employés les moyens de se dépasser grâce à une plateforme flexible conçue pour répondre aux besoins de votre équipe, et capable de s'adapter quand ces besoins changent. La plateforme Smartsheet facilite la planification, la capture, la gestion et la création de rapports sur le travail depuis n'importe où, ce qui permet à votre équipe d'être plus efficace et d'accomplir plus. Créez des rapports sur les métriques clés et obtenez de la visibilité en temps réel quant au travail grâce aux rapports de synthèse, aux tableaux de bord et aux flux de travail automatisés conçus afin d'aider votre équipe à rester connectée et informée. Quand les équipes bénéficient de clarté quant au travail en cours, elles peuvent accomplir bien plus dans le même temps. Essayez Smartsheet gratuitement, dès aujourd'hui.