Risques SI - Les Solutions Et Les Bonnes Pratiques Internationales - Faycal Belghami - iCompetences RSI2012

7/30/2019 Risques SI - Les Solutions Et Les Bonnes Pratiques Internationales - Faycal Belghami - iCompetences RSI2012

http://slidepdf.com/reader/full/risques-si-les-solutions-et-les-bonnes-pratiques-internationales-faycal 1/24

QANTARA consulting

RISQUES SI

SOLUTIONS ET LES BONNES PRATIQUES INTERNATIONALES

GESTION UNIFIEE ET INTEGREE DE LA GRC



© 2102 QANTARA consulting

Contexte

ProjectA

Project

C

Project

B

BoD

Mandatory

Framework

Regulation

Agency

Impact

New or updated

laws and legislation

Risk A = y

Risk A = z

Risk A = k

Internal AuditInternal Audit

Risk ManagementRisk

Management

Audit CommitteeAudit Committee

SOX officeSOX office

Risk A = x

Risk A = w

Compliance OfficerCompl

iance Officer

BoD /

Top Management

BoD /

Top Management

Risk A = x+y+z+ …

vs

Risk A = (x+y+ … )/n

vs

Risk A = x = y = z = ?

? ? ?

Increase

Control

Real level of

Risk A

CFO

Risk A = q




Rappel des principales stratégies de gestion utilisées par

secteur




Pratiques de reporting par les risques




Les plus avancés …

Les Organisations deviennent de plus en plus efficaces dans l’identification et la gestion des risques::

Pour celles qui jugent leur gestion des risques très efficace, elles présentent un profil différent en

termes de pratiques de risk management.

La criticité de certains risques est très réduite dans ces entreprises, notamment :

le risque de fraude et d’éthique est majeur pour 22% de ces entreprises à comparer à 33% pour

les autres sociétés (-11 points) ; celui des risques des systèmes d’information et de la sécurité informatique est majeur pour

26% contre 36% pour les autres répondants (-10 points) ;

celui de la maîtrise des grand projets (technologie, investissements, R&D ...) : majeur pour

seulement 4% d’entre elles contre 21% pour les autres sociétés (-17 points).

Pour réduire cette criticité, ces mêmes entreprises déploient leur gestion des risques au sein de toute

l’entreprise plus que les autres :

• Politique de gestion des risques déployée totalement pour 70% d’entre elles.

• La quasi-totalité de ces entreprises (85%) déploient dans toute leur organisation des outils de

reporting sur les risques et des bases d’incidents et de pertes opérationnelles associées).

Elles recourent à des méthodes de risk management plus avancées (quantification des risques, auto-

évaluation des risques et des contrôles, évaluation du niveau de maturité des processus).




Les autres …

Risques sont toujours gérés en “silos”

Décisions non coordonnées - Responsabilités diluées – Outils non intégrés - Les risquespotentiels sont identifiés et gérés par des solutions ad hoc - Approche réactive et solutions àcourt terme.

Responsabilité finale floue concernant la gestion de certains risques spécifiques (Séparation

des tâches, fraude…)

Sensibilité faible aux risques à cause des faiblesses de communication entre les différentsniveaux hiérarchiques du Management. Le risque est vu comme un sujet négatif et n’est pasdiscuté de manière sérieuse et active.

La gestion des risques est concentrée sur les pertes physiques (assurables) et/ou sur la

conformité réglementaire

Les activités de gestion des risques ne sont pas priorisées et ne sont pas reliées à la stratégieet/ou aux sources de valeur de l’entreprise

Absence de vision des risques lors de la prise de décision.


http://slidepdf.com/reader/full/risques-si-les-solutions-et-les-bonnes-pratiques-internationales-faycal 7/24 © 2102 QANTARA consulting

Approche unifiée et intégrée de la GRC



Integration

Convergence

Standardization

En finir avec la gestion en silo

GRC: Les défis

Governance, Risk & CompliancePolicies Standards Procedures

F i n a n c i a l C o m p l i a n c e



R e g u l a t o r y C o m p l i a n c e



I T G o v e r n a n c e



O p e r a t i o n a l R i s k



E n t e r p r i s e R i s k



Risk and Control Self-Assessment (RCSA)

Frameworks Risk Language Infrastructure ProcessesModels






Frameworks Risk Language Infrastructure ProcessesModelsFrameworks Risk Language Infrastructure ProcessesModels

I n t e r n a l A u d i t



Ethics

SOX

Other ??

Basel II

-

Anti-Fraud

Program

ERM

IT Governance

Tax

Compliance

CEO/CFO

Certification

Legislative

Compliance

Operational

Risk

Privacy

NI 52-109

Entity-Level

Control

Health & SafetyAnti-Money

Laundering

Environmental

Self-

Assessment

Internal

Audit

Quality

InformationSecurity

Process

Improvement

Business

Continuity

Management



Approche unifiée et intégrée de la GRC

“In itself GRC is not new.As individual issues, governance, risk management and

compliance have always been fundamental concerns of businessand its leaders. What is new is an emerging perception of GRC as an integrated set of concepts that, when applied

holistically within an organization, can add significant value andprovide competitive advantage.”



GRC : Intégration de la Gouvernance, de la gestion des Risques

et de la Conformité

Governance

Risk Management

Compliance and Control

BusinessEnvironment

StakeholderExpectations

C o m

m u n i c

a t i o

n | R e p

o r t i n

g | D i s c l

o s u r

eP

e o p l e | P

r o c e s s | T

e c h n

o l o g y

Organisational Culture and Ethics

Strategies, business

objectives, policies,

accountabilities and

performance monitoring

Risk identification,assessment, response and

monitoring

Operating processes andcontrols to meet business

objectives and assessment

of compliance/control

effectiveness

Governance

Risk Management


BusinessEnvironment


C o m

m u n i c

a t i o

n | R e p

o r t i n

g | D i s c l

o s u r

eP

e o p l e | P

r o c e s s | T

e c h n

o l o g y

Governance

Risk Management


BusinessEnvironment


C o m

m u n i c

a t i o

n | R e p

o r t i n

g | D i s c l

o s u r

eP

e o p l e | P

r o c e s s | T

e c h n

o l o g y

Organisational Culture and Ethics

Strategies, business

objectives, policies,

accountabilities and

performance monitoring

Risk identification,assessment, response and

monitoring

Operating processes andcontrols to meet business

objectives and assessment

of compliance/control

effectiveness




Control Testers &

Internal Audit

Control Testers &Internal Audit

! ?Document control

and test plan

Attach reference document

and spreadsheet

Document

control and testplan

Receive test instructions via

email

Follow guided

procedure and perform

test

Report results

and attach

evidence

Manual Process:

Workflow-Driven Process:• Automatic notification and routing

• Step dependencies and configurable escalation paths

• Complete audit trail of test plan results and evidence

Compliance Team & BusinessProcess Owners

??

Compliance Team & Business

Process Owners

Corporate Executives

Document control

and test plan

Attach reference document and

spreadsheet

Document control

and test plan

Receive test instructions via

email

Follow guided procedure and

perform test

Report results and

attach evidence

Corporate Executives

Bénéfices de l’outillage: Cas du « Testing » de la Conformité




Intégrer les Activités de GRC : Messages clés

L’identification et la priorisation des risques

Utiliser un référentiel et un langage commun au sein de l’organisation. Ces risques doiventêtre alignés avec les objectifs stratégiques de l’entreprise

Ne pas diluer les responsabilités, et adopter un « champion », sponsor pour coordonnerl’intégration

Evaluer la maturité de l’organisation en matière de gestion des risques et déterminer le

niveau cible le plus adapté pour améliorer les choses tout en protégeant la valeur del’entreprise

Concevoir une approche pour agréger les risques au niveau de l’entreprise pour éviter lagestion de risques en silos

Etablir un système cohérent et transparent pour mesurer et surveiller les risques

Créer un système de reporting et un tableau de bord pour fournir des informations liées à

l’environnement au Management et au Conseil d’Administration. Le reporting doit êtreadapté et approprié pour permettre la bonne décision au bon moment et éviter les surprises…

Mettre en œuvre un processus d’allocation des ressources aux activités de gestion desrisques prioritaires

Prioritize risks from the top down, manage from the bottom up




Intégrer les Activités de GRC : Messages clés

Intégrer la GRC ne signifie pas de regrouper toutes les activités de GRC dans undépartement.

La communication et la coordination sont importantes.

Normaliser les approches et les processus liés à la GRC.

L'amélioration des processus est un élément clé dans l’intégration des activités deGRC.

Il n'y existe pas de méthode unique ou d’approche simple qui fonctionneront pourtoutes les organisations.

Chaque organisation doit développer son propre business case pour le

changement.

Le chemin est long …

Et ne pas ignorer / sous-estimer les freins culturels …




Panorama des outils: Enterprise GRC & IT GRC

The Forrester Wave™: Q4 2011

Enterprise Governance, Risk

And Compliance Platforms, and IT GRC Landscape




Avant de démarrer…

Business

Strategies &

Policies

Business & Risk

Management

Processes

People &

Organizational

Structure

Management

Reports

Methodologies Systems & Data

Defined

Repeatable

Initial

Managed

Optimizing

R e a l i z a t i o n

o f V a l u e

R i s k o f F a i l u r e

• Centrally-aligned vision,mission, goals, strategy andobjectives across the entireorganization

• Fully integrated policies andresponsibilities into day-to-dayactivities

• Organization strategy is

considered visionary and best inclass

• Processes are “best in class” or industry leading

• Continuous benchmarking andcontinuous improvemententerprise-wide

• Formal in-house training program• Knowledge and skills continuously

upgraded• Cross-functional teams analyze

problems, determine root causes,remove errors and variation, andimplement improvements

• Fully developed & automatedreporting

• Excellent data integrity used tomanage and monitor work effort,failure / pass rates, andremediation / action plan status

• Remediation, synergies andefficiency are achieved

• Enterprisewide Risk Managementis fully incorporated

• Quality Control and Reviewprocesses are applied

• Complete suite of systems for analysis, execution, andperformance management

• Technological innovations areidentified and leveraged throughoutthe organization

• Performance data used to analyzecosts and benefits of new

applications / innovations

• Strategies and policies areintegrated across all businessunits and align to corporateobjectives

• Strategies for long termdevelopment are in place

• Process benchmarks (KPI/KRI)consistently achieved / cost andcycle time reduced

• Process output is predictable withlimited variation

• New processes and businesschanges are scoped anddocumented proactively

• Centralized shared servicesfunctions

• Formal training for all areas andcertified professionals throughoutthe organization

• Strong teamwork• Organization continuously strives

to improve capabilities

• Productivity and quality aremeasured and reported

• Measurements for control activityand documentation arequantitative and statisticallybased

• Self-assessment and internalaudit validation are commonplace

• Characterized by “metrics,measures, and monitoring”

• Sophisticated models available for decision-making and early warningsystems

• Robust forecasting models• Utilization of formal risk

management and risk analytics.• Integrated physical and financial

models• Contingency planning

• Complete business intelligenceand enterprise wide datawarehouse in place and utilized

• Enhanced functionality of integrated Tier 1 ERP systems.

• No or isolated use of spreadsheets• Advanced analytics and data

modeling

• All policies and procedures areformally documented andunderstood, enforced, andinstitutionalized enterprise-wide

• Strategies are more longer termfocus with evident progresstoward integration across

several functions

• Defined and standardizedprocesses in place and welldocumented for all activities,including risk and changerecognition procedures

• Processes are proactive rather than reactive

• Processes are stable with inputsand outputs defined and measured

• Standard training programs / backup capabilities exist

• Roles, responsibilities,accountabilities, and corporateculture clearly defined,documented, and communicated

• Integrated / cross functional teams

across organization

• Senior Management iscomfortable with content andconsistent reporting format

• Robust reporting applications areutilized

• Exceptions and “near misses”are reported

• Status of improvement initiativesis reported• Regular internal audit validation

• Well-developed models /methodologies utilized for decision-making

• Consistent measures of performance and processvariability

• Rapid business analysis of

alternatives• Six components of infrastructureare integrated

• Good suite of i ntegrated systems• Stable client server application• Scalable component architecture• Reliable, web-enabled processes

for data extraction, analysis andreporting

• Limited strategic focus onbusiness activities

• Management sets objectivesand there is limited focus onlonger term planning

• Basic policies and proceduresfor managing processes aredefined with a commonunderstanding, but notconsistently documented

• Process requirements defined• Critical processes are established

and repeatable with limiteddocumentation

• Processes are somewhat effective,stable, and consistent, but drivenby output measures

• Process gaps are identified andcorrected

• Still dependent on capabilities of individuals rather than groups insome areas

• Roles, responsibilities, andaccountabilities are defined anddocumented for key areas

• Limited formal training offered

• Limited coordination betweenfunctions with lessons learned

• Regular / actionable reports• Key metrics identified• Consistent format and content• Process output measures are

tracked and monitored• Data integrity exists• Limited audit or validation of

evaluation is performed

• Simple models used inconsistentlyfor decision making

• Assumptions are consistent andunderstood

• Measurement methods arespecified and documented

• Improvements are beingdeveloped

• Risk and change recognition isemerging

• Systematic data collection• Independent / robust spreadsheets

used• Adequate system security / data

integrity• Suite of effective systems in place

or being planned• Tier 2 ERP systems or limited Tier

1 ERP applications used, withreliance on spreadsheets

• Strategies not clearly definednor understood

• Undocumented, vague, andinformal policies andprocedures throughout theorganization

• Department tactics not alignedwith overall strategy

• No strategic focus or direction

• Processes are not defined,formalized, consistent, documentedor repeatable.

• Processes are reaction-driven andunpredictable, with outcome relyingsolely on individual “fire drill” efforts

• Processes often do not meet

desired outcomes or deadlines

• Performance depends on heroics• Coordination between functions is

non-existent / Functional silos arepervasive

• Roles, responsibilities andaccountabilities are poorly definedand not documented

• Unstable environment• Little or no formal training exists

• Reporting is sporadic, ad-hoc,and informal

• Reports are often incomplete,inaccurate, and untimely

• Inconsistent reportingmechanisms across functions

• Data integrity issues exist

• No audits performed

• No models / methodologies usedto support decision-making

• Heavy reliance upon key peopleand their instincts

• Best practices and/or externalbenchmarks are not used

• No capabilities assessment or

process improvement• Risk and change recognition is

non-existent

• Disparate, inefficient, unstable andineffective systems

• Heavy use of individualspreadsheets

• Database access and controls arepoor / Data is not available

• Technology does not support

operational requirements• Technology functional areas

operate as separate silos

R i s k o f F a i l u r e




“Quick Wins”

Réaliser un inventaire complet et une cartographie des activités et processus de GRC

Comprendre les coûts associés à aux activités de GRC

Intégrer les évaluations (indépendantes) des risques et les auto-évaluations dansl’appréciation finale

Coordonner les activités de conformité et de reporting sur le contrôle interne avecles activités d‘audit interne (ex: tests)

Identifier un point central de coordination (ex: Directeur des Risques, Directeur desServices Juridiques, Comité de GRC, …)

Partager les données et les informations entre les différentes fonctions de GRC




Développement d’une culture Risques




Impacts




La culture d’un groupe se construit avec les comportements répétés de sesmembres, le comportement d’un groupe est lui-même formé par les

attitudes individuelles de ses membres.

L'attitude : la position choisie et adoptée par un individu ou un groupeface au risque, sous l'influence de leur perception du risque et laprédisposition

Le comportement : comprend des actions externes observables relativesaux risques, et inclus la prise de décisions basée sur les risque, des

processus de gestion des risques, des communications sur les risques, etc. La culture : représente les valeurs, les croyances, la connaissance et

compréhension des risques, partagés par un groupe de personnes ayantun objectif commun précis, en particulier la direction générale et lesemployés d'une organisation

Culture du Risque




1. Encourager l’apprentissage

en créant un milieu qui motive les gens à apprendre,

en valorisant les connaissances, les nouvelles idées et les nouvelles

relations qui sont des composantes essentielles de la créativité menant à

l’innovation,

en incluant l’apprentissage dans les plans stratégiques et en insistant sur

son importance.

Créer un environnement de travail propice à la gestion des

risques




2. Tirer des enseignements de l’expérience

en valorisant l’expérimentation, dans le cadre de laquelle on détermine si

les bonnes occasions présentent des avantages et ont des conséquences,

en partageant l’apprentissage tiré des réussites et des échecs antérieurs,

en se servant des « leçons apprises » et des « pratiques exemplaires »

dans le cadre des exercices de planification.

Créer un environnement de travail propice




3. Faire preuve de leadership

en choisissant ses dirigeants parmi les encadreurs, les enseignants et les

bons intendants,

en témoignant son engagement et son appui envers les employés

en leur fournissant des occasions de s’améliorer, des ressources et des

outils,

en prévoyant du temps, en affectant des ressources et en mesurant le

succès grâce à des examens périodiques (par exemple des vérifications de

l’apprentissage comme les « Quizzs »).

Créer un environnement de travail propice




Renforcer la capacité de l’organisation de gérer le risque et appuyerl’orientation stratégique à cet égard.

Des plans d’apprentissage doivent énoncer les besoins de formation et de

perfectionnement de chaque employé.

Ces plans d’apprentissage, pour être efficaces, doivent tenir compte desstratégies d’apprentissage de la gestion du risque, et être liés à la fois à lastratégie opérationnelle et à la stratégie de l’organisation.

Inclure des objectifs d’apprentissage en matière de gestion du risque dansles évaluations du personnel, permettent d’à appuyer l’apprentissagecontinu en matière de gestion du risque.

Intégrer les plans d’apprentissage aux pratiques de gestion




Favoriser une culture de gestion du risque en informant, en illustrant et en

adaptant le discours à chaque audience ciblée,

Encourager et appuyer une prise de risque responsable et les retoursd’expérience,

Impliquer les parties prenantes, partager l’information et favoriser la

transparence pour fonder les prises de décisions,

Favoriser les suggestions et demander des commentaires et feedbacks

pour améliorer le dispositif.

Appuyer l’apprentissage continu et l’innovation

Documents

Risques SI - Les Solutions Et Les Bonnes Pratiques Internationales - Faycal Belghami - iCompetences RSI2012