Les capacités de gestion des risques d'entreprise de nombreuses organisations ne sont pas aussi intégrées qu'elles devraient l'être, ce qui les rend vulnérables aux risques juridiques, financiers, réglementaires et de réputation.

Ce n'est que l'une des nombreuses conclusions d'un nouveau rapport de référence sur la gouvernance, le risque et la conformité, réalisé par Compliance Week en partenariat avec Riskonnect. L'enquête a également révélé que :

  • 44% des personnes interrogées ont normalisé certains processus et technologies, mais pas dans toute l'entreprise.
  • 35% des personnes interrogées ont déclaré que leurs processus et leur technologie restent largement cloisonnés.
  • 20% des personnes interrogées ont déclaré que leurs processus et leur technologie sont bien intégrés dans l'ensemble de l'organisation.


Savoir ou faire
Si les professionnels du risque savent qu'il est préférable de gérer les risques de manière holistique - et d'utiliser la technologie à cette fin - savoir n'est pas synonyme de faire. "D'après mon expérience, la plupart des organisations s'appuient sur des solutions localisées et manuelles pour toutes sortes de besoins en matière de gestion des risques", explique Quin Rodriguez, vice-président de la stratégie et de l'innovation chez Riskonnect. "Cela revient à créer des réseaux complexes, confus et enchevêtrés de systèmes informatiques et de sources de données qui ne peuvent pas soutenir une gestion des risques d'entreprise efficace."

Moins d'un tiers des répondants (28%) sont "très confiants" quant à leur capacité à identifier les menaces qui donnent lieu à des risques et à des besoins de conformité. Environ 8% ne sont pas du tout confiants, et les autres sont "plutôt confiants".


Viser l'intégration
"Si la gestion intégrée des risques est l'objectif de l'entreprise, une stratégie clé pour que la gestion des risques fonctionne de manière efficace et efficiente dans toute l'entreprise consiste à adopter un cadre unifié et à créer un langage commun en matière de risques", ajoute-t-il.

Selon l'enquête, les cinq principaux indicateurs de performance clés suivis par les répondants sont les suivants :

  1. Nombre d'allégations fondées de mauvaise conduite (50.44%)
  2. Couverture des risques (46.02%)
  3. Nombre de violations de contrôle (42.28%)
  4. Nombre d'échecs aux tests de contrôle (37.17%)
  5. Coût total des activités de risque, de conformité et de contrôle (30.09%)

Cependant, seuls 21% des répondants se disent "très confiants" dans la capacité de leur organisation à faire correspondre chaque contrôle à un risque ou à une exigence donnée. Quelque 14% ne sont pas du tout confiants, et les autres se situent quelque part au milieu.

La responsabilité de diriger la stratégie d'intégration des processus de GRC incombe le plus souvent au directeur de la conformité (29%), suivi du directeur des risques (21%). Près d'un répondant sur cinq a déclaré ne pas avoir ce rôle.

Quel que soit le responsable, il est essentiel de pouvoir attribuer la propriété de chaque risque, exigence et contrôle à une personne ou à un rôle spécifique. Cependant, seulement 24% des répondants sont "très confiants" dans le fait que la propriété est attribuée à une personne spécifique. Par ailleurs, 61% ne sont qu'assez confiants et 15% ne sont pas du tout confiants.

"C'est inquiétant car si vous ne désignez pas le propriétaire d'un risque, comment le gérer ? Qui doit-on tenir pour responsable ?", déclare M. Rodriguez.

La majorité des répondants (64%) ont également déclaré qu'ils n'étaient que modérément confiants dans la capacité de leur organisation à faire correspondre les risques aux facteurs de risque dans toutes les fonctions, et 18% ne sont pas du tout confiants.

"Avoir la capacité d'intégrer davantage de points de l'entreprise permet aux organisations de vraiment automatiser le processus de contrôle des risques", explique Rodriguez. "Cela permet aux gens de voir le paysage des risques bien mieux qu'ils ne l'ont jamais fait auparavant et de comprendre l'impact qu'il a sur leur organisation."

 

L'enquête a été menée par Compliance Week, en partenariat avec Riskonnect. Au total, 113 responsables de la conformité, des risques et de l'audit du monde entier ont été interrogés pour connaître les capacités de gestion des risques de leur organisation, leur efficacité à cartographier les risques, les mesures qu'ils suivent, etc.
Télécharger l'enquête

 

Pour en savoir plus sur les résultats de l'enquête et avoir un aperçu concret des programmes de conformité des entreprises, participez à notre webinaire intitulé "Keeping Up with the Speed of Risk in the Digital Age", le 5 septembre à 13 heures HAE. Quin Rodriguez et Jason Mefford discuteront de la révolution numérique, de son impact sur le risque et la conformité, et de la manière dont les organisations y répondent.
Inscrivez-vous maintenant