L’industrie du risque aime vraiment, vraiment les TLA, encore plus que la technologie (un « TLA » est un acronyme de trois lettres, un de plus à ajouter à votre arsenal).
Nous faisons rebondir le GRC. Beaucoup. Mais qu’est-ce que cela signifie réellement ?
Je vois les choses de la manière suivante :
- Gouvernance
Le G de GRC peut aller de la réglementation gouvernementale aux politiques de l’organisation, en passant par les obligations contractuelles et les exigences sociétales. Comprendre les obligations imposées et l’impact potentiel sur l’organisation est essentiel à sa survie. Il existe de nombreux exemples d’échecs en matière de gouvernance, tels que des exigences législatives anti-corruption mal mises en œuvre ou de simples pratiques commerciales ineptes. Le pire coupable est peut-être le langage contractuel non spécifique (« Je n’étais pas au courant de cela » n’est pas une réponse utile). - Risque
Il est essentiel de tenir compte du risque et de la récompense – dans sa forme la plus simple, cela signifie « ne pas risquer beaucoup pour peu ». Il s’agit en fait d’un équilibre entre un risque suffisant et un risque insuffisant. Lorsque le risque potentiel l’emporte sur la récompense potentielle, vous avez intérêt à exercer un contrôle vraiment efficace sur les risques ou à être prêt à tout perdre. Les exemples les plus simples peuvent être trouvés dans les nombreux événements médiatiques où les gens font les choses les plus stupides dans l’espoir d’obtenir une récompense, comme un peu d’argent ou une célébrité éphémère. Du point de vue des entreprises, les choses sont un peu plus douloureuses : elles vont des rapports médiatiques sur les pots-de-vin versés pour l’obtention de contrats aux réductions de coûts insensées qui aboutissent à des dommages et intérêts massifs. - Conformité
Il s’agit simplement de s’assurer que les bonnes choses sont faites de la bonne manière et au bon moment. L’astuce consiste à ne pas déployer tant d’efforts que l’organisation s’en trouve paralysée.
Extraire un retour sur investissement (ROI) de la GRC, c’est un peu comme trouver la cité perdue de l’Atlantide, le Saint Graal, ou même un moyen facile de remplir une déclaration d’impôts. Il est important d’établir au moins quelques paramètres défendables autour de la valeur pour l’organisation avant même de se préoccuper de toute cette gouvernance, de ce risque et de cette conformité. Cela peut sembler un peu négatif, mais nous sommes à un point d’inflexion dans la manière dont tout cela peut être rassemblé de manière rationnelle et rentable. La technologie a changé l’ensemble du secteur, même au cours des 5 à 10 dernières années. La création d’une vue unique de la gouvernance, du risque et de la conformité à l’échelle de l’organisation fait ressortir les chevauchements et les lacunes. Grâce à la connectivité d’aujourd’hui, disponible à des coûts et dans des délais nettement inférieurs, les responsables peuvent désormais voir toutes les parties en mouvement et prendre des mesures pour gérer la gouvernance de leur organisation, comprendre les risques que cette gouvernance entraîne et y répondre de manière appropriée, et assurer un niveau optimal de conformité. Toutefois, si le retour sur investissement est difficile à définir avec précision, le coût de base de la technologie qui alimente les systèmes de gestion intégrée des risques peut être étalé au fur et à mesure qu’elle s’étend à l’ensemble de l’entreprise. La capacité de travailler avec d’autres parties de l’organisation pour obtenir cette vue intégrée augmente la valeur de la fonction risque pour l’organisation. Loin d’être un centre de coûts, le risque peut faire partie intégrante de la stratégie de l’organisation et fonctionner comme prévu. Rien de tout cela ne remplace la dépendance à l’égard de la gestion, mais cela rendra ce rôle plus facile à gérer.
