Les logiciels de gestion des risques d’entreprise (ERM) aident les organisations à identifier les risques liés aux systèmes d’information et aux technologies critiques, afin qu’elles puissent élaborer des plans pour faire face à ces risques, documenter la réponse en cas d’incident et améliorer le processus de réponse. Pour ce faire, le logiciel ERM doit être en mesure d’effectuer plusieurs tâches essentielles. Voici 7 tâches que votre logiciel ERM doit accomplir.

1. Gestion de la fonction d’audit

Votre ERM doit gérer toutes vos fonctions d’audit en un seul endroit. Cela comprend plusieurs éléments :

  • Planification de l’audit : Quand a eu lieu votre dernier audit ? Quand le prochain doit-il avoir lieu ? Quelle est la priorité et l’objectif de l’audit ?
  • Exécution de l’audit : Vous devez être en mesure de gérer et d’effectuer le travail sur le terrain pour les audits en un seul endroit. Vous devez également être en mesure d’assurer le suivi du programme d’audit individuel et global, et de relier les risques connexes et leurs contrôles à chaque audit.
  • Résultats des audits : Votre ERM doit contenir et pouvoir afficher toutes les données des rapports d’audit ainsi que les actions recommandées à la suite de chaque audit. Vous devez également être en mesure d’attribuer et de suivre les actions entreprises.

En bref, votre ERM doit vous permettre de contenir et de gérer toutes vos fonctions d’audit sous un même toit.

2. Compléter l’évaluation et la gestion des risques

Essentiellement, votre ERM est votre maison pour tout ce qui concerne l’évaluation et la gestion des risques, depuis la détermination des risques acceptables et des opérations à l’intérieur de ceux-ci jusqu’à la gouvernance des risques. La première étape consiste à identifier et à contrôler les risques, tout en conservant toutes les données dans un format vérifiable (voir le point ci-dessus). Une fois les risques identifiés, vous pouvez les gérer et les surveiller à l’aide de votre logiciel ERM. Lorsqu’un événement se produit, vous pouvez documenter la séquence des événements et la réponse qui y a été apportée. Tous ces éléments se combinent pour vous aider à créer des rapports qui permettent de prendre des décisions de gestion des risques fondées sur des données, ce qui permet à nouveau d’évaluer et d’auditer ces risques.

3. Préparation à la mise en conformité

La conformité comporte deux éléments différents : la conformité interne et la conformité externe. La conformité interne comprend vos propres politiques, procédures et normes que vous imposez à vos employés et que vous attendez d’eux qu’ils respectent. Elle permet de minimiser les risques internes et les risques liés aux auditeurs externes ou à des événements susceptibles de donner lieu à des litiges. Bien entendu, l’une des raisons d’être des normes et politiques internes est souvent de se conformer à des réglementations externes. Votre ERM contient à la fois les politiques internes que vous avez mises en place et les rapports dont vous avez besoin pour montrer aux régulateurs externes les mesures que vous avez prises pour vous mettre en conformité. Ces deux éléments fonctionnent ensemble pour atténuer les risques et la responsabilité. Elles réduisent également le risque financier lié au non-respect des exigences légales fixées par des agences ou des organisations externes. Votre ERM gère les audits, les évaluations des risques, la conformité et bien d’autres choses encore.

4. La gouvernance

Lorsqu’il s’agit de gérer les risques, vos conseils et comités des risques ont besoin de deux choses : des données et l’analyse de ces données. Votre ERM recueille des données en permanence et doit les tenir à la disposition du conseil d’administration et du comité à tout moment. Cela permet d’économiser du temps et de l’argent et d’améliorer l’efficacité de la gouvernance.

5. Sécurité de l’information

En matière de sécurité de l’information, il existe des normes à respecter, notamment les normes ISO, mais aussi la conformité aux réglementations en matière de protection de la vie privée comme le GDPR, la loi californienne sur la protection de la vie privée des consommateurs et la récente législation adoptée en Caroline du Nord. La plupart des responsables de la sécurité informatique estiment que la réglementation fédérale n’est pas loin derrière. Votre ERM contribue à la gestion de la réputation, en évitant l’embarras et la mauvaise publicité liés à une violation de données, mais aussi les pénalités financières potentielles qui l’accompagnent. Assurer la sécurité des données de vos consommateurs et de vos clients est l’une de vos principales priorités en matière de gestion des risques.

6. SOX

Depuis la loi SARBANES-OXLEY ACT de 2002, SOX fait partie intégrante de la gestion des risques financiers. Il est important que vous mainteniez un certain niveau de transparence en ce qui concerne votre comptabilité. Votre ERM doit inclure un suivi de l’avancement des preuves SOX et des tests de contrôle. Elle doit également inclure des flux de travail personnalisables et des points de contrôle d’approbation pour les contrôles et les programmes. Tout mouvement dans les indicateurs de gestion des risques donne lieu à une alerte qui permet à votre équipe de prendre des mesures pour maintenir votre profil de risque dans les limites que vous avez fixées.

7. Continuité des activités et résilience opérationnelle

Pour répondre aux exigences de la norme ISO 22301et de la norme PS 21/3 et permettre à votre entreprise de fonctionner correctement et de réduire les risques, votre ERM doit comporter un plan de continuité des activités (BCP) et une composante de résilience opérationnelle. L’essentiel est d’identifier les produits et services clés que vous devez protéger. Vous devrez déterminer lesquels d’entre eux peuvent être considérés comme des services commerciaux importants (IBS) d’un point de vue réglementaire, et des critères d’évaluation doivent être intégrés à votre ERM. Des mesures clés telles que la période maximale d’interruption tolérable (MTPD) et l’objectif minimal de continuité de l’activité (MBCO) sont également contenues dans votre ERM, et les données fournies vous permettent d’identifier et d’évaluer les risques qui menacent la disponibilité des ressources dont votre entreprise a besoin. Votre GRE doit également permettre l’auto-évaluation de tous les éléments de votre cadre de résilience opérationnelle, en vue de leur examen par l’organe directeur de votre organisation. Votre GRE est très utile pour vous et votre entreprise, et plus il est automatisé, plus il a le pouvoir de protéger votre entreprise et de la maintenir en bon état de marche et du bon côté des réglementations, des exigences et des risques. Il s’agit d’un outil essentiel dans votre ensemble de gestion des risques.