Les 10 principaux défis organisationnels liés à la mise en œuvre d’une solution GRC

De nombreuses organisations adoptent des technologies de gouvernance, de risque et de conformité (GRC) pour les aider à gérer leurs activités dans ces trois domaines. Ce changement continue d’être motivé par un paysage réglementaire en constante évolution et un monde de plus en plus connecté. Les solutions GRC automatisent la collecte, la corrélation et le reporting des informations afin d’offrir une vision plus large de la performance de l’entreprise, mais aussi de sa conformité à la loi et de sa gestion des risques.

Une fois que vous avez traversé le processus ardu de justification de l’investissement dans les solutions GRC et que vous avez fait votre choix parmi les plateformes disponibles pour répondre au mieux à vos besoins, la mise en œuvre proprement dite s’accompagne de son propre lot de défis qu’il convient d’envisager à l’avance afin que les choses se passent le mieux possible et qu’il y ait le moins de perturbations possible. Lisez la suite pour découvrir les 10 défis organisationnels les plus courants liés à la mise en œuvre d’une solution GRC et commencez à planifier dès maintenant pour les relever.

1. Déterminer les personnes clés et leurs rôles dès le début du processus de GRC. Attendre pour définir l’équipe et les rôles peut entraîner des retards, des remaniements et des frustrations, car une nouvelle personne qui arrive peut avoir une perspective ou un objectif différent. Ce point est particulièrement important pour les sponsors, car ce sont souvent eux qui fixent l’ordre du jour de haut niveau.
   
   
2. Savoir que la communication est essentielle ! Cela peut sembler banal et inutile à préciser, mais il s’agit souvent d’un domaine où le programme GRC déraille. Lorsque vous pensez à la communication, prenez en compte les éléments suivants
   • Les parties prenantes internes pour la planification, les progrès, l’orientation, la prise de décision, etc.
   • Les pairs (pour les conseils, les changements, les défis, les meilleures pratiques, etc.
   • Les équipes de mise en œuvre – à la fois le programme GRC et l’automatisation ou les logiciels éventuels – pour les exigences, la vision et les objectifs globaux, les parties prenantes, etc.
3. Utiliser les cadres et les lignes directrices disponibles comme test décisif pour votre programme. Les cadres et les lignes directrices tels que COSO, COBIT, NIST, ITIL, UCF, etc., peuvent constituer un excellent point de départ ainsi qu’un point de contact solide tout au long de votre processus de maturation afin de vous assurer que vous prenez en compte tous les aspects d’un programme de GRC.
4. Construire un réseau de pairs dans votre domaine d’expertise et votre secteur d’activité. Demandez-leur de vous faire part des meilleures pratiques, des défis, des changements, des conseils, etc. C’est le moyen le plus tangible de s’assurer que le processus GRC que vous êtes en train de mettre en place prend en compte tous les aspects qui doivent l’être.
5. Penser qu’il faut disposer d’un processus d’entreprise totalement mature pour mettre en œuvre un programme automatisé de GRC. Il n’est pas nécessaire d’avoir mis en place un processus opérationnel totalement abouti pour commencer, mais assurez-vous d’avoir une compréhension de base de ce que vous voulez que le processus opérationnel soit – le processus peut évoluer avec le temps, mais un point de départ solide permettra d’éviter le travail supplémentaire et la frustration.
6. Comprendre les processus, les données, les équipes, etc. qui sont déjà en place dans votre organisation. Il existe souvent des domaines de GRC très solides qui peuvent constituer un excellent point de départ pour le développement d’un programme robuste. Par exemple, l’audit interne, SOX, IT GRC, et d’autres, ont des processus commerciaux matures avec des taxonomies de données définies qui peuvent faire passer un programme GRC de l’état embryonnaire à l’état mature beaucoup plus rapidement. En outre, en tant que secteurs verticaux bénéficiant d’une orientation et d’un leadership solides en matière de développement de programmes de GRC, ils peuvent être de fervents défenseurs au sein d’une organisation et contribuer au succès de la mise en place d’un programme de GRC dans son ensemble.
7. Commencez par le résultat final souhaité et revenez en arrière. Le fait de savoir quels rapports et tableaux de bord vous souhaitez obtenir vous aide à déterminer les informations que vous devez saisir et la manière dont elles doivent être structurées afin d’atteindre le résultat final souhaité.
8. Communiquer clairement les exigences dans le cadre de l’appel d’offres ou du cycle de vente. Si vous décidez d’automatiser ou de mettre en œuvre un logiciel pour soutenir votre processus GRC, il est essentiel que vous compreniez exactement ce à quoi le cahier des charges vous engage et ce qu’il exclut. Si vous n’êtes pas sûr d’une chose, insistez sur ce point pour obtenir des éclaircissements. Comprendre ce qui est fourni et ce qui est exclu est essentiel pour savoir si le système fonctionnera bien pour vous dans l’ensemble et pour avoir la certitude que le produit répondra à vos besoins en ce qui concerne les fonctionnalités de base prévues.
9. Penser d’abord à la situation dans son ensemble. Si vous automatisez ou mettez en œuvre un logiciel pour soutenir votre processus de GRC, pensez d’abord à la situation dans son ensemble et travaillez ensuite dans ce sens. Il est raisonnable de commencer à petite échelle et d’évoluer vers un programme GRC complet, mais lorsque vous élaborez les processus de départ, assurez-vous que le résultat final est pris en compte dans les décisions qui sont prises. Si vous ne le faites pas, vous risquez de créer des blocages involontaires dans le processus et d’aboutir à une déstructuration des verticales organisationnelles qui n’est pas le but recherché.
10. Écouter les conseils et l’orientation des personnes qui vous entourent. Qu’il s’agisse de la direction de l’organisation, des pairs, de sources extérieures ou des équipes de mise en œuvre lors de l’automatisation, il s’agit d’un élément clé d’une mise en œuvre réussie. Vous pouvez ensuite prendre les informations que vous avez reçues et les examiner sous l’angle de ce que vous essayez d’accomplir. Soyez ouvert aux perspectives extérieures, mais assurez-vous qu’elles s’inscrivent dans les objectifs que vous poursuivez.

La mise en œuvre d’une ou de plusieurs solutions GRC n’est pas une mince affaire et des obstacles imprévus ne manqueront pas de se présenter en cours de route. Toutefois, en connaissant à l’avance certains des défis probables et en élaborant de manière proactive des plans pour y faire face, vous serez mieux préparé à mettre votre organisation sur la voie de la réussite.