De nombreuses organisations adoptent des technologies de gouvernance, de risque et de conformité (GRC) pour les aider à gérer leurs activités dans ces domaines. Ce changement continue d’être motivé par un paysage réglementaire en constante évolution et un monde de plus en plus connecté. Les solutions GRC automatisent la collecte, la corrélation et le reporting des informations afin d’offrir une vision plus large non seulement des performances de l’entreprise, mais aussi de sa conformité à la loi et de sa gestion des risques. Une fois que vous avez franchi le processus ardu de justification de l’investissement dans les solutions GRC et que vous avez fait votre choix parmi les plateformes disponibles pour répondre au mieux à vos besoins, la mise en œuvre proprement dite s’accompagne de son lot de défis qu’il convient d’envisager à l’avance afin que les choses se passent le mieux possible et qu’elles causent le moins de perturbations possible. Lisez la suite pour découvrir les 10 défis organisationnels les plus courants liés à la mise en œuvre d’une solution GRC et commencez à planifier dès maintenant pour les relever.

  1. Déterminer les personnes clés et leurs rôles dès le début du processus de GRC.
    Attendre pour définir l’équipe et les rôles peut entraîner des retards, des remaniements et des frustrations, car une nouvelle personne qui arrive peut avoir une perspective ou un objectif différent. Ce point est particulièrement important pour les sponsors, car ce sont souvent eux qui fixent l’ordre du jour de haut niveau.
  2. Savoir que la communication est essentielle.
    Cela peut sembler banal et inutile à préciser, mais c’est souvent un domaine où le programme GRC déraille. Lorsque vous pensez à la communication, prenez en compte les éléments suivants

    • Les parties prenantes internes pour la planification, les progrès, l’orientation, la prise de décision, etc.
    • Les pairs – pour les conseils, les changements, les défis, les meilleures pratiques, etc.
    • Les équipes de mise en œuvre – à la fois le programme GRC et l’automatisation ou les logiciels éventuels – pour les exigences, la vision et les objectifs globaux, les parties prenantes, etc.

     

  3. Utiliser les cadres et les lignes directrices disponibles comme test décisif pour votre programme.
    Les cadres et lignes directrices tels que COSO, COBIT, NIST, ITIL, UCF, etc., peuvent constituer un excellent point de départ ainsi qu’un point de contact solide tout au long de votre processus de maturation afin de vous assurer que vous prenez en compte tous les aspects d’un programme de GRC.
  4. Construire un réseau de pairs dans votre domaine d’expertise et votre secteur d’activité.
    Demandez-leur de vous faire part des meilleures pratiques, des défis, des changements, des conseils, etc. C’est le moyen le plus tangible de s’assurer que le processus GRC que vous êtes en train de mettre en place prend en compte tous les aspects qui doivent l’être.
  5. Penser qu’il faut disposer d’un processus d’entreprise parfaitement au point pour mettre en œuvre un programme automatisé de GRC.
    Il n’est pas nécessaire de disposer d’un processus opérationnel parfaitement au point pour commencer, mais assurez-vous d’avoir une compréhension de base de ce que vous voulez que le processus opérationnel soit – le processus peut évoluer au fil du temps, mais un point de départ solide évitera le travail à refaire et la frustration.
  6. Comprendre les processus, les données, les équipes, etc. qui sont déjà en place dans votre organisation.
    Il existe souvent des domaines de GRC très solides qui peuvent constituer un excellent point de départ pour le développement d’un programme robuste. Par exemple, l’audit interne, SOX, IT GRC et d’autres ont des processus commerciaux matures avec des taxonomies de données définies qui peuvent faire passer un programme GRC de l’état embryonnaire à l’état mature beaucoup plus rapidement. En outre, en tant que secteurs verticaux bénéficiant d’une orientation et d’un leadership solides en matière de développement de programmes de GRC, ils peuvent être de fervents défenseurs au sein d’une organisation et contribuer à la réussite de la mise en place de la GRC dans son ensemble.
  7. Commencez par le résultat final souhaité et remontez en arrière.
    Le fait de savoir quels rapports et tableaux de bord vous souhaitez obtenir permet d’orienter les informations que vous devez capturer et la manière dont elles doivent être structurées pour atteindre le résultat final souhaité.
  8. Communiquer clairement les exigences dans le cadre de l’appel d’offres ou du cycle de vente.
    Si vous décidez d’automatiser ou de mettre en œuvre un logiciel pour soutenir votre processus GRC, il est essentiel que vous compreniez exactement ce à quoi le cahier des charges vous engage et ce qu’il exclut. Si vous n’êtes pas sûr d’une chose, insistez sur ce point pour obtenir des éclaircissements. Comprendre ce qui est fourni et ce qui est exclu est essentiel pour savoir si le système fonctionnera bien pour vous dans l’ensemble et pour avoir la certitude que le produit répondra à vos besoins en ce qui concerne les fonctionnalités de base prévues.
  9. Penser d’abord à la situation dans son ensemble.
    Si vous automatisez ou mettez en œuvre un logiciel pour soutenir votre processus de GRC, pensez d’abord à la situation dans son ensemble et travaillez ensuite dans ce sens. Il est raisonnable de commencer à petite échelle et d’évoluer vers un programme GRC complet, mais lorsque vous élaborez les processus de départ, assurez-vous que le résultat final est pris en compte dans les décisions qui sont prises. Si vous ne le faites pas, vous risquez de créer des blocages involontaires dans le processus et d’aboutir à l’échec de la décomposition des verticales organisationnelles qui était prévue.
  10. Écouter les conseils et l’orientation des personnes qui vous entourent.
    Qu’il s’agisse de la direction de l’organisation, des pairs, de sources extérieures ou des équipes de mise en œuvre lors de l’automatisation, il s’agit d’un élément clé d’une mise en œuvre réussie. Vous pouvez ensuite prendre les informations que vous avez reçues et les examiner sous l’angle de ce que vous essayez d’accomplir. Soyez ouvert aux perspectives extérieures, mais assurez-vous qu’elles s’inscrivent dans les objectifs que vous poursuivez.

La mise en œuvre d’une ou de plusieurs solutions GRC n’est pas une mince affaire et des obstacles imprévus ne manqueront pas de surgir en cours de route. Toutefois, en connaissant à l’avance certains des défis probables et en élaborant de manière proactive des plans pour y faire face, vous serez mieux préparé à mettre votre organisation sur la voie de la réussite.