Gérer les risques stratégiques et opérationnels

Découvrez comment gérer les risques stratégiques et opérationnels en utilisant différentes applications Diligent One, quelles relations existent entre les applications et comment les applications prennent en charge les trois lignes de défense.

Application Stratégie

Stratégie concerne la gestion des risques d'entreprises (ERM) qui offre aux organisations la perspective nécessaire pour équilibrer les risques et les opportunités afin d'améliorer les performances de l'entreprise et d'atteindre leurs objectifs stratégiques d'un point de vue économique.

Exemple de risques stratégiques

  • Violation des données d'informations sensibles
  • Perte de l'un des meilleurs talents
  • Occurrence d'événements catastrophiques

Projets

Projets (qui comprend, entre autres, les applications Projets et Cadres) concerne la gestion des risques opérationnels (ORM) qui offre aux organisations l'assurance nécessaire que les contrôles en place sont conçus et fonctionnent efficacement, et que l'atténuation du risque s'effectue de manière appropriée.

Exemple de risques opérationnels

  • Aucune technologie n'est en place pour détecter et protéger le réseau d'outils d'évaluation de vulnérabilité non autorisés.
  • Les responsabilités de l'employé en ce qui concerne la réponse aux problèmes ne sont pas claires ni documentées.
  • L'équipement qui stocke les données sensibles ou les informations sur l'entreprise n'est pas sécurisé de manière appropriée.

Connexions

Les objectifs, désignés également en tant qu'objectifs de contrôle, sections ou cycles dans l'application Projets, sont liés aux risques stratégiques dans l'application Stratégie.

Les diagrammes ci-dessous illustrent cette connexion et montrent les informations qui sont agrégées à nouveau vers le risque stratégique :

  • Si vous liez un objectif de projet à un risque stratégique, vous agrégez les informations d'un projet individuel.
  • Si vous liez un objectif de cadre à un risque stratégique, vous agrégez généralement les informations de plusieurs projets.

Risque stratégique lié à l'objectif de projet

Risque stratégique lié à l'objectif du cadre

Flux de travail

Le diagramme ci-dessous illustre le flux de travail qu'il est possible de développer entre les équipes de gestion du risque utilisant Stratégie et les équipes d'assurance utilisant Projets et Cadres.

Les équipes de gestion du risque peuvent évaluer le risque inhérent à l'aide d'un ensemble commun de critères d'évaluation, collaborer avec les équipes d'assurance afin de définir et implémenter des traitements pour réduire le risque et évaluer le risque résiduel. Les résultats de test peuvent être regroupés depuis Projets et depuis Cadres dans une évaluation de risque stratégique dans Stratégie à des fins de production de rapports sous réserve qu'il soit possible de visualiser un tableau de bord du risque et du projet au niveau stratégique.

Exemple de base

Définition des traitements des risques

Scénario

Vous avez identifié le risque stratégique suivant dans votre organisation :

Échec des fournisseurs tiers clés Les tiers proposent des composants principaux de notre infrastructure financière qui comprennent la technologie, des produits et des services. Toute modification apportée à ces tiers ou tout échec pour traiter des niveaux actuels ou supérieurs d'activité peuvent affecter négativement notre capacité à fournir des produits et des services aux clients et perturber notre activité.

Vous avez également une série d'objectifs de contrôle qui permettent d'atténuer ces risques :

  • Sélection et acquisition
  • Gestion du risque, de la conformité et de la viabilité
  • Suivi des performances
  • Gestion des relations
  • Transition et renouvellement
  • Intégration réussie de nouveaux clients
  • Identifier

Processus

Vous ajoutez le risque stratégique dans Stratégie et créez les objectifs de contrôle dans Projets. Ensuite, Stratégie vous permet de lier les objectifs de contrôle au risque stratégique.

Résultat

Une relation est définie entre chaque risque stratégique et les objectifs de contrôle associés ce qui vous permet de suivre l'assurance et les résultats du test ainsi que d'évaluer le risque résiduel :

Autres composants et relations

Le diagramme ci-dessous illustre les relations entre les différents composants de Stratégie, Résultats, Projets, Cadres, et Cartes de conformité. Chaque jeu de composants s'aligne avec les fonctions d'une équipe particulière ou d'une ligne de défense.

Identification du risque stratégique et définition de l'appétence au risque (comité / audit)

À l'aide de Stratégie, le comité commence par définir un profil de risque et identifie les risques stratégiques. Stratégie permet au comité de définir l'appétence au risque et de l'aligner avec la stratégie de leur programme ERM.

Astuce

Si l'organisation utilise Résultats, des mesures (KPI ou KRI) peuvent être liées aux risques stratégiques pour faciliter l'information des évaluations du risque inhérentes.

Définition des traitements du risque et test des contrôles (audit interne)

Une fois que les objectifs et les risques stratégiques de l'organisation ont été définis, l'audit interne peut utiliser Projets et Cadres pour développer des programmes et mettre en place des mesures afin d'atténuer le risque.

L'audit interne définit des traitements, teste la conception (via des revues générales) et l'efficacité opérationnelle des contrôles mis en place (via des tests), et relève tout problème, si nécessaire. Lorsque des contrôles réussissent, les scores de l'assurance calculés dans Projets, Cadres et Stratégie augmentent. Si une revue générale ou session de test d'un contrôle échoue, le contrôle est indiqué comme ayant « échoué » et est soustrait du score global de l'assurance.

Un cadre peut être défini pour servir de répertoire centralisé et permettre ainsi de gérer des contrôles communs dans différents projets. Ces contrôles peuvent être importés dans les projets pertinents pour exécuter des tests individuels. Vous pouvez également apporter des modifications dans l'un de ces projets et resynchroniser ces modifications avec le cadre.

S'assurer que les conditions sont satisfaites (équipe de conformité)

Pour prouver le respect de l'organisation aux spécifications pertinentes pour l'activité, l'équipe de conformité peut créer une carte de conformité afin de mapper les contrôles du cadre aux conditions.

Une fois que les contrôles de cadre correspondent aux conditions, les résultats de test et les problèmes concernant les nombreux projets liés au cadre sont agrégés à la carte de conformité pour permettre à l'équipe de conformité les actions suivantes :

  • identifier les omissions
  • prioriser les problèmes
  • suivre l'avancement de la conformité

Lorsque les contrôles réussissent, l'assurance de la conformité augmente. Si une revue générale ou session de test d'un contrôle échoue, le contrôle est indiqué comme ayant « échoué » et est soustrait du score de l'assurance.

Exemple avancé

Gestion du risque de sécurité

Le diagramme suivant illustre :

  • un risque stratégique défini dans Stratégie (violation de données informatives sensibles) ;
  • le lien de la mesure au risque stratégique (% de serveurs sans correctif par trimestre) ;
  • le lien du risque stratégique à l'objectif du contrôle dans Projets (sécurité) ;
  • le cadre (cadre des contrôles de sécurité) qui est utilisé comme un répertoire centralisé pour gérer des contrôles communs entre trois projets (audit d'infrastructure, audit d'accès utilisateur, audit de gestion de la base de données) ;
  • le mappage entre le contrôle du cadre (utilisation des mesures de sécurité et des procédures de gestion liées pour protéger les informations de toutes les méthodes de connectivité) et une condition requise spécifique dans la carte de conformité (gestion de la sécurité).

Fonctionnement

L'audit interne teste les contrôles et évalue les problèmes, si nécessaire.

  • Lorsque le comité / l'audit décèle un risque stratégique dans Stratégie, un tableau de bord du risque et du projet s'affiche qui comprend les résultats du test agrégés et les problèmes obtenus depuis les objectifs de contrôle associés.
  • Les résultats de test et les problèmes sont agrégés dans la carte de conformité permettant aux responsables de la conformité de prouver aux clients et autres tiers intéressés qu'il existe un environnement de contrôle fort.