Gestion des risques & de la conformité

Risk management

La gestion des risques opérationnels (ORM) – et notamment des risques liés à l’informatique – est une discipline spécifique qui a pour but d’améliorer la résilience de l’organisation face aux désastres potentiels liés à l’utilisation des nouvelles technologies dans l’organisation. L’ORM et la gestion des risques d’entreprise (ERM) doivent fonctionner de pair pour permettre à l’organisation de surveiller et gérer l’évolution de son profil de risques. Pourtant, métiers et informatique peinent souvent à s’accorder sur la compréhension de risques bien réels.

Dans ce contexte, le système de contrôle interne informatique (SCI-IT) doit servir d’environnement de contrôle – c’est-à-dire de cockpit de pilotage – permettant à la direction informatique de monitorer les risques liés à l’informatique, leur évolution, ainsi que le traitement de ces risques par diverses mesures. Ceci afin de soutenir les décideurs dans leur prise de décisions.

Ce faisant, la mise en conformité de l’organisation informatique aux exigences externes (lois, régulations, normes de l’industrie, meilleures pratiques, etc.) et internes (politiques d’entreprise, standards et directives) permet de constituer un programme d’amélioration continue du département informatique et a fortiori de l’ensemble de l’organisation.

La mise en œuvre de bonnes pratiques de gestion des risques opérationnels et le développement d’un système de contrôle interne informatique (SCI-IT) adapté à l’organisation doivent permettre de gérer les risques opérationnels et la conformité de l’organisation informatique en fonction des exigences du métier.

Questions clefs pour les décideurs :

  • Comment s’assurer que l’organisation informatique répond aux exigences du métier et de l’audit interne, en termes de gestion du risque et de conformité ?
  • Peut-on mesurer le profil de risques et piloter la performance des mesures de traitement des risques ?
  • Quels profils de risques présentent les portefeuilles de services et projets informatiques et métiers ?
  • Comment mesurer et assurer la conformité de mon organisation informatique vis-à-vis des multiples lois et normes internationales, nationales et internes à l’entreprise ?
  • Mon entreprise a-t-elle intégré les contrôles nécessaires au sein des processus afin de réduire les risques de fraude ou de perte de données sensibles?

Nos prestations dans le domaine de la gestion des risques opérationnels et de la mise en oeuvre d’un système de contrôle interne pour l’informatique ont pour but de créer un cercle vertueux, permettant de mettre à profit les exigences des régulations et autres normes imposées à l’organisation, dans le but d’améliorer en continu la gestion des risques, la conformité et la maturité de l’organisation informatique:

Gestion des risques opérationnels (ORM)

  • Définition du processus d’ORM basé sur une méthodologie standard adaptée à votre organisation. Exemples: MEHARI, EBIOS, ISO 27’005
  • Intégration du processus ORM avec l’ERM (Risk Management d’entreprise, sur le modèle COSO)
  • Définition d’un modus operandi viable entre métier et informatique
  • Exécution du processus d’ORM et identification des risques opérationnels
  • Définition d’un programme d’amélioration continue de la conformité au sein de l’organisation informatique

Gestion de la conformité de l’organisation informatique

  • Evaluation de l’organisation informatique et identification du potentiel d’amélioration en termes de conformité
    • Revue des processus actuels et identification des points d’amélioration
  • Revue et redistribution des attributions des parties prenantes, incluant la séparation des tâches (SoD) et les mesures compensatoires
  • Optimisation de la gestion des ressources humaines informatiques pour traiter les risques liés au personnel

Gestion du système de contrôle interne informatique

  • Définition d’une feuille de route basée sur les priorités de l’organisation et les risques opérationnels identifiés
  • Définition des contrôles du SCI-IT en fonction des risques opérationnels pouvant impacter le métier
  • Mise en œuvre d’un programme d’amélioration continue de la gestion des risques et de la conformité

Préparation aux audits internes en lien avec la conformité et la gestion des risques

  • Réalisation d’audits de conformité de type ITGC (IT General Controls) ou d’audits préparatoires en vue de faciliter les audits internes
  • Test du design des contrôles (ToD: Test of Design)
  • Test d’effectivité opérationnelle (ToOE: Test of Operational Effectiveness): création et exécution de plans de tests de conformité

Revenue Assurance

  • Evaluation des chaînes de valeur, des risques opérationnels inhérents (pertes de revenus) et des exigences de conformité selon le segment de marché
  • Définition et design des contrôles d’assurance des revenus
  • Test du design et de l’effectivité opérationnelle des contrôles