GRC et la gestion des risques intégrée sont des termes relativement nouveaux, bien que les entreprises pratiquaient ces concepts bien avant que les termes ne soient inventés.

Bien qu'ils soient parfois utilisés de manière interchangeable, on peut considérer la gestion des risques intégrée comme construisant et développant la composante de risque de la GRC. Voyons de plus près les similitudes et les différences ci-dessous.

Qu'est-ce que la gouvernance, le risque et la conformité?

La gouvernance, le risque et la conformité se réfèrent à un ensemble intégré de capacités visant à atteindre les objectifs organisationnels, à gérer les risques et à maintenir la conformité réglementaire.

Le terme GRC a été utilisé pour la première fois par Michael Rasmussen chez Forrester Research en 2002.

Il peut être décomposé en trois composants principaux (bien que d'autres disciplines relèvent également de la GRC). Ces trois composants sont:

• Gouvernance: les règles, processus et politiques qui guident une organisation et l'aident à atteindre ses objectifs
• Risque: les processus techniques au quotidien qui sont en place pour atténuer et surveiller les risques
• Conformité: les mesures qu'une entreprise prend pour respecter les normes et réglementations afin de fonctionner en sécurité et en toute légalité

Qu'est-ce que la gestion des risques intégrée?

La gestion des risques intégrée se réfère à l'ensemble intégré de capacités pour gérer spécifiquement les risques. Ces capacités incluent des pratiques, des processus, des principes et des technologies pour améliorer la prise de décision et la performance autour de la gestion des risques.

Gartner a inventé le terme en 2016 après avoir mené une enquête fin 2015, qui a montré que la majorité des PDG et des cadres supérieurs n'utilisaient pas de logiciels de GRC ou n'étaient même pas familiers avec le terme. Beaucoup comprenaient cependant l'importance des outils et des pratiques de gestion des risques, c'est pourquoi Gartner a redéfini sa couverture de la GRC en gestion des risques intégrée (IRM).

Selon Gartner, la gestion des risques intégrée possède six attributs qui doivent être adressés par les responsables des risques et de la sécurité pour comprendre l'étendue complète des risques de leur organisation. Ces attributs constituent un cadre de gestion des risques intégrée et sont détaillés ci-dessous.

• Stratégie: Cela se réfère à l'activation et à la mise en place d'un cadre qui définit comment les risques sont identifiés, évalués, mesurés, surveillés et atténués. Un cadre de gestion des risques intégrée devrait également aider les individus à comprendre comment les risques sont directement liés aux objectifs commerciaux et à leurs responsabilités personnelles.
• Évaluation : Cela fait référence à l'identification, l'évaluation et la priorisation des risques en fonction de leur impact évalué.
• Réponse : Cela fait référence à l'identification et à la mise en œuvre de processus de mitigation du risque ou de son impact si un événement à risque survient.
• Communication et rapport : Cela fait référence au suivi et à l'information des parties prenantes sur les mécanismes de réponse aux risques de l'organisation identifiés précédemment ainsi que sur les événements à risque.
• Surveillance : Cela fait référence à l'identification et à la mise en œuvre de processus permettant de suivre les objectifs de gouvernance, la responsabilité et la redevabilité des risques, la conformité aux politiques et décisions définies par le processus de gouvernance, les risques liés à ces objectifs et l'efficacité de la mitigation des risques et des contrôles.
• Technologie : Cela fait référence à la conception et à la mise en œuvre d'une architecture de gestion intégrée des risques (IRM) via un logiciel IRM qui peut servir de source unique de vérité pour les risques uniques de votre organisation, les flux de travail de mitigation des risques, les propriétaires de risques, les protocoles de rapport et les processus de surveillance.

GRC vs IRM

Quelles sont les similitudes entre le GRC et l'IRM ?

Le GRC et l'IRM ont le même objectif : la réalisation continue et fiable des objectifs de l'organisation.

Pour atteindre cet objectif, ils nécessitent tous deux une vue d'ensemble de toutes les unités d'affaires ainsi que des principaux partenaires commerciaux, fournisseurs et entités externalisées.

Les logiciels peuvent aider à fournir cette visibilité en brisant les silos de données et en connectant les systèmes. Ils peuvent également éliminer les travaux redondants et manuels pour aider l'organisation à atteindre ses objectifs plus rapidement.

Quelles sont les différences entre le GRC et l'IRM ?

La principale différence entre le GRC et l'IRM est leur focus sur le risque. Avec le GRC, la gouvernance, le risque et la conformité sont tous prioritaires et interdépendants. Tout d'abord, la gouvernance fournit à une organisation une direction et des objectifs, qui sont ensuite utilisés pour identifier et gérer les risques qui peuvent empêcher l'organisation d'aller dans cette direction ou d'atteindre ces objectifs.

La gestion des risques n'identifie pas seulement l'incertitude autour de la réalisation de ses objectifs — elle fixe également des limites à la manière dont une organisation fonctionne. Ces limites peuvent être déterminées par des obligations volontaires (comme l'éthique ou les contrats) ou des obligations obligatoires (comme les lois).

La conformité est alors la manière dont une organisation prouve qu'elle est restée dans ces limites et a rempli ses obligations.

Avec l'IRM, le risque est au premier plan. La technologie, les processus et les données ainsi que les initiatives de gouvernance et de conformité sont alignés autour de l'objectif de simplifier, automatiser et intégrer la gestion stratégique, opérationnelle et des risques informatiques à travers une organisation.

Vous trouverez ci-dessous un tableau qui résume d'autres différences clés.