Dans une étude marquante, on a constaté que les inconduites en milieu de travail coûtaient aux entreprises américaines 20 milliards de dollars par an.

Ce chiffre frappant n'inclut pas le coût de l'erreur humaine, de la non-conformité, des cyberattaques et d'autres problèmes auxquels les organisations sont confrontées.

La GRC aborde tous ces aspects et peut aider une organisation à atteindre ses objectifs commerciaux, à gérer et à réduire les risques, et à rester conforme aux normes et réglementations industrielles. Ci-dessous, nous plongerons dans ce concept important.

Qu'est-ce que la GRC ?

La GRC se réfère à une stratégie organisationnelle globale qui combine les fonctions de gouvernance d'entreprise, de gestion des risques et de conformité.

Individuellement, chacune de ces fonctions a son propre ensemble de règles, de réglementations et de responsabilités. Cela rend facile pour les organisations de traiter ces fonctions comme quelque chose qu'un département ou une personne « possède », mais les cloisonner de cette manière peut entraîner une fragmentation, une mauvaise intégration et une perte d'informations, entre autres problèmes.

Plutôt que de garder les éléments de gouvernance, de risque et de conformité cloisonnés, une stratégie de GRC reconnaît le chevauchement entre ces trois composants et favorise la collaboration entre les équipes.

En alignant les parties prenantes clés — idéalement des départements de gouvernance, de risque, de conformité, de sécurité, d'audit, de finance, de juridique, d'informatique et de RH ainsi que de la suite exécutive et du conseil d'administration — une stratégie de GRC peut aider votre organisation à identifier, traiter et réduire les problèmes ci-dessus et à atteindre la durabilité et l'efficacité.

Pourquoi la GRC est-elle importante ?

La GRC est importante car elle combine les fonctions de gouvernance d'entreprise, de gestion des risques et de conformité en une seule stratégie. Les avantages de cela sont significatifs et incluent les éléments suivants.

Visibilité accrue des risques auxquels une organisation est confrontée

Les entreprises d'aujourd'hui opèrent dans des environnements distribués, dynamiques et perturbateurs. Cela signifie que même de petits risques peuvent se transformer en problèmes majeurs s'ils ne sont pas bien compris ou gérés correctement. Avec une stratégie de GRC, les organisations peuvent mieux identifier les risques individuels, comprendre comment ils peuvent affecter la performance et les objectifs, et y répondre.

Efficacité opérationnelle améliorée

Une stratégie de GRC encourage les parties prenantes clés à aborder les activités de gouvernance, de gestion des risques et de conformité de manière mature et à se soutenir mutuellement pour atteindre continuellement les objectifs organisationnels. Cela peut aider les organisations à reproduire les processus de manière cohérente, à éliminer les activités redondantes et à réduire les coûts, ce qui améliorera considérablement l'efficacité opérationnelle.

Collecte d'informations de haute qualité sur les risques, les opportunités et les objectifs pour aider à orienter les stratégies de l'entreprise

Un programme de GRC, en particulier un qui utilise un logiciel de GRC, peut permettre à votre organisation de collecter des informations de haute qualité sur les risques, les opportunités et les objectifs. Cela peut aider votre organisation à prendre des décisions basées sur les données qui accélèrent sa croissance.

Assurance de la conformité continue aux normes et réglementations requises

Un programme de GRC peut aider à aligner les principales parties prenantes pour mettre en œuvre des contrôles de sécurité qui protègent les données des clients et répondent aux exigences de conformité, même si elles évoluent au fil du temps. 

Histoire de la GRC

La GRC a été définie, modélisée et étiquetée pour la première fois par Michael Rasmussen en 2002, alors qu'il travaillait comme vice-président et analyste chez Forrester Research. Il a ensuite travaillé avec l'Open Compliance and Ethics Group (OCEG) pour développer et affiner le modèle de capacités GRC. 

Selon l'OCEG, le but de la GRC est d'aider les organisations à atteindre une Performance Principielle®, qui englobe les éléments suivants :

  • atteindre de manière fiable les objectifs
  • aborder l'incertitude
  • agir avec intégrité.

Chacun de ces éléments correspond aux trois composants de la GRC : « atteindre de manière fiable les objectifs » est le composant gouvernance, « aborder l'incertitude » est le composant gestion des risques, et « agir avec intégrité » est le composant conformité.  

La réalisation des trois éléments, ou de la Performance Principielle, devrait permettre aux organisations de toutes formes et tailles de fonctionner dans un contexte de conditions volatiles, incertaines, complexes et ambiguës, qui constituent l'environnement commercial d'aujourd'hui.