Policies
Les politiques permettent le travail du personnel de gestion des risques, d’audit et de sécurité. Les politiques doivent énoncer clairement la position de la haute direction sur la protection des informations, ce qui permettra l’élaboration de procédures, de normes et de bases de référence reflétant les priorités de la direction. Le parrainage de la direction exige également que tous les départements se conforment aux exigences de la politique.
Les entreprises disposent souvent de plusieurs niveaux de politiques pour permettre la délégation d’autorité. La haute direction peut établir une politique de haut niveau comme moyen de répondre aux objectifs énoncés dans la mission et la vision de l’entreprise. Cette politique générale a une orientation non technique pour éviter qu’elle ne devienne obsolète lorsque la technologie évolue. Une politique de haut niveau peut orienter le respect des lois et des bonnes pratiques, et est susceptible de définir l'objectif de gestion des risques en protégeant les actifs de l'entreprise, y compris les informations et les systèmes d'information qui soutiennent les opérations commerciales.
Les politiques de haut niveau constituent un moyen essentiel de déterminer l’approche de l’entreprise en matière de gestion des risques et les niveaux de risque acceptables. Sans politiques établies, le professionnel du risque de ne pas avoir accès au personnel clé, d’être exclu des séances de planification stratégique ou d’être ignoré lors de ses enquêtes. Au-dessous des politiques de haut niveau se trouvent les politiques techniques et fonctionnelles qui incluent des aspects spécifiques liés à l’utilisation de la technologie, tels que l’accès à distance, l’utilisation acceptable et les mots de passe. Ces politiques sont susceptibles d’être modifiées à mesure que la technologie évolue et que de nouveaux systèmes sont développés.
Enfin, le professionnel du risque doit identifier la présence ou l’absence de politiques et s’efforcer de déterminer si les politiques sont appliquées. Si les politiques ne sont pas élaborées et communiquées, l’entreprise n’a aucun moyen de faire respecter les normes de comportement, ce qui augmente le risque que le comportement soit inapproprié. L’absence de mécanismes d’application peut conduire à un contournement des contrôles ou à une responsabilité accrue parce que l’entreprise a admis la nécessité d’une politique mais ne suit pas ses propres règles. Le professionnel du risque doit évaluer le risque associé au cadre politique de l’entreprise et fournir des recommandations si nécessaire. Lorsque les politiques sont obsolètes, manquent de mécanismes d’application ou sont incomplètes, le professionnel du risque doit clairement documenter la vulnérabilité et le risque associé que cela représente pour l’entreprise.
Connaissez-vous les politiques de votre entreprise ?
Les entreprises disposent souvent de plusieurs niveaux de politiques pour permettre la délégation d’autorité. La haute direction peut établir une politique de haut niveau comme moyen de répondre aux objectifs énoncés dans la mission et la vision de l’entreprise. Cette politique générale a une orientation non technique pour éviter qu’elle ne devienne obsolète lorsque la technologie évolue. Une politique de haut niveau peut orienter le respect des lois et des bonnes pratiques, et est susceptible de définir l'objectif de gestion des risques en protégeant les actifs de l'entreprise, y compris les informations et les systèmes d'information qui soutiennent les opérations commerciales.
Les politiques de haut niveau constituent un moyen essentiel de déterminer l’approche de l’entreprise en matière de gestion des risques et les niveaux de risque acceptables. Sans politiques établies, le professionnel du risque de ne pas avoir accès au personnel clé, d’être exclu des séances de planification stratégique ou d’être ignoré lors de ses enquêtes. Au-dessous des politiques de haut niveau se trouvent les politiques techniques et fonctionnelles qui incluent des aspects spécifiques liés à l’utilisation de la technologie, tels que l’accès à distance, l’utilisation acceptable et les mots de passe. Ces politiques sont susceptibles d’être modifiées à mesure que la technologie évolue et que de nouveaux systèmes sont développés.
Enfin, le professionnel du risque doit identifier la présence ou l’absence de politiques et s’efforcer de déterminer si les politiques sont appliquées. Si les politiques ne sont pas élaborées et communiquées, l’entreprise n’a aucun moyen de faire respecter les normes de comportement, ce qui augmente le risque que le comportement soit inapproprié. L’absence de mécanismes d’application peut conduire à un contournement des contrôles ou à une responsabilité accrue parce que l’entreprise a admis la nécessité d’une politique mais ne suit pas ses propres règles. Le professionnel du risque doit évaluer le risque associé au cadre politique de l’entreprise et fournir des recommandations si nécessaire. Lorsque les politiques sont obsolètes, manquent de mécanismes d’application ou sont incomplètes, le professionnel du risque doit clairement documenter la vulnérabilité et le risque associé que cela représente pour l’entreprise.
Connaissez-vous les politiques de votre entreprise ?
Commentaires
Enregistrer un commentaire