Risk management processes and controls
La gestion des risques existe pour aider les entreprises, sa mise en œuvre ne doit donc pas nuire aux opérations commerciales. Le professionnel du risque doit prendre en compte l’impact des processus et des contrôles sur la capacité de l’entreprise à atteindre ses objectifs et s’assurer que les utilisateurs accomplissent leurs tâches de manière simple et logique. Le professionnel du risque doit présenter ces informations au propriétaire du risque d’une manière qui lui permette de peser ces considérations par rapport aux conséquences associées au risque.
Bien que l’entreprise dépende considérablement des informations et des technologies utilisées, les risques liés à l’informatique, à la sécurité de l’information et à la cybersécurité ne sont pas les seuls risques nécessitant l’attention des professionnels du risque. Il existe des risques découlant de multiples secteurs d’activité, tels que les risques associés aux défaillances de processus, aux tendances qui ont un impact sur les prévisions commerciales, aux cycles économiques ou aux catastrophes naturelles, et qui doivent également être pris en compte et, en fin de compte, gérés. Toute menace susceptible d’empêcher l’entreprise d’atteindre ses buts et objectifs définis doit être gérée du point de vue des objectifs globaux de l’entreprise et fait donc partie des principes directeurs du cadre de gestion des risques informatiques.
Qu’il s’agisse de mettre en œuvre de nouveaux processus et contrôles ou de modifier ceux existants, il faut veiller à ce qu’ils s’intègrent à l’environnement actuel. L’introduction de changements dans un environnement peut rencontrer des résistances, les avantages et les valeurs doivent donc être socialisés de manière appropriée et communiqués aux parties prenantes. Souvent, l’introduction ou la modification de processus ou de contrôles est perçue comme un obstacle pour le personnel, car le processus ou le contrôle ajoutera une étape supplémentaire ou empêchera le personnel d’accomplir ses tâches. C’est pourquoi, dans la mesure du possible, et notamment avec l’introduction de nouvelles technologies, elles doivent être aussi transparentes que possible pour l’utilisateur final. L’introduction de contrôles techniques transparents limite la probabilité qu’un membre du personnel trouve un moyen de contourner le contrôle, laissant l’entreprise avec un manque de sécurité ; mais réduit également la perception que la mise en œuvre du contrôle, et par extension le professionnel du risque, empêche le personnel de mener à bien ses activités de manière satisfaisante.
Enfin, le professionnel du risque doit souligner les avantages et la valeur obtenus grâce à l’introduction ou à la modification de processus ou de contrôles, et la manière dont leur adoption démontre l’alignement avec diverses réglementations et normes. Considérez un processus commercial qui implique le traitement et le stockage d’informations sensibles, telles que des informations personnelles sur la santé : la protection de ces informations contre toute divulgation, modification ou suppression non autorisée est d’une grande importance. Les données sensibles peuvent être masquées ou autorisées à être modifiées. L’intégration de ces types de contrôles dans les systèmes et les applications peut constituer une forme efficace de gestion préventive des risques. Lors de la conception de réponses pratiques aux risques, elles doivent être conformes aux normes internationales, aux normes industrielles et aux normes internes promulguées par l’organisation.
Avez-vous déjà modifié un processus d’affaires pour atténuer un risque ?
Bien que l’entreprise dépende considérablement des informations et des technologies utilisées, les risques liés à l’informatique, à la sécurité de l’information et à la cybersécurité ne sont pas les seuls risques nécessitant l’attention des professionnels du risque. Il existe des risques découlant de multiples secteurs d’activité, tels que les risques associés aux défaillances de processus, aux tendances qui ont un impact sur les prévisions commerciales, aux cycles économiques ou aux catastrophes naturelles, et qui doivent également être pris en compte et, en fin de compte, gérés. Toute menace susceptible d’empêcher l’entreprise d’atteindre ses buts et objectifs définis doit être gérée du point de vue des objectifs globaux de l’entreprise et fait donc partie des principes directeurs du cadre de gestion des risques informatiques.
Qu’il s’agisse de mettre en œuvre de nouveaux processus et contrôles ou de modifier ceux existants, il faut veiller à ce qu’ils s’intègrent à l’environnement actuel. L’introduction de changements dans un environnement peut rencontrer des résistances, les avantages et les valeurs doivent donc être socialisés de manière appropriée et communiqués aux parties prenantes. Souvent, l’introduction ou la modification de processus ou de contrôles est perçue comme un obstacle pour le personnel, car le processus ou le contrôle ajoutera une étape supplémentaire ou empêchera le personnel d’accomplir ses tâches. C’est pourquoi, dans la mesure du possible, et notamment avec l’introduction de nouvelles technologies, elles doivent être aussi transparentes que possible pour l’utilisateur final. L’introduction de contrôles techniques transparents limite la probabilité qu’un membre du personnel trouve un moyen de contourner le contrôle, laissant l’entreprise avec un manque de sécurité ; mais réduit également la perception que la mise en œuvre du contrôle, et par extension le professionnel du risque, empêche le personnel de mener à bien ses activités de manière satisfaisante.
Enfin, le professionnel du risque doit souligner les avantages et la valeur obtenus grâce à l’introduction ou à la modification de processus ou de contrôles, et la manière dont leur adoption démontre l’alignement avec diverses réglementations et normes. Considérez un processus commercial qui implique le traitement et le stockage d’informations sensibles, telles que des informations personnelles sur la santé : la protection de ces informations contre toute divulgation, modification ou suppression non autorisée est d’une grande importance. Les données sensibles peuvent être masquées ou autorisées à être modifiées. L’intégration de ces types de contrôles dans les systèmes et les applications peut constituer une forme efficace de gestion préventive des risques. Lors de la conception de réponses pratiques aux risques, elles doivent être conformes aux normes internationales, aux normes industrielles et aux normes internes promulguées par l’organisation.
Avez-vous déjà modifié un processus d’affaires pour atténuer un risque ?
Commentaires
Enregistrer un commentaire