Gestion des risques opérationnels
& de la conformité

La gestion des risques opérationnels (ORM) – et notamment des risques informatiques – est une discipline spécifique qui a pour but d’améliorer la résilience de l’organisation face aux désastres potentiels liés à l’utilisation des nouvelles technologies dans les processus métiers. L’ORM et gestion des risques d’entreprise (ERM) doivent fonctionner de pair pour permettre à l’organisation de surveiller et gérer l’évolution de son profil de risque. Pourtant, métiers et informatique peinent souvent à s’accorder sur la compréhension de risques bien réels.

Dans ce contexte, le système de contrôle interne informatique (SCI-IT) doit servir d’environnement de contrôle permettant à la direction informatique de monitorer les risques opérationnels et les mesures de traitement, soutenant les décideurs dans leurs prises de décisions. Ce faisant, la mise en conformité de l’organisation informatique aux exigences externes (lois, régulations, normes de l’industrie, meilleures pratiques, etc.) et internes (politiques d’entreprise, standards et directives) permet de constituer un programme d’amélioration continue du département informatique et a fortiori de l’ensemble de l’organisation.

La mise en œuvre de bonnes pratiques de gestion des risques opérationnels et le développement d’un système de contrôle interne informatique (SCI-IT) adapté à l’organisation doivent permettre de gérer les risques opérationnels et la conformité de l’organisation informatique en fonction des exigences du métier.

Questions clefs pour les décideurs :

  • Comment s’assurer que l’organisation informatique répond aux exigences du métier, en termes de gestion du risque et de conformité ?
  • Peut-on mesurer le profil de risques et piloter la performance des mesures de traitement des risques ?
  • Quels profils de risques présentent les portefeuilles de services et projets informatiques et métiers ?
  • Comment mesurer et assurer la conformité de mon organisation informatique vis-à-vis des multiples lois et normes internationales, nationales et internes à l’entreprise ?
  • Mon entreprise a-t-elle intégré les contrôles nécessaires au sein des processus afin de réduire les risques de fraude ou de perte de données sensibles?

Nos prestations dans le domaine ORM & SCI-IT ont pour but de créer un cercle vertueux pour une mise à profit des normes imposées dans le but d’améliorer en continu la gestion des risques et la conformité de l’organisation informatique:

  • Mise en œuvre du processus de gestion des risques opérationnels (ORM)
    • Définition du processus d’ORM basé sur une méthodologie standard adaptée à votre organisation. Exemples: MEHARI, EBIOS, ISO 27’005
    • Intégration du processus ORM avec l’ERM (Risk Management d’entreprise, sur le modèle COSO)
    • Définition d’un modus operandi viable entre métier et informatique
    • Exécution du processus d’ORM et identification des risques opérationnels
    • Définition d’un programme d’amélioration continue de la conformité au sein de l’organisation informatique
  • Amélioration de la conformité de l’organisation informatique
    • Evaluation de l’organisation informatique et identification du potentiel d’amélioration en termes de conformité
      • Revue des processus actuels et identification des points d’amélioration
    • Revue et redistribution des attributions des parties prenantes, incluant la séparation des tâches (SoD) et les mesures compensatoires
    • Optimisation de la gestion des ressources humaines informatiques en fonction des rôles et responsabilités portés dans l’organisation
  • Définition d’un système de contrôle interne pour l’organisation informatique (SCI-IT)
    • Définition d’une feuille de route basée sur les priorités de l’organisation et les risques opérationnels identifiés
    • Définition des contrôles du SCI-IT en fonction des risques opérationnels pouvant impacter le métier
    • Mise en œuvre d’un programme d’amélioration continue de la gestion des risques et de la conformité
  • Préparation aux audits internes en lien avec la conformité et la gestion des risques
    • Réalisation d’audits de conformité de type ITGC (IT General Controls) ou d’audits préparatoires en vue de faciliter les audits internes
    • Test du design des contrôles (ToD: Test of Design)
    • Test d’effectivité opérationnelle (ToOE: Test of Operational Effectiveness): création et exécution de plans de tests de conformité
  • Revenue Assurance
    • Evaluation des chaînes de valeur, des risques opérationnels inhérents et des exigences de conformité selon le segment de marché
    • Définition et design des contrôles de revenue assurance
    • Test du design et de l’effectivité opérationnelle des contrôles