La meilleure façon de gérer le risque est de comprendre ce que vous affrontez et d’embrasser son avantage. Un programme de gestion des risques d’entreprise peut vous aider à faire exactement cela.
Qu’est-ce que la gestion des risques?
La gestion des risques est le processus d’identification, d’analyse et d’atténuation des incertitudes et des menaces qui peuvent nuire à votre entreprise ou à votre organisation. Aucune entreprise commerciale ou action organisationnelle ne peut éviter complètement les risques, bien sûr, et travailler trop dur pour le faire signifierait prévenir les opportunités et les stratégies potentiellement lucratives. La gestion des risques en tant que discipline vise à aider les organisations à se préparer à l’avenir en quantifiant les risques dans la mesure du possible et en équilibrant les risques des actions futures contre les avantages potentiels.
Comment les organisations structurent-elles les opérations de gestion des risques?
La gestion des risques a été traditionnellement multicentrique, avec différents départements ou individus dans l’ORG, mettant en œuvre des techniques de gestion des risques dans leur travail: la gestion des risques est une composante d’une bonne gestion de projet, par exemple. Les dirigeants informatiques en particulier doivent être en mesure d’intégrer les philosophies et les techniques de gestion des risques dans leur planification, car l’infrastructure informatique et les dépenses peuvent représenter au sein de l’entreprise une combinaison intense de risque (de cyberattaques, de temps d’arrêt ou de déploiement bâclé, par exemple) et des avantages réalisés en tant que capacités ou efficacité accrues.
Évaluation des risques par rapport à l’analyse des risques vs gestion des risques
Lorsque vous lisez ce sujet, vous pouvez rencontrer le terme qui fait référence au processus d’évaluation d’une sauvegarde ou d’une contre-mesure contre les menaces potentielles. Vous pourriez également entendre ce qui consiste à identifier les risques potentiels auxquels votre organisation est confrontée et à analyser des vulnérabilités spécifiques liées à ces menaces. L’évaluation des risques et l’analyse des risques sont des éléments clés du processus de gestion des risques, ce qui offre une image plus grande sur le risque total d’une organisation, bien que vous verrez parfois les trois termes qui se lançaient les uns dans les autres dans un usage occasionnel.
Gestion des risques par rapport à la gestion des risques d’entreprise
Vous pourriez également rencontrer une distinction entre la gestion des risques (parfois «Management traditionnel des risques») et la gestion des risques des risques d’entreprise (ERM) a tenté de s’éloigner de certaines des pratiques de gestion des risques considérées comme désuètes; Au lieu de faire en sorte que chaque silo organisationnel gére ses propres risques, les équipes centralisées de l’ERM, souvent sous le parapluie d’un CRO ou d’un exécutif similaire dans le cadre d’une stratégie de gouvernance, de risque et de conformité plus importante, d’évaluer et d’analyser le risque de manière plus holistique. En vertu de l’ERM, les risques commerciaux sont quantifiés pour déterminer quels risques méritent d’être pris. Il s’agit de la philosophie de gestion des risques que la plupart des organisations aspirent à suivre aujourd’hui, avec des degrés divers de succès.
Cadres de gestion des risques
Les organisations mettent en œuvre ces principes élevés par le biais de cadres de gestion des risques décrivaient des documents qui définissent comment le risque doit être évalué, analysé, quantifié et atténué.
ISO 31000, publié par l’Organisation internationale pour la normalisation, est l’un des cadres les plus utilisés et les plus complets – un cadre de cadres, en fait, car il s’appuie sur d’autres documents ISO pour définir comment le risque est géré dans des domaines spécifiques. (ISO 27005 se concentre sur la sécurité de l’information, par exemple.)
Certains cadres se concentrent sur des sujets spécifiques, ou ont commencé de cette façon et se sont étendus pour devenir plus généraux. Par exemple, le cadre COSO est né de la gestion des risques dans le monde de l’audit financier, mais a grandi pour fournir des conseils pour établir un programme global de l’ERM.
Il existe un certain nombre de cadres qui se concentrent sur l’infosec et l’informatique, notamment:
- Analyse factorielle du risque d’information (FAIL), un modèle quantitatif standard international pour la sécurité de l’information et le risque opérationnel
- Le cadre de gestion des risques, une suite de normes et de lignes directrices NIST pour soutenir la mise en œuvre des programmes de gestion des risques pour répondre aux exigences de FISMA
- Cobit, un cadre large et complet d’Isaca, axé sur la gestion informatique et la gouvernance.
Processus de gestion des risques
Au cœur de chacun de ces cadres se trouve un processus décrivant les étapes nécessaires à une organisation pour mettre en œuvre un régime de gestion des risques dans son entreprise. Ces étapes varient d’un cadre à l’autre, mais examinons de plus près le processus de gestion des risques comme indiqué dans ISO 31000, car c’est quelque chose d’une étalon-or. Notez que ces étapes ne sont pas une séquence stricte; Ce sont plutôt des activités itératives que votre organisation devrait poursuivre régulièrement.
Communiquer et consulter. Vous devez aider les parties prenantes de votre organisation à comprendre les risques associés à leurs tâches et comment ces risques éclairent des décisions et des actions spécifiques qu’ils prendront. Cette phase implique une communication pour aider les membres de l’équipe à comprendre la nature de la gestion des risques en général et la consultation de recueillir des informations pour aider à prendre des décisions éclairées sur les services individuels.
Définissez la portée, le contexte et les critères. Vous devez comprendre les objectifs de chaque département, ainsi que l’environnement dans lequel le département opère. De cette façon, vous pouvez définir la portée de vos activités de gestion des risques – c’est-à-dire où vous allez les appliquer au sein de l’organisation – ainsi que le contexte dans lequel ils ont lieu.
Dans cette phase, vous définissez également les «critères de risque» essentiellement, les normes ou paramètres que vous utilisez pour évaluer à quel point une action potentielle est risquée.
Évaluer les risques. Dans cette phase, vous identifierez, analysez et évaluerez les risques qui pourraient affecter chaque domaine de votre organisation. Dans l’analyse des risques, vous identifiez non seulement les risques potentiels et les vulnérabilités spécifiques qui y sont liées, mais considérez également leur probabilité et leurs conséquences potentielles. Dans l’évaluation des risques, vous évaluerez les résultats de votre analyse par rapport aux critères que vous avez établis, ce qui peut vous aider à déterminer le meilleur chemin d’atténuation.
Traiter les risques. C’est la phase où vous choisissez, puis implémentez les étapes pour résoudre le risque potentiel.
Surveiller et analyser. C’est là que l’itération entre en jeu: vous voudrez évaluer vos plans d’atténuation pour l’efficacité et vous ajuster en conséquence. L’équipe de risque doit surveiller les résultats des mesures prises, évaluer pour s’assurer que tout va planifier et analyser où des améliorations sont justifiées.
Enregistrer et rapporter. L’ensemble du processus de gestion des risques doit être documenté, à la fois pour répondre à toute exigence de déclaration réglementaire et servir de base à une itération future.
Appétit de risque et tolérance au risque
Pour rendre cela un peu moins abstrait, considérons ce qui se passe au cœur du processus décrit ci-dessus – les étapes où vous définissez les critères, puis évaluez et traitez le risque.
Pour définir les critères de risque, vous devez également établir votre appétit de risque (une description de haut niveau de votre attitude envers le risque) et votre tolérance au risque (une description plus quantifiée de ce que vous êtes prêt à risquer dans des domaines spécifiques). Considérez un exemple à partir d’un contexte de sécurité de l’information:
- Risque appétit: «Nous ne sommes pas disposés à risquer des violations de données significatives, et nous sommes prêts à dépenser de l’argent pour des mesures de sécurité pour atténuer ce risque.»
- Tolérance au risque: «Pas plus de 1% de nos systèmes devraient avoir des vulnérabilités critiques, comme des logiciels non corrigées, à tout moment.»
- Critères de risque: «Nous scannons chaque système chaque mois; Tout logiciel non corrigé avec une faille qui a un score CVS supérieur à 7 doit être corrigé dans les 24 heures, et si plus de 1% des systèmes sont vulnérables, le CISO doit être alerté. »
Plus d’une déclaration de tolérance au risque quantifiée peut émerger d’une déclaration d’appétit à risque, et plus d’un critère peut être dérivé d’une déclaration de tolérance au risque. Le processus de gestion des risques consiste à itérus sur ce type de contrôles si nécessaire dans votre organisation.
Défis à la gestion des risques
J’espère qu’il est clair pourquoi, en théorie, vous voudrez peut-être mettre en œuvre un programme de gestion des risques – ou centraliser les efforts actuels de gestion des risques dans un programme ERM. Mais certains des défis de la mise en œuvre de la gestion des risques devraient également vous suggérer:
- Temps et argent. Les programmes de gestion des risques ne sont pas bon marché. Les organisations doivent investir dans des outils logiciels spécialisés, mais ce genre de dépenses n’est que le début. Un problème plus important est qu’une gestion des risques occupera le temps – les heures de travail par des personnes de l’organisation à la fois au fur et à mesure que le programme est augmenté et que le risque évalué sur une base continue. Les dirigeants peuvent avoir du mal à voir la valeur de ces investissements.
- Se rendre à un consensus sur le risque. Ce serait formidable si vous pouviez simplement connecter un risque-o-mètre aux serveurs de votre organisation et obtenir un niveau de risque scientifiquement quantifié. En fait, même les aspects «quantitatifs» de la gestion des risques (comme les valeurs que nous avons utilisées dans notre exemple de cyber-vulnérabilité ci-dessus) ne peuvent émerger que du consensus parmi les humains qui travaillent dans votre organisation. Ils peuvent ne pas être d’accord, en particulier dans les cas où prendre une position plus opposée au risque peut rendre une organisation moins agile – ou moins rentable.
- Le risque peut survenir en dehors de votre organisation. Au fur et à mesure que vous créez un programme de gestion des risques, il deviendra clair combien de risques quotidiens pour une entreprise proviennent d’autres organisations avec lesquelles vous faites des affaires, que vous ne pouvez pas contrôler directement. Ceci est un défi épineux pour toute organisation; Mary K. Pratt de CSO a des conseils pour gérer les risques tiers.
Certification de gestion des risques
Si votre entreprise a déjà un programme de gestion des risques dans lesquels vous souhaitez vous impliquer – ou si vous souhaitez en démarrer un vous-même ou chercher un rôle dans le domaine des risques – il existe des certifications qui peuvent vous donner une longueur d’avance:
- CRISC (certifié dans le contrôle des systèmes de risques et d’information) est une certification professionnelle informatique de niveau supérieur axée sur la gestion des risques d’entreprise du point de vue des technologies de l’information.
- CRMP (Certified Risk Management Professional) vous permet de montrer vos connaissances spécialisées sur les sujets de gestion des risques et la capacité de gérer un programme de gestion des risques.
- Le certificat ERM de COSO est pour toute personne dont le travail aborde la gestion des risques pour démontrer sa maîtrise des concepts impliqués.
Il existe d’autres certifications plus spécialisées avec des objectifs spécifiques tels que les soins de santé, l’assurance ou l’audit financier; En effet, a une liste complète qui peut vous aider à être votre voyage!
