GRC: Metrics dans Integrated Risk Management

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 4 minutes de lecture

    • Les mesures de risque sont définies comme une mesure quantifiable qui est utilisée pour suivre et évaluer l’état d’un risque spécifique. Les mesures aident à suivre l’exposition d’un risque au fil du temps.

    Les indicateurs de risque sont un outil important dans le cadre de la gestion des risques opérationnels. Les indicateurs facilitent le suivi et le contrôle des risques. Par conséquent, ils peuvent être utilisés pour soutenir une gamme d’activités et de processus de gestion des risques opérationnels, tels que l’identification des risques, les évaluations des risques et des contrôles, la mise en œuvre d’une appétence au risque efficace et les cadres de gestion et de gouvernance des risques. Les indicateurs ne prennent en charge qu’un seul type de résultats appelé Réussite ou Échec et ne prennent pas en charge les types de données tels que le nombre, le pourcentage ou le montant monétaire. Les mesures fournissent un meilleur mécanisme d’escalade et de notification pour les indicateurs, permettent une définition spécifique des propriétaires de données et la classification des indicateurs.

    Les principaux avantages des mesures sont les suivants.
    • Fournit une visibilité continue sur les performances des risques et des contrôles.
    • Alerte les propriétaires respectifs de la modification des performances des risques et des contrôles.
    • Automatise les tâches de collecte de données de mesures, ce qui fait gagner du temps à l’organisation.
    • Surveille et partage efficacement les informations sur les risques dans l’ensemble de l’organisation.

    Utilisations des champs GRC: Metrics in ESG Management et IRM

    L’application GRC: Metrics est utilisée par diverses applications telles que Integrated Risk Management et ESG Management.

    La gestion des risques et les critères environnementaux, sociaux et de gouvernance (ESG) sont des concepts qui se recoupent de plusieurs façons, les critères ESG faisant référence aux critères utilisés par les investisseurs pour évaluer la durabilité d’une entreprise. Les facteurs ESG prennent en compte des questions telles que le changement climatique, les droits de la personne, la diversité et l’inclusion, la gouvernance d’entreprise et la gestion de la chaîne d’approvisionnement, entre autres. La gestion des risques implique l’identification, l’évaluation et l’atténuation des risques qui peuvent affecter la capacité d’une organisation à atteindre ses objectifs, y compris les risques financiers, opérationnels et de réputation, entre autres. La relation entre la gestion des risques et les facteurs ESG est forte, car une mauvaise gestion des facteurs ESG peut créer des risques importants pour les entreprises. Par exemple, une entreprise ayant de mauvaises pratiques environnementales peut être confrontée à des risques juridiques, réglementaires, de réputation et opérationnels. De même, une entreprise dont les pratiques de gouvernance sont faibles peut être confrontée à des risques juridiques et à des risques de réputation, ainsi qu’à des risques liés aux conflits d’intérêts et à une mauvaise prise de décision. En intégrant les facteurs ESG dans leurs processus de gestion des risques, les entreprises peuvent identifier et atténuer ces risques, ce qui conduit à des modèles d’affaires plus durables et résilients. Par exemple, une entreprise qui identifie et atténue ses risques environnementaux peut réduire son exposition aux futures réglementations environnementales, tandis qu’une entreprise qui améliore ses pratiques de gouvernance peut réduire son exposition aux risques juridiques et de réputation. Par conséquent, les entreprises qui gèrent efficacement leurs risques ESG peuvent améliorer leurs capacités globales de gestion des risques, créer de la valeur à long terme et assurer la durabilité de leurs modèles d’affaires.

    Types de mesures

    Voici les types de mesures.
    • Indicateurs clés de risque (KRI) : ces indicateurs identifient le degré d’exposition à un risque donné ou à un ensemble de risques. Voici quelques exemples de KRI : le moral du personnel déterminé par le biais d’enquêtes auprès des employés, le nombre de tentatives de piratage informatique, le nombre de publications négatives sur les réseaux sociaux à la suite d’un événement de perte, etc.
    • Indicateurs clés de contrôle (KCI) : ces indicateurs identifient l’efficacité des contrôles qui ont été mis en œuvre pour réduire ou atténuer une exposition donnée à un risque.
    • Indicateurs clés de performance (KPI) : ces indicateurs indiquent l’efficacité de la gestion de l’exposition au risque. Ces indicateurs montrent l’atteinte des objectifs.
    L’image suivante montre le workflow de mesures.
    Figure 1. Workflow de mesures
    Workflow des mesures dans IRM.

    Différence entre les indicateurs et les mesures

    Les indicateurs sont utilisés en tant que tests de contrôle automatisés ou évaluations, tandis que les mesures sont utilisées comme outil de surveillance des KRI et des KCI. Le tableau suivant répertorie les différences entre un indicateur et une mesure.
    Tableau 1. Comparaison des indicateurs et des mesures
    Indicateurs GRC Mesures
    Utilisé pour la surveillance continue des risques et des contrôles et pour la collecte des données complémentaires.

    Utilisé pour mesurer le degré auquel un système, un composant ou un processus possède un attribut donné.
    Permet de surveiller un risque ou un contrôle. Peut être utilisé pour mesurer n’importe quel GRC objet.
    Ne peut avoir que des valeurs binaires telles que réussite ou échec. Peut avoir n’importe quelle valeur : Quantitatif (nombres) ou Qualitatif (texte).