Une équipe identifie un nouveau risque. En tant qu'analyste GRC, qu'en faites-vous ?
Réponse courte
La gouvernance, c'est capturer et gérer le risque, pas le traiter de façon informelle : inscrivez-le au registre des risques avec une probabilité et un impact évalués, désignez un propriétaire responsable, décidez et documentez le traitement (atténuer, transférer, accepter ou éviter), et fixez une date de revue. Le corriger vous-même sur-le-champ contourne la responsabilité, la priorisation et le suivi, et ce n'est peut-être même pas à vous de le faire. L'ignorer jusqu'à ce qu'il devienne un incident est une négligence, et l'envoyer par e-mail à tout le monde crée du bruit mais aucune responsabilité ni suivi. Le registre transforme une observation ponctuelle en une décision suivie, attribuée et réexaminée.
Le rôle d'un analyste GRC n'est pas de résoudre personnellement chaque risque — c'est de s'assurer que chaque risque est identifié, évalué, attribué, décidé et réexaminé. Le registre des risques est l'instrument qui permet cela, et y recourir est la réponse rigoureuse.
À quoi ressemble la « gestion » d'un risque
Lorsqu'un nouveau risque apparaît, vous l'inscrivez pour qu'il ne puisse pas être oublié, puis vous l'évaluez — probabilité et impact — afin de le prioriser face à tout ce qui réclame de l'attention. Vous désignez un propriétaire responsable, idéalement la personne dotée de l'autorité et des ressources pour agir, et pas seulement celle qui l'a repéré. Vous prenez et documentez ensuite une décision de traitement : atténuer (le réduire), transférer (l'assurer ou le contractualiser), accepter (vivre consciemment avec, avec validation) ou éviter (cesser l'activité). Enfin, vous fixez une date de revue, car le risque évolue et un registre non réexaminé devient obsolète.
Pourquoi les mauvaises réponses échouent
Le corriger vous-même sur-le-champ paraît proactif mais contourne la responsabilité, la priorisation et la traçabilité — et la correction ne vous revient peut-être pas, ou n'est pas l'usage le plus utile de l'effort. L'ignorer jusqu'à ce qu'il devienne un incident est la définition même de la négligence ; tout l'intérêt de la gestion des risques est d'agir avant l'événement de perte. L'envoyer par e-mail à tout le monde et passer à autre chose diffuse le problème mais ne l'attribue à personne ; une responsabilité diluée signifie que rien n'est réellement fait, et qu'aucune trace de décision n'existe.
Le jugement évalué
L'intervieweur veut voir que vous comprenez que la gouvernance relève de la responsabilité et de la traçabilité, pas de l'héroïsme. Une bonne réponse nomme correctement les quatre options de traitement, distingue le propriétaire du risque de celui qui l'a découvert, et reconnaît que même « accepter » est une décision légitime et documentée lorsqu'elle est prise par une personne ayant l'autorité d'assumer le risque résiduel. Le registre n'est pas de la bureaucratie pour elle-même — c'est la manière dont une organisation prouve qu'elle connaissait un risque, a décidé quoi faire et a assuré le suivi.
Questions de suivi probables
- Qui devrait être propriétaire d'un risque — la personne qui l'a trouvé ou quelqu'un d'autre, et pourquoi ?
- Quand « accepter » est-il un traitement légitime, et qu'est-ce qui rend une acceptation de risque valide ?
- Comment priorisez-vous un nouveau risque par rapport à tout ce qui figure déjà au registre ?