En septembre 2017, le Comité des organisations de parrainage (COSO)
de la Commission Treadway a publié un cadre de gestion des risques d'entreprise (GRE) mis à jour, intitulé « Gestion des risques d'entreprise - Intégration à la stratégie et à la performance », pour aider les chefs d'entreprise à comprendre et à hiérarchiser les risques qu'ils les organisations sont confrontées et mesurent l'impact de ces risques sur les performances de l'entreprise. Le cadre COSO ERM 2017 s'appuie sur les bases solides du document précédent, publié en 2004, et intègre mieux la relation entre les risques, la stratégie et la performance. Chaque élément influence les deux autres, et essayer de gérer chacun séparément, c'est comme essayer de ramasser une barre de savon avec les mains mouillées: chaque fois que vous pensez avoir une poignée dessus, elle vous échappe. Sur une note plus sérieuse, le COSO ERM souligne également la relation entre le risque et la valeur. Il élève la discussion sur la stratégie et le risque, en examinant la possibilité que la stratégie et les objectifs commerciaux ne soient pas en parfaite adéquation avec la mission, la vision et les valeurs de l'organisation. Il permet de mieux comprendre les implications des diverses stratégies envisagées par la direction et les risques qui découlent de l'exécution d'une stratégie choisie. La mise à jour du COSO ERM a été conçue pour aider les organisations à faire face aux risques qui ont augmenté en volatilité et en complexité face à des pressions réglementaires accrues . Le cadre est conçu pour être utilisable par des entités de toutes tailles, quel que soit leur secteur d'activité ou leur situation géographique. Comme l'a souligné le résumé du COSO , l'adoption du cadre permet au conseil et à la direction de «mieux comprendre comment la prise en compte explicite du risque peut avoir un impact sur le choix de la stratégie». Le cadre COSO GRE se compose de 20 principes qui sont regroupés pour soutenir l'un des cinq éléments suivants: gouvernance et culture; stratégie et définition des objectifs; performance; examen et révision; et information, communication et rapports. Les composants et leurs principes sous-jacents forment une lentille simple mais efficace avec laquelle le conseil d'administration et la haute direction peuvent évaluer leur capacité à lier clairement stratégie, performance et risques. En tant qu'avantage supplémentaire d'une vision claire et d'un engagement fort, les organisations sont également susceptibles d'améliorer leurs capacités de résilience et leur capacité à voir les problèmes et à prendre le meilleur plan d'action pour les contourner - ou peut-être les traverser. Selon le résumé analytique du cadre, «la gestion des risques d'entreprise permet aux organisations d'anticiper les risques qui pourraient affecter les performances et de mettre en place les actions nécessaires pour minimiser les perturbations et maximiser les opportunités.» En liant fortement la stratégie, la performance et la gestion des risques, le cadre COSO ERM fournit une feuille de route pour les administrateurs et les hauts dirigeants afin d'améliorer leur engagement en veillant à ce que l'entreprise offre une valeur continue face à des risques nouveaux et en évolution rapide. Le document est écrit pour les chefs d'entreprise et non pour les experts en cybersécurité, mais chaque énoncé du mot «risque» peut être remplacé par «cyber-risques» et a un sens parfait pour les chefs d'entreprise et les directeurs de la sécurité de l'information (RSSI) . Un rapide coup d'œil sur les 20 principes confirme la forte pertinence de la GRE COSO pour améliorer la gestion et la surveillance des risques de cybersécurité, y compris la culture souhaitée, trouver et retenir les talents, définir l'appétit pour le risque, identifier et évaluer les risques, déterminer les options risque, culture et performance. Le cadre souligne spécifiquement la nécessité de veiller à ce que le conseil d'administration dispose de l'expertise appropriée ou d'un accès à une expertise externe pour assurer une surveillance efficace des cyberrisques. Un principe supplémentaire qui se démarque est l'accent mis sur l'amélioration continue appliquée au processus GRE lui-même.
