Beruflich Dokumente
Kultur Dokumente
STRATEGIES
LIVRE BLANC
Prpar pour :
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
Au cours de la dernire dcennie, nous avons observ un nombre important de dfaillances au sein de grandes entreprises dans divers pays travers le monde. Certaines de ces dfaillances ont t le fait de mauvaises pratiques de gestion (galement connues sous le nom de gouvernance). Cela s est traduit par de nouvelles lois et rglementations de conformit qui ont t mises en place pour tenter d obliger les entreprises rhausser la barre en termes de qualit de processus ou de pratiques. Ces dernires annes, c est l effondrement de tout le secteur des services financiers qui a beaucoup attir l attention. Dans ce cas-l, la plupart des banques se sont effondres du fait de mauvaises pratiques dans la gestion des risques de crdit. Prter de l argent des clients haut risque sur le march hypothcaire des prts a finalement abouti ce que bon nombre de ces clients ne soient pas en mesure de payer leurs hypothques. En consquence, de nombreuses banques se sont effondres ou ont t reprises par les gouvernements ou par d autres banques. Aprs ces retombes, les proccupations des entreprises se sont concentres autour de trois domaines troitement lis : La gouvernance d entreprise La gestion des risques La conformit dans l entreprise
Ensemble, ils sont connus sous l appellation Gouvernance, Risques et Conformit (GRC). Wikipdia fournit un excellent schma (voir Figure 1) de ces trois domaines et de la faon dont ils s intgrent. Il montre galement que la combinaison de la stratgie, des ressources humaines, des processus et de la technologie est ncessaire pour contrler le problme de Gouvernance, Risques et Conformit.
Les socits ont besoin d une stratgie de Gouvernance, Risques et Conformit pour les aider grer leur activit.
Source: Wikipedia
Figure 1
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
La gouvernance concerne la responsabilit et le contrle
La gouvernance est le terme qui dcrit la gestion et le contrle de toute une organisation de manire globale. Elle exige d utiliser davantage de structures de contrle des informations de l entreprise, impliquant responsabilit et approbation. La gouvernance ncessite galement la normalisation et l intgration des processus d activit, ainsi qu une meilleure gestion de l information, rendue possible grce des projets de gestion de la performance ou de business intelligence. La gestion des risques est l ensemble des processus permettant d identifier, d analyser, et surtout d viter les risques qui pourraient empcher une organisation d atteindre ses objectifs commerciaux. Il s agit galement d tre en mesure de dtecter rapidement les risques qui surviennent et d y rpondre en temps opportun afin de minimiser l impact de ces vnements risque sur l activit dans son ensemble. Le non-respect de la lgislation, la non-conformit aux rglementations et l exposition aux risques de crdit sont les principaux risques dont traitent les domaines de Gouvernance, Risques et Conformit. La conformit consiste se conformer aux exigences prescrites. Ces exigences peuvent tre spcifies dans la lgislation (la loi amricaine Sarbanes-Oxley Act par exemple), les rglementations de l industrie (la rglementation Solvency II pour l industrie de l assurance, par exemple) voire dans les politiques d entreprise. Une analyse de l activit est ncessaire pour identifier les exigences de conformit, valuer l tat de conformit actuel de l organisation, et valuer les risques et les cots potentiels de la non-conformit vs les cots d une mise en conformit. La mise en conformit peut entraner des changements dans les processus d activit, le reporting, la surveillance des vnements et des incidences, ainsi que la rpartition des responsabilits au sein de l organisation. Une initiative de GRC est par essence clairement dpendante des donnes de l entreprise. Les donnes sont en effet ncessaires pour grer une entreprise, grer les risques et aider une entreprise rester en conformit. Les donnes elles-mmes doivent tre gouvernes de faon rester correctes, compltes, fiables et clairement interprtes. Sans cela, une initiative de Gouvernance, Risques et Conformit ne peut pas tre construite sur des bases solides. Dans un contexte de risques, les donnes doivent tre scuriss, leur accs doit tre contrl et les donnes sensibles masques pour le respect de la confidentialit. Dans un contexte de conformit, les donnes et les politiques concernant les donnes doivent tre dfinies, maintenues, contrles et doivent tre vrifiables par le biais de processus normaliss.
La quantit croissante des lgislations et de rglementations a amen beaucoup de socits se soucier de la conformit.
Les socits ont besoin d une stratgie de Gouvernance, Risques et Conformit. Les ressources humaines, les processus et la technologie sont ncessaires pour mettre en oeuvre la stratgie de Gouvernance, Risques et Conformit.
En analysant la figure 1, on remarque qu une approche de Gouvernance, Risques et Conformit intgre, globale et chelle de l entreprise est ncessaire. Et c est l alliance d une stratgie efficace, de ressources humaines impliques, de processus standardiss et de technologies performantes qui permet de tendre vers cet objectif. tant donn que la capacit d une entreprise mettre en uvre sa stratgie de Gouvernance, Risques et Conformit dpend des donnes, nous devons galement appliquer la stratgie, les ressources humaines, les processus et la technologie aux donnes pour obtenir une base juste et fiable de Gouvernance, Risques et Conformit. Dans ce deuxime livre de la srie Gouvernance, Risques et Conformit, nous examinerons comment la gestion des donnes peut aider les entreprises diminuer les risques, et comment cette stratgie de Gouvernance, Risques et Conformit s inscrit dans une perspective commerciale. Le troisime et dernier livre de la srie examinera comment la conformit s applique aux donnes.
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
La gestion des risques d entreprise est une composante cl de toute initiative de Gouvernance, Risques et Conformit.
En novembre 2007, Standard and Poors (S&P) a officiellement suggr la mise en place d un nouvel outil d analyse de la gestion des risques en entreprise. Leur intention tait d instaurer un dispositif de Gestion des Risques en Entreprise (GRE) permettant de noter les entreprises non financires, paralllement aux mcanismes de notation dj existants mais uniquement destins valuer la gestion des risques dans les institutions financires. Au final, le dispositif imagin pouvait s appliquer aussi bien aux institutions financires qu aux institutions non financires. Ce qui permettait d en faire un dispositif global, apportant un clairage sur la gestion des risques dans tous les secteurs de l industrie. Depuis, S&P a cr ses propres dispositifs de gestion d valuation des risques, qui peuvent clairement avoir un impact ngatif sur le prix des actions d une entreprise si celle-ci n est pas bien note sur cette notion critique qu est la gestion des risques. Notez que la GRE reprsente le R dans Gouvernance, Risques et Conformit. Il ne s agit donc pas d une notion autonome : les risques doivent tre vits afin de rester en conformit, et les programmes de gestion de la performance doivent prendre en compte les risques. La question la plus vidente dans la gestion des risques d entreprise est la suivante : votre socit a-t-elle dress un inventaire de tous les risques majeurs susceptibles d influer sur sa capacit rester solvable et traiter en toute confiance ? Pouvez-vous prendre facilement connaissance des risques que la socit a identifis, l impact commercial possible de ces risques et les moyens mis en uvre pour les grer ? Il existe de nombreux types de risques diffrents. S&P a propos le classement suivant dans son document de 2007 :
Risques environnementaux Continuit d affaires Conjoncture commerciale Environnemental Procs en responsabilit Catastrophes naturelles/Mto Pandmie Dommages physiques Risque politique Rglementaire/Lgislatif Risques financiers Disponibilit en capital Crdit/Contrepartie Risque des marchs financiers Inflation Taux d intrt Liquidit Risques d approvisionnement Prix des produits Chane d approvisionnement Risques de gestion Gouvernance d entreprise Protection des donnes Sant et scurit des employs Proprit intellectuelle Conflits Pnurie de main-d uvre qualifie Administration et gestion/Restructuration Complexit de gestion Problmes de sous-traitance
Un inventaire de tous les risques importants et de leur impact sur l activit est fondamental.
Source : Standard and Poors Vous pourriez facilement prendre cette catgorisation leve des risques un niveau beaucoup plus bas. Par exemple, le risque concernant la scurit des donnes peut tre dcompos en confidentialit des donnes, accs scuris aux donnes, possibilit de rcupration des donnes et donnes errones. Quels que soient les risques auxquels vous tes confronts, ils doivent tre documents. Cependant, la GRE va beaucoup plus loin que cela. L annonce faite en 2007 par S&P tait clairement destine permettre de comprendre et d valuer la gestion des risques dans les socits publiques cotes.
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques Le document Gestion des Risques d Entreprises de S&P comprend les notions suivantes :
Des indicateurs cls de risques sont utiliss pour mesurer le succs d un programme de gestion des risques.
Culture de gestion des risques et gouvernance Contrles des risques Risques mergents Gestion des risques stratgiques
La culture de gestion des risques et la gouvernance sont relatives la mise en place d un programme de GRE. Ce programme doit comprendre une vision de la gestion des risques, une position claire sur les mesures appliquer vis--vis des risques et sur la tolrance aux risques, l identification des personnels chargs de la gestion des risques et ceux chargs de la mise en place de rapports de gestion des risques destins aux dirigeants et aux audits. Il doit galement inclure des dtails sur la faon dont l entreprise mesure le succs de son programme de gestion des risques en utilisant les indicateurs cls de risques (ICR). En outre, il doit indiquer comment ces ICR affectent la rmunration des dirigeants et comment la gestion des risques intgre la gestion de performance de l entreprise et la budgtisation. Ce dernier point est connu sous le nom de gestion du rendement pilote par les risques. Le contrle des risques est associ la faon dont l entreprise identifie et contrle chaque risque majeur. Pour diminuer les risques, les entreprises doivent comprendre quels sont les risques principaux, quelles sont les limites pour chaque risque majeur et quels contrles peuvent tre mis en place pour respecter ces limites. Ces contrles peuvent prendre la forme de processus d approbation ou de poids et contrepoids, qui sont en ralit des moyens mettant en relation les risques pour mieux les contrler. Les ICR permettent gnralement de surveiller et de contrler les risques majeurs. Il est galement ncessaire de fixer des seuils d ICR afin de s assurer que les limites de risques sont connues et ne sont pas franchies. La gestion des risques doit tre intgre dans les processus de l activit et la comprhension du risque doit tre partage avec les cadres dirigeants. Si les risques surviennent, il doit y avoir un processus pour grer les pertes ainsi que les changements apporter aux procdures GRE, et ce, afin d viter qu une mme perte ne se reproduise. Ces changements doivent eux aussi tre contrls et vrifiables. Les risques mergents sont relatifs aux processus et procdures qu une entreprise a mis en place pour diminuer les risques et se prparer une catastrophe. Il peut y avoir plusieurs catastrophes potentielles dfinies, chacune ayant son propre degr de gravit. Les entreprises doivent identifier et classer les catastrophes par ordre d importance, valuer l impact de chacune d elles et mettre en place les plans d urgence ncessaires pour tre en mesure d y rpondre rapidement. Une entreprise doit notamment comprendre l impact des risques sur ses liquidits et disposer de pratiques de gestion du risque de liquidit pour le contrler. Dans ce sens, une entreprise a besoin de surveiller les vnements externes ou internes et les tendances pour anticiper l mergence desdites catastrophes. La gestion des risques stratgiques implique l laboration de plans stratgiques devant inclure une analyse de risque/performance lors de l allocation des ressources. Cela implique galement de tenir compte du risque lors de la prise de dcisions stratgiques, du pricing ou encore de l valuation de la performance. Ce n est pas par hasard si la gestion des risques est considre comme le revers de la gestion de la performance en matire de prise de dcisions stratgiques. On appelle parfois cela la Gestion de la Performance d Entreprise corrige du risque, o les tableaux de bord GPE de niveaux stratgiques comprennent la fois des indicateurs-cls de performance (ICP) et des indicateurs-cls de risques (ICR). Il devrait tre possible de voir un aperu des risques sur un tableau de bord GPE 6
Le contrle des risques permet d empcher l occurrence de risques importants. Les seuils d ICR permettent aux socits de dclencher des actions pour rduire au minimum l impact d un risque sur l activit quand les niveaux de tolrance sont dpasss.
Il est important d avoir des procdures testes et en place pour grer les catastrophes.
La gestion de la performance d entreprise ajuste aux risques est importante pour s assurer que le risque est bien pris en compte lors de la prise de dcisions stratgiques.
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques dtaillant bien les risques pris en charge. Simplement parce que la gestion des risques concerne les dcisions financires et qu elle doit tre prise en compte. Compte tenu de cette dfinition de la gestion du risque d entreprise, il est vident que le succs de sa mise en uvre dpend des donnes. Pour que la GRE fonctionne bien, ces donnes doivent tre fiables et scurises. Comprendre que la question des donnes est associe la gestion des risques est donc important, car ces questions peuvent augmenter la possibilit d occurrence de risques ayant un impact prjudiciable sur l activit de l entreprise.
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
En ce qui concerne la gestion des risques, un certain nombre de questions sur les risques lis aux donnes doivent tre traites dans le cadre d un programme de Gouvernance, Risques et Conformit. Cela permet d viter les problmes de donnes engendrant des risques. Les problmes de donnes sont gnralement lis : La qualit des donnes La confidentialit des donnes Le contrle non autoris de donnes La synchronisation de donnes La rcupration de donnes
Autre exemple dans le secteur de l industrie, des donnes de commande incompltes et/ou imprcises peuvent causer des erreurs de planning au niveau de la production. Ces facteurs ont un impact sur les programmes de production et provoquent des erreurs de fabrication, y compris des ruptures d approvisionnement ou une surproduction de produits finis. La surproduction augmente les cots en nergie et en matriaux, ce qui est l un des principaux soucis des directeurs financiers de fabrication. Ce problme peut galement tre caus par des donnes errones au niveau des stocks disponibles. Bien que l informatique ne soit pas responsable de ce que les utilisateurs professionnels entrent dans les bases de donnes et les applications, elle est nanmoins charge du maintien qualitatif de donnes exactes et compltes dans les entrepts de donnes. Des technologies de profilage et de nettoyage des donnes sont ainsi utilises pour aider identifier et nettoyer les donnes de mauvaise qualit, ou pour empcher que des donnes de mauvaise qualit n aillent au-del de l opration de saisie de donnes. En outre, il est ncessaire que les responsables mtier ou chefs de divisions surveillent la qualit des donnes de leurs propres domaines d activit pour les empcher de se dtriorer. La technologie de surveillance de la qualit des donnes peut tre utilise pour les aider dans cette tche.
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
Le fait d tre propritaire des donnes est un facteur important du contrle des donnes risque.
Une point cl toutefois, reste de savoir qui est responsable de ce qu un tiers peut voir. Par exemple, si les responsables mtier et les administrateurs de donnes l intrieur de l entreprise contrlent la qualit des donnes utilises en interne, qui est responsable des donnes fournies aux clients, aux partenaires ou aux fournisseurs ? L appropriation et la capacit considrer ses donnes d un point de vue extrieur sont galement importantes. Il est donc recommand d avoir une vision plus tendue du primtre de ses donnes et de ne pas restreindre la proprit des donnes un systme spcifique. Il est en effet beaucoup plus efficace d associer la proprit des donnes une entit de donnes de rfrence (les donnes des clients, par exemple) ou un type de transaction (les commandes, par exemple), car ce type de proprit est l chelle de l entreprise.
Les donnes sensibles et confidentielles ont besoin d tre protges contre les violations de confidentialit.
Il est important de masquer les donnes sensibles dans des environnements d essai et de production. Les copies superflues de donnes sensibles ou confidentielles doivent galement tre prises en compte.
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques et des mcanismes d autorisation communs (l annuaire d entreprise LDAP, par exemple), elles sont encore dans un statut hybride avec une authentification et un paysage d autorisation complexe. Ce type de complexit laisse la porte ouverte aux violations de la scurit d accs aux donnes.
Un mcanisme commun d authentification et d autorisation a simplifi la gestion de la scurit d accs aux donnes.
Toutes sortes de risques peuvent provenir de ces types d infractions et notamment la fraude, les retards dans les processus dus aux dfauts de donnes, les augmentations imprvues des cots d exploitation et le mcontentement des clients.
Les erreurs dans la synchronisation des donnes augmentent le risque des retards de processus, des cots d exploitation non prvus et de mcontentement des clients.
tre en mesure de conserver ou de rcuprer les donnes de rfrence ou de transaction, quel que soit leur emplacement dans l entreprise, rduirait les risques de manire significative.
10
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
Dans la prcdente section, nous avons identifi les diffrents types de risques lis aux donnes. Afin de rduire l occurrence de tels risques, des projets de gouvernance et de gestion des donnes peuvent tre envisags. Nous avons dj abord la mise en uvre la gouvernance des donnes dans le premier Livre blanc1 de cette srie Gouvernance, Risques et Conformit. Dans ce livre-ci, nous allons plus particulirement examiner la faon dont les personnes, les processus et les technologies de gestion des donnes peuvent servir identifier et grer les donnes risque.
Une mthodologie de prvention des risques et une procdure teste de mise jour du risque crent une relation de confiance.
La gestion des risques lis aux donnes fait indiscutablement partie de la gestion des risques d entreprise (GRE), qui son tour est un lment cl de la stratgie de Gouvernance, Risques et Conformit (GRC). Intgrer une initiative GRE ou GRC est donc un moyen de prendre conscience de l importance de la gestion des donnes. La conscience gnre l intrt, mais rendre les gens responsables implique les notions d appropriation et de contrle. Appliquer une mthodologie de prvention des risques qui permette d identifier et de classer les risques lis aux donnes, ainsi que des procdures prouves de mise jour des risques, cre une relation de confiance. Cela permet galement de fournir les garde-fous ncessaires pour maintenir sous contrle les risques lis aux donnes. Il est galement important de reconnatre que la menace interne est relle et dangereuse quand il s agit de violations de donnes. En intgrant la gestion de l enregistrement des emails, la dcouverte lectronique (e-discovery) et la vrifiabilit des procdures de gestion des risques, il devient possible d instaurer un climat de confiance au sein de l entreprise ainsi qu un environnement de donnes bien gr. Cela encourage galement l autodiscipline. Mettre en place un conseil de gouvernance de donnes 2 qui gre aussi la protection des donnes va clairement dans ce sens.
Afin de grer les donnes risque, il est ncessaire de dfinir au pralable les donnes de rfrence et de transaction utilises dans l entreprise, puis de mettre en vidence les lments risque de ces donnes. Nous avons vu dans le Livre blanc de gouvernance des donnes 3 de cette srie que cela se traduit par la cration d un vocabulaire mtier partag (VMP) des noms et dfinitions communes pour les donnes, incluant les contraintes d intgrit des donnes. Le VMP se construit comme une vritable compilation d entits spcifiques des donnes de rfrence et de donnes de transaction.
Gouvernance, Risques et Conformit - Le rle de la gouvernance des donnes dans la stratgie de Gouvernance, Risques et Conformit
1,2,3
11
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques Une fois que les donnes de rfrence et de transaction ont t dfinies au sein du VMP, il est donc ncessaire d identifier les donnes dans le VMP considrs comme tant risque . Les donnes risque peuvent alors tre associes des menaces indiquant les dangers potentiels. Le tableau ci-dessous montre les types de donnes risque et menaces associes :
Donnes risque
Les donnes risque peuvent tre associes des menaces
Donnes saisies manuellement Donnes considres comme sensibles ou confidentielles Donnes considres comme d accs restreint Donnes utilises dans des applications multiples Donnes considres comme essentielles l activit de l entreprise et la prise de dcision
Risques potentiels des donnes (menaces) Dfauts de qualit des donnes Violation de la confidentialit des donnes Accs non autoris Erreurs de synchronisation chec de correction
Par exemple, les donnes clients peuvent tre considres comme sensibles et donc potentiellement risque en termes de violation de la confidentialit des donnes ou d accs non autoris. De la mme faon, les donnes concernant les employs tels que les numros de scurit sociale ou les salaires peuvent tre considrs comme confidentiels. Il peut galement arriver que des donnes clients puissent tre de mauvaise qualit du fait d erreurs de saisie en interne, par les clients eux-mmes ou encore par des partenaires sur Internet.
Comprendre l impact des risques donne une priorit aux efforts de la gestion des risques.
Il est galement important de comprendre l impact des risques lis aux donnes sur l activit. Par exemple, l impact est-il financier ? Est-il oprationnel - et, si oui, quelles sont les ressources ncessaires pour rsoudre le problme ? Dbouche-t-il sur des infractions la conformit rglementaire ou a-t-il un impact sur la marque de l entreprise et sa rputation ?
Ces politiques doivent tre dfinies pour chaque donne risque afin que les risques lis aux donnes puissent tre grs.
Ces politiques peuvent galement tre dlimites par un primtre de restriction visant limiter la gestion des risques une application spcifique utilise dans une activit donne, ou des personnes se trouvant dans un secteur bien particulier de l organisation. Toutefois, si les donnes couvrent plusieurs units et systmes de l organisation, des politiques communes toute l entreprise doivent tre appliques.
12
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
Aprs avoir identifi dans le VMP les donnes considres risque et dfini les politiques appliquer afin de rduire les risques lis aux donnes, le prochain dfi consiste dterminer l emplacement exact de ces donnes dans l entreprise. Cela comprend l identification de toutes les donnes redondantes, qu elles se situent au niveau des systmes de production ou des systmes de tests. Cela s avre ncessaire, car si nous ignorons o se trouvent ces donnes, nous ne pouvons pas liminer l occurrence des risques lis aux donnes. Nous devons localiser les donnes, puis en tablir la carte dans le VMP afin de dterminer : Quelle est la qualit des donnes ? Est-ce que la confidentialit des donnes est applique sur des donnes confidentielles et sensibles ? L accs autoris aux lments de donnes restreints est-il respect dans toute l entreprise ? La synchronisation de donnes fonctionne-t-elle sur tous les systmes o la donne est utilise, et est-elle effective ? Les donnes critiques peuvent-elles tre corriges dans tous les systmes qui les utilisent ?
Nous avons galement besoin de savoir quel volume de donnes nous grons au sein de chaque systme.
La technologie de dcouverte des donnes permet de localiser rapidement les donnes risque.
Le point cl ici est la ncessit de mettre en place des initiatives de dcouverte de donnes et de raliser un mapping du VMP afin de localiser les donnes risque dans toute l entreprise. Cette tche peut tre ralise manuellement ou automatiquement. Si elle est faite manuellement, la tche de dcouverte prendra du temps et sera trs coteuse. Par consquent, les plates-formes de gestion de donnes qui incluent un outil de dcouverte automatique pour localiser les donnes et les relations entre les donnes travers plusieurs systmes de l entreprise offrent un avantage certain. Par un marquage automatique des donnes rpertories au sein du VMP il devient possible pour ces outils de localiser des donnes signales dans le VMP comme tant sensibles, confidentielles ou essentielles pour l activit - et de dterminer si les politiques relatives la qualit des donnes sont respectes.
13
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
La premire politique appliquer concerne les donnes risque qui ont dj t identifies au sein de l organisation. Cela implique de partager les mtadonnes entre les diffrents outils d une plate-forme de gestion des donnes qui aura t mise en place. La figure 2 reprsente une plate-forme de gestion de donnes, telle que prsente dans un autre livre blanc de cette srie Gouvernance, Risques et Conformit, traitant de la gouvernance des donnes4. A noter que des outils supplmentaires de gestion des donnes ont t ajouts en plus de ceux dj mentionns dans le premier document. Il s agit notamment d un outil de masquage des donnes confidentielles, d un outil de sauvegarde et de correction des donnes et d un outil de gestion de la scurit des donnes pour grer les autorisations sur plusieurs systmes. Les outils ncessaires pour appliquer la politique aux donnes risque sont indiqus en rouge.
Using The Enterprise Data Management Platform For Data Risk Management
La plate-forme de gestion des donnes est une suite d outils qui accdent des mtadonnes partages
Business Glossary Tool
Data Governance / Management Console Data & Metadata Relationship Discovery Tools Data Quality Profiling & Monitoring Tools Data Cleansing & Matching Tools Data Privacy Masking Tool
Data Backup and Recovery Tool
A shared business vocabulary is defined and documented using a business glossary tool. Also, approval processes can be created here.
shared metadata
Figure 2 La cl de la russite d un tel projet rside dans le partage des mtadonnes entre l outil de dcouverte des donnes et les outils de gestion des donnes mis en vidence dans la plate-forme.
La dcouverte automatise de donnes permet de trouver des entits compltes de donnes travers des systmes htrognes
La dcouverte automatise de donnes permet de trouver des entits compltes de donnes travers des systmes htrognes. Cela implique par exemple l identification de toutes les donnes client et les relations entre ces donnes au sein de l entreprise, et ce, peu importe leur localisation. Ce phnomne est illustr sur la figure 3.
Gouvernance, Risques et Conformit - Le rle de la gouvernance des donnes dans la stratgie de Gouvernance, Risques et Conformit
4
14
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
Automated Data Discovery Seeks To Find Complete Business Data Entities Across Heterogeneous Systems
Customer
Figure 3
Cela signifie qu il devient possible de savoir o se trouvent toutes les donnes risque
En trouvant des pools complets de donnes (un client, un produit ou une commande, par exemple), il devient possible de grer les risques au niveau de l entit, indpendamment de l endroit o se trouvent les donnes. Si l on prend l exemple d un ensemble de donnes correspondant un client, il devient possible de grer la qualit, la confidentialit, la sauvegarde, la scurit d accs, la correction et la synchronisation des donnes de ce client. Grce la localisation des donnes par la technique de dcouverte des donnes et l tablissement des correspondances sur un VMP, il devient possible d identifier les politiques de gestion des risques de donnes (qualit, confidentialit, accs scuris, etc.) qui sont relatives un pool de donnes en particulier. Par consquent, en partageant les mtadonnes gnres pendant la dcouverte des donnes avec d autres outils de gestion de donnes, il devient possible d appliquer des politiques dj dfinies pour grer les risques lis aux donnes. C est ce que nous retrouvons sur la figure 4. Afin de prvenir les risques lis la qualit des donnes, les mtadonnes de mauvaise qualit peuvent tre traites avec des outils de gestion de la qualit des donnes pour les rendre fiables. De mme, afin de prvenir les infractions la confidentialit des donnes, les mtadonnes sensibles et confidentielles peuvent tre protges avec des outils spcifiques, permettant de masquer ces donnes dans les systmes o elles se trouvent et de grer la production de pools de donnes test. Il devient galement possible de sauvegarder des pools complets de donnes, indpendamment de leur localisation, tout simplement parce que la dcouverte des donnes a permis d identifier tous les lments des donnes et leur environnement parmi les systmes htrognes de l entreprise.
En partageant la localisation de toutes les donnes risque avec d autres outils de gestion des donnes, il devient possible d appliquer aux donnes les politiques de gestion des risques dans l entreprise.
15
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
Using Automated Data Discovery And Data Management Tools To Mitigate Data Risks
Prevent data defects by automating data quality assessment and data cleansing of discovered at-risk data Data Discovery Tool Data Profiling Tool Data Cleansing Tool customer
metadata
Prevent data privacy breaches by masking Data Privacy Tool discovered sensitive/ confidential data & generating test data Backup and Recovery Tool
metadata
Prevent data access security violations by managing authorised access to complete data entities across the enterprise
Copyright Intelligent Business Strategies, 2010
Figure 4
Une fois la source identifie, il est ncessaire d apporter des modifications au niveau des procdures pour aider diminuer les risques l avenir. Il pourrait mme tre justifi de prendre une assurance contre un risque li aux donnes, si le cot de remise niveau ou de correction s avre lev. Par exemple, il peut tre ncessaire de modifier les procdures afin d introduire des options de confidentialit et de nettoyage des donnes, si les donnes sont saisies au clavier ou sur la base d vnements. Un conseil de scurit des informations, impliquant un processus formel d approbation, peut galement tre mis en place pour rgir la scurit d accs aux donnes et la lier des contrles internes.
La dernire tape dans la prvention des risques lis aux donnes consiste surveiller et contrler les risques.. Ce qui implique la mise en place d indicateurs de risque mettant en vidence leur frquence et leur gravit. Des rapports de gestion de risques et des tableaux de bord graphiques sont ncessaires pour permettre aux personnes dsignes comme responsables de surveiller les risques dans leurs domaines respectifs. Ces fonctions de suivi des risques pourront tre intgres aux rapports de surveillance de la qualit des donnes existants afin de permettre une surveillance centralise.
16
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
Les procdures de redressement doivent tre documentes, communiques largement et si possible automatises. Tester ses procdures de contrle et de redressement est un facteur cl de russite d un projet de correction et de mise jour des donnes. Cela apporte une certaine confiance et srnit aux entreprises, qui amliorent ainsi leur ractivit et rduisent au minimum l impact sur leur activit. Il est galement important de connecter des fonctionnalits comme la dcouverte lectronique dans tout processus de redressement pour tre en mesure de rcuprer toutes les communications lies pouvant avoir eu lieu avant et aprs l vnement qui s est produit.
17
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
Conclusions
Gouvernance et gestion des donnes jouent un rle crucial dans la diminution des risques.
Il ne fait aucun doute que la gouvernance et la gestion des donnes jouent un rle important dans la diminution des risques. Avant tout, une stratgie de gestion des risques et une mthodologie pour la gestion et la prvention des risques de donnes doivent tre tablies. Il est galement primordial que vous sachiez o sont vos donnes, afin d avoir en permanence la possibilit d identifier les donnes risques, de les classer et de dfinir des politiques pour grer ces risques. Etablir un vocabulaire mtier partag (VMP) est un point de dpart essentiel. L existence d un VMP vous permet de dfinir systmatiquement les donnes de rfrence et de transaction ainsi que toute politique associe de gestion des risques appliquer ces donnes. En faisant usage des outils de dcouverte des donnes dans une plate-forme de gestion des donnes, les donnes de rfrence et transactionnelles dfinies en commun peuvent tre localises dans l entreprise et stockes dans le VMP. Une fois cette tche accomplie, il est possible d obtenir une vision globale de toutes les donnes risque de l entreprise. ce stade, vous pouvez dterminer si les politiques de gestion des risques (et autres politiques de gouvernance des donnes) sont mises en application dans les systmes sous-jacents qui abritent les donnes risque identifies. Si ce n est pas le cas, il devient possible d appliquer de telles politiques, de rechercher la cause des risques et d apporter les changements ncessaires pour prvenir d autres risques. tant donn que les plates-formes logicielles de gestion de donnes fournissent une grande partie des outils pour atteindre ce rsultat, il est difficile d admettre que des entreprises n investissent pas dans de tels outils. Enfin, tablir la responsabilit et la proprit des donnes au sein de l organisation implique que des personnes seront responsables de la surveillance des risques lis aux donnes. Ceci, associ des procdures prouves de redressement du risque, doit amener au sentiment que l organisation est sous contrle et peut russir sa stratgie de gestion des risques. Le prsent article se concentre sur la gestion des risques dans un programme de Gouvernance, Risques et Conformit. Dans le prochain article de cette srie, nous aborderons le thme de la conformit.
Un vocabulaire d affaires partag vous permet de dfinir systmatiquement les donnes lmentaires, de signaler les donnes risque et de dfinir des politiques de gestion des risques.
Une plate-forme de gestion des donnes vous aide dfinir et appliquer les politiques de contrle des donnes risque dans l entreprise.
18
Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans la diminution des risques
INTELLIGENT BUSINESS
STRATEGIES
Intelligent Business Strategies 2nd Floor, Springfield House Water Lane, Wilmslow Cheshire SK9 5BG Angleterre Tlphone : (+44)-1625-520700 URL Internet : www.intelligentbusiness.biz E-mail: mferguson@intelligentbusiness.biz Srie Gouvernance, Risques et Conformit - Le rle de la gestion des donnes dans l attnuation des risques Copyright 2010 par Intelligent Business Strategies Tous droits rservs
19