Créée en 2021, l’Autorité gouvernementale numérique d’Arabie saoudite constitue un saut qualitatif vers l’amélioration des performances numériques au sein des agences gouvernementales, l’amélioration de la qualité des services fournis et l’amélioration de l’expérience des clients avec les agences gouvernementales, conformément à la vision ambitieuse du Royaume pour 2030.
L’un des domaines que la Digital Government Authority (DGA) surveille et supervise est le risque, définissant les exigences réglementaires en matière de gestion des risques pour toutes les entités gouvernementales du Royaume qui fournissent des services numériques. Trois experts d’ECOVIS Al Sabti – Arif Siddique, Junaid Ahmed et Wasif Shahzad – expliquent quelles sont ces exigences et comment les entités gouvernementales peuvent s’y conformer.
Les lignes directrices en matière de gestion des risques
La DGA a publié les « Directives de gestion des risques pour le gouvernement numérique » et les « Contrôles de gestion des risques pour le gouvernement numérique » pour servir de référence et d’orientation aux entités gouvernementales pour les aider à se conformer aux contrôles réglementaires et à mettre en œuvre des initiatives de gestion des risques pour améliorer leurs pratiques de gestion des risques. .
Qui doit se conformer ?
Toutes les entités gouvernementales qui proposent des services et des produits via des plateformes numériques, quels que soient leur type, leur taille ou leur nature.
Qui est responsable ?
Le comité directeur des agences gouvernementales est chargé de garantir l’efficacité de leur programme de gestion des risques et la mesure dans laquelle ils atteignent leurs objectifs de gestion des risques définis.
Qui évaluera ?
La DGA évaluera et mesurera dans quelle mesure les agences gouvernementales s’engagent à appliquer ces contrôles réglementaires conformément au mécanisme approuvé par l’autorité.
Lors de la mise en œuvre des exigences réglementaires, cinq facteurs clés doivent être pris en compte pour garantir le succès ainsi qu’un changement et une conformité durables :
1) Facteurs critiques de succès
La DGA définit au total 17 facteurs critiques de succès qui aideront les entités à garantir une contribution efficace à leur gestion des risques.
- Intégrer la gestion des risques dans toutes les activités
- Prise de décision basée sur les risques et priorisation des plans de traitement
- Améliorer la transparence
- Renforcez le service de gestion des risques
- Assurer l’engagement des dirigeants
- Activer les comités des risques
- Organiser la gestion des risques
- Évaluer les risques internes et externes
- Développer une méthodologie de gestion des risques
- Favoriser une culture de sensibilisation aux risques
- Impliquer les parties prenantes dans la prise de décision
- Faire progresser la maturité en matière de gestion des risques
- Créer un cadre
- Nommer des représentants des risques
- Développer des programmes de sensibilisation
- Adopter les normes internationales
- Automatisez les processus de gestion des risques
2) Cadres et normes internationaux
La DGA suggère de suivre les normes internationales pour la gestion des risques, en mentionnant spécifiquement ISO 2018 :31000, le cadre COSO ERM, la norme australienne (AS/NZS 4360 :2004) et l’Institute of Risk Management (IRM :2002).
3) Méthodologie de gestion des risques
La DGA prescrit la méthodologie de Gestion des Risques (RM) comme suit :
Gestion des risques du bâtiment
- Politique et gouvernance de RM
- Stratégie RM
- Appétit et tolérance au risque
- Cadre et procédures RM
Évaluation des risques et traitement
- Identification, évaluation et analyse des risques
- Traitement des risques
- Examen, surveillance et suivi
Formation et perfectionnement
- Formation et sensibilisation
- Suivi et amélioration
4) Étapes pour établir une gouvernance de la gestion des risques
La DGA mentionne les étapes suivantes pour établir une gouvernance de la gestion des risques :
- Comprendre le mandat et les principales responsabilités de l’entité
- Définir la matrice des rôles et responsabilités des principales parties prenantes
- Définir clairement le périmètre et les objectifs de la fonction Gestion des Risques
- Concevoir des indicateurs clés de performance (KPI)
- Adopter un mécanisme de reporting et de communication efficace
- S’aligner sur les cadres de gouvernance des autres parties prenantes
- Comprendre les besoins et les attentes des autres parties prenantes
5) Contrôles spécifiques de gestion des risques
La DGA a répertorié les contrôles spécifiques requis pour la gestion des risques et a divisé ces contrôles en trois grandes catégories :
- 18 Contrôles pour le département de gestion des risques du bâtiment
- 8 Contrôles pour l’évaluation et le traitement des risques
- 9 Contrôles pour la formation et l’amélioration de la gestion des risques
Plan d’action
Chaque entité gouvernementale engagée dans l’offre de produits et de services via des plateformes numériques est tenue d’entamer immédiatement son parcours de conformité DGA conformément à la feuille de route suivante :
La première étape devrait consister à effectuer un exercice complet d’évaluation des écarts. La deuxième étape consiste à élaborer un plan d’atténuation pour combler les lacunes identifiées. Assurer ensuite la mise en œuvre des plans d’atténuation et établir une gestion des risques conforme au sein de l’organisation. La dernière étape consiste à assurer l’amélioration continue et le suivi des évolutions réglementaires.
Le plan par étapes ci-dessus devrait inclure l’intégration des facteurs de réussite critiques spécifiés par la DGA dans les activités de gestion des risques, l’alignement de la méthodologie de gestion des risques sur les normes et cadres internationaux, le respect de la méthodologie de gestion des risques prescrite et la garantie de la mise en œuvre de contrôles spécifiques de gestion des risques mandatés par la DGA, entre autres.