En 2024, la régulation de nombreux secteurs d’activité et de pratiques a passé un cap. Le vote, l’abrogation, la mise à jour ou l’application de plusieurs lois et directives a renforcé le contrôle et minimiser la prise de risques pour les entreprises en Union européenne. Néanmoins, l’abondance des changements législatifs et des mesures d’application peut être accablante, mais elle offre également une opportunité pour les dirigeants, en particulier ceux qui s’occupent des risques et de la compliance, d’améliorer les programmes de conformité. Cet article dévoile trois bonnes pratiques pour maintenir la conformité à l’échelle mondiale et préparer la nouvelle année avec confiance et efficacité.
Au cours des 11 derniers mois, plusieurs nouvelles réglementations européennes telles que la loi allemande sur la chaîne d’approvisionnement (LkSG), la directive sur la diligence raisonnable en matière de développement durable (CSDDD) et la directive sur les rapports de développement durable (CSRD), ont ouvert la voie en imposant la diligence et la divulgation d’informations tout au long de la chaîne d’approvisionnement. Bien que ces réglementations ne concernent pas toutes les organisations, une multitude d’autres se profilent à l’horizon dans le monde entier. Les entreprises qui choisissent d’anticiper les inévitables exigences de conformité en tireront des avantages à long terme en évitant les échecs de mise en place, les amendes résultant d’une application accrue, et en protégeant leur réputation de manière proactive.
Dans cet article, nous vous partageons trois conseils pour garder une longueur d’avance et maintenir la conformité au niveau mondial :
- Procéder à une évaluation globale des risques. Pour rester en conformité, il est impératif de comprendre le type de risque encouru par votre entreprise, y compris les tiers, la technologie, les vendeurs, les fournisseurs, etc. Un suivi permanent des risques et des modifications réglementaires pour répondre à tout changement législatif permettra à votre entreprise de rester en conformité avec les exigences mondiales.
- Établir des processus cohérents et évolutifs. Une procédure standard doit être mise en place pour l’intégration et la désinsertion des employés, le déploiement de nouveaux systèmes et la mise en œuvre d’un contrôle préalable et d’une surveillance des tiers, des vendeurs et des fournisseurs. Cela permettra de se préparer aux perturbations et d’assurer la résilience de l’entreprise. Travaillez en étroite collaboration avec vos homologues des achats, des ressources humaines et des technologies de l’information pour garantir l’adoption par l’entreprise et l’utilisation efficace de ces procédures.
- Des rapports efficaces. Les données et la présentation des risques de conformité, y compris les risques spécifiques auxquels votre entreprise est confrontée et le coût potentiel des manquements à la conformité, sont importantes pour obtenir l’adhésion des membres de la direction et du conseil d’administration. La visibilité au niveau du conseil d’administration est essentielle avant qu’un incident ou un manquement à la conformité ne se produise, de même qu’une communication solide et régulière.
Pourquoi une évaluation des risques est-elle importante ?
Avant de pouvoir traiter et atténuer les risques, il faut les comprendre. La plupart des entreprises sont encore confrontées au problème du cloisonnement des risques et n’ont pas une compréhension globale de l’ensemble du profil de risque. Il faut commencer par là. Les conséquences d’une gestion non cohérente des risques sont notamment une probabilité accrue de ne pas satisfaire aux exigences réglementaires, une atteinte à la réputation et des amendes pour non-respect de la réglementation.
Si la réduction des risques est une priorité absolue, tous les risques liés à la réglementation, aux finances, à la réputation, aux tiers et aux employés doivent être pris en compte. Les responsables de la gestion des risques et de la conformité sont bien placés pour prendre l’initiative de réunir un comité interfonctionnel afin d’obtenir une compréhension complète du paysage des risques. La plupart des risques les plus urgents auxquels les organisations sont confrontées aujourd’hui peuvent être traités soit par le CCO (tiers, exigences réglementaires, chaîne d’approvisionnement, etc.), soit par le CISO (cybersécurité, risques liés aux fournisseurs, etc.).
La cohérence est essentielle
L’un des principaux écueils auxquels sont confrontées de nombreuses organisations est l’incohérence des processus et le cloisonnement des informations. Qu’il s’agisse de l’accueil et de l’intégration des employés, ou du processus d’intégration d’un nouveau fournisseur ou d’un tiers, les processus cohérents sont les bienvenus.
En ce qui concerne les risques liés aux tiers et à la chaîne d’approvisionnement, le fait de disposer de processus normalisés pour la réalisation d’un contrôle préalable et d’un suivi continu permet de minimiser les interruptions d’activité, car vos partenaires sont contrôlés et les interruptions sont moins susceptibles de vous prendre au dépourvu. Cela permet d’améliorer la résilience et de s’assurer que vos partenaires respectent les valeurs de votre organisation. Non seulement cela aidera votre entreprise à travailler avec des partenaires de confiance, mais cela répond également à de nombreuses exigences présentes dans les différents règlements de l’UE concernant les risques liés aux tiers et à la chaîne d’approvisionnement.
En ce qui concerne le risque interne, les processus d’intégration et de parcellisation garantissent que l’équipement informatique et l’accès sont correctement attribués ou révoqués, le cas échéant. Les responsables de la conformité, de l’informatique et des ressources humaines devraient tous travailler ensemble pour s’assurer que les politiques et les procédures sont comprises et attestées, que la formation est complète et que l’accès à la technologie et aux systèmes est approprié pour l’employé. Une intégration désordonnée n’augmente pas seulement le risque, mais elle entraîne également une expérience moins optimale pour l’employé.
Utiliser les données pour une narration convaincante
Toute entreprise crée une multitude de données. L’exploitation de celles-ci pour raconter une histoire convaincante reste une opportunité pour de nombreux dirigeants.
Les données doivent être présentées d’une manière qui donne un contexte et qui trouve un écho auprès de l’auditoire. Les responsables des risques, de la conformité et de la cybersécurité ne disposent généralement que de peu de temps pour faire connaître les menaces qui pèsent sur l’entreprise et obtenir l’adhésion du public, et pour ce faire, il faut savoir raconter des histoires. Utilisez des points de référence pour comparer votre entreprise à des organisations similaires, utilisez des exemples concrets de ce à quoi ressemblerait le pire des scénarios et établissez des liens avec vos partenaires pour montrer comment une stratégie interfonctionnelle d’évaluation et d’atténuation des risques permettra d’économiser du temps et des ressources à long terme.
Vous vous dites peut-être « plus facile à dire qu’à faire ». Et vous avez raison : il n’est pas nécessairement facile de justifier l’investissement dans une gestion proactive des risques. Et il peut être difficile de se débarrasser de la mentalité selon laquelle la conformité est un gouffre financier. Cependant, avec de la discipline et de la conviction cela reste possible. Le fait que l’environnement réglementaire actuel soit truffé d’exemples d’application coûteuse de la réglementation en cas de non-conformité n’est pas non plus un mal.
Le discours devrait également inclure le personnel afin de contribuer à l’émergence d’une culture consciente des risques, ancrée dans l’éthique et la conformité. Une communication régulière, une formation convaincante, des valeurs mises en pratique de manière cohérente et la responsabilisation sont autant d’éléments constitutifs d’une culture qui, à terme, réduira les risques auxquels votre entreprise est confrontée. Cela ne se fera pas du jour au lendemain, mais c’est un objectif qui mérite d’être poursuivi.
Réflexions finales
La complexité de l’environnement réglementaire et des risques ne va cesser de croître. Il est avéré que le monde est bien trop complexe pour gérer les risques et la conformité manuellement et/ou séparément. Pour les organisations opérant à l’échelle globale, la situation est d’autant plus compliquée que les réglementations varient d’un pays à l’autre. Il est donc indispensable de disposer de systèmes interconnectés pour évaluer et atténuer les risques si l’on veut être à la pointe (ou même suivre le rythme) des changements.
Si vous êtes à la recherche d’une meilleure façon de gérer les risques au sein de votre organisation, nous disposons des ressources nécessaires pour vous aider à atteindre vos objectifs. NAVEX peut aider votre organisation à construire une culture de l’éthique et de la conformité, qu’il s’agisse de la diligence raisonnable et du contrôle par des tiers, de la gestion des politiques et des procédures ou des systèmes de rapports internes.
