Gestion des risques et conformité

Dans le sillage de la crise financière, la gestion des risques de l’entreprise est une discipline qui évolue rapidement et qui place les valeurs éthiques au cœur de son approche de la gestion des risques. Le concept de gestion des risques de l’entreprise (ERM) permet d’élever la gestion des risques à un niveau tactique et stratégique et de la faire passer à ce niveau supérieur en l’intégrant pleinement à la stratégie, en commençant par le sommet de l’organisation. Sources : 18,21,7]

Il n’est pas acceptable de perdre la fonction de conformité dans une activité qui est devenue aussi complexe que la gestion des risques. La conformité est en quelque sorte une exigence qui est liée à la gestion des risques de l’entreprise et qui ne doit pas compromettre l’entreprise. Elle établit des politiques, des processus, des contrôles et des rapports pour imposer le comportement souhaité et, si nécessaire, pour démontrer que l’organisation est en conformité. [Sources : 0,19,16]

Étant donné que l’éthique, la conformité et le risque touchent tant de domaines de l’entreprise, les organisations devraient envisager d’inclure les évaluations des risques liés à l’éthique et à la conformité dans les processus de gestion des risques existants, lorsque cela est possible. Cette discussion ira au-delà de la conformité et de l’éthique et couvrira la gestion des risques, la gestion des risques et la gouvernance d’entreprise dans un sens plus large. [Sources : 18,3]

La distinction entre la conformité et la gestion des risques peut être quelque peu difficile, d’autant plus que ces deux instruments visent à lutter contre les dommages structurels et à respecter la loi. La technologie idéale de gestion de la conformité et des risques couvre ces deux sujets, mais aussi de nombreux autres, tels que l’évaluation des risques et la conformité. Sources : 19,20]

Les équipes de direction et les gestionnaires de risques qui comprennent comment réunir les deux peuvent avoir un réel impact sur leur organisation. Les équipes de direction et les gestionnaires de risques qui comprennent comment réunir les deux peuvent influencer les efforts de l’entreprise en matière de conformité et de respect des règles dans le domaine de la gestion des risques. [Sources : 2,20]

Lors de la planification de la fonction de gestion des risques opérationnels, vous devez envisager le développement d’une application de gestion des risques dans le cadre de la stratégie globale de gestion des risques pour les activités de l’entreprise. [Sources : 9]

D’autre part, les services de gestion des risques protègent l’entreprise contre les menaces qui pourraient conduire à la non-conformité, ce qui constitue effectivement un risque. La conformité et la gestion des risques peuvent mettre en lumière des informations pertinentes sur les risques qui sont cachés dans l’entreprise. [Sources : 20,20]

D’autre part, la gestion des risques doit s’appuyer sur des analyses pour éviter les risques et déterminer ceux qui valent la peine d’être pris. En réalité, il n’y a pas de gestion des risques simple ; il faut la faire. La gestion des risques ne dépend pas des analyses pour éviter les risques, mais pour savoir s’ils sont contournés ou s’ils valent la peine d’être pris. Cela se fait en combinant l’évaluation et l’atténuation des risques ainsi que l’analyse des risques. Sources : 20,2,8]

Malgré tous les discours et les investissements consacrés à la gestion des risques, celle-ci est souvent traitée comme un problème de conformité qui peut être résolu en fixant un grand nombre de règles et en s’assurant que les employés les suivent. L’idée de cocher des cases pour la conformité ne protège pas les entreprises des nombreux dangers auxquels elles sont confrontées, quelle que soit leur position sur l’importance relative de la gestion des risques et de la conformité. Heureusement, les régulateurs, notamment dans le secteur bancaire, ont beaucoup à dire lorsqu’il s’agit de définir intelligemment les tâches de conformité et de gestion des risques. Sources : 4,17,10]

Dans la discipline de la gestion des risques, où des conditions cadres et des techniques améliorées ont vu le jour, l’évaluation du risque de performance est souvent restée en deçà de son potentiel. Après avoir travaillé sur ces conditions cadres pendant plusieurs années, les gestionnaires de risques sont maintenant passés à la gestion du risque opérationnel. Sources : 1,9]

À mesure que de nouvelles réglementations et lois sur la sécurité des données entrent en jeu, la gestion des risques de conformité et de sécurité se chevauchent. L’augmentation de la réglementation en matière de conformité et la pression exercée par les parties prenantes incitent les conseils d’administration à travailler avec diligence pour se conformer aux exigences réglementaires telles que la loi Dodd-Frank Wall Street Reform and Consumer Protection Act. Sources : 13,12]

C’est pourquoi les organisations trouvent des moyens de mieux gérer les risques de conformité, d’être plus averses aux risques – intelligentes et plus conscientes des risques d’aujourd’hui. La gestion des risques consiste à prévoir et à gérer les risques qui pourraient empêcher une organisation d’atteindre ses objectifs de manière fiable en cas d’incertitude. Il est donc important d’intégrer la gestion des risques dans une stratégie de conformité et une stratégie de sécurité afin d’aligner une stratégie de risque de manière efficace et ciblée. L’importance croissante accordée à la fiabilité et la nécessité d’une plus grande fiabilité à l’ère numérique exigent que les experts en fiabilité prennent en compte les risques associés à la fiabilité. [Sources : 5,14,6,15]

La direction comprend beaucoup mieux les risques d’une organisation et modifiera ou complétera ces risques avec chaque décision opérationnelle qu’elle prend. De nombreux auditeurs internes travaillent avec des responsables de processus qui évaluent les risques et assument la responsabilité du contrôle interne. Sources : 21,1]

Lorsque la gestion des risques est une fonction distincte, ses exigences requièrent l’attention d’un responsable des risques. L’organisation veut rester financièrement viable, ce qui signifie qu’il est préférable de se concentrer sur la conformité plutôt que sur la gestion des risques elle-même. Une culture de gestion des risques valorisante permettrait de dégager des ressources pour la conformité et de s’assurer que les risques de conformité sont correctement gérés. Certaines des tactiques de gestion des risques les plus innovantes peuvent traduire les questions de conformité requises en une proposition de valeur réussie. [Sources : 1,7,4,11]

Sources :

[0] : https://www.smartsheet.com/compliance-management
[1] : https://www.complianceweek.com/compliance-versus-erm/11484.article
[2] : https://riskonnect.com/risk-management-information-systems/compliance-vs-risk-management/
[3] : https://compliancecosmos.org/compliance-and-ethics-risk-assessments
[4] : https://www.cio.com/article/2386558/compliance-vs–risk-in-enterprise-security.html
[5] : https://accendoreliability.com/difference-risk-management-enterprise-risk-management/
[6] : https://en.wikipedia.org/wiki/Governance,_risk_management,_and_compliance
[7] : https://www.ncontracts.com/nsight-blog/risk-compliance-culture-difference
[8] : https://paladinrisk.com.au/risk-management-vs-managing-risk/
[9] : https://www.auditboard.com/blog/operational-risk-management/
[10] : https://www.navexglobal.com/blog/article/how-compliance-works-with-business-operations/
[11] : https://blog.eccouncil.org/what-is-governance-risk-management-and-compliance/
[12] : https://www.securitypursuit.com/blog/compliance-management-security-risk-management
[13] : https://www.boardeffect.com/blog/compliance-risk-management-interrelated-not/
[14] : https://www.zeguro.com/blog/enterprise-risk-management-versus-integrated-risk-management
[15] : https://techbeacon.com/security/heres-better-way-do-compliance-risk-management
[16] : https://www.continuitycentral.com/feature0243.htm
[17] : https://hbr.org/2012/06/managing-risks-a-new-framework
[18] : https://corpgov.law.harvard.edu/2011/11/25/compliance-and-ethics-in-risk-management/
[19] : https://globalriskcommunity.com/profiles/blogs/the-difference-and-link-between-risk-and-compliance-management
20] : https://www.trcconsulting.org/blog/compliance-and-risk-management-what-is-the-big-difference
21] : https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/uciarm-thebasics (en anglais)