Compte tenu de l’ampleur de la tâche à accomplir et du rythme rapide auquel les demandes peuvent évoluer, il n’est pas étonnant que les entreprises choisissent de hiérarchiser leurs responsabilités selon les cas. Mais en ne mettant pas en place un processus systématique de gestion des risques, les organisations restent vulnérables.
Des réglementations de conformité majeures sont introduites et mises à jour avec des pénalités plus rigides :
États-Unis - Foreign Corrupt Practices Act (FCPA) 1977
1993 | France - Loi Sapin I
2002 | États-Unis - Loi Sarbanes Oxley
2010 | Royaume-Uni - UK Bribery Act, Espagne - Code Pénal espagnol, États-Unis - Loi Dodd-Frank
2015 | Allemagne - Loi allemande sur la lutte contre la corruption Pays-Bas - Code Pénal néerlandais
2016 | France - Loi Sapin II Corée du Sud - Loi sur la sollicitation abusive et la corruption
2017 | Argentine - Statut de responsabilité pénale, Mexique - Loi générale sur les responsabilités administratives, Pérou- Décret législatif 1352
2018 | Russie - Code Pénal russe, Inde - Prevention of Corruption Act (POCA), Émirats Arabes Unis - Code pénal, Chine - Loi sur la concurrence déloyale, Malaisie - Loi anti-corruption
2019 | Italie - Loi sur la destruction des pots-de-vin, Arabie Saoudite - Loi anti-corruption, Australie - Projet de loi sur la criminalité des entreprises
2022 | UE - Règlement sur les marchés numériques (DMA)
2023 | UE - Règlement sur les services numériques (DSA), Règlement sur la cyberrésilience, Allemagne - Loi sur le devoir de diligence dans la chaîne d’approvisionnement (LkSG)
2024 | UE - Loi européenne sur l’IA Directive CSRD, Royaume-Uni - Loi sur la criminalité économique et la transparence, États-Unis - Corporate Transparency Act
En effet, le risque est évolutif. Les réglementations changent, les fournisseurs tiers deviennent problématiques et les vulnérabilités opérationnelles changent. Un fournisseur qui a passé un examen des sanctions il y a six mois pourrait échouer aujourd’hui. Sans surveillance continue suffisante, il est facile de voir comment une entreprise pourrait, par exemple, ne pas détecter les pratiques de travail contraires à l’éthique dans sa chaîne d’approvisionnement qui pourraient avoir de profondes conséquences pour l’organisation.
La pression croissante exige de nouvelles approches
À mesure que les risques augmentent, les responsables de la conformité sont sous pression pour trouver une nouvelle stratégie. Il est plus important que jamais d’aller au-delà d’une philosophie du « cas par cas » à une époque où les règles changent continuellement, où les régulateurs collaborent par-delà les frontières et où les risques financiers et de réputation associés aux défaillances de tiers s’aggravent.
La solution ? Un programme de conformité de gestion des risques opérationnels
Malgré l’ampleur du défi, il existe une voie à suivre.
Grâce à une approche méthodique, les organisations peuvent réduire l’impact des défaillances réglementaires et mieux protéger leurs activités avec la gestion des risques opérationnels du programme de conformité. Cette approche repose sur un processus permanent :
• Analyse de l’environnement pour détecter les vulnérabilités émergentes
• Triage des risques les plus importants
• Apprentissage tiré des examens d’après-crise
• Traitement de scénarios théoriques
• Surveillance constante et proactive des risques évolutifs et changeants
La pression réglementaire s’intensifie
Face à l’abondance de nouvelles législations dans le monde entier, les organisations opérant à l’étranger sont confrontées à des défis importants en matière de conformité. Par exemple, la protection des droits de l’homme des travailleurs tout au long des chaînes d’approvisionnement mondiales fait l’objet d’un mouvement global, avec de nouvelles réglementations telles que la loi allemande sur la chaîne d’approvisionnement, la loi norvégienne sur la transparence, le projet de loi canadien S-211 et la directive européenne sur le devoir de diligence dans la chaîne d’approvisionnement.
Parallèlement, les entreprises continuent de se heurter à des régulations mondiales en matière de confidentialité telles que le Règlement général sur la protection des données (RGPD) de l’UE et la Loi californienne sur la confidentialité des consommateurs. Mais il y a également une nouvelle série de lois qui régissent l’utilisation de l’intelligence artificielle (IA), comme le signale l’arrivée en 2024 de la loi révolutionnaire de l’UE sur l’IA.
Les régulateurs mettent également l’accent sur la résilience opérationnelle. Cela se matérialise notamment par la loi européenne sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA), qui exige des organisations du secteur financier concernées qu’elles élaborent des cadres internes conformes pour faire face à plusieurs risques liés à la technologie, y compris ceux qui impliquent des tierces parties. Au niveau international, la législation est de plus en plus centralisée pour faire progresser la gestion des risques.
Comment ce rapport vous aidera
Ce rapport explore la réalité de la gestion des risques opérationnels, à quoi elle ressemble et comment la mise en œuvre peut prendre forme. En commençant par se concentrer sur le risque réglementaire et la gestion des risques liés aux tiers, nous examinons l’ampleur des défis auxquels les organisations sont confrontées et proposons la gestion des risques opérationnels comme meilleure pratique pour gérer ces menaces.
Dans les pages suivantes, nous partagerons des informations sur la manière d’utiliser les données pour une gestion proactive des risques et décrirons comment les entreprises peuvent passer d’une simple réaction aux exigences réglementaires à une approche plus proactive.
Ce rapport guide les lecteurs non seulement sur la manière de créer un programme de gestion des risques qui fonctionne, mais aussi sur la manière de le maintenir dans un environnement en constante évolution.
