Quel est notre problème avec les évaluations des risques de conformité ? Pourquoi avons-nous du mal à les gérer et, une fois qu’elles sont terminées, pourquoi ne les utilisons-nous pas efficacement ?
Parmi les nombreux éléments cruciaux des initiatives de conformité efficaces (programmes de signalement interne, politiques, procédures, formation, gestion de la chaîne d’approvisionnement, fusions et acquisitions, etc.) figurent les évaluations des risques, qui constituent l’élément fondamental de tout programme de conformité. Il suffit de demander à n’importe quel régulateur ou de lire n’importe quel cadre global pour un programme efficace et ils commencent tous par des initiatives efficaces et continues d’évaluation des risques. Tout doit être basé sur (et sera jugé sur) une évaluation des risques efficace qui identifie les domaines de risque à traiter et à corriger par le biais dudit programme de conformité.
Au-delà des attentes en matière de bonnes pratiques, il existe également une raison très basique et logique de réaliser une évaluation des risques : elle aide une organisation à déterminer comment et où concentrer les ressources limitées. Par exemple, chaque employé de l’entreprise n’a pas besoin d’une formation sur la lutte contre la corruption, même s’il s’agit d’un domaine à haut risque pour l’organisation. La nécessité d’une formation non pertinente gaspille des ressources et donne aux employés l’impression que leur temps est perdu.
Une approche simple basée sur les risques pour définir qui a besoin de quel contenu de formation aide à déterminer logiquement le temps de formation de manière pertinente et rentable. La même approche et la même réflexion s’appliquent également aux risques plus diversifiés.
Les risques de conformité et d’éthique ne font que devenir de plus en plus complexes et nuancés, d’autant plus que l’environnement politique mondial n’est pas axé sur la coopération et l’alignement internationaux sur des sujets tels que l’IA, la confidentialité des données, les sanctions, les droits de l’homme, l’ESG, etc. Les risques de passer à côté de quelque chose si nous n’utilisons qu’une approche informelle ou limitée augmentent de jour en jour. Davantage de technologies et d’ensembles de données sont disponibles pour soutenir le processus, mais les organisations continuent de lutter pour mettre en œuvre et à tirer profit efficacement de ce processus. C’est une tendance que nous suivons depuis longtemps et il est primordial que 2025 soit l’année où nous changeons cela.
Au-delà des attentes en matière de bonnes pratiques, il existe également une raison très basique et logique de réaliser une évaluation des risques : elle aide une organisation à déterminer comment et où concentrer les ressources limitées.
Exigences réglementaires
Les évaluations des risques font depuis longtemps partie des directives fédérales américaines en matière de condamnation et sont référencées dans l’évaluation des programmes de conformité des entreprises (ECCP) du ministère de la Justice (DOJ). Mais ce que nous voyons souvent, c’est que les organisations réalisent des évaluations des risques (mais pas toutes le font) puis les déposent, pour ne jamais voir la lumière du jour.
La mise à jour de septembre 2024 du DOJ à son ECCP a clairement indiqué la direction à suivre : les évaluations des risques, en particulier en ce qui concerne les risques liés aux nouvelles technologies et aux technologies émergentes telles que l’intelligence artificielle, sera au centre des préoccupations en matière d’application de la législation.
“Le point de départ pour l’évaluation par un procureur de la mise en place d’un programme de conformité bien conçu est de comprendre l’activité de l’entreprise d’un point de vue commercial, la manière dont l’entreprise a identifié, évalué et défini son profil de risque, y compris les facteurs spécifiques qui atténuent le risque de l’entreprise, et le degré dans lequel le programme consacre un examen et des ressources appropriés au spectre de risques restant. **Cette évaluation doit tenir compte des risques émergents au fur et à mesure que les circonstances internes et externes ayant un impact sur le profil de risque de l’entreprise évoluent.**”
Et il est important d’ajouter que l’évaluation des risques est également un élément clé d’autres directives et cadres mondiaux, y compris un guide des ressources de la loi américaine sur les pratiques de corruption à l’étranger, deuxième édition (2020), les recommandations de la loi britannique sur la corruption de 2010, la loi brésilienne sur les entreprises propres (2022), la norme ISO 37 301, les systèmes de gestion de la conformité (ainsi que d’autres normes ISO) et les recommandations du programme général de conformité du ministère américain de la Santé et des Services humains (2023.
Identifier et surmonter les obstacles à une évaluation efficace des risques de conformité
Alors, pourquoi un élément aussi crucial de la conformité n’est-il pas suffisamment pris en compte, n’est-il pas suffisamment exploité ou prend-il la poussière sur les étagères ? Et pourquoi y a-t-il un fossé entre les attentes des autorités réglementaires et des meilleures pratiques en matière d’évaluation des risques pour prendre des décisions sur les ressources de l’entreprise fondées sur les risques, et de nombreuses pratiques actuelles ? Identifions les principaux obstacles à la réussite et examinons quelques façons de les surmonter pour un processus plus efficace.
1. Confusion ou chevauchement avec les évaluations des risques de l’entreprise
Tout d’abord, nous devons clarifier la différence entre une évaluation des risques d’entreprise (ERM) et une évaluation des risques de conformité, car elles ne sont pas les mêmes. Alors qu’un ERM est un processus systématique d’identification, d’évaluation et de hiérarchisation des risques susceptibles d’avoir un impact sur une entreprise dans son ensemble, une évaluation des risques de conformité est un sous-ensemble qui évalue les risques liés au respect des lois, réglementations et normes du secteur.
Un ERM est souvent dirigé par l’équipe financière ou le rôle relativement nouveau de directeur des risques. Ces risques sont importants, comme une catastrophe naturelle ou la perte de fournisseurs critiques, et peuvent littéralement faire chuter une entreprise. Dans la pratique, très peu de risques de conformité s’élèvent au niveau d’un risque d’entreprise. Si cela arrive, c’est qu’ils sont souvent liés à la corruption ou à un risque de conformité spécifique au secteur, comme le blanchiment d’argent dans le secteur bancaire ou les violations de la confidentialité des données dans le secteur de la santé.
Cela dit, les violations de la conformité peuvent également être assez coûteuses, tant sur le plan financier que sur le plan de la réputation. Une évaluation ciblée des risques de conformité peut compléter ou être distincte de l’ERM ; bien qu’elles soient différentes, les deux sont nécessaires. Et les deux méritent une attention de la part du conseil d’administration.
2. Ne pas définir le champ d’application et le résultat souhaité dès le départ
Une bonne règle de base dans de nombreux projets est de commencer par la fin. L’évaluation des risques peut s’avérer une tâche ardue compte tenu de l’univers des risques de non-conformité existants. Et il existe une multitude de façons de les aborder, certaines plus complexes et plus chronophages que d’autres.
Avant d’intervenir, déterminez le niveau de détail à aborder, les sujets attendus à examiner, à qui s’adressent les résultats, la forme des conclusions et des plans d’action qui en découlent. Clarifiez les ressources et le calendrier nécessaires pour terminer le processus afin que toutes les personnes impliquées comprennent leur rôle. Déterminez qui dirigera et participera au processus et tenez-les informés tout au long de celui-ci.
L’une des façons d’identifier le champ d’application et les résultats souhaités est de créer un aperçu et un échantillon des produits finaux à fournir, afin que chacun comprenne ce qui sera produit et les prochaines étapes attendues. Par exemple, allez-vous créer une carte thermique montrant la hiérarchie relative de chaque risque ? Vérifiez la compréhension et le feed-back.
Gardez à l’esprit que la plupart des gens, en particulier les cadres, n’aiment pas les surprises en matière de conformité. Il est donc essentiel de communiquer en permanence sur le processus et les résultats attendus.
3. Peur d’exposer les faiblesses et d’augmenter le risque de découverte
C’est une remarque courante. Que se passe-t-il si nous trouvons une grave vulnérabilité et qu’elle est utilisée à notre encontre dans le cadre d’un litige ou d’une action en justice ? La grande question est de savoir ce qui se passera si nous ne trouvons pas ces informations et qu’elles sont utilisées contre nous dans le cadre de litiges et de mesures d’application de la législation. La réponse à la deuxième question est qu’elle sera probablement bien pire que la réponse à la première.
Nous savons tous que l’identification et la documentation des risques constituent en soi un risque, mais tous les régulateurs que j’ai entendus poser cette question affirment qu’une évaluation des risques solide et bien informée, assortie de plans d’action concrets et mesurables, vous vaudra plus de crédit qu’une politique de l’autruche. Il est évident que l’essentiel est d’agir sur les risques identifiés. Cela signifie qu’il faut disposer d’un processus qui identifie les stratégies d’atténuation avec des plans, des responsabilités et des dates d’achèvement prévues. Une communication et une documentation minutieuses et réfléchies permettent également d’atténuer le risque de documentation des risques identifiés.
4. Manque de soutien et de coopération de la direction dans le processus
Cette barrière est souvent due à un manque de compréhension de l’importance d’une évaluation des risques. Ils ont tant à faire, à tous les niveaux de leadership. Ce processus lui-même nécessite des ressources.
Ils sont susceptibles d’être plus réceptifs à l’initiative décrite dans la section du champ d’application (numéro deux ci-dessus) lorsqu’ils savent à quoi s’attendre. Ils sont moins susceptibles d’être réceptifs à une explication du genre : « le DOJ s’attend à ce que nous le fassions. » Le leadership doit comprendre ce que cela signifie pour eux. Il faut espérer qu’ils y trouveront une approche organisée pour faire face aux réalités de la conformité tout en maximisant l’efficacité et l’efficience de l’allocation des ressources.
5. Manque de ressources, de processus et de systèmes pour effectuer une évaluation des risques, puis mise en œuvre des résultats et des stratégies d’atténuation en cours
Même avec les plus hauts niveaux de soutien, nous n’aurons pas de ressources illimitées pour cette initiative. Nous n’avons pas besoin de tout faire en même temps. Instinctivement, nous connaissons déjà les risques les plus graves auxquels notre organisation peut être confrontée, alors commencez par là et établissez un plan et un calendrier pour parcourir le reste.
Certaines organisations font appel à un expert externe pour aider dans le processus, réduire le temps nécessaire à la réalisation de l’évaluation et ajouter de l’expertise. Une technologie spécialement conçue est également disponible pour soutenir et accélérer le processus et réduire la charge sur les équipes de conformité dans la gestion des processus d’atténuation en cours.
Plus important encore, lors de la planification, n’oubliez pas les ressources et le calendrier nécessaires pour gérer le processus en cours une fois les risques et les lacunes identifiés. Si nous ne prévoyons pas cela à l’avance, nous augmentons la probabilité que les évaluations des risques sois mises à l’écart et, en fin de compte, augmentent le risque global dû à l’inaction. Même si nous aimerions tous pouvoir achever un effort potentiellement important, l’intention d’une évaluation des risques en tant qu’élément fondamental signifie qu’elle informe les activités quotidiennes du programme de conformité et qu’elle est censée évoluer avec l’organisation.
Nous n’avons pas besoin de tout faire en même temps. Instinctivement, nous connaissons déjà les risques les plus graves auxquels notre organisation peut être confrontée, alors commencez par là et établissez un plan et un calendrier pour parcourir le reste.
6. Désaccord sur la probabilité, l’ampleur et les priorités des risques identifiés
Le désaccord est exactement ce que nous recherchons ! Nous voulons que l’organisation ait des discussions réfléchies sur ce qu’est réellement un risque, si quelque chose est plus susceptible de se produire ou non, si nous prenons des mesures suffisantes pour atténuer le risque à un niveau acceptable et quelles ressources nous avons besoin pour le faire. C’est l’objectif de cet exercice.
Un processus formel d’évaluation des risques ne fait que fournir le véhicule et le cadre pour ces discussions éclairées. Les gens compétents font le reste. En fin de compte, seul le temps nous dira si nous avons réussi. À votre avis, combien d’organisations ont bien évalué la probabilité et l’ampleur d’une pandémie ? Et combien d’entre eux, à votre avis, sont revenus en arrière et ont ajusté leur plan d’atténuation par la suite ? L’identification, le débat, la discussion, l’atténuation, les enseignements tirés et le réétalonnage sont les piliers d’un processus continu d’évaluation des risques.
7. Tout comme d’autres initiatives stratégiques à long terme, elle est reléguée au second plan lorsque les activités quotidiennes et les exercices d’évacuation imprévus nous demandent du temps et de l’attention
De mon point de vue, c’est le plus grand obstacle. Nous savons tous que nous devons le faire, et le faire correctement, pour avoir un impact positif sur l’efficacité de nos programmes de conformité et protéger nos organisations contre les dommages d’un impact financier ou de réputation significatif d’un manquement à la conformité. Nous sommes animés des meilleures intentions, puis les allégations et les enquêtes se succèdent. Je n’ai pas de bonne réponse, mais je constate qu’il s’agit d’une priorité. En fin de compte, cela nous aidera à identifier et à justifier les ressources dont nous avons besoin pour être efficaces ; un investissement à court terme dans une stratégie à long terme.
Aucune de ces observations n’est nouvelle ou brillante, mais elles nous empêchent de réussir depuis le début des programmes d’éthique et de conformité. Lorsque nous y parvenons, l’évaluation des risques est un outil puissant pour guider une organisation dans ses stratégies d’atténuation des risques tout en utilisant au mieux les ressources limitées. Elle contribue à rendre l’entreprise plus efficace et plus résistante et nous permet de nous préparer à l’éventualité où les régulateurs viendraient à frapper à la porte.
L’identification, le débat, la discussion, l’atténuation, les enseignements tirés et le réétalonnage sont les piliers d’un processus continu d’évaluation des risques.
L’essor de l’évaluation des risques basée sur les données
Enfin, un article sur l’évaluation des risques serait négligé s’il ne mentionnait pas les incroyables opportunités que nous avons d’utiliser les données pour améliorer et même transformer nos efforts. La fluidité des exigences réglementaires mondiales, du risque de tiers, des lois sur la confidentialité des données et la cybersécurité, etc., font des évaluations des risques un effort essentiel pour la fonction de conformité. Et peut-être l’élément le plus important des processus d’évaluation des risques matures est la connexion des données.
Une évaluation des risques qui n’est pas reliée à d’autres éléments est aussi utile que le planificateur que vous avez acheté mais que vous n’avez jamais utilisé. Heureusement, la technologie suit le rythme du changement et peut aider les responsables de la conformité à prendre des décisions cohérentes et éclairées sur la base des résultats de l’évaluation des risques. En raison de la prolifération des données et de la sophistication croissante des outils d’analyse, l’analyse des données joue un rôle crucial dans l’amélioration des capacités d’évaluation des risques.
En utilisant la technologie et en analysant de vastes ensembles de données à l’aide de techniques d’analyse de données avancées, les entreprises peuvent obtenir des informations plus approfondies sur leurs risques, identifier les menaces émergentes et prendre des décisions plus éclairées. Les outils couramment utilisés tels que PowerBI et Tableau sont devenus des atouts indispensables dans ce contexte. L’intelligence artificielle (IA) est un autre élément qui présente à la fois des défis et des opportunités pour les futures évaluations des risques.
Conclusions finales
Il est maintenant temps de vous demander honnêtement : où en sommes-nous vraiment avec les évaluations des risques ?
Il est probable qu’il y ait du travail à faire dans un domaine ou dans un autre. Le fait de ne pas donner la priorité à cet important domaine de conformité peut avoir toute une série de conséquences, notamment une mauvaise affectation des ressources et des occasions manquées d’identifier et d’atténuer les risques émergents, d’autant plus que les autorités de réglementation insistent constamment sur la nécessité de procéder à des évaluations des risques et de les utiliser.
Prévisions pour 2025
Compte tenu de l’accent mis par le régulateur sur l’application et la responsabilité de l’entreprise, nous pouvons nous attendre à ce que les évaluations des risques jouent un rôle crucial dans les enquêtes et les poursuites judiciaires.
Cependant, avec les réalités des opérations quotidiennes, nous pouvons malheureusement nous attendre à ce que ce travail important reste une composante moins prioritaire, mal comprise et sous-utilisée d’un programme de conformité efficace.
Cela dit, nous avons des opportunités incroyables avec l’essor des évaluations et de la technologie basées sur les données. L’année 2025 peut être l’année de l’identification de risques et de lacunes importants grâce à l’analyse des données. Profitons de l’occasion pour revitaliser notre approche de la gestion des risques de conformité et faire passer notre travail, et nos organisations, au niveau supérieur.
Top 10 des tendances en matière de risque et de conformité
Pour en savoir plus sur les sujets les plus urgents pour les responsables des risques et de la conformité, téléchargez l’intégralité de l’eBook et regardez le webinaire associé à la demande.