Guide pour une conformité légale effective

Qu’est-ce que la GRC (gouvernance, gestion des risques et conformité) ?

La gouvernance d’une entreprise est, en ce sens, un ensemble des processus établis par le conseil d’administration et ses membres, qui reflètent la manière dont celle-ci est organisée, administrée et dirigée en vue d’atteindre ses objectifs.

La gestion des risques correspond à la capacité de l’organisation à prédire et gérer les risques qui pourraient l’empêcher d’atteindre ses objectifs en toute fiabilité.

La conformité fait référence à la manière de s’assurer qu’une organisation respecte les limites établies, à savoir les lois ou les règlements, mais aussi les limites volontaires, comme les politiques qu’elle conçoit au niveau interne pour atteindre certains résultats.

La GRC définit quant à elle l’ensemble des capacités qui permettent aux organisations d’atteindre des objectifs, d’atténuer les risques et d’agir de manière cohérente.

Comment mettre en place un plan de GRC ?

Une gestion efficace de la GRC exige une approche intégrée englobant plusieurs services de l’organisation, notamment ceux chargés des finances, de l’informatique, des ressources humaines, du conseil juridique et des audits.

Pour réussir, une approche de GRC doit être efficace dans les trois domaines grâce à une synchronisation des informations et des activités, garantir que les parties concernées soient dûment informées à chaque instant et éviter les filtrations ou manques d’efficacité s’opposant à une action satisfaisante.

Même si la structure exacte de la GRC varie grandement selon les organisations, elle adopte souvent la forme d’un plan de gestion des risques d’entreprise ou ERM, selon le sigle anglais (Enterprise Risk Management).

L’ERM reprend chacune des préoccupations précédentes et crée des méthodes et des processus destinés à administrer les différents aspects de la GRC. L’ERM permet aux dirigeants et gestionnaires d’identifier des risques et des occasions uniques, d’évaluer leur niveau d’impact, qu’il s’agisse d’une menace ou d’un bénéfice, et de définir une stratégie de réponse. En cherchant les risques et les occasions de manière proactive, une organisation évite d’être prise au dépourvu.

Tout comme la GRC, le cadre de gestion des risques d’entreprise varie selon les organisations, mais il existe un certain nombre de fonctions communes, notamment les suivantes :

• Planification stratégique : identifier les menaces de la concurrence, les régulateurs ou les conditions changeantes du marché, ainsi que les occasions qui s’y présentent.
• Marketing : comprendre les besoins du marché cible d’une organisation et la façon d’ajuster les produits à celui-ci.
• Audit/Éthique : superviser le respect de la politique de l’entreprise et contrôler la fraude.
• Comptabilité/Finances : diriger les évaluations réglementaires obligatoires, à la recherche de risques d’informations financières.
• Aspects légaux : gérer les éventuels litiges et les tendances légales utiles aux opérations de l’organisation. Garantir le respect des exigences légales toujours changeantes pour la présentation de rapports.
• Assurance : déterminer le niveau de couverture adapté au profil de risque d’une organisation.
• Trésorerie : administrer le flux de trésorerie de manière responsable pour répondre aux besoins de l’organisation, et atténuer les risques de change.
• Contrôle de qualité : vérifier que la production respecte les spécifications qui répondent aux besoins du client.
• Gestion du crédit : veiller à ce que les clients aient à leur disposition des niveaux de crédit adaptés à leur capacité de paiement.
• Service clients : apporter une réponse aux plaintes des clients et en identifier l’origine afin de résoudre le problème à l’avenir.

Les challenges d’un plan ERM

Même si les meilleures pratiques sont établies, celles-ci évoluent au fil du temps. Pour cette raison, lors de la mise en place d’un cadre d’ERM, les gestionnaires doivent passer par les phases suivantes :

1. Identifier et confirmer le soutien, essentiel pour l’initiative, du comité exécutif. Sans son acceptation, les efforts de l’ERM n’aboutissent généralement pas.
2. Le responsable du plan doit convenir, avec son équipe, d’un ensemble de termes communs à utiliser lorsqu’on parle des risques éventuels. Si tout le monde définit le risque de manière différente, il est impossible d’établir et d’accomplir des objectifs mutuels.
3. L’organisation doit établir le domaine de risque qui la concerne. Cela se traduit généralement par une liste de risques qu’elle assumera ou non, sur la base de critères de coûts et de compétences, entre autres facteurs rendant les risques plus ou moins attrayants.
4. Une fois que la tolérance au risque de l’organisation a été définie, l’équipe ERM déterminera ce que l’on appelle un inventaire de risque : une liste des risques auxquels elle doit actuellement faire face, classés en fonction des limites préalablement établies.
5. Lorsque les risques ont été identifiés et classés par ordre de priorité, un comité de risques est constitué pour coordonner les activités qui permettront de les gérer de manière adéquate. Le comité attribuera les tâches et les réponses aux gestionnaires capables de les mettre en œuvre.
6. Le comité de risques devra s’assurer que ces gestionnaires respectent les processus de contrôle et leurs objectifs.

Tout cela peut sembler simple, mais le moindre faux pas peut compromettre totalement l’efficacité d’un ERM. Par exemple, si tous les risques identifiés et les processus de gestion sont appropriés, mais qu’il n’y a aucun dirigeant clé pour le défendre, personne n’adhérera. De même, l’enthousiasme d’un dirigeant ne sert à rien si les principaux risques ont été négligés pendant la période d’évaluation.

En conclusion, il est conseillé aux entreprises de revoir l’organisation de leurs audits et le processus d’ERM, aussi bien à chaque trimestre que chaque année, pour surmonter le défi d’une mise en place réussie.