Legal, regulatory, and contractual requirements
Les entreprises doivent se conformer aux lois et réglementations des juridictions dans lesquelles elles opèrent, sous peine de sanctions en cas de non-respect. Il est important de savoir quelles lois s'appliquent à l'entreprise et de comprendre leurs exigences, ce qui peut s'avérer difficile car de nombreuses lois sont ouvertes à l'interprétation et les niveaux de conformité requis ne sont pas toujours clairement définis. Par exemple, une loi peut exiger la protection des données sensibles sans préciser ce qui constitue un niveau de protection adéquat. Les lois et réglementations peuvent également se contredire, et une entreprise opérant dans différentes régions du monde peut avoir du mal à se conformer à toutes les lois en vigueur dans chaque lieu.
Les entreprises opérant à l’échelle mondiale ou même dans différentes régions d’un même pays pourraient mettre en place un programme global de politiques ainsi qu’un ensemble de contrôles pour gérer les réglementations communes, accompagnés ensuite d’une annexe spécifique à chaque région ou pays afin de gérer les exceptions et les contrôles correspondants.
Les réglementations peuvent exiger que les entreprises rendent compte de leur propre conformité et peuvent imposer des sanctions financières ou le retrait d’une licence d’exploitation si ces rapports sont erronés ou soumis hors des délais requis. Le professionnel des risques chargé de créer un tel programme, ou de gérer celui déjà en place, devrait collaborer avec le conseiller juridique et d'autres professionnels de l'organisation afin de garantir une compréhension adéquate des attentes. Les rapports de conformité doivent être précis, complets et soumis dans les délais impartis.
Pour garantir la conformité, une organisation doit être en mesure de suivre et de mesurer les contrôles utilisés. Les rapports doivent pouvoir être comparés d’une période de déclaration à une autre, et les tendances ainsi que les domaines de non-conformité doivent être identifiés et traités. En cas de non-conformité, une justification des raisons de ce manquement doit être documentée et tenue à disposition sur demande.
Dans certains cas, la conformité peut également s’appliquer à des normes volontaires. Par exemple, le PCI DSS, créé par les membres de l’industrie des cartes de crédit, n’est pas requis par la loi, mais les émetteurs de cartes de crédit exigent que les entreprises souhaitant accepter les paiements par carte l’adoptent.
Le professionnel des risques doit toujours garder à l’esprit que la conformité est une décision fondée sur les risques, même lorsqu’elle est imposée par la loi. Comme mentionné précédemment, le risque est géré de la manière la plus rentable possible en fonction de l’appétence au risque définie par la haute direction. Selon les sanctions encourues en cas de non-conformité, une organisation peut choisir de ne pas se conformer à certaines lois ou réglementations si le coût de la conformité dépasse la sanction ou les conséquences liées au non-respect.
Y a-t-il une législation avec laquelle votre entreprise a du mal à se conformer ?
Les entreprises opérant à l’échelle mondiale ou même dans différentes régions d’un même pays pourraient mettre en place un programme global de politiques ainsi qu’un ensemble de contrôles pour gérer les réglementations communes, accompagnés ensuite d’une annexe spécifique à chaque région ou pays afin de gérer les exceptions et les contrôles correspondants.
Les réglementations peuvent exiger que les entreprises rendent compte de leur propre conformité et peuvent imposer des sanctions financières ou le retrait d’une licence d’exploitation si ces rapports sont erronés ou soumis hors des délais requis. Le professionnel des risques chargé de créer un tel programme, ou de gérer celui déjà en place, devrait collaborer avec le conseiller juridique et d'autres professionnels de l'organisation afin de garantir une compréhension adéquate des attentes. Les rapports de conformité doivent être précis, complets et soumis dans les délais impartis.
Pour garantir la conformité, une organisation doit être en mesure de suivre et de mesurer les contrôles utilisés. Les rapports doivent pouvoir être comparés d’une période de déclaration à une autre, et les tendances ainsi que les domaines de non-conformité doivent être identifiés et traités. En cas de non-conformité, une justification des raisons de ce manquement doit être documentée et tenue à disposition sur demande.
Dans certains cas, la conformité peut également s’appliquer à des normes volontaires. Par exemple, le PCI DSS, créé par les membres de l’industrie des cartes de crédit, n’est pas requis par la loi, mais les émetteurs de cartes de crédit exigent que les entreprises souhaitant accepter les paiements par carte l’adoptent.
Le professionnel des risques doit toujours garder à l’esprit que la conformité est une décision fondée sur les risques, même lorsqu’elle est imposée par la loi. Comme mentionné précédemment, le risque est géré de la manière la plus rentable possible en fonction de l’appétence au risque définie par la haute direction. Selon les sanctions encourues en cas de non-conformité, une organisation peut choisir de ne pas se conformer à certaines lois ou réglementations si le coût de la conformité dépasse la sanction ou les conséquences liées au non-respect.
Y a-t-il une législation avec laquelle votre entreprise a du mal à se conformer ?
Commentaires
Enregistrer un commentaire