5 éléments essentiels de la conformité des entreprises
La plupart des experts s'accordent à dire que, quelle que soit la juridiction réglementaire à laquelle une organisation est soumise, il existe cinq principes fondamentaux communs permettant d'assurer une conformité efficace de l'entreprise.
De nombreuses organisations sont désormais soumises à de multiples juridictions et à de nombreuses réglementations, telles que la loi anti-corruption britannique, qui affectent les organisations n'ayant pas leur siège au Royaume-Uni. D'autres réglementations sont apparues dans le monde entier, telles que le GDPR, le CCPA en Californie, le PIPEDA au Canada, l'APPI au Japon, le Personal Data Protection Bill en Inde, le PDPA à Singapour et le projet pilote de CDR en Australie.
Avec l'augmentation de la réglementation, la nécessité d'une conformité efficace n'a jamais été aussi grande. Les organisations sont confrontées à des sanctions de plus en plus lourdes en cas de manquement à la conformité, ce qui, dans certaines juridictions, inclut la responsabilité personnelle, les cadres supérieurs étant condamnés à des amendes ou poursuivis en justice grâce à l'imposition du SMCR.
Ces cinq éléments fondamentaux peuvent être considérés comme des principes de meilleures pratiques à suivre lors de la conception, du développement, du déploiement et de l'amélioration continue de votre programme de conformité :
Leadership
Le soutien à un programme de conformité éthique doit venir d'en haut, y compris de la direction générale et du conseil d'administration. En l'absence d'un programme de parrainage par la direction, le programme ne sera guère plus qu'un ensemble de règles et de règlements internes creux et édentés.
Le responsable de la conformité devrait également occuper un poste de haut niveau, indépendant, et rendre compte au directeur général ou au conseil d'administration.
Évaluation des risques
Les organisations doivent disposer d'un ensemble de politiques et de procédures qui définissent le cadre dans lequel elles opèrent. Toutefois, cet ensemble ne se limite pas à un code de conduite commercial et doit couvrir toutes les activités de l'organisation. Les politiques et procédures doivent être claires, pratiques et accessibles, et couvrir des domaines tels que la corruption et les pratiques comptables.
Cela devrait inclure les tiers, qu'il s'agisse de fournisseurs ou de clients. Les politiques et les procédures ne sont efficaces que si elles sont tenues à jour et communiquées régulièrement, en particulier lorsque des changements sont apportés.
Politiques et procédures
Les organisations doivent disposer d'un ensemble de politiques et de procédures qui définissent le cadre dans lequel elles opèrent. Toutefois, cet ensemble ne se limite pas à un code de conduite commercial et doit couvrir toutes les activités de l'organisation. Les politiques et procédures doivent être claires, pratiques et accessibles, et couvrir des domaines tels que la corruption et les pratiques comptables.
Cela devrait inclure les tiers, qu'il s'agisse de fournisseurs ou de clients. Les politiques et les procédures ne sont efficaces que si elles sont tenues à jour et communiquées régulièrement, en particulier lorsque des changements sont apportés.
Formation et communication
La mise en œuvre efficace des politiques et procédures du programme de conformité nécessite un programme de formation solide. Les régulateurs attendent d'une organisation qu'elle mette en place un plan de formation complet qui communique efficacement les responsabilités des employés en matière de conformité, en particulier pour ceux qui occupent des fonctions ou des postes à haut risque.
La formation traditionnelle en direct reste importante, mais elle peut être complétée et renforcée par des plateformes d'apprentissage en ligne, des formations à distance par vidéoconférence, des tests en ligne, et ainsi de suite, ce qui rend la formation plus facile d'accès et plus abordable. Il ne suffit pas d'organiser une formation à la conformité pour les employés dans le cadre de leur intégration, et la formation doit être mise à jour régulièrement.
Surveillance et rapports
Un élément clé de tout cadre de conformité est la mise en place de contrôles de surveillance et d'audit pour s'assurer que l'organisation supervise son programme de conformité et que les employés s'en tiennent au programme. Une organisation doit mettre en place un système de suivi régulier afin de repérer les problèmes et d'y remédier. Un suivi efficace implique l'application d'un ensemble cohérent de protocoles, de vérifications et de contrôles adaptés aux risques afin de détecter les problèmes de conformité et d'y remédier en permanence.
Si un manquement à la conformité est constaté, l'organisation doit procéder à une analyse immédiate afin d'établir comment le manquement s'est produit et mettre en place des mesures pour éviter qu'il ne se reproduise. Les rapports de conformité doivent montrer comment l'organisation se conforme aux règles, normes, lois et règlements établis par les organismes de réglementation et les agences gouvernementales, et ces analyses doivent être soumises à la direction générale, au conseil d'administration et aux membres du comité d'audit. En cas de non-respect, les entreprises sont soumises à des sanctions réglementaires, y compris des amendes et des peines d'emprisonnement.
La conformité des entreprises doit rester proactive
Depuis des années, la fonction de conformité est chargée de gérer de manière proactive et de se tenir au courant d'un paysage de conformité en constante évolution et de démontrer l'efficacité de leurs programmes de conformité. Si l'on ajoute à cela les obligations générales de l'entreprise et les normes du secteur, votre fonction de conformité se trouve confrontée à une tâche presque impossible.
Mais seulement "presque". Des solutions technologiques éprouvées pour la gestion de la conformité permettent à votre organisation d'automatiser et de contrôler la conformité et les obligations de l'entreprise, en soutenant vos opérations de risque et de conformité de manière à vous permettre de suivre le rythme des changements constants et des défis de la gestion moderne des risques.
[bctt tweet="Selon IBM Security et Ponemon Institute, une violation de données coûte en moyenne 3,86 millions de dollars à une entreprise." via="yes"]