7 activités essentielles de gestion de la conformité

Jim Montgomery |

Au début de cette jeune année, l'état d'esprit semi-délirant dans lequel je me trouvais après les vacances m'a inspiré cet article. cet article sur diverses considérations relatives à votre programme de gestion des obligations de conformité.

Maintenant que le sucre et la frivolité des fêtes de fin d'année ont disparu, parlons davantage des différents types d'activités de gestion de la conformité qui garantiront le respect de vos obligations, et de certains des besoins spécifiques qui s'y rattachent.

1. Les politiques

Le premier des sept éléments d'un programme de conformité efficace est la mise en œuvre de politiques et de procédures écrites, mais pour certains secteurs, il existe des exemples plus stricts.

Les banques basées aux États-Unis doivent se conformer aux règlements V et Zqui les obligent à établir et à mettre en œuvre des politiques et des procédures écrites raisonnables concernant l'exactitude et l'intégrité des informations sur les consommateurs fournies aux agences d'évaluation du crédit, ainsi que des politiques et des procédures concernant d'autres sujets tels que les pratiques de rémunération des initiateurs de prêts, la direction, l'enregistrement des initiateurs de prêts et les exigences en matière d'identification.

Infographie : Lignes directrices pour une intégration efficace des fournisseurs

Atténuer les risques tout en établissant de solides relations avec les fournisseurs.

Télécharger maintenant

Disposer d'un système de gestion des politiques pour gérer ces politiques et procédures (examen et approbation, publication et attestation) et être en mesure de relier ces politiques et procédures à un registre de vos obligations de conformité permet de s'assurer que les bonnes politiques existent et qu'elles sont correctement examinées, traitées et distribuées.

2. La formation

Un autre élément d'un programme de conformité efficace est la formation et l'éducation. Les entreprises qui relèvent de l'OSHA, de la FAA ou du DOT doivent fournir à leurs employés une formation spécifique en matière de sécurité.

La loi sur le secret bancaire (Bank Secrecy Act) impose à certaines organisations de dispenser des formations périodiques sur la lutte contre le blanchiment d'argent (AML). La manière dont cette formation est dispensée peut aller d'une session en classe avec une feuille d'inscription pour le suivi des présences à un système de gestion de l'apprentissage (LMS) plus sophistiqué, mais le fait de disposer d'une solution de conformité qui vous permet de saisir ou d'importer manuellement les enregistrements de formation facilite l'audit de ces enregistrements de formation.

3. Rapport annuel

Journaux OSHA 300, dépôts auprès de la SEC, rapports de contrôle interne, déclarations annuelles, certifications selon la règle 3130 de la FINRA... ce ne sont là que quelques exemples des obligations de déclaration annuelle auxquelles les entreprises sont confrontées. En répertoriant ces obligations de conformité dans un registre centralisé, vous vous assurez d'avoir la visibilité nécessaire pour faire ce qui doit être fait.

Le fait de pouvoir confirmer que ces obligations sont respectées en joignant des copies des rapports ou déclarations nécessaires permet d'illustrer clairement à vos professionnels de la conformité et aux éventuels auditeurs externes que les obligations ont été correctement respectées. Des points bonus si vous choisissez une solution qui vous rappelle automatiquement quand il est temps de remplir ces obligations ou, mieux encore, qui recueille des informations pour aider à automatiser la génération de certains de ces rapports !

4. Suivi des exceptions et rapports

Toute réglementation en matière de conformité digne de ce nom (sérieusement, une autre métaphore alimentaire ?!?) fournira des conseils sur ce qu'il convient de faire en cas d'exception.

Une blessure grave sur le lieu de travail ? Mieux vaut le signaler à l'OSHA dans les 24 heures pour éviter les sanctions financières. Une faille de sécurité a exposé des données personnelles ? En vertu du GDPR, le fait de ne pas notifier votre agence de protection des données (DPA) dans les 72 heures peut entraîner des sanctions de niveau inférieur pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'exercice précédent, le montant le plus élevé étant retenu !

Lorsqu'une panne survient, il faut donc une solution qui permette aux employés (ou même aux clients) de signaler l'incident, d'alerter les ressources appropriées pour enquêter sur l'incident et le confirmer, de notifier les autorités compétentes en temps utile et d'identifier rapidement toute tendance dans ces incidents afin de réduire la probabilité qu'ils se reproduisent... tout en étant en mesure de confirmer rapidement ces efforts.

5. Processus/flux de travail

Certaines obligations réglementaires vous obligent à créer des processus pour gérer les situations. Pour se conformer à l'article 17 du GDPR, le "droit à l'oubli" attend de vous que vous fournissiez à vos clients une procédure de demande d'effacement "dans les meilleurs délais".

Le déploiement d'un flux de travail automatisé capable d'acheminer cette demande vers les parties concernées et à travers les étapes appropriées peut contribuer à garantir une réponse cohérente et opportune à ces demandes. La loi Sarbanes-Oxley exige un code de déontologie qui, entre autres, prévoit une méthode pour la "divulgation à une ou plusieurs personnes appropriées... de toute transaction ou relation importante dont on pourrait raisonnablement s'attendre à ce qu'elle donne lieu" à un conflit d'intérêts.

Le fait de pouvoir prouver que les conflits d'intérêts sont signalés et, le cas échéant, qu'ils font l'objet d'une action appropriée (et d'être en mesure de suivre ce processus et d'en rendre compte) est la preuve d'un effort de mise en conformité efficace.

6. Les audits

Un autre élément clé d'un programme de conformité efficace est le contrôle et l'audit continus de ses différents éléments. Quel que soit le type d'activité de conformité mis en place pour remplir vos obligations, vous ne pouvez pas vous contenter de le mettre en place et de l'oublier comme un appareil de cuisine de comptoir.

Si votre politique anti-corruption n'a pas été revue depuis cinq ans, si vous n'avez pas mis à jour votre formation à la sécurité depuis les années 80, si vous n'avez pas constaté de réduction des violations présumées de l'éthique signalées en interne (ou pire encore, si vous n'êtes pas sûr du nombre de violations signalées ou de la manière dont elles ont été traitées), ce sont là autant de signes que vous ne maintenez pas vos activités de conformité de manière adéquate pour respecter vos obligations.

Disposer d'un système unique qui répertorie toutes vos obligations et les activités de conformité qui s'y rapportent et qui vous permet de fournir des preuves de l'audit périodique de ces activités de conformité en reliant les audits aux obligations qui leur sont associées afin de mieux valider la conformité ? Cela facilite grandement l'audit de votre programme de conformité et permet de mieux défendre le respect de vos obligations en matière de conformité.

[bctt tweet="Quel que soit le type d'activité de conformité mis en place pour répondre à vos obligations, vous ne pouvez pas vous contenter de l'installer et de l'oublier comme un appareil de cuisine de comptoir." username="MitratechLegal"]

7. Actions correctives

Enfin, certaines activités de conformité peuvent être aussi simples qu'une action récurrente, comme un rappel mensuel pour examiner les journaux d'exceptions générés par votre solution de surveillance. Parallèlement à ces activités récurrentes, votre programme d'audit aboutira probablement à des constatations qui nécessiteront des actions correctives (par coïncidence, le septième élément d'un programme de conformité efficace) pour être résolues.

Comment mieux prouver que vous réagissez rapidement aux infractions détectées, que vous mettez en œuvre de nouveaux contrôles lorsque des problèmes surviennent et que vous menez à bien toutes les actions de mise en conformité que si vous les réunissez dans un seul système, avec des rappels et des escalades par courrier électronique pour maintenir les choses sur la bonne voie ?

Comme vous le savez, le respect de vos obligations, quelle qu'en soit la source, implique une série d'activités de mise en conformité et des examens/vérifications périodiques pour s'assurer que les activités sont exécutées correctement et produisent les résultats escomptés.

Si vous souhaitez obtenir plus d'informations sur la manière dont une solution complète, flexible et intégrée qui aide à exécuter et à contrôler ces activités permet de répondre plus facilement à la question "comment puis-je savoir si nous sommes conformes ? contactez-nous !