Dire qu'il s'agit d'un défi est un euphémisme : De nombreux responsables se demandent dans quelle mesure les autorités de réglementation les autoriseront à modifier les normes de conformité au cours de la période COVID-19. Une grande partie du personnel essentiel travaillant à domicile, il est difficile de maintenir les processus de conformité et d'audit.
La réponse est que les régulateurs financiers sont compréhensifs mais fermes - la SEC, l'OCC, la Réserve fédérale, la Banque d'Angleterre et d'autres n'accordent que peu d'avantages aux entreprises qu'ils ont réglementées.
En toute honnêteté, les régulateurs font tout leur possible pour comprendre les défis à relever. Ils veulent être aussi flexibles que possible pour aider les organisations. Elles sont également désireuses d'identifier et de traiter les risques potentiels qui se produiront probablement au fur et à mesure que les gens continueront à travailler à domicile.
Dans le contexte actuel, il est frappant de constater que le ministère américain de la justice (DOJ) a actualisé ses attentes à l'égard des programmes de conformité des entreprises pendant la pandémie, en fournissant son schéma directeur de ce à quoi ressemble une "bonne" conformité.
Son importance réside dans la manière dont les membres de la communauté réglementaire mondiale travaillent ensemble pour atteindre des objectifs communs. L'action du DOJ est susceptible d'influencer et de définir les attentes des autres régulateurs quant à ce qui constitue un bon programme de conformité.
Une annonce qui tombe à pic
L'annonce du ministère de la justice arrive à point nommé en raison de la question des événements à risque qui sont très susceptibles d'avoir eu lieu avec un si grand nombre de personnes travaillant à domicile. Il s'agit d'un guide destiné à aider les organisations à déterminer où ces événements à risque se sont produits et comment les atténuer au mieux.
Il fournit également un cadre pour aider les organisations à réfléchir aux processus fondamentaux qui affectent leur conformité et qui reposent sur des processus manuels. La "nouvelle normalité" à laquelle tout le monde est confronté reposera davantage sur des stratégies de travail à domicile qu'avant la pandémie, même une fois que nous en serons sortis, et les processus manuels qui ne fonctionnent que lorsque tout le monde est au bureau devront être parmi les premiers à être supprimés .
Les lignes directrices du DOJ posent trois questions :
1 - Le programme de conformité est-il bien conçu ?
Critères
Enjeux
- Conception du programme de conformité
- Appétence pour le risque
- Allocation des ressources en fonction des risques
- Mises à jour et devises
- Mise en œuvre des enseignements tirés
- Politiques et procédures
- Conception
- Exhaustivité
- Accessibilité
- Responsabilité de l'intégration opérationnelle
- Contrôles et gardiens
- Formation et communication
- Formation basée sur les risques
- Efficacité de la formation
- Communication sur les fautes professionnelles
2 - Le programme est-il géré de bonne foi ?
Critères
Enjeux
- L'engagement des cadres moyens et supérieurs
- La conduite au sommet
- Engagements partagés
- Surveillance
- Autonomie et ressources
- Ancienneté et structure
- Expérience et qualifications
- Financement et ressources
- Ressources et accès aux données
- Autonomie par rapport à l'entreprise
- Gestion de l'externalisation des fonctions de conformité, le cas échéant
- Mesures incitatives et disciplinaires
- Processus RH
- Application cohérente
- Le système d'incitation
3 - Le programme de conformité fonctionne-t-il dans la pratique ?
Critères
Enjeux
- Amélioration continue, tests et examens périodiques
- Audit interne
- Tests de contrôle
- Des mises à jour évolutives
- Une culture de la conformité
- Enquête de conformité
- Une enquête approfondie menée par un personnel qualifié
- Réponses aux enquêtes
- Analyse et remédiation des fautes sous-jacentes
- Analyse des causes profondes
- Faiblesses antérieures
- Faiblesses du système de paiement
- Gestion des fournisseurs
- Indications préalables
- Remédiation
- Responsabilité
Le document du DOJ est précieux, car il donne une image claire de ce qu'un membre de la communauté réglementaire perçoit comme une bonne pratique. Il constitue un modèle pour toute organisation souhaitant retourner au bureau, après l'affaire COVID-19, et rationaliser son régime de GRC.
Son actualité est due au fait que le modèle hybride travail de bureau/travail à domicile mettra en lumière une série de problèmes qui compromettront la conformité, l'auditabilité et la transparence, causés par des processus manuels et des solutions de contournement technologiques non approuvées. Les organisations devront agir rapidement pour résoudre une série de problèmes de risque et de conformité liés à la gestion des politiques, à la gestion de la conformité, aux applications informatiques destinées aux utilisateurs finaux, à la gestion de la chaîne d'approvisionnement, ainsi qu'à l'établissement de rapports et à la gestion de tous ces aspects.
