Échos du monde : La gestion des incidents - élément clé d'un programme de conformité défendable

Pourquoi la gestion des incidents est-elle si importante pour un programme de conformité défendable ?

Jim Montgomery 24 septembre 2019

En avril dernier, nous vous avons expliqué l'importance de la gestion des politiques et des procédures dans la création d'un programme de conformité défendable. Ce mois-ci, je vais vous expliquer pourquoi la gestion des incidents est un élément tout aussi important pour respecter ces lignes directrices.

Comme vous vous en souvenez peut-être, les Federal Sentencing Guidelines for Organizations (FSGO) des États-Unis ont servi de base aux tribunaux américains pour imposer des sanctions sévères aux organisations dont les employés ou les agents ont violé des lois fédérales.

Les lignes directrices sont conçues pour encourager les organisations à développer des programmes de conformité et d'éthique efficaces afin de prévenir et de détecter les violations de la loi. Sept domaines clés doivent être pris en compte dans l'élaboration d'un tel programme de gouvernance efficace :

1 - Politiques et procédures écrites

2 - Un responsable de la conformité et un comité de conformité désignés

3 - Une formation et un enseignement efficaces

4 - Des lignes de communication efficaces

5 - Contrôle et audit internes

6 - Application des normes par le biais de lignes directrices disciplinaires bien diffusées

7 - Réponse rapide aux problèmes détectés par des actions correctives

Obtenir le livre électronique gratuit

Le rôle de la gestion des incidents

Un élément fondamental de tout programme de conformité (en particulier pour satisfaire aux points 5 et 7 ci-dessus) est la gestion des incidents, un moyen pour les employés d'alerter vos professionnels de la conformité de tout manquement aux réglementations externes, aux politiques et procédures internes ou à toute autre exigence imposée à votre organisation. Une fois que vous avez connaissance de ces défaillances dans les contrôles, vous devez être en mesure d'enquêter sur les détails de l'incident, d'en identifier la cause profonde et de suivre les actions correctives afin d'éviter que le même type d'incident ne se reproduise à l'avenir.

Quelle que soit la qualité de votre système de gestion des incidents, il n'est efficace que si vos employés ont la volonté et/ou la capacité de vous signaler les problèmes. Comment concevoir un programme accessible, efficace et facile à utiliser ? Voici cinq points que vous devez garder à l'esprit lors de la sélection ou de la conception de votre processus de gestion des incidents.

Rester simple

La meilleure façon de s'assurer que vos employés vous signalent ces incidents est de rendre le processus aussi simple que possible. Les formulaires de déclaration initiale d'incident doivent être courts et simples, et rassembler simplement et efficacement les informations de base (qui, quoi, quand et où) concernant l'incident. Ils doivent également être intelligents, réactifs et basés sur la permission - si je signale un incident de corruption potentielle de la part d'un collègue, ne me posez pas de questions sur les détails d'une violation de la sécurité. En outre, ne me montrez que la section dont je suis responsable, et non l'ensemble du formulaire.

Suivre le courant

Une fois que ces détails initiaux sont rapportés, il revient aux professionnels de la conformité d'enquêter sur l'incident, de remplir les blancs et d'ajouter les détails nécessaires à un examen et à une analyse appropriés de la cause première de l'incident. Assurez-vous que votre solution offre un moteur de flux de travail flexible et configurable pour envoyer ces rapports initiaux aux enquêteurs appropriés en fonction de la catégorie ou de la gravité, pour les guider tout au long du processus d'enquête grâce à des alertes sur le tableau de bord et à des notifications par courrier électronique, et pour garantir l'achèvement de l'enquête dans les délais avec des échéances et des escalades lorsque les délais ne sont pas respectés.

L'utiliser ou le perdre

Il ne suffit pas de collecter les données, il faut en faire quelque chose. Il peut s'agir simplement d'afficher un tableau de bord d'analyse de haut niveau de vos données, de rapports et d'exportations destinés à être consultés et analysés par d'autres professionnels de la conformité, ou d'alimenter en informations un outil de veille économique par l'intermédiaire d'un entrepôt de données.

Il suffit de le faire

Vous n'avez pas encore terminé ! Qu'une enquête unique nécessite une remédiation immédiate ou qu'une tendance ou une anomalie dans vos données révèle un problème plus systémique qui doit être traité, votre solution doit prendre en charge la création, l'affectation et l'approbation des actions correctives afin d'apporter des réponses rapides aux problèmes détectés.

Ai-je mentionné qu'il fallait rester simple ?

L'une des plus grandes erreurs que je constate chez les clients est de trop compliquer ou de trop élaborer le processus de gestion des incidents. Qu'il s'agisse de créer un formulaire avec trop de questions, de concevoir un processus avec trop d'étapes ou d'inonder la boîte de réception de tout le monde avec trop de notifications automatisées de chaque étape de chaque incident, croyez-moi : moins, c'est mieux.

[templatera id=”32657″]

Jim Montgomery

Jim Montgomery est directeur des produits GRC chez Mitratech. Il possède 16 ans d'expérience dans la vente, la mise en œuvre, le soutien et la gestion de solutions logicielles d'entreprise. Au cours des 8 dernières années, il a appliqué cette expérience aux solutions de conformité dans le domaine de la gouvernance, du risque et de la conformité (GRC). Lorsqu'il n'aide pas les entreprises du monde entier à gérer les risques et les coûts associés avec transparence, prévisibilité et contrôle, Jim aime lire, écouter de la musique et profiter du grand air.

Solutions pour l'industrie