Michael Rasmussen et l'équipe GRC de Mitratech s'associent pour un webinaire qui tombe à point nommé. Notre sujet ? Comment les responsables GRC peuvent apprendre à se prémunir contre la principale menace de conformité du SMCR qu'ils pourraient très bien manquer.
Le Senior Manager and Certification Regime (connu dans le domaine de la GRC sous le nom de SMR/CR ou SMCR) exige des organisations financières du Royaume-Uni qu'elles définissent les responsabilités des hauts responsables de l'entreprise et qu'elles assurent le suivi de leur prise de conscience et de leur responsabilité. Mais en se précipitant pour se mettre en conformité, ces organisations peuvent négliger d'atténuer leur plus grande menace : leurs propres employés.
Au cours de notre webinaire, auquel participeront non seulement Michael et moi-même, mais aussi mon collègue expert Jon Dedman, consultant principal en GRC chez Mitratech, nous explorerons ces questions.
Pourquoi parlons-nous du SMCR maintenant ?
En 2016, les régulateurs britanniques, à savoir la Financial Conduct Authority (FCA) et la Prudential Regulation Authority (PRA), étaient confrontés à un problème : la corruption financière se poursuivait et s'intensifiait, et pourtant, à l'exception de scandales majeurs tels que le truquage du LIBOR, elle continuait à passer inaperçue pour l'essentiel. Et lorsqu'elle était détectée, les auteurs s'en tiraient souvent avec une simple tape sur les doigts - peut-être une amende de quelques millions de livres, ou le licenciement de quelques exécutants de niveau inférieur pour malversation.
Pendant ce temps, la culture générale de la corruption n'était pas contrôlée et les dirigeants qui en étaient responsables restaient en place. La FCA s'est rendu compte que cette culture de la corruption devait être combattue et contrôlée, d'où le SMCR. À l'origine, l'objectif principal du SMCR était de décourager les comportements répréhensibles en améliorant la responsabilité individuelle et la prise de conscience des problèmes de conduite dans les entreprises. Plus précisément, il s'est concentré sur trois objectifs principaux :
- Concentrer la responsabilité des fautes commises sur un petit nombre d'individus au sommet ou près du sommet de la hiérarchie des grandes institutions financières.
- Encouragez ces personnes à assumer une plus grande responsabilité pour leurs actions directes, ainsi que pour les comportements indirects qui contribuent à une culture du laissez-faire.
- Faciliter la tâche des régulateurs, des auditeurs et des employés de banque de demander des comptes à certaines personnes pour des malversations.
L'intention du SMCR est claire comme de l'eau de roche dans le langage même du règlement :
"L'objectif du régime des cadres supérieurs et de la certification est de réduire les préjudices causés aux consommateurs et de renforcer l'intégrité du marché en rendant les individus plus responsables de leur conduite et de leurs compétences. Dans ce cadre, le SMCR vise à :
- encourager une culture où le personnel, à tous les niveaux, assume la responsabilité personnelle de ses actes
- s'assurer que les entreprises et le personnel comprennent clairement et peuvent démontrer où se situe la responsabilité".
Voir la forêt, pas seulement les étincelles
Le SMCR est donc considéré par beaucoup comme l'élément de réglementation le plus important en termes de gouvernance depuis très longtemps, avec des sanctions conséquentes pour les contrevenants. Au total, le SMCR pourrait avoir un impact sur plus de 60 000 organisations financières d'ici à ce qu'il soit pleinement en vigueur.
Michael Rasmussen est largement considéré comme le "père de la GRC" et explique que le SMCR...
"...responsabilise personnellement les directeurs et cadres supérieurs en matière de risque, de conformité et de contrôle. Ces personnes peuvent aller en prison ou se voir infliger une amende personnelle (et leur organisation ne peut pas les rembourser). Les amendes et les actions sont dirigées contre eux personnellement. Par exemple, le PDG de Barclay a récemment été condamné à une amende personnelle de 640 000 livres sterling en vertu du règlement britannique sur le contrôle des risques et la conformité. C'est la réglementation britannique SMR/CR qui veille à ce que les autres réglementations ainsi que les risques soient correctement gérés au sein de l'organisation.
Pourtant, pour les responsables GRC, le véritable défi n'est n'est pas les détails de ce que le SMCR impose, ni même les pénalités qu'il impose.. Se concentrer sur ces éléments revient à transporter un seau d'eau pour éteindre les étincelles alors que la forêt reste sèche et inflammable comme de l'amadou. Nous ne pouvons pas nous contenter de nous concentrer sur le simple respect des règles ou sur la limitation des dégâts après coup.
le SMCR et d'autres réglementations - et l'activisme populaire et les manifestations publiques - sont les signes d'un d'un courant plus large et plus profond. Un courant qui s'est déjà avéré fatal pour les imprudents. Le SMCR est une réglementation britannique, mais il y a un tollé mondial pour une plus grande responsabilité des entreprises et des individus. Tout comme le GDPR de l'UE a relancé le débat mondial sur la réglementation en matière de protection de la vie privée, le SMCR est en train de faire des émules dans le monde entier. imité dans le monde entier. L'Irlande, l'Australie, Singapour, Hong Kong et le Japon ont tous des réglementations similaires en cours d'élaboration.
En d'autres termes ? D'énormes pressions sociétales sont à l'œuvre et ne diminueront pas. Pour répondre à ces attentes totalement nouvelles, le véritable obstacle pour les professionnels de la GRC sera de trouver comment profondément profondément les comportements des employés et et d'imposer efficacement une culture éthique au sein d'une organisation. Pour être franc ? Les stratégies et les outils d'hier ne sont pas à la hauteur de cette tâche.
Les processus antérieurs doivent être abandonnés
Si vous êtes un professionnel de la gouvernance dans l'une de ces 60 000 institutions financières, vous avez probablement beaucoup de questions sans réponse sur le SMCR. Tout d'abord, comment mettre en œuvre au mieux les stratégies et les meilleures pratiques nécessaires pour garantir une conformité continue et réussie ?
La dure réalité ? Si vous vous reposez sur les outils et les approches qui vous ont bien servi jusqu'à présent, vous êtes en fait en train de ajoutez risque, et non à l'atténuer.
En raison de l'ampleur du SMCR, l'adoption d'une approche manuelle ou l'espoir de se mettre en conformité avec les outils GRC existants ne sont pas des stratégies efficaces. ne seront probablement pas des stratégies efficaces. Essayer de gérer le SMCR manuellement à l'aide d'e-mails, de feuilles de calcul et d'autres documents n'entraînera pas seulement des problèmes inutiles (et très coûteux), mais aussi des pertes de temps et d'argent. inutiles (et très coûteuses) (et très coûteux), mais compliquerait aussi grandement la mise en place de la piste d'audit et du système d'enregistrement requis et attendu par les régulateurs de la FCA.
Le SMCR ne demande rien de moins que les meilleures solutions technologiques et l'utilisation des les meilleures pratiques les plus récentes afin de réduire le risque de violation ou de non-conformité, d'améliorer l'efficacité opérationnelle et d'assurer le succès du SMCR.
Un changement radical dans la reconnaissance - et l'atténuation - des risques
Pour y parvenir, il faut revoir notre compréhension de la manière dont les lacunes en matière d'éthique managériale ou d'éthique du travail se produisent. Il ne s'agit pas d'éliminer les proverbiales "mauvaises pommes". pommes pourries. Elles peuvent provenir d'une mentalité d'entreprise qui ne parvient pas à éduquer et à impliquer les cadres, les dirigeants et les employés de manière continue, et donc à obtenir leur engagement en faveur d'une culture axée sur l'éthique.
Le succès dans ce domaine ne peut être obtenu qu'en conduisant un changement radical à tous les échelons d'une organisation - du haut vers le bas et du bas vers le haut.. Pour atteindre le niveau suivant de maturité du SMCR, il ne suffit pas de répondre aux exigences énoncées. Il s'agit de de fournir des mécanismes efficaces et modernisés pour aider les cadres supérieurs et les employés à assumer leur responsabilité personnelle et à atténuer ce risque.
Si vous souhaitez en savoir plus sur ces stratégies de meilleures pratiques et sur les types de technologie que vous pouvez utiliser pour gérer facilement les nombreuses complexités du SMCR, veuillez rejoindre Michael Rasmussen lors de notre webinaire en direct. La discussion promet d'être passionnante, car les implications du SMCR commencent tout juste à prendre forme.

