Une conformité qui résiste : ce qu'un système doit faire lorsqu'il est mis à l'épreuve 

Tout programme de conformité semble parfait en temps normal. Le véritable test intervient lorsqu’un organisme de réglementation ouvre un dossier, qu’un journaliste publie un article, qu’un client soulève une question relative à la diligence raisonnable ou que le conseil d’administration demande comment un problème a pu passer inaperçu. La différence entre une organisation qui en sort avec une crédibilité intacte et une autre qui n’y parvient pas réside rarement dans l’incident lui-même, mais dans ce que le système de conformité est capable de démontrer, par écrit, le jour où il est mis à l’épreuve. 

La conformité est, la plupart du temps, une fonction invisible. Les politiques sont révisées, les formations dispensées, les audits clôturés et les rapports transmis au conseil d'administration. Tout cela ne retient guère l'attention. Puis un événement survient – une contrepartie sanctionnée est découverte dans la chaîne d'approvisionnement, un paiement à un agent fait l'objet d'un examen minutieux, une violation de données est signalée, un lanceur d'alerte contacte un régulateur – et la fonction doit soudainement démontrer, en quelques jours ou semaines, que des années de travail ont permis d'établir une position défendable. 

C'est là que réside la différence entre un programme de conformité et un système de conformité. Un programme désigne un ensemble d'activités menées par l'organisation. Un système, quant à lui, est ce que l'organisation est en mesure de mettre en place, de démontrer et de justifier lorsqu'une partie externe lui demande des explications. La plupart des programmes résistent assez bien à un examen interne. Mais ils sont bien moins nombreux à tenir la route lorsque l'examen vient de l'extérieur. 

Qui relève ce défi ? 

Il convient de préciser qui sont réellement ces nouveaux acteurs, car chacun a des attentes différentes et le système doit répondre à toutes. Les autorités de régulation cherchent à savoir si l'organisation a pris ses obligations au sérieux avant que l'incident ne se produise – évaluations des risques, contrôles, surveillance, formation, escalade. La question qu'elles se posent est de savoir si la défaillance correspondait à un simple point de rupture dans un système bien géré, ou si elle révèle un système qui n'a jamais vraiment existé. 

Les clients et les partenaires commerciaux veulent avoir l'assurance qu'ils peuvent continuer à faire affaire avec l'entreprise en toute sécurité. Leur préoccupation porte sur l'avenir : cela se reproduira-t-il, et qu'est-ce qui a changé ? Les investisseurs et les agences de notation examinent la maturité de la gouvernance : le conseil d'administration a-t-il été informé, la surveillance était-elle adéquate, les informations ont-elles été communiquées en temps opportun ? Les journalistes et le grand public s'intéressent à la culture d'entreprise et aux intentions. Les auditeurs internes et les conseils d'administration examinent tous ces aspects, et bien d'autres encore. 

Aucun de ces publics ne se contentera d'apprendre que l'organisation dispose d'un programme de conformité. Ils veulent voir comment il fonctionne. 

Ce que signifie réellement « défendable » 

Le terme « défendabilité » est souvent utilisé à tort et à travers. Dans la pratique, il a un sens bien précis : l'organisation doit être en mesure de fournir, sur demande, des preuves démontrant que son système de conformité a été conçu de manière adéquate pour les risques auxquels elle est exposée, qu'il fonctionnait comme prévu, qu'il faisait l'objet d'un suivi et qu'il était en cours d'amélioration. Chacun de ces quatre éléments est essentiel. 

Conçu de manière appropriée. Le système doit refléter les risques réels auxquels l'organisation est exposée – et non pas être un programme générique adapté d'ailleurs. Un régulateur enquêtant sur un manquement en matière de sanctions voudra voir une évaluation des risques liés aux sanctions, accompagnée d'une justification documentée, qui établisse un lien entre l'exposition de l'organisation et les contrôles en place. Une politique copiée-collée d'un autre secteur ne résistera pas à cet examen. 

Fonctionnement conforme aux prévisions. Concevoir des contrôles n’est pas la même chose que les mettre en œuvre. Ce sont les preuves de fonctionnement – journaux, registres de filtrage, escalades, formations suivies en fonction des postes, exceptions traitées et documentées – qui distinguent un système d’un simple document. Les organisations qui ne sont pas en mesure de fournir rapidement ces preuves se rendent souvent compte qu’elles se basaient sur des hypothèses, et non sur des contrôles. 

Surveillé. Une personne autre que celles chargées de la gestion des contrôles doit vérifier que ces derniers fonctionnent correctement. Audit interne, surveillance de deuxième ligne, revue de direction : chaque organisation organise cela à sa manière, mais le principe reste le même. Sans cela, le système ne dispose d'aucune boucle de rétroaction et n'a aucun moyen de détecter les problèmes avant qu'ils ne se transforment en incidents. 

Amélioration. Les problèmes mis en évidence par le suivi, les audits, les signalements ou des événements externes doivent faire l'objet d'un suivi, être traités et clôturés de manière documentée. Le scénario le plus préjudiciable qui soit est celui où une autorité de régulation constate deux fois la même lacune de contrôle sans qu'aucune mesure n'ait été prise entre ces deux constatations. L'amélioration continue n'est pas un simple slogan : c'est la preuve que l'organisation tire les leçons de ses expériences. 

Pourquoi la certification change la donne 

La certification indépendante d'un système de gestion de la conformité – selon la norme internationale ISO 37301 – permet de transformer les efforts internes en preuves tangibles. Elle fait pencher la balance en votre faveur lorsque des contestations surviennent. 

Sans certification, l'organisation doit prouver, en partant de zéro, que son système répond à une norme crédible. L'autorité de régulation ou le partenaire est en droit d'être sceptique. Les documents internes sont évalués par des personnes qui n'ont aucune raison d'accorder le bénéfice du doute. Chaque affirmation concernant le système doit être étayée de A à Z, sous pression et dans l'urgence. 

Avec la certification, un organisme tiers indépendant a déjà évalué le système par rapport à une norme internationale et conclu qu’il répondait aux exigences. L’organisation ne demande pas qu’on lui fasse confiance : elle renvoie à une vérification externe qui a déjà été effectuée. Les régulateurs en tiennent compte. Les partenaires y trouvent une assurance. Les conseils d'administration s'y fient. Le cadre passe de « prouvez que votre système est crédible » à « expliquez comment cela a pu échapper à un système crédible ». C'est un tout autre débat – et c'est celui que les organisations souhaitent avoir le jour où elles sont mises en cause. 

Ce que le système doit être capable de produire ce jour-là 

Voici un exercice utile que tout responsable de la conformité peut réaliser sans faire appel à des intervenants externes : imaginez qu'un organisme de réglementation vient d'ouvrir un dossier. Il a prévu 48 heures de réunions. Que doit être en mesure de fournir l'organisation ? 

Une évaluation actualisée des risques de conformité, accompagnée d'une méthodologie documentée. Une liste des obligations de conformité, avec indication des responsables. Les contrôles mis en place pour répondre à ces obligations, accompagnés de preuves de leur mise en œuvre. Les dossiers de formation en lien avec les fonctions occupées. Les rapports de suivi des 24 derniers mois, comportant des preuves claires des problèmes soulevés et des mesures prises. Les rapports d'audit interne et les réponses de la direction. Les comptes rendus de l'implication du conseil d'administration – non pas des procès-verbaux indiquant simplement que « la conformité a été abordée », mais des comptes rendus détaillés. Les registres des incidents, des quasi-accidents et des mesures prises en réponse. Des preuves d'une amélioration continue – non pas sous forme d'affirmations, mais sous forme de traces documentées. 

Les organisations qui ont articulé leur système autour d'une norme internationale sont généralement en mesure de fournir la majeure partie de ces éléments en quelques heures. Celles qui ont géré leur conformité comme une simple tâche ponctuelle plutôt que comme un système structuré passent souvent des semaines à rassembler des preuves – et découvrent fréquemment, au cours de ce processus, que ces preuves n'existent pas. 

Le prix à payer pour découvrir la vérité sous pression 

Le scénario le plus difficile dans ce genre de situation est celui où une organisation se rend compte, en plein incident, que son système de conformité n'est pas aussi solide qu'elle le pensait. Le problème ne réside généralement pas dans l'absence d'une politique. Il s'agit le plus souvent d'un manque de preuves : des contrôles qui n'ont pas été effectués, des exceptions qui n'ont pas été documentées, des formations suivies mais non associées aux rôles, ou encore des audits ayant mis en évidence des problèmes qui n'ont jamais été résolus. 

Au moment où cela est découvert, les options sont limitées. L'organisation peut soit révéler ces lacunes et en assumer les conséquences, soit tenter d'y remédier dans l'urgence, au risque de donner l'impression de mettre en place un système a posteriori. Aucune de ces deux situations n'est souhaitable. L'alternative – mettre en place le système, en apporter la preuve et le faire vérifier par un organisme indépendant avant que le problème ne se pose – est nettement moins coûteuse et beaucoup moins stressante que la solution réactive. 

Ce que cela signifie concrètement 

Pour les organisations qui disposent déjà d'un système structuré de gestion de la conformité, l'intérêt de la certification réside dans le fait qu'elle transforme les efforts internes en preuves tangibles. Le travail était déjà accompli ; la certification le rend visible aux yeux de ceux qui ont besoin de le voir. 

Pour les organisations dont la fonction de conformité est encore organisée autour d'activités plutôt que d'un système, l'intérêt de s'aligner sur une norme reconnue réside dans le fait qu'elle fournit un cadre de référence. La norme ISO 37301 n'indique pas aux organisations quelles lois s'appliquent à elles, et elle n'élimine pas les risques liés à la conformité. Elle impose en revanche une discipline consistant à concevoir des contrôles adaptés aux risques, à documenter leur mise en œuvre, à les surveiller de manière indépendante et à les améliorer – les quatre éléments qui déterminent si le système tient la route en cas de remise en cause. 

La décision ne porte pas vraiment sur une norme, un certificat ou un audit. Elle porte sur ce que l'organisation souhaite être en mesure de produire, et dans quels délais, la prochaine fois qu'une personne extérieure à l'organisation posera la question. 

Mettre en place un système de conformité qui tient la route 

Vous souhaitez vous assurer que votre système de gestion de la conformité est solide ? Speeki certifie les organisations selon la norme ISO 37301 et dispense des formations d'auditeur interne et d'auditeur principal par l'intermédiaire de Speeki Executive Education.  

Contactez-nous pour discuter de la certification ou de la formation.