Démarrer un Programme de conformité à partir de zéro

Comme le savent de nombreux agents de conformité, être un service de conformité d’un seul, même avec un soutien administratif, est assez difficile. Que se passe-t-il si vous êtes le tout premier responsable de la conformité d’une organisation ? Comment allez-vous construire un programme à partir de zéro?

L’étape initiale et la plus importante consiste à s’assurer que le programme est correctement positionné, explique Donna Boehme, directrice chez Compliance Strategists. “La sélection, le positionnement et la structuration corrects du responsable de la conformité et de la fonction de conformité au sein de l’entreprise — réussir cette étape peut faire la différence entre une bonne auto-gouvernance et devenir le prochain titre du Wall Street Journal.”

Cela signifie que le responsable de la conformité a besoin de suffisamment d’autonomie vis-à-vis de la direction pour pouvoir parler de manière indépendante, tout en étant sûr d’être entendu, explique Boehme. De plus en plus, les responsables de la conformité des programmes de conformité solides relèvent du chef de la direction de l’organisation plutôt que de l’avocat général. Les dirigeants bénéficient également d’un accès direct au conseil d’administration.

De plus, une culture éthique forte dans une organisation est une composante essentielle de tout programme d’éthique et de conformité efficace. La direction joue un rôle très important dans la promotion de cela. ” Les dirigeants et les gestionnaires à tous les niveaux d’une organisation ont la responsabilité particulière de montrer l’exemple, de promouvoir les valeurs de l’organisation et de “faire parler”, explique Greg Triguba, propriétaire et directeur de Compliance Integrity Solutions, LLC.

En 2005, John Hairston a commencé à mettre en place un programme de conformité centralisé basé sur plusieurs initiatives décentralisées à Bonneville Power Administration (BPA), une entreprise fédérale de commercialisation d’énergie électrique à but non lucratif basée à Portland, en Oregon, pour un montant de 3 milliards de dollars. ” Nous voulions concevoir un programme qui aborderait de manière centralisée les normes de fiabilité et d’autres composants (de conformité), comme Sarbanes-Oxley”, explique Hairston. En tant que compagnie d’électricité, BPA est régie par un certain nombre de règlements, y compris ceux qui régissent l’information financière, ainsi que par des normes émises par la North American Electric Reliability Corporation (NERC); ces normes définissent les exigences de fiabilité pour la planification et l’exploitation du système d’alimentation en vrac utilisé partout en Amérique du Nord.

Auparavant, la fonction de conformité était répartie dans différents domaines des organisations, explique Hairston. Non seulement les responsabilités étaient décentralisées, mais “c’était à l’époque le classique “renard gardant le poulailler””, dit-il. Les mêmes employés de l’unité d’affaires qui effectuaient des tâches ont ensuite vérifié qu’ils étaient conformes. La direction de BPA et Hairston souhaitaient développer une approche plus traditionnelle de la conformité, dans laquelle un groupe indépendant évaluerait les activités des unités commerciales pour déterminer si elles étaient conformes. De plus, le BPA souhaitait créer un groupe qui pourrait avoir une conversation active et continue avec les organismes de réglementation les plus pertinents pour l’organisation.

Par exemple, en tant que compagnie d’électricité, le BPA est tenu de s’assurer que les arbres et autres végétaux sont à une certaine distance des tours et des lignes de transmission, ce qui réduit le risque de panne d’électricité en cas de tempêtes qui les déracinent. Alors que les employés de la zone de transmission du BPA sont responsables de s’assurer que les arbres sont correctement placés ou coupés, les employés chargés de la conformité effectuent des audits ponctuels ou examinent des photos démontrant la conformité.

Tout au long de ce processus, Hairston a été en mesure de communiquer facilement avec la haute direction. Il relève de l’administrateur adjoint de l’APB, et l’équipe de Hairston apporte des problèmes de conformité potentiels aux réunions mensuelles du comité de gestion de l’audit et des contrôles internes, où ils sont discutés avec les chefs de l’exploitation et les vice-présidents de l’APB, ainsi que l’administrateur adjoint. “J’ai une ligne de communication directe avec les gestionnaires, avec des commentaires et des interactions continus”, dit-il.

Parallèlement, Hairston affirme que sa capacité à développer des relations avec certains des 3 000 employés de BPA a également été la clé du succès du programme. Pour aider à cet égard, Hairston et son équipe travaillent avec environ 400 experts en la matière (PME) dans toute l’entreprise. Ces personnes font partie des unités commerciales, mais se voient attribuer différents éléments de la réglementation pertinente. Ainsi, les PME au sein de la gestion de la végétation seraient chargées de veiller au respect des règles applicables. “C’est une distinction importante, car nous (en conformité) ne pouvons pas effectuer le travail réel. Le secteur de la transmission le fait, ils doivent donc comprendre la réglementation “, explique Hairston. Son groupe vérifie ensuite que le travail a été effectué correctement.

“Les dirigeants et les gestionnaires à tous les niveaux d’une organisation ont une responsabilité particulière de montrer l’exemple, de promouvoir les valeurs de l’organisation et de “faire parler de soi”.” ”

— Greg Triguba,

Propriétaire & Principal,

Solutions d’intégrité de la conformité

” L’établissement de relations et de partenariats solides au sein d’une organisation est une étape importante pour diriger et gérer un programme d’éthique et de conformité efficace”, explique Triguba. Par exemple, le partenariat avec des domaines fonctionnels tels que les ressources humaines, la vérification interne, les communications, la sécurité d’entreprise et les TI est inestimable pour intégrer efficacement les programmes, les normes et les principes d’éthique et de conformité dans l’entreprise. ” Ce sont quelques-uns des partenariats clés dont l’organisation a besoin pour vous aider à porter le flambeau et à servir de force positive, vous aidant à faire progresser le succès de vos efforts et initiatives en matière d’éthique et de conformité”, ajoute Triguba.

Prendre le temps d’établir des relations et de promouvoir l’organisation de l’éthique et de la conformité comme une ressource utile et de soutien plutôt qu’une organisation plus légale et “chien de garde” est un objectif important à atteindre également. “Cela rend le bureau de l’éthique et de la conformité plus accessible, de sorte que les employés et les autres personnes se sentent à l’aise de venir vous poser des questions et des préoccupations”, explique Triguba.

Travailler avec d’autres domaines aide également à transmettre le message que tout le monde dans l’organisation doit assumer la responsabilité de la conformité. “La plus grande idée fausse que nous voyons encore aujourd’hui est l’idée que le responsable de la conformité “fait” la conformité”, explique Boehme. Bien sûr, le responsable de la conformité est une ressource experte et un coach. Cependant, “celui qui crée le risque doit le gérer”, ajoute Boehme. Après tout, les chefs d’entreprise devraient être les mieux informés sur les risques auxquels leurs domaines sont confrontés et sur les moyens de les atténuer.

Chez BPA, la formation et la communication ont été essentielles pour aider les employés à comprendre leur rôle dans la fonction de conformité, explique Hairston. Son groupe met à disposition des informations sur l’éthique et la conformité de manière continue et grâce à divers outils, y compris la formation en ligne et personnelle, ainsi qu’une “Semaine de la conformité” annuelle, avec des présentations par différentes parties de l’entreprise et des tables dans la cafétéria avec des informations.

Administration

Outre les mesures prises par Hairston et son équipe, axées sur la gestion du changement et la culture d’entreprise, il y avait un certain nombre d’activités administratives. Au début, ils ont examiné et évalué les initiatives de conformité qui avaient été mises en place. Des procédures écrites étaient-elles disponibles? Si oui, étaient-ils bien compris? Le groupe de la conformité a également évalué les fonctions de surveillance et d’audit, en recherchant les domaines qui pourraient être améliorés.

Au début, Hairston a également examiné des informations sur d’autres programmes de conformité, ce qui lui a permis de se faire une idée de ce que faisaient les pairs de l’APB. Il est devenu évident que beaucoup incorporaient des informations provenant des Lignes directrices fédérales sur la détermination de la peine des États-Unis sur des programmes efficaces de conformité et d’éthique. L’APB a également décidé d’intégrer les mêmes éléments — surveillance, chaîne de commandement, documentation des processus et procédures, rapports, enquêtes, application de la loi, évaluation des risques — à son programme. ” Nous avons examiné ce que le gouvernement fédéral considère comme des programmes de conformité efficaces “, explique M. Hairston.

De plus, Hairston a encouragé (bien qu’il n’ait pas mandaté) ses gestionnaires à obtenir une certification par le biais de la Society of Corporate Compliance and Ethics. La formation a permis de s’assurer que tout le monde travaille à partir de la même base de connaissances.

Les experts internes en gestion des risques de l’APB ont également effectué des évaluations des risques pour chaque élément du programme. Les évaluations portaient sur trois niveaux de risque : agence, conformité et fonctionnel. Hairston donne des exemples: un risque au niveau de l’agence est de modifier la réglementation. Au niveau de la conformité, un risque serait de ne pas documenter tous les systèmes et procédures. Et, un risque au niveau fonctionnel, comme les contrôles internes, pourrait être le manque de connaissances d’un employé sur les politiques d’acceptation des cadeaux.

“Les zones à risque les plus élevées ne sont pas toujours évidentes”, souligne Boehme. Par exemple, une entreprise de fabrication peut se concentrer sur le respect des règles de sécurité de l’usine. Bien que cela soit nécessaire, la direction peut bien sûr négliger les risques inhérents aux réglementations sur la confidentialité des données.

Hairston devait également déterminer quels types de systèmes et de processus seraient nécessaires pour recueillir des données de conformité et les communiquer aux organismes de réglementation appropriés, au besoin. En 2009, BPA a mis en place un outil logiciel de conformité. Les données des rapports produites par les experts en conformité de l’entreprise peuvent être entrées dans le système, ce qui simplifie le processus d’examen, de compilation et de soumission des informations aux autorités compétentes.

Avec ses employés, Hairston cherche continuellement des moyens de faire passer le programme de conformité du BPA au niveau supérieur. Entre autres initiatives, ils développent de nouvelles méthodes pour évaluer et démontrer la valeur de la conformité, explique Hairston. Travailler à renforcer la culture de la conformité est également un effort continu, ajoute-t-il.