Les administrateurs doivent assurer la surveillance des obligations de conformité selon les nouvelles directives de l’AICD

L’Institut Australien des Administrateurs de Sociétés (AICD) a publié en octobre 2024 de nouvelles directives sur la surveillance des obligations de conformité des entreprises par les administrateurs. La nouvelle Déclaration de Pratique définit les principales responsabilités des administrateurs pour garantir que leurs entreprises respectent la conformité réglementaire. Elle souligne l’importance d’une gestion proactive des risques, d’une vigilance constante face aux potentiels « signaux d’alerte » de conformité, et de la remise en question de la direction si nécessaire pour assurer l’alignement avec les obligations légales.

Pour les organisations, cela implique une plus grande attention à la culture de conformité, des audits réguliers et l’utilisation de la technologie GRC pour surveiller les risques et obtenir une meilleure visibilité des obligations de conformité. Les administrateurs doivent rester informés pour mieux comprendre et gérer les risques émergents en matière de conformité.

Dans cet article, nous explorons ce que ces nouvelles directives signifient pour les administrateurs d’entreprise et les organisations qu’ils supervisent. Nous examinons également comment les logiciels GRC peuvent offrir une visibilité sur les obligations de conformité et leur statut pour aider les organisations à s’aligner sur les exigences.

Pourquoi l’AICD a-t-il introduit ces directives ?
L’AICD a introduit ces nouvelles directives en raison de la complexité croissante des exigences réglementaires, d’une série d’échecs en matière de risque et de conformité, et du degré d’ambiguïté concernant les responsabilités. Ces directives visent à garantir que les organisations adoptent une approche plus proactive et structurée de la gestion des risques et de la conformité, assurant visibilité et responsabilité. Les nouveaux mandats exigeront des conseils qu’ils jouent un rôle plus actif dans la conformité et encouragent les individus à s’exprimer lorsqu’ils sont témoins de cas de non-conformité pour s’assurer qu’ils sont traités et résolus rapidement. L’objectif est de réduire le « risque de conformité » et d’apprendre des échecs et des quasi-accidents.

À quels types d’obligations de conformité s’applique la réglementation ?
Les entreprises australiennes doivent se conformer à diverses obligations réglementaires non financières, notamment en matière de santé et sécurité au travail, de droits des employés, de cybersécurité et de protection des données. Elles sont également soumises aux lois relatives à la lutte contre le blanchiment d’argent, la corruption et les pots-de-vin. De plus, de nombreuses entreprises doivent respecter des normes de durabilité, comme le reporting des risques climatiques, le suivi des émissions, la lutte contre l’esclavage moderne dans la chaîne d’approvisionnement, la réduction des écarts de rémunération entre les sexes et la prévention du harcèlement sexuel au travail. Il existe également tout un ensemble de normes et réglementations spécifiques à l’industrie et liées à l’ESG auxquelles les organisations doivent se conformer pour rester opérationnelles.

Indépendamment du secteur ou de la taille d’une entreprise, ses obligations peuvent être complexes, posant des risques opérationnels, de conformité et réglementaires. Ces obligations nécessitent une surveillance continue de la part des administrateurs. La non-conformité peut entraîner des dommages juridiques, financiers et réputationnels importants, pouvant nuire aux relations avec les clients, les employés, les actionnaires et les régulateurs.

Quand les administrateurs peuvent-ils être jugés responsables des manquements à la conformité ?
Une violation des obligations légales ou réglementaires d’une entreprise n’implique pas automatiquement qu’un administrateur a manqué à son devoir de diligence. À l’inverse, les administrateurs peuvent être tenus responsables d’un manquement à leurs obligations, même si l’entreprise n’a pas violé ses obligations de conformité. La déclaration de pratique de l’AICD fournit des directives complètes pour aider les entreprises à distinguer entre les défaillances de gouvernance, la responsabilité organisationnelle et les fautes individuelles.

Il est donc important qu’une organisation dispose de systèmes garantissant que les individus sont conscients des obligations de conformité de l’entreprise, et que les entreprises puissent fournir des preuves des mesures et processus qu’elles ont mis en place pour assurer la conformité. Il doit également exister des procédures permettant aux entreprises de traiter les zones de non-conformité et d’enregistrer les potentiels signaux d’alerte et quasi-accidents pour s’assurer qu’ils sont traités. Ces processus permettront de clarifier, tant pour les organisations que pour les régulateurs, si l’échec de conformité était dû aux systèmes de conformité de l’organisation et à un manque de communication ou si un individu était responsable d’avoir été délibérément négligent et d’avoir ignoré les exigences.

L’AICD indique que les administrateurs doivent rester attentifs aux « signaux d’alerte » qui nécessitent un examen plus approfondi. Ceux-ci peuvent inclure, par exemple :

• Absence ou lacunes dans les rapports ou manque de franchise de la direction envers le conseil sur les questions clés de conformité.
• Rapports critiques ou retours des régulateurs suggérant une mauvaise gestion des risques.
• Manque persistant d’investissement dans les systèmes clés et les zones à risque.
• Exceptions fréquentes ou croissantes aux politiques et protocoles.
• Une catégorie de risque évaluée comme élevée et/ou croissante.
• Déficiences de contrôle interne non résolues ou récurrentes concernant les questions de conformité.
• Manque de communication ou de partage d’informations entre les lignes fonctionnelles et commerciales.
• Manque de preuves ou de diligence documentée pour appuyer les assurances de la direction.
• Confiance élevée de la direction dans l’efficacité des contrôles des risques sans examen ou vérification régulière.
• Augmentation des plaintes des clients/fournisseurs.
• Externalisation importante des services avec un contrôle ou une supervision limitée de la direction.

*Source : AICD

Comment les logiciels GRC peuvent-ils aider les entreprises à aligner leurs processus sur la nouvelle déclaration de pratique de l’AICD ?
Les logiciels GRC (gouvernance, risque et conformité) peuvent jouer un rôle central pour aider les organisations à aligner leurs processus sur la nouvelle déclaration de pratique de l’AICD. Ces systèmes offrent des cadres de bonnes pratiques, des modèles, des flux de travail et des formulaires prêts à l’emploi pour aider les entreprises à :

• Comprendre leurs obligations de conformité.
• Mettre en place des contrôles de gouvernance, des politiques et des procédures pour assurer la conformité.
• Suivre les échecs de conformité et les quasi-accidents.
• Gérer les risques.
• Mettre en place des contrôles.
• Permettre au personnel de signaler les potentielles violations de conformité réglementaire et les quasi-accidents.
• Utiliser des flux de gestion de cas pour rectifier les violations de conformité.

Voici comment les logiciels GRC peuvent soutenir l’alignement avec la déclaration de pratique de l’AICD dans plusieurs domaines clés :

Suivi des obligations de conformité
Les entreprises peuvent utiliser le logiciel GRC pour créer une bibliothèque numérique d’obligations. Chaque réglementation applicable et les exigences sont saisies dans le système, et des contrôles, processus, procédures et politiques sont mis en place pour assurer la conformité. La responsabilité est attribuée pour chaque obligation et les étapes mises en œuvre pour assurer la conformité.

Des flux de travail automatisés sont utilisés pour établir une surveillance régulière de la conformité et des vérifications pour contrôler le statut de conformité, et des flux de gestion des incidents sont utilisés pour escalader tout signal d’alerte, écart de conformité ou quasi-accident afin qu’ils puissent être rectifiés.

Cette visibilité complète des obligations et des mesures mises en place par l’entreprise pour s’y conformer sert de piste d’audit pour prouver la conformité et met en évidence la responsabilité pour toute zone de non-conformité.

Gestion des risques
Disposer d’un programme de gestion des risques conforme aux meilleures pratiques est un excellent moyen de répondre à certaines des exigences décrites dans la déclaration de pratique de l’AICD. Les logiciels GRC offrent des cadres de bonnes pratiques, des modèles, des flux de travail et des formulaires pour mettre en œuvre un programme de gestion des risques directement utilisable. Les entreprises peuvent créer un registre des risques incluant tous les types de risques, des risques opérationnels et d’entreprise aux risques de conformité et cyber. Des indicateurs clés de risque peuvent être établis pour chaque risque, et les niveaux de risque sont surveillés par des évaluations régulières ou en reliant la plateforme à d’autres systèmes et sources de données. Les flux de travail sont utilisés pour automatiser complètement le processus d’« évaluation des risques », le personnel reçoit simplement un e-mail automatisé et remplit un formulaire en ligne, et toutes les données saisies alimentent directement la plateforme.

Lorsque les niveaux de risque sont élevés, le système alerte les parties concernées et les flux de gestion des cas permettent aux entreprises d’escalader le risque et de documenter entièrement quand et comment il a été résolu. Avoir une surveillance adéquate du risque de conformité à tous les niveaux de l’entreprise aide les entreprises à s’aligner sur la déclaration de pratique de l’AICD. En utilisant un logiciel GRC, les administrateurs peuvent facilement avoir une visibilité sur les risques de conformité et opérationnels, leur permettant d’intervenir si nécessaire.

Contrôles et surveillance des contrôles
Pour assurer la conformité et gérer les risques, une entreprise doit avoir une série de contrôles en place. Les contrôles peuvent être une politique ou une procédure, une vérification ou une inspection régulière, une formation, un équipement de sécurité ou de sûreté. Quel que soit le contrôle, l’organisation devra effectuer des vérifications et des tests réguliers pour s’assurer de leur efficacité. Le logiciel GRC facilite la documentation de l’ensemble du processus de « gestion des contrôles ». La documentation complète du processus permet aux administrateurs d’avoir facilement une visibilité sur les lacunes et les défaillances des contrôles qui pourraient compromettre la conformité. Des flux de gestion des cas sont également utilisés pour escalader les lacunes des contrôles et documenter les actions correctives. Cela permet une visibilité des lacunes des contrôles (et des processus de conformité affectés) permettant aux personnes responsables de prendre des mesures et aidant les administrateurs à être pleinement conscients des problèmes.

Gouvernance
Le logiciel GRC soutient le développement de cadres de gouvernance robustes en définissant clairement les rôles, les responsabilités et les processus liés à la conformité. Cela garantit que les administrateurs et la direction sont alignés dans leur compréhension des obligations de conformité et des attentes en matière de gouvernance. En facilitant la communication et la collaboration entre les différents départements et en formalisant les processus et procédures, les outils GRC contribuent à créer une culture de la conformité dans toute l’organisation, comme le préconise l’AICD.

Gestion des incidents et gestion des cas
Le logiciel GRC simplifie les processus de signalement d’incidents et de gestion des cas, permettant aux organisations de documenter et de traiter rapidement les incidents et les violations de conformité. Le personnel de tous niveaux peut enregistrer un « incident », qu’il s’agisse d’une défaillance de contrôle, d’une lacune de conformité, d’une violation de politique ou de tout ce qui pourrait compromettre la conformité. Cette fonctionnalité permet aux entreprises d’évaluer l’impact des incidents liés à la conformité, de mettre en œuvre des actions correctives et de prévenir leur récurrence, ce qui est essentiel pour maintenir la conformité avec les recommandations de l’AICD sur la visibilité des zones de non-conformité, l’escalade des échecs de conformité et la clarification des responsabilités.

Gestion des politiques
Un logiciel GRC efficace fournit des outils pour créer, distribuer et gérer les politiques dans toute l’organisation. Cela garantit que tous les employés sont conscients de leurs obligations et responsabilités et opèrent conformément aux politiques de l’entreprise. En maintenant des politiques à jour et en suivant les modifications, les approbations et les attestations des employés, les organisations peuvent favoriser une culture de conformité et de responsabilité, comme souligné dans la déclaration de pratique de l’AICD. Si un membre du personnel est considéré comme étant en violation d’une politique, cela peut être enregistré dans le système et les actions prises peuvent être entièrement documentées.

Lancement d’alerte
De nombreuses plateformes GRC offrent un portail en ligne discret de lancement d’alerte. Cela fournit une voie simple et anonyme pour que les employés signalent les cas suspectés de mauvaise conduite ou de non-conformité. Des flux de travail automatisés escaladent les cas à l’équipe concernée et facilitent la gestion des cas jusqu’à ce que l’incident soit résolu. Cela démontre à l’AICD que l’organisation est proactive dans le traitement des potentielles mauvaises conduites qui pourraient impacter la conformité et apporte de la clarté sur les responsabilités.

Gestion des audits
Les entreprises sont généralement auditées par rapport à leurs obligations de conformité, soit par des audits internes réguliers, soit par des audits externes programmés par les régulateurs eux-mêmes. Le logiciel GRC peut également aider les entreprises à formaliser le processus d’audit. Les entreprises peuvent utiliser le logiciel pour planifier et programmer leurs audits et capturer les résultats via des formulaires en ligne, créant une vue complète de tous les audits et de leurs résultats. Des flux de gestion des cas peuvent également être utilisés pour escalader et résoudre les non-conformités, documentant l’ensemble du processus d’audit. Des audits similaires peuvent être clonés pour une configuration facile. Les outils permettent aux entreprises d’apprendre facilement des résultats d’audits précédents, assurant une amélioration continue. La documentation de l’ensemble du processus d’audit démontre à l’AICD que les entreprises prennent la conformité au sérieux et traitent activement les échecs de conformité.

En utilisant un logiciel GRC pour gérer ces domaines clés, les entreprises peuvent efficacement aligner leurs processus sur la nouvelle déclaration de pratique de l’AICD, s’assurant qu’elles respectent leurs obligations légales et réglementaires tout en favorisant une culture de conformité et de gouvernance.

Conclusion
L’alignement sur la nouvelle déclaration de pratique de l’AICD exige que les organisations adoptent une approche proactive et structurée de la surveillance de la conformité. L’utilisation d’un logiciel GRC fournit les outils nécessaires aux administrateurs et à leurs entreprises pour obtenir une visibilité sur les obligations de conformité, gérer les risques et surveiller efficacement les contrôles. Du suivi des exigences réglementaires au signalement des incidents, en passant par la gestion des politiques et les audits réguliers, les plateformes GRC permettent aux entreprises de créer une culture de responsabilité et de conformité. En adoptant ces technologies, les entreprises peuvent non seulement respecter leurs obligations légales mais aussi améliorer leurs cadres de gouvernance, assurant une durabilité à long terme et la confiance des parties prenantes.

Si vous souhaitez en savoir plus sur la façon dont un logiciel GRC peut aider votre organisation à aligner ses processus sur les nouvelles directives définies par l’AICD, demandez une démonstration.