COVID-19 – Et la compliance dans tout ça ?

En pleine gestion du casse-tête de la crise sanitaire du COVID-19, les dirigeants se focalisent sur la production, la chaîne d’approvisionnement ou la gestion des ressources humaines. Mais certaines fonctions, comme la compliance, ne perdent pas de leur pertinence pour autant, pendant et après.

Depuis plusieurs semaines déjà, la crise sanitaire liée au COVID-19 accapare l’attention- et l’énergie- des organisations et les sature sur des actions de gestion de crise, de préservation des emplois ainsi que de communication et d’application des gestes barrières afin de freiner la propagation du virus. En conséquence, les fonctions et les initiatives de compliance semblent avoir été souvent mises de côté afin de gérer les urgences reliées à la crise actuelle. Toutefois, il est important de noter que les fonctions compliance des organisations demeurent tout aussi pertinentes pendant cette crise sanitaire afin d’en atténuer les impacts lors du retour à la normale.

Pendant la crise

La crise sanitaire du COVID-19 ne réduira pas les risques de corruption auxquels font face les entreprises. Au contraire ! Les criminels en col blanc profitent souvent de ces situations qui peuvent réduire notre vigilance. Lorsque les urgences s’accumulent et que les gestionnaires doivent rapidement prendre des décisions souvent sans pouvoir consulter un panel de conseillers, les pressions de certaines parties prenantes afin d’accélérer telle commande ou de contourner telle démarche administrative avec des moyens expéditifs peuvent parfois devenir trop fortes. 

Il est donc nécessaire, tout au long de la crise, d’assurer que les compliance officers et les référents éthiques soient visibles et joignables rapidement. En outre, ces derniers pourront être consultés comme experts par la cellule de gestion de crise s’il n’a pas été opportun de les inclure dans cette dernière.

De plus, il peut être important de réitérer l’engagement du top management dans les valeurs incarnées dans le code de conduite à travers une communication corporative : le code de conduite s’applique qu’on soit en fonctionnement normal ou en temps de crise. Les employés qui ne sont pas engagés dans la gestion de crise ont peut-être un peu plus de temps si l’activité est ralentie et seront plus disponibles pour revoir les éléments contenus dans le code de conduite. Peut-être est-ce le temps de renvoyer les liens sur les formations éthiques en ligne afin que ce temps soit le plus productif possible. Le niveau de sensibilisation aux enjeux d’éthiques des affaires pourra donc être renforcé. 

Suite à la crise

A la suite de cette crise sanitaire, certaines actions seront à entreprendre afin de refléter son impact sur les risques et les processus afférents en tout ou en partie à la conformité.

Prenons par exemple la cartographie des risques de corruption relative aux diligences de l’article 17 de la loi Sapin 2. Dans les méthodologies classiques de cartographie des risques, la mise à jour de la cartographie se fait à intervalle régulier ou lorsque l’environnement de l’entreprise subit des changements significatifs, tels que l’acquisition d’une nouvelle activité, l’expansion dans une nouvelle zone géographique, etc. La survenance d’une pandémie comme celle que nous vivons devra être incluse désormais dans les cartographies des risques de corruption. La notion de pandémie pourra être incluse dans un terme un peu plus générique et large : situation d’urgence, crise sanitaire, etc. Un risque spécifique pourra être créé ou être inclus, lorsque pertinent, dans les risques existants. Chaque cartographie est différente car doit refléter la situation spécifique de l’organisation.

D’un autre côté, le retour d’expérience de la gestion de la crise permettra d’identifier les moyens de maîtrise actuels qui ont été efficaces lors de cette dernière. En revanche, il faudra certainement mettre en place de nouveaux moyens de maîtrise afin de pouvoir être préparés à réagir avec agilité à la prochaine crise, qu’elle soit sanitaire, climatique, etc. Il y aura sans aucun doute des décisions à prendre en urgence et des contrôles à effectuer en mode dégradé.

De plus, le code de conduite pourra également être amélioré afin de refléter des situations de crise ou d’urgence comme celles que nous vivons actuellement afin de réitérer le message selon lequel ce code s’applique aussi lors de ces situations et donner des exemples de conduites à tenir.

Comment s’inspirer des bonnes pratiques des autres fonctions

Les DSI ayant depuis longtemps mis en place des processus pour gérer les crises, on pourra s’inspirer de certains processus IT effectués en mode dégradé. Par exemple, lorsqu’une vulnérabilité significative est identifiée, il est nécessaire d’appliquer un correctif en urgence. Les processus de mise en production en urgence requièrent moins de formalisme en amont : le ticket est souvent créé immédiatement, des tests sommaires sont rapidement effectués afin de s’assurer de la comptabilité du correctif et des tests complets sont effectués après la mise en production. Le comité des changements qui approuve la mise en production du patch peut se réunir virtuellement et documenter a posteriori la décision de mise en production. Le ticket du changement est documenté a posteriori et est revu pour s’assurer que le changement n’aura pas eu d’impact négatif sur les systèmes d’information en production.

Cette manière de fonctionner en urgence pourra s’appliquer, par exemple, au processus d’évaluation et de sélection des tiers lorsqu’on travaille en période de crise et où certains contrôles doivent être effectués en mode dégradé ou a posteriori. Par exemple, un processus de sélection et d’évaluation des tiers d’urgence pourra rendre obligatoire certains contrôles de sélection mais devra s’assurer que post-crise l’ensemble des contrôles d’évaluation du tiers seront effectués afin de valider la sélection du tiers. La décision de sélection devra malgré tout être documentée, ce qui inclura les critères sur lesquels elle aura été effectuée. Evidemment, ce processus dégradé ne pourra s’appliquer que dans des situations très précises déterminées en amont de la crise.

Quand les adaptations ne sont pas possibles

En revanche, certains processus devront être conservés dans leur intégralité même en période de crise. Prenons par exemple le cas du RGPD : l’évaluation du privacy by design et du privacy by default lorsqu’on mettra en place un traitement de données à caractère personnel en période de crise. Il faudra être très vigilant à protéger les droits des personnes concernées, car le RGPD n’autorise pas de proportionnalité en situation de crise. Il est à noter que ces évaluations doivent être complétées avant le début du traitement.

La compliance comme gouvernail de l’organisation lors de la tempête

Les fonctions compliance participent à la pérennité d’une organisation en participant, de concert avec les autres fonctions, à garder le cap que l’organisation s’était fixé, surtout lorsque les éléments se déchaînent contre elles. Les contrôles internes relatifs à la compliance permettent de s’assurer que ce cap est conservé.

A l’instar des investisseurs qui voudront voir comment l’entreprise a réagi et les impacts de cette crise dans le reporting financier, les régulateurs voudront également évaluer comment l’entreprise aura appris et modifié ses programmes de conformité en conséquence et comment elle aura réagi en période de stress. Cela sera définitivement perçu comme un indicateur de la robustesse du programme de conformité de l’organisation.