Guide pour les praticiens: comment contrôler efficacement la conformité anti-corruption | Article – Gratuit : Audit complet de votre site internet

Avant de commencer !

Vera Powell
Share on facebook
Share on twitter
Share on pinterest

En raison de ces changements organisationnels et commerciaux dans les entreprises en évolution rapide, de nombreux praticiens ont du mal à surveiller et à tester périodiquement l’efficacité de leurs programmes de conformité anti-corruption. Le ministère américain de la Justice (DOJ) a récemment restructuré son document d’orientation de 2017 sur l’évaluation des programmes de conformité des entreprises afin de souligner l’importance de la surveillance pour déterminer si les programmes de conformité «fonctionnent dans la pratique».

Selon les directives de conformité de 2019, le MJ examinera si une entreprise a pris des «mesures raisonnables» pour «s’assurer que le programme de conformité et d’éthique de l’organisation est suivi, y compris la surveillance et l’audit pour détecter les comportements criminels», et pour «évaluer périodiquement l’efficacité du programme de l’organisation. Pour évaluer l’efficacité, le Guide de conformité 2019 pose deux nouvelles questions: 1) Quels tests de contrôles, collecte et analyse des données de conformité et entretiens avec les employés et les tiers l’entreprise entreprend-elle ?; et 2) Comment les résultats sont-ils rapportés et les éléments d’action suivis?

Il existe peu de conseils pratiques sur les mesures que les praticiens peuvent prendre pour surveiller leurs programmes de conformité et tester leur efficacité. Dans cet article, nous décrirons les étapes que les entreprises devraient entreprendre pour concevoir et opérationnaliser des systèmes de surveillance de la conformité anti-corruption. Nous commencerons par décrire une approche pour la conception d’un système de surveillance de la conformité (pourquoi, qui, quoi, comment et quand), suivi de recommandations pratiques sur la façon de construire et d’opérationnaliser un système efficace. Bien qu’il existe des moyens proactifs de surveiller les domaines sensibles à la conformité, tels que l’examen et l’approbation préalable des dépenses et des paiements, cet article se concentre sur la surveillance rétrospective visant à détecter les violations de la conformité et à identifier les tendances, les valeurs aberrantes et les signaux d’alarme.

Conception d’un système de surveillance de la conformité anti-corruption

1. Pourquoi surveiller? Les entreprises doivent d’abord déterminer leurs stratégies et objectifs globaux de surveillance. Certaines entreprises peuvent mettre l’accent sur l’analyse des données, y compris l’évaluation des tendances et des valeurs aberrantes, sur des tests plus granulaires des transactions sensibles à la conformité. Le système de surveillance doit également être adapté aux objectifs de l’entreprise pour son programme de conformité. Par exemple, une entreprise peut donner la priorité à la surveillance de ses relations avec des tiers par rapport à la surveillance des courtoisies commerciales, en particulier si l’entreprise se rend sur le marché principalement en utilisant des partenaires et des agents de distribution. Il existe différentes philosophies de ce que signifie avoir un programme de conformité «le meilleur de sa catégorie», et la réponse variera d’une entreprise à l’autre et d’une industrie à l’autre:

  • Un programme qui vise à prévenir toutes les violations (programmes qui sont lourds de contrôles automatisés qui empêchent les employés d’exploiter les failles). En règle générale, ces programmes sont adoptés par des entreprises dans des secteurs hautement réglementés qui sont soumis à des règles et des réglementations qui peuvent changer fréquemment et auraient un impact potentiellement existentiel sur les opérations de l’entreprise.
  • Un programme en couches, rigide et bien documenté (programmes qui priorisent la défensibilité du programme de conformité de l’entreprise contre les enquêtes ou actions externes). De tels programmes sont souvent adoptés par de grandes entreprises avec des opérations décentralisées qui sont soumises à des lois et règlements qui imposent des sanctions élevées.
  • Un programme qui vise à détecter toutes les violations (programmes qui mettent davantage l’accent sur la détection de troisième ligne des violations potentielles, parfois grâce à des analyses de données sophistiquées). Ces programmes sont souvent mis en œuvre par des entreprises centralisées, soumises à des réglementations à fort impact potentiel, et où l’entreprise évolue rapidement et nécessite souvent de la flexibilité.
  • Un programme culturellement ancré dans l’entreprise (les employés connaissent les règles et l’entreprise a communiqué ses attentes). Ce type de programme a tendance à être adopté par les entreprises décentralisées soumises à des réglementations à moindre impact.
  • Un programme conçu pour répondre rapidement aux défis quotidiens (programmes qui privilégient la flexibilité de l’entreprise). Ces programmes peuvent être adoptés par des entreprises centralisées soumises à des réglementations à moindre impact.

Aux fins du présent article, nous définirons un programme de conformité efficace comme celui qui correspond aux besoins – à la fois commerciaux et culturels – de l’entreprise qu’il sert et qui est intégré dans la stratégie de développement durable de l’entreprise. Par conséquent, les exemples que nous donnons pour les types de données à surveiller seront basés sur le fait que le programme de conformité identifie les risques appropriés, identifie trop de risques, applique ses contrôles trop largement ou ne les applique pas suffisamment. En d’autres termes, la question clé est de savoir si le programme de conformité est «de bonne taille» compte tenu du profil de l’entreprise à un certain moment.

2. Qui devrait surveiller? Sur le plan organisationnel, les entreprises devraient déterminer le niveau auquel la surveillance doit avoir lieu (par exemple., par pays, région ou secteur d’activité) et la cadence dans laquelle elle doit se produire (par exemple., mensuellement ou trimestriellement), hiérarchiser les pays, les régions, les entités de communication d’informations juridiques ou financières et / ou les secteurs d’activité qui doivent être contrôlés et déterminer qui doit recevoir les rapports de contrôle et qui sera responsable de l’analyse et du suivi.

3. Quoi et comment surveiller. L’étape suivante consiste à déterminer les zones à surveiller en fonction des zones à risque de l’entreprise. Quels sont les domaines qui seraient les plus vulnérables au contournement ou qui présentent les plus grands risques pour l’entreprise? Dans ces domaines, les entreprises devraient déterminer quelles devraient être les mesures de référence appropriées. En d’autres termes, quelle est la base de la comparaison? Comment les anomalies sont-elles identifiées? Les mesures de base peuvent inclure les dépenses projetées, estimées ou planifiées, par rapport auxquelles les écarts peuvent être mesurés. Cela variera d’une entreprise à l’autre, mais certaines suggestions incluent:

  • Paiements sensibles à la conformité: Les paiements sensibles à la conformité font référence aux transactions des comptes créditeurs (A / P) qui créent une opportunité pour des paiements potentiellement incorrects. Ces transactions peuvent comprendre des paiements effectués à des entités gouvernementales ou des paiements à des organisations commerciales qui présentent un risque de corruption. Les changements ou les tendances des paiements sensibles à la conformité, par rapport à d’autres indices de risque, peuvent signaler un risque accru dans certains domaines. Par exemple, une augmentation des paiements approuvés après coup dans un certain endroit peut indiquer que l’équipe locale peut avoir besoin de recevoir une formation supplémentaire sur la conformité. Ce type de données peut également être précieux (et même surprenant) pour l’entreprise et servir à accroître le rôle de la conformité en tant que conseiller commercial de confiance. Pour surveiller, les entreprises pourraient identifier et désigner des comptes à haut risque au sein de leurs systèmes financiers ou comptables de manière à permettre aux entreprises de générer des rapports sur une base périodique. Ces rapports pourraient être comparés aux budgets et tendances projetés au fil du temps pour les mêmes comptes à haut risque désignés.
  • Autres dépenses sensibles à la conformité: Les dépenses sensibles à la conformité se réfèrent aux dépenses des sociétés non A / P dans des domaines tels que les cadeaux, les divertissements ou les voyages impliquant des fonctionnaires ou des clients commerciaux. Ce type de dépenses est engagé dans le cadre du voyage et des dépenses des entreprises et est généralement remboursé ou engagé sur les cartes de crédit d’entreprise. Les dépenses sensibles à la conformité doivent être surveillées pour les augmentations et les changements au fil du temps. Par exemple, une augmentation des dépenses sensibles à la conformité dans certains endroits ou bureaux avant les transactions ou les offres majeures peut indiquer une utilisation inappropriée des avantages utilisés pour influencer les décisions des responsables gouvernementaux ou des principaux clients commerciaux et justifier une enquête plus approfondie. Pour surveiller, les entreprises pourraient affecter des dépenses sensibles à la conformité dans leurs systèmes financiers après les processus de pré-approbation ou d’approbation de manière à permettre aux entreprises de générer des rapports sur une base périodique.
  • Tiers à haut risque: Des tiers sont impliqués dans plus de 80 pour cent de toutes les mesures d’application de la loi sur les pratiques de corruption à l’étranger et présentent un risque accru de corruption pour les sociétés multinationales avec des volumes élevés de tiers. Évaluer les dépenses de tiers à haut risque, par exemple., ceux qui sont susceptibles d’interagir avec des représentants du gouvernement ou certains clients commerciaux, par secteurs géographiques ou commerciaux, peuvent aider à identifier le manque de discipline dans l’engagement de tiers inutiles, de tiers non qualifiés et de tiers qui ne fournissent pas de services au niveau nécessaire ou sont rémunérés d’une manière qui n’est pas proportionnelle à la rémunération standard dans la région ou l’industrie respective. Ce type de données est souvent utile pour identifier les domaines où les dépenses pourraient être réduites. Pour surveiller les tiers à haut risque, les entreprises peuvent examiner le nombre de tiers à haut risque engagés, le nombre et l’emplacement des tiers à haut risque impliqués dans les enquêtes ou les audits, et les dépenses réelles par rapport aux budgets prévus pour les risques élevés tiers.
  • Nouvelle entrée sur le marché: L’expansion dans de nouveaux territoires ou canaux de commercialisation peut créer des risques par le biais de nouveaux points de contact réglementaires, de restrictions opérationnelles et de nouveaux partenariats. L’inexpérience sur de nouveaux marchés pourrait rendre les entreprises vulnérables aux demandes inappropriées des autorités locales ou des partenaires commerciaux locaux. Les entreprises peuvent utiliser les délais prévus avant l’entrée pour les étapes clés et les budgets projetés comme base de référence pour comparer les domaines dans lesquels les attentes des entreprises à entrer sur un marché sont incompatibles avec la réalité de l’entrée sur le marché. Les retards dans la réalisation des étapes ou des performances financières inférieures aux prévisions peuvent inciter l’entreprise à prendre des raccourcis ou à créer des solutions de contournement pour combler les écarts. La surveillance des retards dans les processus, tels que l’obtention de permis, de licences ou d’enregistrements, les problèmes inattendus avec des partenariats ou des entreprises commerciales ou gouvernementales, ou des performances financières inférieures aux prévisions peuvent aider à identifier les points de pression potentiels qui peuvent justifier un examen plus approfondi.
  • Enquêtes: Les tendances des enquêtes offrent des informations clés sur la façon dont les politiques des entreprises sont communiquées et comprises et sur l’efficacité des enquêtes elles-mêmes. Par exemple, une augmentation des enquêtes pourrait indiquer la nécessité de politiques améliorées ou d’une formation supplémentaire ou plus ciblée, le ton des principaux problèmes ou des défis liés aux sanctions disciplinaires imposées pour des violations prouvées. Une diminution du nombre de rapports sur les lignes d’assistance téléphonique peut indiquer une crainte de représailles, des problèmes d’identification des violations potentielles ou un manque de confiance dans le fait que les enquêtes seront traitées équitablement. Les entreprises peuvent surveiller les sources des allégations, le nombre d’allégations par pays, par secteur d’activité et par région, les types d’allégations, le délai moyen avant que les allégations soient identifiées, le nombre d’allégations fondées ou non fondées et les mesures disciplinaires imposées à la suite d’allégations fondées.
  • Entraînement: Les données relatives aux programmes de formation des entreprises peuvent donner un aperçu de l’efficacité des communications des entreprises autour des politiques. Les données de formation peuvent également permettre de savoir si la direction communique correctement ou démontre son engagement en matière de conformité. La comparaison des données de formation avec les données d’enquêtes peut donner un aperçu de la nécessité d’une formation plus efficace ou ciblée dans des zones géographiques spécifiques ou sur des sujets spécifiques. Les entreprises peuvent surveiller la fréquence des formations, le sujet et le format des sessions de formation, le temps moyen jusqu’à la fin et l’efficacité des questionnaires sur les différentes sessions de formation.

Construire et opérationnaliser le cadre

Vera Powell

Le système de surveillance de la conformité anti-corruption subira probablement plusieurs itérations avant d’arriver à maturité. La première étape pour les entreprises est de déterminer quelles données sont actuellement disponibles dans leurs différents systèmes de données ainsi que les données prospectives qui deviendront disponibles avec de nouveaux systèmes. Un élément important de ce processus, et qui pose généralement le plus grand défi aux entreprises, consiste à déterminer la suffisance, l’exhaustivité et la fiabilité des données existantes. Où résident les données? Existe-t-il des lacunes dans les mêmes données entre différents systèmes? S’il existe plusieurs ERP ou systèmes hérités, capturent-ils chacun les mêmes informations de différentes manières? Certaines informations sont-elles capturées par un système qui ne sont pas enregistrées dans d’autres? Les données peuvent-elles être agrégées de manière uniforme? Les entreprises doivent également déterminer s’il existe des interruptions provisoires qui pourraient capturer des données qui ne sont pas capturées par les systèmes existants.

Alice Hsie

Une fois que les entreprises ont compris où résident les données et ont mis en place des moyens de signaler ou d’affecter autrement les ensembles de données pertinents, elles peuvent commencer à organiser les données en composants qui permettent mieux à la conformité d’analyser et d’évaluer les tendances et les valeurs aberrantes. Au fur et à mesure que les entreprises améliorent et affinent la façon dont elles capturent et présentent les données, les systèmes de surveillance de la conformité subiront différentes étapes de maturité. Les caractéristiques générales des différents niveaux de maturité et d’évolution des systèmes de surveillance de la conformité sont basées sur la manière dont les données sont saisies, organisées et présentées. Le test des transactions sensibles à la conformité, ainsi que les mesures de correction associées, est effectué dans le cadre de chacune des trois étapes du spectre de maturité de la surveillance de la conformité.

Étape 1

  • Les données relatives à la conformité sont extraites de divers systèmes, tels que les systèmes ERP des entreprises, les systèmes d’approvisionnement, les journaux Excel (par exemple., enregistre les permis d’inventaire, les licences ou les réglementations pertinentes), les systèmes de formation et les systèmes d’enquête, dans des modèles Excel standard pour examen et analyse par l’équipe de conformité.
  • Chaque ensemble de données est présenté individuellement et des graphiques de base sont créés pour chaque composant du système de surveillance de la conformité.

Étape 2

  • Les modèles Excel sont affinés dans des rapports et des tableaux de bord visuels qui se nourrissent directement des données des systèmes sous-jacents.
  • Parce que les entreprises ont déterminé ce qui est «normal» sur la base de l’analyse des données précédentes au fil du temps, ces rapports et tableaux de bord mettent automatiquement en évidence les valeurs aberrantes, les variations importantes des dépenses ou les pics dans différentes régions géographiques et différents secteurs d’activité.
  • Les rapports standardisés et les tableaux de bord de visualisation des données facilitent la conformité pour examiner et identifier les tendances, mais chaque ensemble de données est toujours présenté individuellement.

Étape 3

  • Les données sont consolidées à partir de diverses sources système via des flux de données automatiques et en temps opportun dans un entrepôt de données centralisé.
  • Les tableaux de bord intégrés aux outils de visualisation des données mettent en évidence les tendances, les anomalies et les drapeaux rouges sur les différentes sources de données.

Il n’y a pas de norme de pointe pour les systèmes de surveillance de la conformité. Ce qui fonctionne pour une entreprise ne fonctionne pas nécessairement pour une autre. Plutôt que de rechercher l’approche la plus avancée technologiquement et axée sur l’analyse des données, les praticiens devraient viser à concevoir et à opérationnaliser des systèmes de surveillance de la conformité qui identifient avec précision et cohérence les types de risques spécifiques à leurs entreprises et atténuent ces risques.

Vera Powell est Senior Counsel, Global Compliance pour Uber, et Alice Hsieh est Senior Associate au sein du cabinet d’avocats Miller & Chevalier Chartered.

Inscris-toi à notre newsletter !

Partage cet article avec tes amis !

Share on facebook
Share on google
Share on twitter
Share on linkedin