Il y a quelques années, nous avons commencé à parler de DevOps. Puis sont apparus les SecOps, les FinOps et les DataOps.
Toutes ces disciplines sont parvenues à la même conclusion : la gestion d’un processus complexe ne consiste pas à disposer de bons outils, mais à mettre en place un système capable de fonctionner de manière continue, automatisée et mesurable.
Il existe toutefois un domaine de l’entreprise qui n’a pas encore connu cette transformation. Dans trop d’organisations, la conformité reste l’un des derniers grands processus gérés à l’aide d’e-mails, de tableurs et de rappels personnels.
Paradoxalement, il n’y a jamais eu autant d’obligations réglementaires… ni autant d’outils pour les gérer. Et pourtant, de nombreux services de conformité continuent de consacrer une grande partie de leur temps à rechercher des documents, à reconstituer des preuves et à se rappeler les tâches en suspens.
Ce n’est pas qu’il manque d’outils. C’est simplement que la plupart d’entre eux ont été conçus pour répondre à des obligations spécifiques, et non pour gérer la conformité de manière globale. Un outil pour le canal de signalement, un autre pour la gestion des tiers, un autre encore pour les risques… mais aucun pour l’ensemble.
Le problème ne réside plus dans le manque de logiciels. Il s’agit plutôt de l’absence d’un système d’exploitation dédié à la conformité.
Peut-être que le problème n’a jamais résidé dans la réglementation.
Le problème n’a jamais été les règles
Lorsqu’on demande à un responsable de la conformité quelle est sa plus grande difficulté, il ne répond presque jamais que c’est l’interprétation d’une loi.
Les problèmes sont généralement bien plus banals.
- Qui devait vérifier cette politique ?
- Quel fournisseur doit encore faire l’objet d’une évaluation ?
- Où sont les preuves de ce contrôle ?
- Qui a procédé à la dernière validation ?
- Quels sont les employés qui n’ont pas encore suivi la formation obligatoire ?
- Quels sont les risques qui n’ont pas été examinés depuis six mois ?
Le travail de conformité moderne ne se limite pas à la simple connaissance de la réglementation.
Il s’agit de faire en sorte que des centaines de petits processus se déroulent au moment où ils doivent se dérouler. Et surtout, qu’il en reste une trace.
La conformité ne se résume plus à la simple documentation
Depuis des années, nous associons la conformité réglementaire à des documents : politiques, procédures, matrices de risques, rapports ou registres.
Mais la réalité est tout autre. La conformité est aujourd’hui une activité permanente. Il se passe chaque jour des choses :
- Un employé vient rejoindre l’équipe.
- Un fournisseur est sélectionné.
- Une politique est modifiée.
- Un incident se produit.
- Un nouveau risque a été détecté.
- Une certification arrive à expiration.
- Un contrôle est effectué.
Chacun de ces événements engendre une obligation. Et chaque obligation nécessite un responsable, un délai, une preuve et une traçabilité. Le véritable objet de la conformité n’est plus les documents, mais les processus qui génèrent ces documents. En d’autres termes : nous ne gérons plus la documentation.
Nous gérons actuellement des opérations.
Opérations de conformité
De plus en plus d’organisations prennent conscience que la conformité réglementaire doit s’inscrire dans une démarche continue, et non pas dans le cadre d’un projet relancé à chaque fois qu’un audit approche.
Il ne suffit pas de préparer un audit. Il faut être prêt à faire face à n’importe quel audit, à tout moment.
Il ne suffit pas de conserver des preuves. Il faut les générer naturellement, au fur et à mesure que l’organisation fonctionne.
Il ne suffit pas de réagir lorsqu’un problème survient. Il faut identifier les tâches en suspens avant même que le problème ne se présente.
Nous appelons cette méthode de travail « Compliance Operations » (ComplianceOps) : une gestion de la conformité fondée sur des processus continus, l’automatisation, la collaboration et la traçabilité.
Les opérations de conformité en action
Au lieu de reposer sur des e-mails, des feuilles Excel et la mémoire d’une seule personne, ces processus s’intègrent désormais au fonctionnement quotidien de l’organisation.
Lorsqu’un nouveau collaborateur est embauché, il reçoit automatiquement les politiques qu’il doit accepter, les formations obligatoires lui sont attribuées, les formulaires nécessaires lui sont demandés et chaque acceptation est enregistrée. (People Compliance).
Lorsqu’un fournisseur est intégré, sa procédure d’homologation est lancée, les documents requis sont rassemblés, son niveau de criticité est évalué et sa prochaine réévaluation est automatiquement programmée. (Third Party Manager).
Lorsqu’un incident survient, il est consigné dès qu’il se produit ; des responsables et des délais sont désignés ; les tâches de résolution sont définies ; les preuves sont conservées et l’ensemble de la chronologie est enregistrée, depuis la détection jusqu’à la clôture. (Incident Manager).
Lorsqu’une politique est modifiée, elle suit son processus de validation, la nouvelle version est publiée, son acceptation est à nouveau demandée aux personnes concernées et l’historique complet des versions et des signatures est conservé. (Policy Manager).
Lorsqu’un risque n’a pas été réexaminé depuis des mois, le système ne se contente pas de rappeler son existence. Il présente toute son évolution : qui l’a identifié, comment son niveau de criticité a évolué, quels contrôles ont été mis en place, quelles preuves existent et à quelle date il doit être réévalué. (Responsable des risques).
Rien ne dépend du fait que quelqu’un s’en souvienne.
Le système accompagne le processus.
L’audit n’est plus un projet
De nombreuses organisations considèrent l’audit comme une course de dernière minute.
- Des semaines passées à rechercher des documents.
- Reconstruire les décisions.
- À la recherche de preuves.
- Le problème ne vient presque jamais de l’audit.
- Le fait est que les preuves n’ont jamais été correctement établies dès le départ.
Les organisations les plus matures fonctionnent exactement à l’inverse. Elles constituent chaque jour des éléments probants. Lorsque l’audit a lieu, elles se contentent de présenter ce qui existe déjà.
Car le meilleur audit est celui qui se prépare pratiquement tout seul.
Le véritable atout, c’est la confiance
La plupart des organisations ne feront pas l’objet de critiques simplement parce qu’elles ne disposent pas d’une politique.
Elles seront remises en cause car elles ne peuvent pas prouver que cette politique était en vigueur, qu’elle a été approuvée, communiquée, acceptée et révisée. De plus en plus de clients, d’investisseurs, d’administrations publiques, d’organismes de certification et d’autorités de régulation recherchent exactement la même chose.
Ils ne veulent pas de promesses. –> Ils veulent des preuves.
Et cette différence change complètement la manière d’appréhender la conformité.
L’avenir de la conformité sera d’ordre opérationnel
Tout comme le DevOps a révolutionné le développement logiciel et que le SecOps a transformé la sécurité, tout porte à croire que la conformité réglementaire évoluera vers des modèles bien plus opérationnels.
- Moins de documents isolés.
- Moins de processus manuels.
- Moins de feuilles de calcul.
- Davantage d’automatisation.
- Une plus grande intégration.
- Un suivi plus approfondi.
- D’autres preuves.
En effet, l’objectif de la conformité n’est plus seulement de respecter une norme. Il s’agit désormais de faire en sorte que la conformité fasse partie intégrante du fonctionnement naturel de l’organisation. Les entreprises qui comprendront cette évolution ne consacreront pas seulement moins de temps à la préparation des audits. Elles prendront également de meilleures décisions, réagiront plus rapidement face aux risques et seront en mesure de démontrer leur conformité à tout moment.
C’est ce qu’on appelle les opérations de conformité.
Et il s’agira probablement de la prochaine grande évolution en matière de conformité.
À l’avenir, la conformité ne se mesurera pas au nombre de politiques mises en place par une organisation. Elle se mesurera à sa capacité à démontrer, à tout moment, que ces politiques fonctionnent réellement et sont respectées.
La conformité n’est plus un service à part entière.
Il commence à devenir le système d’exploitation de l’organisation.
À Ithikios , nous travaillons depuis longtemps à la concrétisation de cette vision : une plateforme où les personnes, les politiques, les risques, les incidents, les tiers, les contrôles et les preuves font partie intégrante d’un même système opérationnel de conformité.
Car nous pensons que l’avenir ne réside pas dans la multiplication d’outils isolés, mais dans la mise en place d’une plateforme capable d’assurer la conformité en continu.
En quoi le travail de votre équipe évoluerait-il si la conformité ne reposait plus sur Excel, les e-mails et les rappels, pour devenir un processus dynamique, automatisé et toujours prêt à fournir des preuves ?
Si vous souhaitez découvrir comment cela s’applique à votre organisation, demandez une démonstration.