< Retour

24/06/2016

La compliance, bête noire des comités d’audit

(Source : Extrait du Livre Blanc Crowe Horwath & IFACI  Trophées de la Maîtrise des Risques 2016)

Dans cette étude, nous entendons par Compliance le fait de s’assurer que le management et les collaborateurs suivent les directives données par le Conseil d’Administration tout en respectant les lois, les règlementations et les valeurs de l’organisation. La Compliance fait aujourd’hui partie d’une des principales préoccupations des comités d’audit. Les dispositifs de maîtrise des risques sont-ils pertinents face à ce sujet ? Quels freins peuvent empêcher le déploiement d’une politique de conformité ?

UN RISQUE NOUVEAU ?

Un contexte international complexe et exigeant

L’actualité des cinq dernières années a montré aux multinationales françaises un univers des risques de plus en plus chargé et de plus en plus complexe.

Le « rétrécissement » de la planète porte maintenant à la connaissance immédiate des clients, des salariés et des régulateurs des incidents locaux qui peuvent faire surface à l’autre bout de la Terre. Là où ces incidents émergent, au sein des médias occidentaux dans leur  forme brute, les sièges des entreprises sont sommés d’expliquer la situation. Une situation qui met beaucoup plus longtemps à remonter au travers des différentes couches hiérarchiques internes – et nécessite souvent une enquête interne plus profonde et longue  que celle dispensée par les journalistes amateurs ou professionnels à l’origine de l’information.

Par ailleurs, l’arrivée à maturité des sanctions internationales oblige les appareils législatifs nationaux à se comparer, non seulement dans leur conception, mais aussi dans leur application. Comme l’exemple de BNP Paribas a pu le démontrer en 2015, le pouvoir politique ne peut plus défendre d’exceptions nationales sans avoir à justifier sa propre absence d’investigations et de poursuites des cas de non-conformité des champions nationaux.

Un Conseil d’administration préoccupé

Sans réelle surprise, les risques de fraude et de corruption (65%), et de non-conformité (63%) sont les deux plus surveillés par les comités d’audit (cf. Figure 1). Un risque de fraude entraînant un problème de Compliance, le niveau d’attention porté par le comité d’audit (ou des instances équivalentes) est donc similaire et important. Le risque de non-continuité des activités, bien que majeur, n’arrive qu’en troisième place (52%). 

Le risque de réputation, quant à lui, n’est que le reflet des conséquences, parfois exceptionnelles, des autres risques de l’organisation.

Contrairement à ce que l’activité médiatique des derniers mois pouvait laisser présager, l’évolution constante du cadre règlementaire est jugée comme un facteur de non-conformité plus important que l’augmentation du nombre d’enquêtes des autorités de régulation (cf. Figure 2) – on pense ici aux institutions américaines (SEC, DOJ) et européennes (Direction de la concurrence) – ou la hausse des sanctions.

Ce paradoxe peut s’expliquer par le fait que les répondants à l’enquête des Trophées sont en très grande majorité des  professionnels  des  métiers de la maîtrise des risques. Si ces derniers sont plus inquiets de la capacité de leur organisation et de leur dispositif à suivre l’évolution des lois et règlements que de l’augmentation de la « menace » des autorités de régulation, c’est probablement la manifestation du respect fondamental qu’ont  ces  professionnels des cadres légaux et réglementaires auxquels leur organisation est assujettie.

Le décalage entre dispositifs internes et exigences externes

Première source d‘inquiétude des organisations : le décalage des dispositifs de contrôle et d’audit internes par rapport à l’évolution permanente des différents cadres règlementaires. À titre d’exemple, les problématiques de transfert de données entre l’Union Européenne et les États-Unis : après que la Cour de justice européenne ait invalidé le programme de Safe Harbor le 6 octobre 2015, un nouvel accord – le UE-US Privacy Shield – signé le 2 février 2016 vient à nouveau modifier les termes de la protection des données personnelles.

Conjugué au poids de la culture de l’organisation et des règles ou procédures internes inadaptées (cf. Figure 2), ce facteur souligne la nécessité d’un dispositif bien conçu, soutenu par la direction et parfaitement communiqué dans l’organisation.

Lorsqu’ils construisent (ou maintiennent) un dispositif de Compliance, les professionnels de la maîtrise des risques ont d’abord pour principal souci de produire un dispositif agile. Ce dernier doit être en permanence le miroir de lois et régulations évoluant avec les changements politiques de chaque pays dans lequel l’organisation est implantée.

Autre préoccupation, le fait que la culture d’entreprise et de sa direction puisse pousser à la faute (cf. Figure 2) amène plusieurs réflexions. Les menaces ainsi projetées sur les organisations françaises restent une question récente. Même si des lois comme le Foreign Corrupt Practices Act (FCPA) existent depuis 1977, le Department of Justice américain n‘en poursuit l’application que récemment. Du côté européen, les institutions se construisent et s’organisent par étape, en commençant par traiter certains sujets (comme la concurrence), avec pour ambition de développer leur bras armé sur d’autres sujets, au fur et à mesure que leurs moyens le permettront.

La troisième inquiétude de la place, des règles ou procédures internes inadaptées, trop complexes ou difficilement accessibles, est très proche de ce dernier point. Il s’agit là aussi d’obstacles à la bonne mise en pratique de programmes de contrôle interne, même lorsqu’ils sont très bien conçus. L’exercice est de rendre simples des réglementations complexes. Il s’agit surtout de trouver le dénominateur commun entre les lois et règlements de différents pays et des politiques internes. L’articulation des programmes de sensibilisation et de formation sur ces règles internes est là aussi un exercice difficile. Leur déclinaison dans différentes langues et cultures est non seulement longue et complexe, mais aussi coûteuse.

L’accroissement du pouvoir des autorités de régulation représente un facteur de Compliance encore significatif mais reste logiquement en retrait par rapport aux autres facteurs, dans la mesure où le niveau de pouvoir des autorités ne change ni le contenu ni la validité des règles qu’elles font respecter. Seuls 7% des répondants à l’enquête estiment que l’exposition aux sanctions internationales va diminuer, 41% des répondants voient cette exposition rester stable et 52% pensent qu’elle pourrait augmenter (cf. Figure 4).

Face à cet environnement plus exigeant, les professionnels des risques gardent en très grande majorité confiance en leur dispositif : 86% (cf. Figure 5) d’entre eux sont confiants ou très confiants dans le fait que leur Direction Générale soit rapidement informée de tout incident aux conséquences majeures.

LA CULTURE D’ENTREPRISE AU RÉVÉLATEUR

Les freins à la mise en place d’une politique de conformité

Les professionnels de la maîtrise des risques se heurtent aux deux difficultés principales à la mise en place d’une politique de Compliance (cf. Figure 3) : sa perception administrative (57%), et la disponibilité des opérationnels (55%). Ces deux obstacles reflètent des freins naturels de conduite du changement liés aux initiatives aussi larges et ambitieuses de la Compliance aux règles internes et externes.

Pour convaincre les opérationnels de la valeur d’une politique de Compliance, et pour   les encourager à y consacrer du temps, les experts du risque doivent créer les conditions propices au changement, à savoir :

  • L’appui de la  Direction  Générale  et  l’intégration de la notion de Compliance dans la gestion de la performance ;
  • Les ressources nécessaires en temps, compétences et en argent ;
  • Les bénéfices du changement clairement explicités et communiqués.

Comme le notent près d’un professionnel de la maîtrise des risques sur deux (cf. Figure 3), la culture d’entreprise arrive en troisième place derrière ces deux éléments (pour 51% des répondants) : la perception que peut avoir le reste de l’entreprise et la disponibilité des opérationnels sur certains sujets plus que sur d’autres, reflètent des valeurs communes.

La culture d’entreprise est ainsi une composante fondamentale du succès ou de l’échec de programmes (cf. Figure 2) aussi étendus qu’un dispositif de maîtrise des risques. Lorsque ce dernier exige de la direction et des collaborateurs de nouvelles attitudes, la résistance au changement est forte, surtout si cette résistance est relayée par des messages ou des attitudes contradictoires de la part de la direction. Même un silence sur ce sujet est souvent interprété par les collaborateurs comme un signe que le programme de Compliance est moins prioritaire face aux autres messages « concurrents » sur l’atteinte d’objectifs de vente ou de rentabilité.

Ce concept large, englobant les valeurs, les croyances, les attitudes, l’histoire, la stratégie et la personnalité des dirigeants, est le cadre dans lequel s’inscrit naturellement la maîtrise des risques. Ce dernier doit être en cohérence avec la culture de l’entreprise et s’appuyer sur ce qui en fait les points forts.

Sans surprise, la Compliance figure rarement parmi les objectifs stratégiques des organisations. Ces derniers sont plus souvent articulés autour de l’innovation, des parts de marché, du chiffre d’affaires ou du résultat, vecteurs de survie et de réussite de l’entreprise privée. La Compliance peut être perçue – et de fait est encore vue dans de nombreuses entreprises – comme un obstacle à passer dans la course concurrentielle, plutôt que comme le respect des règles du jeu de l’économie de marché.

Là où elle peut être une force motrice extraordinaire dans ses aspects positifs, une culture d’entreprise qui perçoit l’action des régulateurs comme des obstacles, courra toujours le risque de voir certains employés ou dirigeants contourner la haie plutôt que la sauter. La nature omniprésente de la culture d’entreprise rendra alors d’autant plus difficile l’installation d’une culture de la Compliance et les programmes du dispositif de maîtrise des risques qui y sont liés sont voués à l’échec sur le long terme tant que cette culture n’a pas changé.

L’AMBITION DE LA QUADRATURE DU CERCLE

Le mouton à cinq pattes

Les failles exposant à  des  sanctions  internationales (cf. Figure 6) montrent bien la nécessité d’un dispositif de maîtrise des risques géographiquement exhaustif. Les deux premiers éléments remontés, protection des données (49%) et droit de la concurrence (29%) illustrent des problématiques très réglementées en Europe. Le troisième élément, la corruption (24%), bien que réglementé par de nombreuses institutions internationales, est majoritairement poursuivi par le ministère de la justice américain. La règlementation environnementale (24%), même si elle touche un thème très global, est surtout poursuivie localement, tout comme les questions de réglementation fiscale (22%) et de droit du travail (21%), qui restent très hétérogènes d’un pays à l’autre. La propriété intellectuelle, les embargos et le blanchiment d’argent sont quant à elles des problématiques régulées par des instances internationales.

L’enquête  reflète  donc  la  nécessité  d’un  dispositif  de conformité  exhaustif,  couvrant  non  seulement  les exigences des juridictions locales, mais aussi celles des institutions américaines, européennes et internationales. Renforcer   la   protection   des   données   sensibles   de l’organisation,  ses  salariés,  ses  clients  et  ses  parties prenantes, et à l’échelle internationale devient prioritaire !

L’impact de l’audit interne

Il est important de lier les difficultés rencontrées dans l’établissement des programmes de Compliance à l’implication de l’audit interne. Si la revue du dispositif de Compliance est incluse dans le plan d’audit pour 77% des organisations (cf. Figure 8), seuls 43% des directeurs d’audit interne assistent aux comités de Compliance. Par ailleurs, le département d’audit n’est systématiquement informé des incidents signalés que dans 37% des organisations. De plus, seuls 29% des auditeurs internes suivent une formation dédiée à la Compliance. Ce dernier chiffre limite l’impact d’inclure de tels risques dans le plan d’audit : la capacité des auditeurs à détecter les anomalies, à les apprécier et à émettre des recommandations pertinentes ne peut qu’être limitée, et d’autant plus dans un contexte d’évolution constante du cadre réglementaire (cf. Figure 2). La collaboration des fonctions autour de la Compliance devient alors un enjeu majeur.

Comme le confirme les axes d’amélioration de l’audit interne (cf. Figure 14), il est donc attendu une meilleure capacité à détecter la fraude, à réaliser des audits spécifiques, ainsi que plus de flexibilité et de diversité des missions d’audits.

En travaillant sur l’ensemble de ces points, l’audit interne est en mesure de démontrer un impact croissant dans l’efficacité des programmes de Compliance.

Éthique et cohérences interculturelles

En soulignant la maturité de leurs composantes d’organisation et de méthodologie  (cf.  Figure  7), les entreprises françaises démontrent la bonne compréhension des enjeux des politiques de conformité. La communication et la technologie sont par contre deux composantes du dispositif dont la faiblesse relative illustre bien les difficultés de mise en place réelle des politiques choisies.

Dans le  cadre  des  organisations  multinationales, la mise en place d’une culture d’entreprise et son « pilotage » sont souvent rendus difficiles par les différences culturelles d’un pays à l’autre. C’est une complication  qui   est   particulièrement   ressentie dans les programmes de conformité, qui en suivant la législation d’une juridiction particulière, suivent aussi ses valeurs et sa culture. Lorsque cette réglementation doit être  appliquée  et  suivie  dans les opérations de l’entreprise dans un autre pays à la culture radicalement différente, le choc des cultures amène souvent à remettre en cause la pertinence des politiques et procédures.

Si on étend cette difficulté à l’ensemble des procédures et aux instructions de la direction, qui sont elles aussi empreintes à des degrés variés de la culture  du siège, la question se pose : est-il vraiment possible de développer une éthique internationale ?

Une charte éthique et un code de conduite ne peuvent être respectés dans tous les pays du monde qu’en choisissant une forme ou une autre d’adaptation : depuis la simple traduction du code sans le modifier jusqu’à l’adaptation de ce code à chaque pays. La déclinaison de la politique de conformité, soutenue par un plan de communication efficace et son déploiement au travers d’outils pertinents, sont des efforts lourds, qui peuvent parfois être sous-estimés. Cependant, la prise en compte des valeurs locales assure un degré d’adhésion plus important des employés.