Points de convergence entre dispositifs de pilotage de la conformité

Dans ce 1er billet, le dossier Pilotage intégré de la performance et de la conformité s’intéresse à l’analyse de l’opportunité et la faisabilité de faire fusionner les différents dispositifs de pilotage de la compliance. Un terme qui recouvre les dispositifs suivants.

L’audit interne

L’audit interne est une activité de conseil et d’assurance indépendante et objective destinée à renforcer une organisation et à améliorer l’efficacité de ses opérations. Il aide une organisation à atteindre ses objectifs en apportant une approche systématique et rigoureuse pour évaluer et améliorer l’efficacitédes processus de gestion des risques, contrôle et gouvernance.

Le dispositif d’audit interne est soumis à un corpus de règles déontologiques, dont le principe d’indépendance ; ce qui pose le problème de son rattachement hiérarchique (rattachement optimal à la Présidence du Conseil d’administration en vue de prévenir tout conflit d’intérêt potentiel).

Le plan d’audit est pluriannuel. Il s’appuie en général sur la cartographie des risques et sur la cotation brute des risques visant à évaluer le niveau d’exposition aux risques dans l’entreprise), en vue de définir les thématiques prioritaires  à auditer (audit de processus, audit de fonction, audit de sites,etc.).

Pour aller plus loin, découvrez notre billet d'expert sur les points de divergence entre les dispositifs de pilotage de la conformité.

Le contrôle interne

Ce dispositif réglementaire pour les groupes cotés a pour objectif de:

• permettre d’avoir une assurance raisonnable quant à la sincérité des comptes (prévention de la fraude comptable et exhaustivité et complétude des flux comptables et financiers),
• s’assurer de la conformité contractuelle et réglementaire  tant face aux exigences locales, qu’au regard des directives européennes,
• s’assurer de la protection des actifs que ces derniers soit tangibles ou immatériels (réputation, image, propriété intellectuelle),
• protéger les objectifs stratégiques par sécurisation des processus et des projets.

Eu égard aux exigences réglementaires, imposant la communication au marché de l’existence de ce dispositif et de leur efficacité, les groupes cotés utilisent très fréquemment des dispositifs d’autoévaluation et de tests permettant d’évaluer la maturité du dispositif de contrôle interne. (Ces dispositifs sont développés en détail dans les autres billets du dossier).

Les niveaux d’exposition aux risques non couverts sont reportés au comité d’audit rattaché au Conseil d’Administration.

Le corporate risk management

Autre dispositif réglementaire, sur lequel le Président du Conseil d’Administration doit rendre des comptes dans le document de référence, tant sur son existence que sur son efficacité, le corporate risk management vise à mettre sous contrôle les risques purs (se traduisant par des pertes assurables ou transférables) ou les risques émergents (risques de sinistralité non assurables) pouvant affecter l’atteinte des objectifs stratégiques de l’entreprise, voir remettre en cause sa pérennité.

La méthodologie risk management se déroule en 4 étapes :

1/ Identification objectivée des risques potentiels pouvant affecter les processus et les projets de l’entreprise et analyse des conséquences en cas d’occurrence des risques (risk mapping),

2/ Production d’une cotation brute des risques en fonction de deux ou trois critères :

• Fréquence /impact
• Fréquence/impact /appétence aux risques (obligatoire dans le cadre de Bâle 3 et de Solvabilité 2) pour les banques et les compagnies d’assurance,
• Fréquence /impact /capacité à maitriser le risque

3/ Mise sous contrôle des risques inacceptables tels que définis à l’étape 2, en utilisant les techniques suivantes :

• Procédures de gestion de crise (conception et test d’efficacité avant sinistre : communication de crise, plan d’urgence, plan de continuité, plan de retrait des produits du marché),
• Procédures de sécurité et de sûreté (biens, personnes, informations),
• Transfert des risques (programmes internationaux d’assurance, transfert contractuel, back up, produits dérivés),
• Systèmes captifs de réassurance visant à auto financier volontairement certains risques.

4/ Production d’une cotation nette des risques (estimation de la réduction du niveau d’exposition aux risques post mise en œuvre des parades visant à mitiger le risque) à partir de tableaux de bord sinistralité ou de bases d’incidents opérationnels.

Le dispositif de  LABFT (Lutte Anti blanchiment – financement du terrorisme)

Le dispositif de LABFT, obligatoire dans le secteur banque et assurance, commence à se développer au sein des groupes industriels côtés, du fait de l’impact potentiel de la communication d’un cas de fraude majeur sur la notoriété et la réputation de l’entreprise (utilisation de l’entreprise en tant que vecteur de criminalité financière).

Le blanchiment est une  technique de criminalité financière se matérialisant par l’action de dissimuler la provenance d’argent acquis de manière illégale (spéculation illégale, activité mafieuse, trafic de drogue, trafic d’armes, extorsions, corruption) afin de les réinvestir dans des activités légales.

Les différents cas de figure associés sont les suivants, complicité bancaire, entreprise de transferts de fonds et bureaux de change, achat de biens au comptant, transfert électronique de fonds, mandats-poste, cartes de crédit, casinos, arnaque à la loterie, raffinage, amalgamation de fonds dans des entreprises honnêtes, altération de valeurs, auto prêt, assurance vie, achat de services prépayés.

Alors que les groupes bancaires ont développé des processus dédiés (KYC Know Your Client) en phase de prospection mais aussi de suivi en portefeuille) pour prévenir ces risques (fonctionnalités de data mining embarqués dans les systèmes d’information, surveillance des flux transitant sur les comptes), les groupes industriels positionnent la prévention de ces risques lors du référencement des fournisseurs dans le cadre d’enquêtes de notoriété et d’honorabilité ou lors de l’entrée en relation commerciale avec les nouveaux clients.

A noter, dans l’actualité récente bancaire, le renforcement du dispositif de prévention de la criminalité financière dans le cadre des processus KYC passant pas des d’enquêtes d’honorabilité des prospects entreprise réalisées par le back office, et la nécessité de demander des informations complémentaires aux prospects mais aussi aux clients en portefeuille en vue d’identifier les bénéficiaires effectifs des flux transitant par les comptes (demande portant sur les pactes d’actionnaires, délégations de pouvoirs et d’autorité, etc.)

Le dispositif de lutte anti-fraude interne et externe

Ce dispositif obligatoire dans le secteur banque-assurance, se développe de plus en plus au sein des groupes industriels cotés.

Ce dispositif est complexe à mettre en œuvre, car la construction de ce dernier doit prendre en compte les spécificités du droit sur les libertés publiques et le risque d’atteinte à la vie privée de la personne. Cette contrainte amène fréquemment les groupes cotés à adapter le dispositif par zone géographique, voir par pays.

Les étapes constitutives du dispositif de lutte anti-fraude interne et externe sont les suivantes :

• identification des cas de fraude avérés ou potentiels dans le respect des libertés publiques, avec interdiction pour les managers de proximité d’investiguer à ce niveau (via data mining, lors de la réalisation de missions d’audit, de révision comptable, de tests, identification par les collaborateurs),
• reporting via ligne éthique ou auprès du déontologue groupe ou auprès des correspondants contrôle interne,
• traitement par un comité éthique, ou par la direction de l’inspection générale ou via un fraud officer, ou externalisation auprès d’un cabinet d’avocat spécialisé,
• suite à investigation, les différentes décisions prises peuvent se résumer de la façon suivante : pas de suite donnée, sanction disciplinaire, licenciement pour faute grave et lourde, engagement d’une procédure au civil et/ou au pénal,
• prévention et communication (communication interne sur les cas de fraude évités ou avérés, implémentation de contrôles bloquants dans les systèmes d’information préventifs de la fraude).

Le dispositif de compliance / conformité

Le dispositif de compliance-conformité n’a pas la même définition dans le secteur banque assurance et dans l’industrie.

Dans le secteur banque-assurance, la compliance a pour finalité de s’assurer du déploiement des exigences de la directive européenne prospectus, donnant lieu à l’obtention d’un agrément en terme de commercialisation de produits bancaires et financiers (sécurisation des intérêts de l’épargnant par rapport à un couple risque/rendement).

Ce dispositif challenge aussi dans ce secteur le déploiement et la mise en œuvre de la directive européenne MIF 2 (marché des instruments financiers) qui vise à s’assurer de l’adéquation des produits proposés aux clients compte tenu de leur profil de risque dans le cadre d’une segmentation marketing prédéfinie (couple produit/client).

Ce dispositif s’assure enfin de la déclinaison terrain de règles déontologiques bancaires (muraille de Chine, prévention des conflits d’intérêts, déclinaison du code éthique,etc.)

Dans les groupes industriels, la conformité travaille plus sur l’examen de la compliance des actes de gestion avec les réglementations en vigueur, qu’elles soient domestiques, européennes, internationales. Elle porte aussi sur la sûreté juridique, c’est-à-dire s’assurer via l’examen des clauses des contrats de la protection optimale des intérêts de l’entreprise.

Abonnez-vous au blog pour lire les prochains billets du dossier : Les dispositifs de lutte anti-fraude et de trade compliance.