Par Blandine CORDIER-PALASSE, Revue Internationale de la Compliance et de l’Ethique des Affaires ; supplément à la semaine juridique entreprise et affaires n°26
Compliance is based on preserve, protect, and perform. In today’s business environment, the hallmark of successful GRC professionals is their ability to help preserve corporate integrity. It’s also to protect brand and reputation, and drive organizational performance. Leadership requires clear statements of values and objectives and a sustained commitment that leads to substantial changes in how the company does business. The risk management culture should be embedded not only in risk-monitoring and compliance systems, but also in business decision-making and incentive systems.
Compliance functions cannot, by themselves, impose a strong risk management culture on a reluctant organization. But compliance functions can play a crucial role in helping the board monitor. It has a role to evaluate the performance of management in building sound risk management practices throughout the company. Many attributes of a strong risk management culture are readily observable. It should be monitored by the board with assistance and independent advice from compliance and risk functions. It is critical that the board looks for these attributes in the company’s culture, identifies weaknesses and ensures that management is accountable for correcting them. In these volatile times, building a strong risk management culture is a mission-critical priority for the board.
1. Les origines de la compliance
Compte tenu de la mondialisation et de la concurrence accrue, d’une part, des réglementations et des normes nationales et internationales de plus en plus complexes, d’autre part, et, enfin, des risques significatifs que peut faire courir à l’entreprise le non-respect de certains processus qualité (Samsung, légionellose, Mercator, etc.), la non-compliance est devenue un risque majeur. Un simple fait ou incident peut porter atteinte à l’image et à la réputation d’une entreprise. Il peut aussi mettre en cause sa stratégie, ses performances, voire sa pérennité.
Du fait de cet accroissement des risques d’être hors conformité, une fonction centrale a émergé. Le responsable est, peu à peu, devenu l’un des acteurs incontournables d’un groupe : le Compliance Officer. D’abord développée aux États- Unis, cette fonction est arrivée en Europe il y a quelques années.
2. Le périmètre de la compliance
Le Compliance Officer se charge ainsi de la compliance. Mais qu’est-ce que la compliance ? Dans son acception très opérationnelle et transversale, la compliance recouvre l’ensemble des processus qui permettent d’assurer aussi bien le respect des règles, des normes et des processus, que d’insuffler un esprit éthique dans l’entreprise. La conformité de l’entreprise en est donc le résultat.
D’ailleurs, les titres diffèrent dans les organisations. On trouve « directeur éthique et conformité », « Chief Compliance Officer ». Celui qui nous semble correspondre le plus à la convergence culturelle actuelle entre éthique et conformité « Chief Ethics & Compliance Officer ».
Certains considèrent la compliance de manière très normative et voient surtout les volets « process » et reporting. Ils blâment cette nouvelle contrainte qui engendre des coûts et serait un frein au business. Mais quand on constate le nombre de groupes qui ont été sanctionnés pour non-respect de la conformité aux lois et réglementations, le nombre d’amendes et les répercussions de ces sanctions toujours plus lourdes tant en France qu’à l’étranger, les anti-compliance sont de moins en moins nombreux. Au contraire, de plus en plus de dirigeants voient en la compliance un vecteur de management organisationnel et de performance. Ils voient un formidable levier de compétitivité dans un environnement économique où leurs entreprises sont confrontées à toujours plus d’innovation et d’agilité. Pour ces dirigeants éclairés, le risque compliance est devenu un risque majeur pour l’entreprise.
3. Les éléments essentiels de la compliance
Pour mieux comprendre la fonction compliance dans les entreprises, il conviendra d’aborder ses enjeux. Puis, il conviendra d’aborder la fonction indispensable qu’est devenue celle du Compliance Officer. Nous nous interrogerons sur les moyens de mettre en place et organiser la fonction compliance. Quel est le rôle du Compliance Officer ? Quel(s) profil(s) privilégier ? Comment peut-on accompagner le changement de culture et d’organisation du groupe ? Autant de questions que les clients nous posent de plus en plus fréquemment et auxquelles nous répondrons en plusieurs points.
A. – L’enjeu principal de la compliance : se prémunir des dangers
d’autres groupes ont eu des conséquences très importantes dans la conduite des groupes, comme dans leur développement. Les conséquences de ces prises de risques interpellent de plus en plus les dirigeants. On retrouve aussi les administrateurs, les actionnaires et toutes les parties prenantes de l’entreprise. Le premier objectif de la compliance est donc de protéger l’entreprise.
L’intensification du cadre réglementaire. – Quand on parle de gestion des risques et de compliance, on pense souvent au cadre réglementaire. Celui-ci s’est renforcé avec la loi Sapin 2, le RGPD, le UK Bribery Act, le FCPA, la directive NIS, AML… Mais outre les risques réglementaires, l’entreprise doit faire face à des risques financiers, stratégiques, d’image et de réputation. Ils peuvent tous mettre en jeu et contrarier implicitement son développement.
Les obligations de reporting augmentent également, notamment sur la traçabilité, les contrôles, la RSE et l’extra financier. Autant de points requièrent ainsi une vigilance et des procédures accrues.
Une croissance des risques due à la transformation technologique. – Que ce soit dans la fabrication où l’on trouve de plus en plus de robots et cobots, ou dans les services où foisonnent l’Internet des objets, les predictive analytics et le cloud computing, les sources de risques se sont démultipliées, délocalisées et complexifiées. Les recenser, les maîtriser, mettre en place des actions en réduction de risques et savoir réagir si le risque se matérialise, sont typiquement des actions qui incombent aux équipes compliance.
Il ressort d’une récente analyse1 que, selon les directeurs juridiques de grands groupes, les trois défis juridiques les plus importants présentés par les nouvelles technologies sont liés aux données personnelles, à la cybersécurité et à la compliance internationale.
B. – La mission de la compliance : préserver la réputation et la pérennité de l’entreprise
Construire une solide réputation. – C’est là que la fonction compliance devient un outil concurrentiel tant elle protège, voire renforce la réputation de l’entreprise. Une image de marque de qualité, c’est la voie royale vers le client qu’on veut toucher. En effet, on constate que de plus en plus, la notoriété d’une entreprise est une véritable arme de vente que ce soit en BtoB ou en BtoC. Et ce phénomène ne peut que s’accroître avec les nouveaux courants de pensées. Ceux-ci voudraient que les entreprises aient un objectif sociétal au-delà de leur simple rôle financier. En parallèle, les consommateurs évoluent. Elles recherchent des entreprises qui respectent et appliquent leurs principes à chaque étape des processus de production et de vente. Conserver intacte la marque d’un groupe – un de ses actifs immatériels les plus importants – est une façon de créer de la valeur pour les actionnaires.
Maintenir cette réputation dans le temps. – Pour respecter leurs principes, les entreprises doivent parfois faire des choix difficiles à court terme tels que de se retirer de certains marchés ou produire autrement. Toutefois, ces arbitrages lui permettront de prospérer sur le long terme. Une compliance solide aidera à faire les bons choix.
C. – La participation de la compliance au développement de l’entreprise
L’attractivité et la rétention des talents. – Attirer et retenir les meilleurs profils sont les défis auxquels sont confrontées les ressources humaines. Les employeurs font face à la génération Y, hyper connectée. La responsabilité sociale des entreprises (RSE) – désormais sociétale – et l’éthique sont au cœur de la conformité. C’est un atout pour attirer et retenir des talents. Revers de la médaille : ces mêmes talents sont moins susceptibles de s’impliquer. Ils sont moins encore incités à rester dans une entreprise à la réputation « scandaleuse ». Ainsi, Wade Burgess soulignait même, dans la prestigieuse Harvard Business Review qu’une mauvaise réputation ou image de marque de l’employeur devient un coût supplémentaire évalué à 10 % pour recruter.
L’obtention de nouvelles parts de marché. – Lors d’appels d’offre, la sélection s’oriente de plus en plus vers une entreprise éthique, intègre, « clean », ayant une bonne réputation. Se développer sera plus difficile pour les entreprises qui n’ont pas de fortes valeurs éthiques et la capacité à le prouver. Les entreprises sans programme efficace, sans charte éthique, sans « code of conduct » seront laissées de côté.
De même, les relations des entreprises avec les tierces parties sont évaluées et remises en question. S’assurer d’avoir des partenaires fiables, en conformité avec les règles et l’éthique est un « must » pour les groupes – et par capillarité, pas seulement pour les grands groupes. Les partenaires de l’entreprise participent notamment à la création de sa réputation.
D. – La protection de l’entreprise et l’atteinte par les équipes des objectifs fixés via la compliance
L’équation paraît simple. « Il suffit » d’identifier les risques, les analyser, les évaluer, les réduire et mettre en place des actions en réduction de risques. Mais dans la complexité du monde des affaires d’aujourd’hui, cela ne suffit pas. L’entreprise doit avoir une bonne gouvernance dans tout son écosystème en intégrant une approche par les risques.
Les fonctions de protection que sont le juridique, la compliance, le risque, la gouvernance protègent la stratégie de l’entreprise. Elles doivent donc être impliquées dans l’ensemble de l’activité de l’entreprise. En cela, elles participent effectivement au bon déploiement de la stratégie. Puis, elles contribuent aux réflexions et aux décisions de long terme. Les fonctions s’emploient à réduire la probabilité d’accidents de parcours, sécurisent les opérations. Elles quantifient la prise de risque, assurent la continuité du business et préservent l’image et la réputation de l’entreprise. Elles contribuent de plus en plus à éviter que des arbitrages éthique/économique ne se fassent.
Un système de gouvernance des risques établi par les organisations. – Pour répondre correctement aux divers risques, la direction d’une organisation doit connaître avec précision son niveau d’exposition aux différents risques et menaces, traduits en termes financiers. Ces expositions sont discutées et acceptées dans chaque fonction. Elles sont le point de départ pour définir des plans d’action en réduction de risques. Ce modèle de gouvernance du risque constitue une approche innovatrice.
E. – Le rôle du conseil d’administration et du top management dans la gouvernance du risque
En Europe, certains conseils d’administration n’ont pas encore pris la mesure de l’importance de la compliance pour la pérennité de leur entreprise. Pourtant, si on s’en réfère à l’article L. 225-35 du Code de commerce, c’est bien clair : « le Conseil [d’administration] détermine les orientations [stratégiques des activités de l’entreprise] et veille à leur mise en oeuvre. (…) il se saisit de toute question intéressant la bonne marche de la société (…) ». Autrement dit, le législateur oblige le conseil d’administration à se plonger dans les sujets de compliance et d’éthique.
Cette démarche ne doit pas être « cosm’éthique ». La volonté, l’ambition de suivre des valeurs, de les incarner, quelles que soient les situations et les tentations, doivent être réelles et emporter avec elles l’obligation pour les plus hautes instances d’être exemplaires en tous lieux et en toutes circonstances.
4. L’élément central de la compliance: le Compliance Officer
Nous l’avons effectivement vu plus haut. Les trois notions clés associées à la fonction de compliance sont : préserver, protéger et contribuer à la performance de l’entreprise.
A. – Le positionnement de la fonction, le profil et la formation du Compliance Officer
Son positionnement. – Nous constatons que même s’il est encore souvent rattaché au directeur juridique, il devient de plus en plus autonome. Il est rattaché au CEO avec éventuellement un double reporting au président du comité d’audit.
Son indépendance. – Il doit bénéficier d’une réelle indépendance afin d’assurer au maximum l’exhaustivité de son périmètre d’intervention. A cela s’ajoute l’objectivité de ses remarques au point d’alerte. Sa subordination hiérarchique à l’une des fonctions autres que la direction générale ou le président pourrait hypothéquer le libre arbitre dont il doit disposer afin d’intervenir au plus haut niveau sur des sujets particulièrement sensibles qui peuvent se révéler stratégiques.
En prenant du recul vis-à-vis des autres pouvoirs, il doit faire preuve d’impartialité dans ses jugements. Il ne doit pas être influencé par des pressions tant internes qu’externes ou encore par ses intérêts propres.
Retour d’expérience
Nous pensons – et nous l’observons chez nos clients – que la compliance est un sujet de gouvernance d’entreprise et un vecteur incontournable de la mise en oeuvre de la stratégie. Le rattachement de la compliance directement à la direction générale est un enjeu du point de vue de son impartialité, son indépendance, de son efficacité, sa légitimité et sa crédibilité.
Sa formation. – Il ressort d’une étude du cercle Montesquieu que 71 % des Compliance Officers ont une formation juridique, 26 % ont une formation école de commerce et 12 % sont ingénieurs. En ce qui concerne leur expérience, 57 % sont juristes, 19 % sont issus des fonctions finance, audit, risque, 5 % sont des ingénieurs et 4 % sont des commerciaux3. Cette diversité s’explique par le fait que c’est un métier nouveau – d’ailleurs, plusieurs cursus universitaires voient le jour pour apporter un complément de formation.
Nous pensons qu’avoir une diversité de profils au sein des équipes est un point important : cela permet d’assurer la complémentarité des prismes, la richesse et la solidité des analyses et la capacité d’adresser les différents profils d’expositions, de situations, de risques, de culture.
La nécessité d’un profil pointu. – Compte-tenu de l’évolution du rôle et de ses responsabilités, des transformations du business et des impacts technologiques, les Compliance Officers doivent avoir une compréhension de sujets de plus en plus larges qui varient selon les groupes en fonction de l’exposition géographique et géopolitique, du secteur d’activité, de la culture, de l’historique du groupe… Ils couvrent aussi bien la technologie que les risques de marché, les réglementations nationales qu’internationales, l’audit, la stratégie…
La compliance est par nature une fonction très transversale. Elle infuse l’organisation matricielle, en fonction des risques les plus prégnants – qu’ils soient financiers, antitrust, anticorruption, blanchiment, conflits d’intérêts, minéraux de conflits, cyber sécurité et sécurité de l’information, données personnelles, environnement, fraude, trade compliance et export control, tierce partie, RSE, discrimination, droits de l’homme, etc.
Le profil des Compliance Officers doit être de plus en plus solide pour appréhender les risques : selon le Cost of compliance report de 20174, 48 % des sociétés s’attendent à une augmentation de la responsabilité personnelle des Compliance Officers dans les 12 prochains mois.
B. – Les qualités humaines du Compliance Officer
Le leadership. – Il doit avoir une grande capacité à entraîner ses équipes et collègues vers un objectif déterminé et savoir définir les moyens d’y parvenir. Il doit emporter l’adhésion à tous les niveaux de l’entreprise afin d’être à même de faire évoluer les pratiques. Figure d’autorité au sein de l’entreprise, il sait convaincre car il est le garant de la prise de conscience générale quant à l’intérêt de la compliance dans l’entreprise.
La rigueur. – Son sens aigu de l’organisation contribue à tendre vers le risque minimum – le risque zéro n’existe pas dans l’entreprise -, tout en identifiant en amont les risques potentiels.
Le charisme. – Il est fédérateur et doté d’une autorité naturelle et d’un ascendant certain sur ses interlocuteurs, il doit avoir une parole forte et savoir faire entendre ses idées.
L’intégrité. – Il se doit d’être empreint d’exemplarité quant aux valeurs incarnées par l’entreprise et qu’il véhicule.
Communicant et pédagogue. – Bon communiquant et très bon pédagogue, il s’adapte à la culture, au langage – technique ou pas – de chacun afin de leur permettre de comprendre les tenants et les aboutissants d’une problématique ou des processus à respecter ou à mettre en place.
Humain et ferme. – Il doit pouvoir établir un climat de confiance et une légitimité de manière à ce que la décision soit elle-même légitime et que l’autorité soit acceptée. Il doit aussi savoir sanctionner sans apparaître comme un censeur du business.
Un capteur voire un « business maker ». – Il a une vision beaucoup plus généraliste qui lui permet de bien connaître le business et les Hommes pour être en mesure d’anticiper les contraintes comme d’apprécier le niveau des risques. Il aide le CEO à sentir ce qui se passe à l’intérieur de l’entreprise et dans son environnement.
Un veilleur. – Face à la pression, la concurrence et le besoin d’être toujours meilleur, l’envie d’y arriver par tout moyen peut tenter certains de franchir la ligne jaune et d’enfreindre les règles. La confiance dans la personne, dans sa capacité d’analyse, de discernement, de jugement objectif, incite non seulement les salariés, mais aussi toute autre partie prenante de l’entreprise à le consulter sur un sujet ou une problématique sensible.
C. – La principale mission du Compliance Officer : faire respecter la culture compliance au sein de l’entreprise
Il s’agit autant des réglementations, nationales et internationales, que des normes professionnelles et extra-professionnelles. Il s’agit aussi des règles d’éthique et de bonne conduite définies par l’entreprise et son environnement.
Le « bon » Compliance Officer doit être capable d’analyser ces règles et ces normes, dans la perspective de l’entreprise, de son activité, de sa culture, de son environnement global économique, géopolitique et extra-financier.
Son défi ? – Sensibiliser et faire en sorte que tous les salariés respectent les normes légales, les valeurs et l’éthique de l’entreprise. D’autant que le droit ou certaines valeurs peuvent paraître abstraits pour d’aucuns.
L’éthique est partout. Les normes et les règles tout autant. La diffusion de l’éthique et des normes dans l’entreprise est un véritable enjeu. Le Compliance Officer doit effectuer un travail d’homogénéisation des valeurs communes. Le but est d’aboutir à un système de valeurs universelles comprises par tous les salariés, tous les pays, toutes les cultures, afin qu’ils se les approprient. Ils pourront ainsi plus ou moins naturellement, mais en conscience, les incarner au quotidien dans leurs fonctions au service du business, et donc, de la performance de l’entreprise.
Une mission matricielle. – Elle est verticale, irriguant tous les échelons du groupe. Elle est aussi transversale, en collaboration et en synergie avec les autres directions fonctionnelles et opérationnelles.
Il s’assure que les priorités en terme de compliance sont clairement communiquées, comprises, par les pays, les régions ou les sites. Elles doivent être également assimilées et incarnées par les salariés concernés.
Il supervise la sensibilisation et les formations, en réunion et/ou en e-learning, relatives aux initiatives compliance et à la
politique de l’entreprise.
Il doit aussi en permanence être à l’affût et identifier les zones potentielles de vulnérabilité ou à risque, travailler en liaison avec les managers et les opérationnels concernés pour développer des plans d’action en réduction ou suppression de risques.
Le Compliance Officer doit veiller à ce que les problèmes et préoccupations concernant la compliance soient traités, évalués, traqués, résolus de manière appropriée. Et, le cas échéant, vérifier que les actions correctrices ont été mises en place.
Il s’assure de l’implantation de systèmes effectifs de monitoring et de mesure de l’efficacité des programmes d’éthique et de compliance afin d’identifier leur réussite et des futurs points d’amélioration.
La sensibilisation. – Il doit mettre en place une « chaîne de la compliance ». Le Compliance Officer doit faire en sorte que tous les acteurs de l’entreprise se sentent concernés par les enjeux compliance et s’investissent dans l’implantation de celle-ci à tous les échelons. Il doit emporter l’adhésion de la hiérarchie, des collaborateurs, ainsi que de tous les partenaires de l’entreprise. Lorsqu’il aura réussi sa mission, la compliance deviendra un état d’esprit, une philosophie, et se sera infiltrée à tous niveaux de l’entreprise et des partenaires de celle-ci.
Le conseil. – En collaboration étroite avec la direction juridique et le ComEx, le Compliance Officer occupe une place décisive dans le processus d’alerte et de décision face à des situations concrètes (fusions/acquisitions, appel d’offres, prise de marchés, etc.). Impliqué en amont, il contribue à protéger l’entreprise en favorisant les schémas les plus sûrs. Le reporting. – Il fournit un travail essentiel de retour sur analyse afin de diffuser les bonnes pratiques au sein de l’entreprise.
D. – Les missions réalisées par le Compliance Officer via un programme efficace
L’organisation de la compliance diffère beaucoup en fonction des groupes, des secteurs d’activité, de la maturité de l’entreprise… Par conséquent, il faut revenir à l’ADN de l’entreprise afin de déployer un programme de compliance adapté. Spécifique à chaque entreprise, adapté aux problématiques auxquelles celle-ci est confrontée, le programme est construit en fonction des enjeux, des marchés, de la culture et des risques fonctionnels, opérationnels, d’image et de réputation de l’entreprise.
Le Compliance Officer devra préparer l’entreprise aux conséquences de ses recommandations sur le fonctionnement de l’entreprise. Mais celle-ci devra également être consciente de l’intérêt de cette évolution en termes d’identification, d’appréhension, d’évaluation, de réduction des risques associés à la non-conformité et à l’élément de compétitivité différenciant sur le marché vis-à-vis de l’ensemble des parties prenantes de l’entreprise.
Le programme de compliance commence par le recrutement du Compliance Officer et la mise en place de son équipe. Il se poursuit avec le déploiement du programme, des formations, la conduite des investigations internes, le monitoring et le reporting des actions, sans oublier la contribution au changement de culture du risque au sein du groupe.
Bien qu’encore peu valorisée, réussir la transformation d’une organisation en intégrant cette fonction nous semble être un gage de succès.
E. – La culture compliance/éthique : un travail collaboratif entre le Compliance Officer et les autres fonctions
Comme nous l’avons écrit plus haut, il est important de mettre en place un programme solide et complet. L’objectif est le « be good » et non le « look good » ! En ce sens, le programme de compliance doit être réel et travaillé. Il y a un vrai enjeu de crédibilité, le risque serait un retour de boomerang extrêmement fort.
Ne pas déresponsabiliser le personnel. – Au contraire, l’objectif est de responsabiliser chacun dans sa fonction, et ce, à tous les niveaux de la hiérarchie. Le risque est que dans un premier temps les managers se conforment aux règles mises en oeuvre. Puis, ils considèrent progressivement qu’elles sont nécessairement appliquées. C’est là que, désormais, leur libre arbitre disparaît. Ils ne seront plus en mesure d’alerter sur un élément qui, avec du bon sens, leur permettrait de constater le non-respect de la règle.
Ils doivent ainsi comprendre que les règles mises en place ne viennent pas en complément du business. Ce sont les règles du business lui-même qu’ils doivent appliquer en toute conscience et en toutes circonstances.
L’importance de la collaboration entre les services. – Différentes directions fonctionnelles (finance, audit, juridique, risques, RH, sécurité de l’information, etc.) et opérationnelles seront impactées. Elles devront donc interagir avec le Compliance Officer.
Idéalement, les unités opérationnelles intègrent parfaitement la fonction compliance. Elle n’est plus désormais à l’écart dans un silo labélisé « fonction support ». Chacun se sera approprié cette culture. Chacun aura compris que l’éthique et la compliance sont de véritables outils de compétitivité, créateurs de valeur favorisant le développement de l’entreprise et sa pérennité. Le Compliance Officer pourra ainsi estimer avoir véritablement transformé la culture de l’entreprise.