Des efforts de compliance réels mais encore insuffisants en matière de détection pour répondre aux attentes des autorités de régulation
Les annonces de nouvelles sanctions auprès de grandes entreprises en matière de fraude, de corruption et de LCB-FT, pour des montants toujours plus significatifs, se poursuivent.
Or, bien que les obligations réglementaires ne cessent de se durcir (loi Sapin II, 4e directive de LCB-FT, sanctions économiques internationales, RGPD, directive sur le secret des affaires, etc.), les actes de non-compliance ne sont que trop rarement et trop tardivement détectés, avec des conséquences majeures sur la vie des entreprises. Les moyens investis en matière de remédiation sont considérables, ceux de la détection sont bien plus limités et témoignent d’un niveau d’engagement de la direction parfois plus reservé.
Les autorités de régulation n’hésitent pas à prendre en main le sujet, en menant de multiples contrôles, toujours plus efficaces (recours aux analyses de données, intégration de scenarii, connaissance fine des schémas et des réseaux, etc.). Les manquements sont ainsi rapidement détectés et des sanctions infligées. Par ailleurs, la personne physique responsable des manquements fait elle-même de plus en plus souvent l’objet de poursuites.
Dans un contexte de recrudescence des contrôles et des sanctions, le top management doit inciter ouvertement et fermement à l’amélioration de la surveillance continue dans un objectif de renforcement de la robustesse du programme de compliance.
L’efficacité du dispositif de détection doit être démontrée à l’ensemble des parties prenantes internes et externes (direction, administrateurs, actionnaires, investisseurs, etc.) car les impacts en termes de perte de valeur (chute des cours de bourse, résultats dégradés, départ d’hommes/femmes clés, etc.) sont potentiellement considérables.
Mais la mise en œuvre d’un dispositif de détection efficace n’est pas une tâche facile.
La gestion d’énormes volumes de données, l’évolution des modes de gestion de la relation client, la multiplication des canaux de distribution et, plus généralement, la mondialisation, transforment l’approche même de la compliance et notamment d’un de ses enjeux clés : la détection.
Quels objectifs et moyens de détection ?
La pierre angulaire du dispositif de détection est la cartographie des risques de non-compliance qui permet à l’entreprise d’identifier ses principaux risques, de les hiérarchiser et de mobiliser les efforts nécessaires sur les zones les plus exposées.
A ce prérequis s’en ajoute un autre : le déploiement au sein de l’organisation de processus clairs, établis, partagés et si possible formalisés. Le contrôle du bon fonctionnement de ces processus, doit être assuré et déployé sur les trois lignes de défense (opérations, compliance, audit).
La première ligne de défense joue un rôle indispensable dans le cadre des contrôles dits de «premier niveau», effectués par les opérationnels métiers. Ces derniers structurent et conditionnent l’effectivité de l’ensemble du dispositif de détection.
En parallèle, les contrôles de «deuxième niveau» effectués par des personnes indépendantes de celles ayant mis en œuvre les contrôles de premier niveau, doivent être réalisés tout au long de l’année selon un plan structuré et articulé. Ils ont pour objectif de s’assurer de la bonne exécution des contrôles de premier niveau ainsi que du fonctionnement correct des opérations.
Enfin, le contrôle du «troisième niveau» relève du dispositif de contrôle périodique, à réaliser par l’audit interne.
La détection répond à plusieurs objectifs tels que l’identification des risques majeurs et émergents, la maîtrise et la capacité à déjouer les menaces mais aussi, et c’est sans doute sa plus grande vertu, sa capacité à dissuader les pratiques non éthiques.
Dans ce contexte, communiquer sur l’existence d’un dispositif de détection est un puissant levier (en termes de coût/rentabilité) en matière de lutte contre les agissements non conformes (la peur du gendarme fonctionne !).
L’apport des nouvelles technologies et des analyses Forensic de données
La variété des sources d’information et l’augmentation continue des volumes des données circulant au sein de l’entreprise rendent indispensable le recours à des technologies innovantes permettant de cibler les signaux d’alerte pertinents.
Afin de répondre aux nouveaux enjeux, la compliance doit donc adopter une approche «big data» désignant la collecte et le traitement des données du système d’information.
Cela est d’autant plus important que l’entreprise évolue dans un contexte de transformation digitale complexe, où la multiplication des données dématérialisées est la normalité. Elle fait ainsi face autant à de nouvelles opportunités que de risques.
Pourtant, la majorité des entreprises analysent leurs données sur un périmètre insuffisamment large ou sur des natures de données insuffisamment diverses (données financières et comptables, stratégiques, juridiques, etc.), pour permettre de détecter des comportements atypiques.
Par ailleurs, force est de constater que souvent, les outils déployés ne sont pas exploités à la hauteur de leur capacité en matière de compliance. En complément des compétences d’analyse, le recours aux outils (analyse de données, automatisation, intelligence artificielle, etc.) permet d’améliorer de manière significative non seulement la rapidité et l’efficacité des traitements, mais aussi la fiabilité des résultats obtenus.
A titre d’exemple, un des sujets les plus complexes et onéreux de la compliance concerne la gestion des tierces parties. Dès lors que l’entreprise est structurée avec de nombreuses filiales, aux procédures et process disparates et, qu’elle développe des relations d’affaires avec des centaines voire des milliers de tiers, son dispositif de gestion des tiers peut devenir ingérable et incompréhensible. Ceci rend les travaux de détection d’autant plus ardus. L’analyse de données, combinée à de la robotique et le cas échéant, à de l’intelligence artificielle, permet ainsi à l’entreprise non seulement de collecter, analyser et documenter les informations relatives aux tiers, mais également de dépolluer, d’enrichir et d’automatiser les scenarii de détection de cas non conformes. On voit bien ici l’impact de telles réalisations sur le ratio coût/efficacité d’une organisation compliance.
L’analyse de larges volumes de données offre à l’entreprise une vision globale des risques, ce qui lui permet de prévenir et détecter plus en amont des risques multiformes en perpétuelle évolution, tels que les fraudes, la corruption, et de recouper des données structurées (notamment financières) et non structurées (données web, e-mails, etc.). Le recours à ces outils permet aussi de déployer des moyens d’alerte et de contrôle réactifs reliés aux évolutions de processus, de canaux de distribution, de nouveaux produits pour renforcer le dispositif de compliance dans son ensemble.
Au-delà du traitement exhaustif des data, leur étude rend l’univers des flux plus intelligible et plus lisible. Il reste maintenant à favoriser le développement d’une réelle culture digitale de la compliance, balbutiante dans beaucoup d’organisations.
Quelle stratégie adopter ? La compliance en tant que business partner
Pour être efficace, le dispositif de détection doit faire partie d’un cercle vertueux dont l’objectif est l’amélioration continue du programme de compliance. Pour ce faire, il doit être déployé en lien avec la stratégie de l’entreprise et reposer sur les risques majeurs.
Parce que les travaux de détection touchent l’entreprise dans son ensemble – processus, procédures, métiers, transactions, etc. –, une approche transverse et coordonnée entre les diverses fonctions s’impose. La compliance ou la direction qui porte la fonction a un rôle de chef d’orchestre, d’impulsion, de création et de suivi du dispositif de détection mais n’exécute pas seule les travaux. Les résultats de ces travaux (nombre d’alertes traitées, actions de remédiation, etc.) doivent être partagés auprès du top management.
La compliance se positionne alors en tant que business partner en initiant des discussions stratégiques avec le top management sur des zones d’exposition dans telle filiale, dans telle business unit, sur tel produit, avec tel partenaire d’affaires, notamment. Cette détection doit aider à la prise de décisions pour la direction voire le conseil d’administration.
Dans le contexte actuel, le besoin de lutter contre les risques de fraude et de corruption est permanent et ce, alors que les moyens ne sont pas illimités, il convient donc de rationaliser les efforts.
Se mettre en mode projet est ainsi indispensable, ce qui signifie poser les bonnes questions, tenir compte des éléments (contrôle de gestion, outils existants, etc.) déjà présents dans l’organisation qui méritent d’être développés.
Parmi les bonnes pratiques de place, certains acteurs construisent dans tous les process d’innovation la «compliance by design» qui consiste à apprécier (en amont à leur lancement) le risque de non-compliance lié à tout nouveau produit, nouveau canal de distribution, nouvelle acquisition, etc.
Avec l’arrivée du RGPD, les entreprises ont déjà été habituées à travailler en mode projet dans une optique de «privacy by design». Ce mode opératoire doit être maintenant appliqué pour la compliance. Le programme de détection de non-compliance est alors construit en même temps que le processus. Parmi les mesures de sa performance, le défaut de conformité (risque de fraude par exemple) est pris en compte.
Cette approche permet de travailler le plus tôt possible sur les key risks indicators à déployer et, avec les métiers, de corriger les «anomalies» identifiées.
Conclusion : la détection de la non-compliance est stratégique pour une transformation réussie
Déployer un dispositif de détection efficace doit s’inscrire dans la stratégie de transformation et d’amélioration de la gouvernance de l’entreprise. Ce dispositif doit être porté par le top management, avec le soutien des technologies adéquates. Il permet à l’entreprise de mieux maîtriser ses risques et de mesurer le résultat des efforts réalisés, en disposant de KPI ciblés (tels que les signaux d’alerte, faux positifs, faux négatifs, montants déjoués, etc.) permettant de conduire des contrôles pertinents, de faciliter la quantification des dommages et d’être en phase avec les évolutions business.
Mais il s’agit aussi et avant tout d’une affaire de change management et de développement d’une culture forte de l’éthique des affaires au sein de l’ensemble de l’organisation.