LA FONCTION COMPLIANCE DANS L’ENTREPRISE (HORS SECTEURS BANCAIRE ET ASSURANCE)
Le guide pratique La fonction conformité anticorruption dans l’entreprise publié par l’AFA en janvier 20191 reconnaît la liberté de chaque entreprise dans la désignation d’un responsable de la fonction conformité, de son positionnement et des moyens qui lui sont alloués, tout en soulignant que ces éléments témoignent de l’engagement de l’instance dirigeante en matière de prévention et de détection de la corruption. En 2019, 65 % des sociétés du SBF 120 (72 % pour le CAC 40) avaient créé une fonction compliance confirmant ainsi une tendance observée depuis l’entrée en vigueur de la loi Sapin 22 . La compliance devient une priorité pour les entreprises et leurs dirigeants. Panorama et recommandations pratiques…
Dans la plupart des entreprises, la fonction compliance est rattachée à la direction juridique. En effet, selon une étude Lexqi Conseil, 45 % des Compliance officers y étaient rattachés en 2018, contre seulement 7 % rattachés à la direction des risques ou du contrôle interne par exemple. Cette tendance s’est confirmée et même renforcée en 2019 où l’on constate que dans 67 % des cas, la direction juridique a la charge de la compliance. Toutefois, certains grands groupes, au sein des entreprises du CAC 40 notamment, se sont doté d’une direction compliance autonome et distincte des directions juridiques ou en charge des risques. Ce type de schéma s’est beaucoup développé depuis l’adoption de la loi Sapin 2, d’ailleurs l’on constate aujourd’hui que, lorsque la compliance n’est pas gérée par la direction juridique, dans 54 % des cas elle est confiée à une direction compliance autonome. Ce schéma, qui suscite une préférence de plus en plus marquée par les grandes entreprises reste cependant encore minoritaire aujourd’hui en France, contrairement aux pays anglo-saxons.
Dans cette configuration, le directeur de la compliance est directement rattaché au Président Directeur Général ou à un membre du Comité exécutif et son champ de compétence est très large. Ainsi, outre l’identification et la prévention des risques de corruption, il peut comprendre – selon les entreprises – la gestion des fraudes, les pratiques anticoncurrentielles, le devoir de vigilance, la protection des données personnelles, les conflits d’intérêts ou encore les respects des sanctions économiques et les embargos.
Si ce type d’organisation peut être choisi dès la création d’une fonction compliance, l’expérience démontre qu'il s’agit le plus souvent d’une seconde étape, au sein d’entreprises ayant acquis une certaine maturité en termes de culture de compliance et de gestion des risques.
Elle traduit une volonté des organes de gouvernance d’une définition, d’un pilotage et d’une coordination centralisée de la conformité, en interaction avec les autres directions fonctionnelles comme la direction des risques et du contrôle interne, la direction juridique, la direction financière, la direction des ressources humaines et en lien avec les équipes opérationnelles.
Dans les plus petites entreprises, dans lesquelles il y a moins de fonctions supports, les obligations en matière de conformité sont le plus souvent gérées par la direction financière, la direction juridique, voire le juriste unique. Il est toutefois intéressant de constater que certaines PME – sans être directement assujetties à la loi Sapin 2 – déploient des procédures de compliance, y compris une certification ISO 37001 à l’instar de la société Eurotradia, considérant qu’une bonne éthique des affaires est un gage pour leur développement et leur compétitivité.
Cet engagement volontaire peut néanmoins être "imposé" par des réglementations étrangères pour les entreprises ayant des activités à l’international, par les attentes de parties prenantes (clients, fournisseurs), elles-mêmes soumises à la loi Sapin 2, ou encore par les banques et compagnies d’assurance. Enfin, certaines entreprises françaises, filiales de groupes étrangers, notamment américains, doivent déployer les procédures internes de leur maison-mère. Il n’existe donc pas d’organisation type de la fonction compliance. Celle-ci doit donc être adaptée à la taille de l’entreprise, à son modèle économique, son secteur d’activité, son organisation interne et, bien entendu, ses ressources financières et humaines.
LA COMPLIANCE RATTACHÉE À LA DIRECTION AUDIT, RISQUES, CONTRÔLE INTERNE
Dans ce type d’organisation, le responsable compliance n’est généralement pas juriste, mais vient plutôt de la finance ou de l’audit interne. Il :
• Bénéficie d’une bonne compréhension de l’organisation et des activités de l’entreprise, mais également d’une parfaite connaissance de ses process, c’est-à-dire de ses métiers et de la manière dont ils s’exercent ;
• Jouit d’une compétence et d’une expérience pratiques dans réalisation de la cartographie des risques, notamment des risques de corruption ;
• Maîtrise les outils de contrôle interne ;
• Communique et interagit directement et facilement avec le responsable des risques et du contrôle interne, son supérieur hiérarchique, mais également avec les responsables des autres directions fonctionnelles et opérationnelles avec lesquelles il a eu l’occasion de collaborer régulièrement dans ses précédentes missions d’audit ou de contrôle interne.
Néanmoins, cette configuration présente trois inconvénients majeurs :
• Un non-juriste est moins bien équipé pour analyser en amont les règles et normes de plus en plus complexes, évolutives et internationales, que doit respecter l’entreprise. Il n’est pas non plus en mesure de traiter les dossiers complexes tels que les enquêtes des autorités administratives et judiciaires, qui sont gérées par la direction juridique. Cette situation induit un système dual qui peut s’avérer moins performant en pratique.
• Le responsable compliance sera certainement moins à même de mettre en place les actions de communication et de sensibilisation internes ou les formations nécessaires pour diffuser une culture de compliance à tous les niveaux de l’entreprise.
• Ce schéma supprime l’un des trois niveaux de contrôle préconisés par l’AFA dans ses recommandations pour s’assurer de l’adéquation et de l’efficacité des mesures du dispositif anticorruption. En effet, réunies au sein d’un département unique, sous la supervision d’une seule personne, les fonctions d’audit interne, de conformité, voire de contrôle interne, ne sont pas en mesure de réaliser des contrôles de manière autonome et objective. Dans les plus grandes entreprises, cette configuration pourrait remettre en cause la bonne gouvernance de la conformité. Une telle superposition des tâches est bien entendu moins discutable dans des PME où la fonction compliance n’est pas identifiée en tant que telle.
LA COMPLIANCE INTÉGRÉE À LA DIRECTION JURIDIQUE
L’intégration de la fonction compliance à la Direction juridique constitue l’organisation la plus commune dans les entreprises de moyenne et grande taille. Dans ce schéma, le responsable de la fonction compliance est le plus souvent un juriste, qui généralement est le mieux placé pour :
• Effectuer une analyse en amont des règles et normes nationales et étrangères applicables à l’entreprise et ainsi anticiper leurs éventuels impacts business et adapter plus rapidement les process internes.
• Identifier les risques liés aux opérations. Les juristes, en contact permanent avec les équipes opérationnelles et souvent qualifiés aujourd’hui de véritables business partners, ont en effet une parfaite connaissance des enjeux de l’entreprise, qu’il s’agisse des contrats, des marchés ou encore des projets stratégiques, avec une vision transverse.
• Mettre en place des actions de sensibilisation et de formation adéquates, comme ils ont l’habitude de le faire depuis longtemps dans d’autres domaines, comme celui des contrats.
• Communiquer avec les organes de gouvernance, dont le directeur juridique est souvent proche. 55 % des Directeurs juridiques des sociétés ayant répondu à l’étude Lexqi citée plus haut sont en effet membres du Comité de direction de leur entreprise.
• Dans de nombreux pays, le Directeur juridique également Compliance officer dispose de la confidentialité de ses écrits. La France, sur ce point, pourtant indispensable à la bonne application de la Compliance, est en retard.
Cette organisation comporte néanmoins certains points de vigilance :
• Dans certains cas, outre un rattachement fonctionnel au directeur juridique, les juristes peuvent être rattachés hiérarchiquement au responsable opérationnel d’une business unit ou d’un pays et, dès lors se retrouver en position de conflit d’intérêt, par exemple dans le cas de la gestion des alertes et des enquêtes internes. Par ailleurs, un juriste très impliqué dans les opérations pourrait perdre en autonomie et objectivité. Ces difficultés peuvent toutefois être résolues par l’identification d’une équipe compliance autonome au sein même de la direction juridique.
• Les juristes sont parfois moins familiers des process internes et ont moins l’habitude d’interagir avec d'autres directions fonctionnelles telles que la finance, le contrôle interne, les ressources humaines, les achats ou encore la communication.
LA DIRECTION COMPLIANCE AUTONOME
La plupart des professionnels de la compliance s’accordent à mettre en avant la nécessaire indépendance de la fonction compliance, son accès direct à la direction générale et l’octroi de l’autorité et de ressources suffisantes pour exercer ses missions comme autant de facteurs de succès.
Dans ses lignes directrices, le Department of Justice américain (DOJ) lie l’autonomie de la fonction aux ressources dont elle dispose et met en avant le nécessaire accès direct aux instances dirigeantes, notamment au Conseil d’administration ou au comité d’audit. Pour apprécier le bon positionnement de la compliance, le DOJ recommande de vérifier si elle est au même niveau que les fonctions audit ou contrôle internes. Il fait ainsi de la comparaison avec d’autres fonctions stratégiques un élément d’appréciation de l’effectivité des programmes de compliance et de la fonction qui les élabore, ainsi que de l’engagement de l’instance dirigeante.
Dans son guide La fonction conformité anticorruption dans l’entreprise, l’AFA précise qu’il convient de veiller à l’interaction avec les autres fonctions et à la coordination avec les autres domaines de la conformité, tout en précisant que la compliance doit bénéficier d’une indépendance fonctionnelle. Les attentes de l’AFA en termes de positionnement – autonomie par rapport aux autres fonctions, capacité à influer sur ces dernières et accès aisé, voire direct, aux instances dirigeantes – peuvent être difficiles à atteindre dans le cadre d’une subordination à une autre direction fonctionnelle.
En pratique, la compliance étant une fonction transverse, il importe de la placer au même niveau que les autres directions fonctionnelles avec lesquelles elle doit interagir (juridique, ressources humaines, contrôle interne, etc.).
Parmi les arguments militant en faveur d’une fonction compliance autonome, on peut citer : • Une réelle indépendance ;
• Un accès direct à l’instance dirigeante, voire une présence dans les instances décisionnelle;
• L’absence de conflit d’intérêt ;
• Un budget autonome ;
• Une équipe dédiée, sorte de "task force", regroupant des spécialistes des différents domaines de la compliance (pénal des affaires, éthique, concurrence, données personnelles, sanctions internationales, environnement…) et, le cas échéant, des personnes dédiées aux alertes, aux enquêtes internes, à la gestion des différents outils et aux formations.
• Une visibilité et une autorité équivalentes aux autres directions fonctionnelles historiques ; • Une proximité avec les fonctions opérationnelles ;
• La possibilité d’être consulté très en amont au sujet d’un certain nombre de projets ou de décisions stratégiques ;
• La vision transverse.
Ainsi, une direction compliance autonome permet d’assurer une harmonisation et une cohérence dans le déploiement des différents dispositifs internes, nécessaires au respect de matières réglementaires complexes. Elle permet également à l’équipe dédiée qui la compose de s’attacher à diffuser une véritable culture de conformité au sein de l’entreprise et de mener des actions pédagogiques et de communication spécifique.
EN CONCLUSION
Quel que soit le schéma retenu, la fonction compliance doit être transverse et adaptée à l’entreprise et aux réalités du terrain. Plusieurs modèles semblent efficaces, qu’il s’agisse d’un Compliance officer qui connait le business depuis longtemps et qui peut donc mettre en place des procédures adaptées au niveau de risque ou d’une fonction ad hoc avec un positionnement fort et des méthodes robustes lui permettant de s’adapter. En effet, l’AFA précise dans son guide que le responsable conformité doit avoir une « bonne connaissance de l’organisation ou la capacité à l’assimiler efficacement ». //