2. Plan de l’intervention
• 1/ situer la compliance par rapport à son environnement
• 2/ La compliance aujourd’hui
http://www.herveboullanger.com 2
3. Ce que n’est pas la compliance
• Le contrôle interne
• L’audit (interne, externe, l’inspection)
• Le contrôle hiérarchique
• Le contrôle de gestion
http://www.herveboullanger.com 3
4. Le contrôle interne
(définition du COSO)
http://www.herveboullanger.com
Processus mis en œuvre par les dirigeants et le personnel
d’une organisation, à quelque niveau que ce soit.
Destiné à leur donner en permanence une assurance
raisonnable quant à la réalisation des objectifs de
l’organisation
4
5. Deux types d’objectifs pour une
organisation
• Protéger ses activités contre les risques de
toute nature inacceptables pour les parties
prenantes (gaspillage ou vol de ressources ou
de données, investissements injustifiés, …)
• Saisir les opportunités
http://www.herveboullanger.com 5
6. La structuration du contrôle interne par les outils
du contrôle interne
• Gouvernance et pilotage du contrôle interne
• La cartographie et la documentation des processus
• La carte des risques
• Le plan d’action
• Le reporting des actions et contrôles
Hervé Boullanger
7. L’audit
• Expertise professionnelle sous forme d’évaluation ou contrôle
• par une personne ou une équipe indépendante
• sur la base d’une conformité à une norme ou à des bonnes pratiques
• réalisé à la demande des dirigeants ou imposé par un partenaire financier ou par la loi
• L'audit peut porter sur :
– l'organisation du travail, notamment la répartition des tâches et des responsabilités (audit organisationnel);
– le respect des procédures ou de la réglementation au sein d'une entité (audit de conformité) ;
– la validité des états financiers émis par une organisation (audit financier ou audit légal) ;
– Les trois « e » : efficacité, efficience, économie (audit de performance).
«Audit is not control».
http://www.herveboullanger.com 7
8. Définition de l’IFACI (institut français de l’audit et
du contrôle interne)
● « activité indépendante et objective ;
● qui donne à une organisation une assurance sur le degré de
maîtrise de ses opérations,
● lui apporte ses conseils pour les améliorer,
● évalue, par une approche systématique et méthodique, ses
processus de management des risques, de contrôle, et de
pilotage,
● fait des propositions pour renforcer leur efficacité».
http://www.herveboullanger.com 8
Les référentiels applicables pour l’audit interne sont les normes de l’IIA
et pour l’audit externe sont les normes ISA.
9. Une forme particulière d’audit : l’inspection
• L’inspection est dépêché par la direction générale pour effectuer des
contrôles ponctuels dans les différentes entités de l’entreprise
(agences, filiales, services locaux...). Elle examine les comptes,
s'assure de l'application de la réglementation et des procédures
internes, contrôle le fonctionnement des dispositifs de sécurité et les
activités du personnel.
• L’inspection est un service très présent dans les entreprises ayant un
fort risque de fraude interne et externe (ex: banque) et dans
l’administration.
http://www.herveboullanger.com 9
10. Définition du contrôle de gestion
● Système de pilotage
● en vue d’améliorer le rapport entre les moyens engagés et les
résultats obtenus
Cadre (calendrier, ressources allouées, responsables), Mesure (coûts et résultats, indicateurs,
exécution du budget et comptabilité analytique et Analyse des résultats, prise d’actions correctives)
● dans le cadre d’une démarche stratégique préalablement fixée
(cahier des charges = définition des résultats et bénéfices attendus par l’organisation)
http://www.herveboullanger.com 10
11. Définition de la compliance
• Ensemble des mécanismes (stratégie et
procédures)
• mis en œuvre par les opérateurs
économiques dans le but d’assurer le
respect :
• des règles de droit applicables
• de l’éthique des affaires
http://www.herveboullanger.com 11
13. Permanente
Direction générale
ou juridique
Compliance
Périodicité
Rattachement
Objectifs
Mise en place,
formation et
contrôle du respect
des règles
Audit Contrôle interne Contrôle de gestion
Référentiels
Produits finis
Responsables
Périodique Permanente Permanente
Direction générale
Intégré dans chaque
service
Direction financière
Expertise de:
organisation,
régularité, comptes
et performance
Maîtrise des risques
Suivi des coûts et des
résultats
Réglementation et
code éthique
Normes IIA et ISA
COSO + Référentiels CI
internes
Stratégie interne de
l’organisation
Stratégie et
procédures
Recommandations
Carte des risques et Plan
d’action
Analyse des
indicateurs et compta
analytique
Compliance officer Auditeur Manageur et référent CI Contrôleur de gestion
HERVÉ BOULLANGERhttp://www.herveboullanger.com 13
14. Les intersections entre fonctions
Contrôle interne Compliance
Risquesdenon
conformité
Audit de
conformité
Audit financier
Audit
organisationnel
Audit de
performance
Audit interne
http://www.herveboullanger.com 14
15. Les intersections entre fonctions
• Points communs entre contrôle interne et compliance : Le CI identifie,
évalue, et maîtrise les risques dans chaque unité de l’organisme. La
compliance le fait pour sa partie c’est-à-dire pour le risque de non-
conformité (sanction judiciaire, administrative ou disciplinaire, perte
financière significative, ou d'atteinte à la réputation), qui naît du non
respect des dispositions législatives ou règlementaires, des normes
professionnelles et déontologiques, ou d'instructions de l'organe
exécutif.
• Points communs entre audit et compliance : L'audit contrôle toutes les
activités de l'entreprise, y compris la conformité. L’audit de conformité
expertise l’efficacité et l’efficience du dispositif de compliance de
l’entité.
http://www.herveboullanger.com 15
16. Une procédure : le paiement des dépenses
4 mesures pour garantir la sécurité.
• La séparation des tâches
• Le contrôle mutuel
• La supervision
• Des règles de rotation sur les fonctions sensibles
http://www.herveboullanger.com 16
Que fait le
Contrôle
interne ?
Que fait l’Audit
interne ?
Que fait la
compliance ?
Il inscrit dans la carte des
risques la procédure de
paiement lorsqu’une de ces
mesures n’existe pas
Il inscrit dans son rapport
une recommandation
lorsqu’une de ces
mesures manque
Elle vérifie si ces
mesures sont
obligatoires ou
recommandées et si
oui contrôle leur
application
17. La compliance aujourd’hui
• Lois et réglementation (le droit dur)
• L’éthique (le droit mou)
• Les missions de la compliance dans les entreprises
http://www.herveboullanger.com 17
18. La compliance droit dur : le droit de la
régulation
• Le droit fiscal et le droit du travail
• Le droit de la concurrence
• La lutte contre le blanchiment et la corruption
• La protection de la vie privée et des données
• La régulation sectorielle : Banque, assurance, Energie, transport,
télécoms, alimentaire, industrie pharmaceutique …
http://www.herveboullanger.com 18
19. Top 4 des risques dans les organisations en 2018 (7ème
édition baromètre des risques d'Allianz publié par Allianz Global Corporate & Specialty AGCS) :
Où se situe le risque réglementaire ?
http://www.herveboullanger.com 19
N°1
Interruption d’activités due à un sinistre classique: incendie,
catastrophes naturelles notamment les risques liés au
changement climatique, défaillance de la chaîne logistique ou de
qualité des produits , actes de terrorisme ou de violence politique,
N°3
Incidents cyber : Cybercriminalité (+53% en 2 ans) ou plus fréquemment
défaillances des systèmes informatiques essentiels
N°2
Évolutions réglementaires imprévues
N°4 Dépassement rapide du business par les nouvelles technologies
20. Le blanchiment
• Les textes applicables : Directive CE du 26 octobre 2005, Article 222-
38 324-1 à 324-4 du code pénal et Article L561-3 et suivants du code
monétaire et financier
• Actions à mettre en place pour être conforme
– Désignation d’un responsable du contrôle interne
– Désignation d’un correspondant Tracfin
– Mise en place d’un système d’évaluation, de gestion et de classification des
risques de blanchiment.
– Examen des papiers d’identité ou extrait de registre officiel et entretien direct
avec ses partenaires économiques
http://www.herveboullanger.com 20
21. La corruption
• Les textes applicables : Loi du 9 décembre 2016 relative à la
transparence, à la lutte contre la corruption et à la modernisation de la
vie économique (loi Sapin II)
• Actions à mettre en place pour être conforme
– Dispositif d’alerte interne
– Sélection et formation des agents
– Existence d’un référent, d’une charte et d’un comité déontologiques
– Contrôle et audit internes.
– Déclaration d’intérêts obligatoire
– La protection des lanceurs d’alerte
http://www.herveboullanger.com 21
22. La protection de la vie privée et des
données
• Les textes applicables : Le règlement n° 2016/679, dit règlement
général sur la protection des données (RGPD).
• Actions à mettre en place pour être conforme
– La nomination obligatoire d'un délégué à la protection des données (Data
Protection Officer)
– Un code de bonne conduite
– Garantir le droit des personnes (droit à l’effacement, consentement explicite et
positif, droit à la portabilité)
http://www.herveboullanger.com 22
23. Les lanceurs d’alerte
• Le lanceur d’alerte se définit comme « toute personne qui a connaissance de
manquements graves à la loi ou au règlement, ou de faits porteurs de risques
graves ». Il a « le droit de communiquer, dans l’intérêt général, les
renseignements qui y sont relatifs », ajoute le texte, qui précise que « ce
lanceur d’alerte agit de bonne foi, sans espoir d’avantage propre ni volonté
de nuire à autrui ».
• L’alerte pourra être donnée au sein de l’entreprise ou de l’administration
concernée, ou auprès d’interlocuteurs externes (justice, Défenseur des
droits, ordres professionnels, associations…), voire être rendue publique en
l’absence de réaction ou en cas d’urgence.
• La responsabilité pénale du lanceur d’alerte de bonne foi ne pourra être
engagée s’il divulgue des informations couvertes par le secret — hors secret
de la défense nationale, secret médical ou secret entre l’avocat et son client.
http://www.herveboullanger.com 23
24. La compliance droit mou
• Charte éthique interne
• Codes de bonnes pratiques, lignes directrices, recommandations,
normes de référence et avis des organisations professionnelles (ex : la
Charte Relations Fournisseurs Responsables, code AFEP-MEDEF de gouvernement
d’entreprise des sociétés cotées,….)
• La responsabilité sociale des entreprises ou reporting extra-financier :
gouvernance de l’organisation, droits de l’homme, relations et conditions de travail,
environnement, bonnes pratiques dans les affaires, relations avec les consommateurs et
engagement sociétal
http://www.herveboullanger.com 24
25. Déontologie des professionnels du chiffre dans le privé et
dans le public6 points communs
Nos Thèmes Commentaires
1 Serment Liste des engagements dans les serments :
- Probité (EC, CAC, CP)
- Indépendance (CAC)
- Fidélité (CP)
- Respect des lois (EC, CAC, CP)
- Honneur (CAC)
- Secret (JF)
- Bien remplir ses fonctions (JF)
- Dignité (JF)
- Loyauté (JF)
2 Indépendance, impartialité Sont interdites les situations qui créent un conflit d’intérêt
3 Probité, intégrité L’intégrité et l’honnêteté sont des conditions d’exercice de la profession. Leur manquement
sanctionné par le pouvoir judiciaire entraine une sanction disciplinaire pouvant aller jusqu’à
l’interdiction d’exercer.
4 Secret, réserve
et discrétion professionnels
Un professionnel du chiffre ne communique les informations qu'il détient qu'aux personnes
légalement qualifiées pour en connaître.
5 Compétence Obligation de la formation continue
6 Dénonciation des
crimes et délits
Les malversations ou infractions pénales découvertes au cours de la mission doivent être
dénoncées au procureur de la République
http://www.herveboullanger.com/ 25
26. 4 différences
Nos Thèmes Commentaires
1 La neutralité Les professionnels du chiffre dans le public doivent s’abstenir
de mettre en avant leur conviction politiques, philosophiques
ou confessionnelles
2 Dignité Les professionnels du chiffre dans le public doivent s’abstenir,
même en dehors du service, de tout agissement qui porterait
préjudice à la confiance dans l’institution
2 Assistance, courtoisie et
confraternité
Les professionnels du chiffre dans le privé doivent se garder
de tout acte ou propos déloyal à l’égard d’une confrère ou
susceptible de ternir l’image de la profession. Ils s’efforcent de
résoudre à l’amiable leurs différents
3 La Communication Pour les professionnels du chiffre du privé, les actions de
communication à l’égard de tiers sont encadrées
http://www.herveboullanger.com/ 26
27. Code AFEP-MEDEF de gouvernement
d’entreprise des sociétés cotées
• La dissociation des fonctions de président du conseil d’administration
et de directeur général
• Les principes directeurs de la composition du conseil d’administration :
représentation des salariés, actionnaires minoritaires, administrateurs
indépendants, évaluation du CA, l’accès à l’information des
administrateurs, la formation des administrateurs)
• Le comité d’audit
• Le comité en charge des nominations et des rémunérations
http://www.herveboullanger.com 27
28. Les missions de la compliance
• Mise en place de procédures :
– Procédures communes à toutes les règles : conflits d'intérêts potentiels (ex :
registre des conflits d’intérêts), droit d’alerte (whistle blowing), règles
déontologiques (charte éthique).
– Procédures de circulation des informations confidentielles (« muraille de Chine »
, écoute téléphonique et contrôle de messagerie, gestion des habilitations) ;
– Procédures spécifiques à certaines réglementations : prévention des abus de
marché, lutte anti-blanchiment, corruption…
• Contrôle de 2ème niveau de l’application des procédures
• Information du personnel et conseil du management (sur la
réglementation)
• Correspondant attitré des autorités de supervision
http://www.herveboullanger.com 28
29. Les points de compliance
vérifiés par les autorités de régulation
http://www.herveboullanger.com 29
Autorité, ressources, compétence, accès aux informations ,
indépendance / des fonctions qu’il contrôle, rémunération ne
compromettant pas son objectivité.
Existence, exhaustivité, mise à jour, diffusion
Le statut de(s)
responsable(s)
Stratégie et
procédures
Documentation
du suivi
CR de contrôle, feuilles de présence lors de
formations, relance des salariés qui n’ont pas suivi
leur programme d’e-learning, copies des mails de
rappel à l’ordre…
30. Conclusion : Les enjeux de la compliance pour
les acteurs économiques
http://www.herveboullanger.com 30
Un indicateur de bonne gouvernance et de probité
Un enjeu de compétitivité
Pour les
autorités de
régulation
Un enjeu de réputation vis-à-vis des consommateurs
et investisseurs
Un protection contre les sanctions judiciaires,
administratives ou disciplinaires,
Pour
l’entreprise