04 juin 2024
Lecture 6 mn
« L’audit de la conformité : au-delà des malentendus », un webinar IFACI pour une nouvelle approche
L’IFACI organise le 20 juin prochain le webinar « l’audit de la conformité : au-delà des malentendus »1. Il sera animé par Hervé Gloaguen, fondateur du cabinet Paracas-Advisors GmbH2, ancien Directeur de l’audit interne du groupe Allianz, qui a également occupé le poste de Chief compliance officier du groupe. Pour le blog il dresse les grandes lignes du webinar qui revisitera le sujet, notamment en abordant les bonnes pratiques et erreurs à éviter.
Vous intervenez bientôt à l’IFACI à l’occasion d’un webinar sur l’audit de la conformité. En quoi cette thématique présente-t-elle une actualité et nécessite-t-elle d’être mise en avant ?
Hervé Gloaguen : Autour de l'audit interne, il y a des effets de mode, comme dans beaucoup de secteurs. On parle beaucoup de cybersécurité, d'intelligence artificielle, et tous ces sujets sont évidemment très importants. Néanmoins, il y a aussi des sujets plus « classiques » qui sont peut-être un peu moins visibles et dont on n’identifie pas nécessairement les impacts. La conformité en fait partie.
Nous sommes confrontés à quatre grandes transformations dans notre environnement: géopolitique, technologique, démographique et climatique. Ces quatre grandes transformations induisent tous les jours de nouvelles législations, qui créent de nouvelles pressions sur l'entreprise, de nouvelles contraintes, et ce quel que soit le secteur d’activité. Ce qui accroît le profil de risque de non-conformité pour les organisations. Si beaucoup se saisissent de ces sujets, une grande partie restent dans la réaction. Par exemple, lorsqu’intervient la nouvelle législation européenne sur le développement durable, on s'en saisit et l’on met des moyens pour y répondre. Mais ce que ce webinar va essayer de mettre en perspective, c’est la manière de s'assurer qu’il y ait une identification des risques, de bien les mesurer et et correctement les piloter et les gérer. Dans une démarche donc bien plus proactive.
Ce qui nécessite donc de revoir la réalisation des audits de conformité ?
H.G. : Dans le cadre d'un audit de la conformité, il ne faut pas seulement se demander si l'on gère bien les risques de sanctions, comme les liens avec la Russie, par exemple, ou les mesures anti-blanchiment…. Non, l’idée est d’avoir une vision du profil de risque de l'entreprise, car les sujets des sanctions ou de l’AML sont peut-être un sujet mineurs par rapport à un autre type de risque de non-conformité…
Pour ce webinar, vous allez donc proposer une méthodologie pour aborder l’audit de conformité de manière plus pertinente ?
H.G. : L’idée n’est pas de proposer une checklist des risques de non-conformité ou un programme de travail, mais plutôt de donner une perspective justement sur ce que devrait être la conformité.
« La conformité est plus que la couverture classique de certains risques »
Est-ce que c’est votre parcours professionnel qui vous a donné l’occasion d’imaginer cette approche différente ?
H.G. : J'ai eu la chance dans mon parcours d'avoir été à la fois auditeur et responsable de la conformité. J'ai donc à la fois audité la conformité, et je l'ai pratiquée. C’est bien sûr ce qui m’a permis de développer cette approche. Je ne prétends pas qu’elle est originale, mais elle est basée sur mon expérience, et c’est ce que je vais partager au cours du webinar du 20 juin.
J'ai un parcours sur les trois lignes de maîtrise. J’ai siégé au comité exécutif d’Allianz France, et j'ai créé Allianz Banque dont j’ai été le directeur général pendant 6 ans. J’ai également été responsable de l'audit du groupe Allianz pendant 12 ans, avec une importante équipe d’à peu près 900 auditeurs dans 45 pays. Mon dernier poste a été responsable de la conformité, Chief compliance officer, du groupe Allianz, avec une équipe d’environ 800 professionnels. On m'a demandé à la fois de transformer la fonction, comme j'avais pu le faire dans l'audit au cours de la décennie précédente, mais aussi de gérer une crise très importante. J'ai été amené, avec les équipes de la conformité et la fonction juridique, à m’occuper de la fraude massive baptisée « Structured Alpha » entre 2020 et 2022: elle a coûté plusieurs milliards de dollars au groupe Allianz. Il revenait à la conformité de mener toute l'investigation interne et de rendre compte aussi bien au régulateur allemand qu’au department of justice américain, puisque c'est une fraude qui s'est produite dans une de nos activités américaines.
Cette expérience multiple m’a permis, je pense, de comprendre que la conformité dépassait la couverture classique de certains risques. C’est ce dont je parlerai justement au cours de ce webinar, en essayant d'aller au-delà de ces fonctions importantes mais néanmoins classiques liées à la conformité.
Vous aborderez également le sujet des erreurs et mauvaises pratiques que vous avez pu rencontrer ?
H.G. : Il y a effectivement des choses qu'il faut corriger en priorité dans une organisation, mais aussi dans une approche d'audit de la conformité. Je citerai trois écueils possibles : le premier est de confondre trop souvent la fonction conformité avec les processus de conformité. Or, il y a des processus de conformité partout dans l'entreprise, bien au-delà de la seule fonction de conformité. Quand on veut faire un audit, il y a vraiment un choix à faire entre auditer juste la fonction ou l'ensemble des processus. Ce sera un point central abordé au cours du webinar.
Le deuxième écueil, c’est qu’il est important d'avoir une approche stratégique de la conformité et non pas seulement technique. Ce que je veux dire par là, c'est qu’il faut avoir une véritable gestion de ces risques de conformité. Cela peut paraître choquant parce que bien sûr il faut être en conformité sur tous les sujets mais il faut aussi être capable de déterminer sur quels sujets l’on va viser l'excellence, parce qu’ils sont encore plus sensibles, là où le profil de l'entreprise peut être particulièrement exposé à un risque.
Le 3e écueil est quand à lui plus lié à un problème de communication : il ne faut par exemple pas faire croire à un comité d'audit que l'audit de la fonction conformité suffit à donner une assurance complète sur l'ensemble du profil de compliance de l'entreprise. C'est pour cette raison que j’ai suggéré d’intituler ce webinaire « Au-delà des malentendus ». Parce qu’il y a là un vrai malentendu que j'ai moi-même vécu.
« J'ai acquis la conviction que la conformité n’est pas qu’un sujet de juristes »
Et en termes d’équipe ?
H.G. : J'ai acquis la conviction que la conformité n’est pas qu’un sujet de juristes, même si une bonne équipe de conformité comprend bien sûr des juristes. Il faut des gens qui comprennent les réglementations, les législations, qui soient capables de les interpréter. Mais il faut aussi un certain nombre de personnes qui connaissent les processus de l’activité, les risques qui y sont liés, pour que concrètement la loi qui s'impose à nous puisse se traduire par le bon type de contrôle en interne à mettre en place. C’est ce que j’avais fait de mon côté chez Allianz, en rendant cette équipe davantage hybride, avec de bons juristes mais aussi des collaborateurs venant du business. Pour vous donner simplement un exemple : si vous traitez un sujet comme la protection du consommateur, qui depuis quelques années prend beaucoup d'ampleur, vous aurez besoin dans votre équipe de compliance de personnes qui viennent des réseaux de distribution ou d’autres qui ont travaillé dans la partie design technique du produit. Il ne suffit pas d'avoir un juriste qui nous explique quelles sont les dernières lois sur la protection du consommateur. Les deux dimensions sont nécessaires.
Un autre point qui sera abordé lors du webinar ?
H.G. : Les cycles de l’audit de conformité. J'insisterai aussi sur le fait qu’il faut bien se poser la question de la temporalité : quand est-ce que vous avez audité la conformité pour la dernière fois ? Quand j'ai pris l'audit en charge pour la première fois chez Allianz, j’ai eu le sentiment que la conformité était plutôt perçue comme un processus de risque faible, avec en conséquence des cycles d'audit longs, tous les 5 ans. Avec le recul et l'expérience, je pense que c'est une fonction qui mérite d'être auditée beaucoup plus souvent.
Vous partagez tous ces sujets régulièrement via votre cabinet de conseil et sur votre page LinkedIn3…
H.G. : Je poste régulièrement des articles sur des sujets de compliance, de gestion des risques, de gouvernance et d’audit interne, afin de partager mon expérience
professionnelle. Et j’anime des ateliers. Je réside toujours en Allemagne et je travaille notamment beaucoup, dans le cadre du cabinet que j’ai créé, avec les différents instituts IIA, notamment en Amérique latine et en Asie, et l’IFACI bien sûr. C'est aussi une façon de restituer, de rendre un peu tout ce que j'ai acquis pendant mon parcours professionnel.
1 jeudi 20 juin à 13H, en direct sur workplace : https://ifaci.workplace.com/events/489758136717076/