Le difficile calcul du juste prix de la compliance pour les entreprises

Le difficile calcul du juste prixde la compliance pour les entreprises

La gestion des risques et le contrôle interne focalisent toutes les attentions – les crises financières ont laissé des traces et les réglementations se durcissent. La pression des coûts et des ressources requiert des solutions pragmatiques

Associé Audit, PwC Genève

Les entreprises sont confrontées à une recrudescence des exigences juridiques et réglementaires, due au durcissement de certaines lois et réglementations comme le Fatca, Bâle III, la législation sur la sécurité et la protection des données, ou Solvabilité II. Il en résulte un besoin croissant de justifier et de prouver le respect de ces prescriptions. Nombre d’organisations mettent donc en place des programmes de compliance. Complexes et réactifs, ils génèrent des coûts élevés, souvent cachés et inconnus, et leur valeur ajoutée est difficile à démontrer. Dès lors, comment réduire ces dépenses sans mettre en péril la qualité, voire risquer un non-respect des directives et des lois?

Une compliance efficace

Les programmes de compliance comprennent, par exemple, la gestion des risques et les systèmes de contrôle interne (SCI). De simple respect des directives légales, la compliance est devenue une condition indispensable à la mise en œuvre efficace de stratégies pérennes de l’entreprise. Les composants des programmes de compliance efficaces permettent une approche globale. Ils montrent comment intégrer les activités de compliance, et révèlent les économies potentielles issues des synergies.

Stratégie

Les visions parfois divergentes qu’ont les parties prenantes (audit interne, controlling ou direction générale) de la compliance peuvent expliquer les dysfonctionnements résultant de son appréhension et de son application. Toutes les parties prenantes doivent s’accorder sur les points stratégiques pour harmoniser les attentes, puis les communiquer et les mettre en œuvre avec cohérence dans l’entreprise.

Structures et personnel

Après avoir commencé par instaurer des fonctions de compliance, les entreprises ont progressivement défini divers processus pour répondre aux exigences réglementaires. Mais la complexité croissante brouille la compréhension des fonctions et des processus, et pose la question d’une base d’objectifs et de contrôles communs. Une approche intégrée et globale de la compliance réduit la complexité, augmente l’efficacité et renforce la transparence en matière de risques et de compliance.

Un personnel bien formé et expérimenté est une clé de la réussite des programmes de compliance intégrée, et la garantie d’une qualité et d’une valeur ajoutée tangibles. Les salaires sont le principal facteur de coûts. Pourtant, des personnes souvent surqualifiées sont chargées de tâches répétitives, parfois non liées à un risque significatif, qui peuvent être facilement regroupées et externalisées auprès d’un «Shared Service Center» interne ou externe. Une organisation plus souple améliore l’efficacité, et permet à l’entreprise de redéployer les ressources sur les activités de compliance présentant des risques stratégiquement plus importants.

Processus

Malgré une analyse approfondie des risques de compliance dans le cadre de la gestion des risques, les activités de compliance en sont souvent complètement dissociées. L’absence d’approche basée sur les risques induit de nombreux contrôles, conçus initialement pour un autre objectif. La cartographie des contrôles en est affectée et peut comporter des redondances, comme des vérifications fastidieuses de chiffres financiers effectuées plusieurs fois, par différentes fonctions ou sociétés du groupe. Un contrôle centralisé serait plus efficace et permettrait d’améliorer la qualité du contrôle. L’hétérogénéité des activités de compliance dessert une communication continue entre les fonctions et favorise les redondances. Leur harmonisation assure une approche basée sur les risques, optimise et réduit les contrôles.

Technologie

Selon une étude de PwC*, certaines fonctions de compliance recourent à des aides technologiques (SAP GRC, Approva BizRights et MetricStream), toutefois rarement employées pour la surveillance continue des risques, mais plutôt pour la gestion des documents, voire pour les formations internes. Ces produits ont permis d’introduire de nouvelles fonctionnalités au fil des ans, et d’optimiser celles qui existaient, complétant la surveillance classique de conflits potentiels dans la séparation des fonctions par l’analyse des interfaces financières, des configurations de systèmes et des transactions. Le potentiel est immense: possibilité de contrôles plus fiables et automatisés, et soutien des activités de compliance par des workflows prédéfinis.

Qualité

La qualité est certainement l’«effet secondaire» majeur de l’efficacité. Lorsque compliance rime avec cohérence et qualité élevée, d’autres fonctions, comme l’audit externe, peuvent s’appuyer sur les fonctions de compliance internes et contribuer indirectement à de meilleurs résultats.

Une approche de compliance adaptée et intégrée permet à l’entreprise de promouvoir sa culture de la compliance à tous les niveaux, et de mieux identifier son coût par rapport à la valeur ajoutée. Une approche intégrée permet à une entreprise d’exploiter, à court ou moyen terme, des potentiels d’efficacité:

– Réduction des coûts: réduire les charges globales d’au moins 25% par une utilisation efficace de la technologie.

– Excellence opérationnelle: éliminer les incohérences et renforcer la confiance du management dans le système.

– Standardisation: rationaliser les contrôles et la documentation nécessaire dans tous les domaines et pays.

– Gestion des talents: attribuer des tâches plus pertinentes aux collaborateurs qualifiés, tout en flexibilisant les charges du personnel.

– Concertation: éviter les doublons en transmettant les résultats de la compliance à différentes fonctions, comme l’audit interne et externe.

* «Deeper Insight for Greater Strategic Value. State of Compliance. 2013 Survey», PwC, 2013.