Carrière – Evolution – Contrôleur interne – Contrôleur Conformité – Recrutement
Je vous propose, pour illustrer mon propos, la traduction d’un billet lu sur le site « Compliancex.com », intitulé « Of COSO, Internal Control, and Compliance Careers », rédigé par Matt Kelly en date du 22 janvier 2016 (confère le lien « source » à la fin de ce billet).
Le fond de son sujet se rapporte à l’évolution du métier de contrôleur de la conformité au sein de sociétés en liens professionnels avec Wall Street (sociétés de gestion d’actifs…) et, en particulier, des nouvelles compétences requises et de la difficulté de déceler les « perles rares » lors des processus de recrutement.
A mon sens, le contenu de son billet peut s’adapter, c’est-à-dire concerner, à d’autres entités que la gestion d’actifs, que ce soit aux Etats-Unis ou en Europe.
« Plusieurs fois, ces temps derniers, j’ai écrit sur le succès de nos jours de la conformité professionnelle. Les personnes qui seront « courtisées » par les employeurs, et pour des postes de haut niveau, doivent en savoir autant sur le leadership et la gestion du changement comme ils le font sur les détails des règles de conformité de Wall Street.
Aujourd’hui, je veux explorer un ensemble spécifique des connaissances que ces candidats doivent détenir. Ils ont besoin de connaître les modalités et la technicité des contrôles internes.
Les contrôles internes ont commencé comme quelque chose d’important à votre département corporate finance et en cabinet d’audit externe. Ils sont, littéralement, les contrôles qu’une société a mis en place pour s’assurer que les employés ne font pas quelque chose contre les règles. Que la politique de votre entreprise instaure que vous ne pouvez pas dépenser plus de 500 $ par nuit pour divertir un client ? Voilà un contrôle interne. Le processus consistant à soumettre un rapport de dépenses avec des reçus, et puis qu’une personne dans la finance rapproche les reçus de vos dépenses indiquées sur le formulaire déclaratif, puis que votre superviseur autorise le remboursement des frais engagés, puis qu’une autre personne, dans la finance, vous établi un chèque, ce sont tous des contrôles internes.
Pendant de nombreuses années les agents de conformité ne se préoccupent pas trop de contrôle interne, car le contrôle interne est principalement appliquée à l’information financière pour les investisseurs. Les responsables de la conformité, quant à eux, avaient la responsabilité de surveiller la manière dont les employés de la firme exécutent les transactions, appliquent la pratique de l’éthique de leur métier à propos de la détention d’informations privilégiées sur des entreprises, avant la réception de ces informations par leur clientèle. Cela a été un problème de mauvais comportement, pas de mauvaise tenue de la comptabilité. Donc, sur une longue période, les agents de la conformité se souciaient davantage des règles de conformité de Wall Street que de contrôle interne à l’égard de l’information financière.
Qu’est-ce qui a changé ? Surtout depuis la loi Dodd-Frank, les régulateurs examinent aussi les entreprises financières sur la bonne gouvernance, c’est-à-dire l’application « pure » de la conformité réglementaire. Donc, les deux mondes de la conformité réglementaire, et du contrôle interne à propos du reporting financier, se chevauchent de plus en plus dans un plus grand impératif de bonne exécution de l’ensemble des opérations de la firme.
Prenons l’exemple de la politique anti-corruption. Non seulement la corruption d’un agent d’un gouvernement étranger est une infraction pénale que le respect ou le service juridique n’a à se soucier; il est une infraction civile imposée par la SEC, qui « punit » la société parce que votre service comptable n’a pas remarqué le détournement de l’argent pour financer ces pots de vin illégaux. Un cabinet, un astucieux qui veut rester en adéquation avec les régulateurs, aura une approche unifiée de la lutte contre la corruption, avec des contrôles internes rigoureux pour identifier toutes les parties qui pourraient payer des pots de vin pour le compte de la société, et des contrôles pour déceler les paiements suspects qui pourraient être assimilés à des pots de vin.
Les professionnels de la conformité qui ont exercés une grande partie de leur temps sur la conformité réglementaire, ou travaillant dans le département juridique, pourraient ne pas avoir beaucoup d’expérience en termes de contrôles internes. Il existe, cependant, toute une littérature et des discussions à propos du contrôle interne que les professionnels de la conformité financière ont généré depuis la loi Sarbanes-Oxley de 2002. Le point de départ est le Committee of Sponsoring Organizations (COSO), qui a développé le cadre référentiel de contrôle interne que les sociétés cotées en bourse utilisent aujourd’hui le plus souvent pour leur reporting financier.
COSO a tenu compte de beaucoup d’expériences vécues dans ce cadre. Sa première utilisation est pour le reporting financier, mais des éléments de base de ce cadre («composants» en langage COSO) peuvent être utilisés pour toutes sortes de questions : la cybersécurité, la lutte contre la corruption, la conformité réglementaire, et plus encore.
Donc, comprendre comment vous pouvez greffer le cadre du COSO sur la conformité est le défi auquel votre entreprise a à répondre, ainsi que vous, en tant qu’agent de la conformité. Un recruteur que je connais (information : pas quelqu’un de Compliance Search Group) m’a dit qu’il était à la recherche d’un candidat qui a la connaissance de la conformité pour la gestion d’actifs « et tout ça du contrôle interne ». « Je ne suis pas encore sûr que je sais ce qu’est un tel candidat, sans parler de la façon dont un candidat sait « .
Dans l’avenir, ces conversations se produiront encore plus souvent. Compliance officers qui savent comment faire et qui le feront bien« .
Le contrôle interne des sociétés US cotées à Wall Street a pour base la réglementation extraterritoriale Sabarnes-Oxley et, plus précisément, son article 404 énonçant les obligations en matière de contrôle interne. Celles-ci se rapportent aux processus comptables et financiers.
En France nous disposons de la fonction de Responsable Conformité et Contrôle Interne (RCCI) au sein des sociétés de gestion de portefeuille ou de patrimoine.
Pour mémoire, c’est l’arrêté du 9 mars 2006 qui a introduit un nouveau dispositif en matière de contrôle interne de la Société de Gestion de Patrimoine (SGP). Ce nouveau dispositif supprime la distinction entre le contrôleur interne et le déontologue pour les fusionner au sein de la fonction de Responsable de la Conformité et du Contrôle Interne (RCCI).
Le RCCI est obligé de disposer d’une carte professionnelle délivrée par l’Autorité des Marchés Financiers (AMF). La carte professionnelle n’est pas matérialisée par un support papier, mais fait l’objet d’une inscription dans un registre informatisé tenu par l’AMF. Elle ne donne à son détenteur le droit d’exercer sa fonction de responsable du contrôle que pour le prestataire de services d’investissement qui a présenté sa candidature pour l’obtention de cette carte.
Cette délivrance s’effectue à la suite de la réussite d’un examen professionnel.
L’examen consiste en un entretien avec le candidat au cours duquel le jury doit s’assurer :
- de l’honorabilité du candidat, de sa connaissance des obligations professionnelles et de son aptitude à exercer les fonctions de responsable de la conformité,
- que la fonction de conformité dispose des moyens suffisants pour s’acquitter de ses missions de manière appropriée et indépendante conformément à l’article 313-3 du règlement général de l’AMF.
Les grandes lignes du contenu de cet examen sont :
A – Environnement réglementaire et déontologique :
- cadre institutionnel et réglementaire français, européen et international
- déontologie, conformité et organisation déontologique des établissements
- réglementation pour la lutte contre le blanchiment et le financement du terrorisme
- réglementation “abus de marché “
- démarchage bancaire et financier, vente à distance et conseil du client
- relation avec les clients et l’information des clients.
B – Connaissances techniques :
- instruments financiers et les risques
- gestion collective / gestion pour compte de tiers
- fonctionnement et organisation des marchés, post-marché, back-office
- émissions et opérations sur titres
- bases comptables et financières.
Le RCCI s’assure du respect des procédures mises en place par un contrôle permanent (pris en charge par des collaborateurs opérationnels au 1er niveau et par le RCCI au 2ème niveau) et un contrôle périodique (s’exerce sous forme d’audits ou d’inspections).
Nous constatons que ce contrôle interne n’a apparemment pas de lien direct avec l’ensemble des processus énoncés par le COSO. Même si cette définition parle de « contrôle permanent », nous sommes plus proches de SOX que du COSO 2 ou 3.
Les questions soulevées par Matt Kelly sont d’actualité pour toutes les entités européennes. Ceci, d’autant plus, qu’il est envisagé d’instaurer en France des processus de prévention et de contrôle de la conformité au sein des entreprises (loi sur la transparence de la vie économique –confère: https://resilienceducontroleinterne.wordpress.com/2015/12/30/les-societes-francaises-prochainement-sous-surveillance%e2%80%89/).
J’en profite pour attirer de nouveau votre attention sur l’intérêt de la précision du langage (https://resilienceducontroleinterne.wordpress.com/2016/01/08/humain-trop-humain/). Nous sommes habitués entre professionnels à parler en langage technique et, par aisance ou besoin de rapidité, par sigle. Ce qui peut provoquer certaines confusions chez des interlocuteurs non-avertis. Dans le cas présent, l’utilisation du sigle RCCI peut avoir au moins deux significations : celle exprimée dans ce billet, mais aussi celle de RCCI Bâtiment (Recherche des Causes & Circonstances d’Incendie : les techniciens/ingénieurs en investigation RCCI des entreprises et collectivités sont des experts en recherche des causes et des circonstances d’incendie des bâtiments).
Contrôle interne et Conformité sont « intimement » liés au travers de la gestion des risques. Ce lien prend un nouvel essor, par exemples, par l’apparition des Big data (exploitation des données numériques), par la mobilité des collaborateurs et la disponibilité des informations professionnelles. En entreprise, cette responsabilité doit-elle être détenue par une seule personne ou par deux personnes distinctes. La gouvernance ne peut plus se contenter de son Directeur juridique. Mais, l’attribution de la responsabilité de la Conformité est-elle obligatoirement dépendante d’un cursus juridique ?
Par ailleurs, comme j’ai pu le constater aux cours de divers entretiens professionnels, en dehors des grandes entreprises, le contrôle interne n’est pas un concept clair et précis en termes de connaissance et, encore moins, en termes de mise en place et, surtout, d’actualisation continue.
Source (EN) : Of COSO, Internal Control, and Compliance Careers