L’émergence de la compliance (RGPD, Sapin II, AML, OFAC) renforce les exigences en matière de contrôle interne

Suite à la publication ces derniers mois de nouvelles réglementations comme RGPD, Sapin II, la 4ème directive sur le blanchiment de capitaux (AML) et OFAC, les responsables du contrôle interne doivent rédiger de nouvelles procédures exigées par le législateur en coordination avec leur direction juridique, les mettre à jour si elles existent, tester leur application et, si nécessaire, mettre en place des plans d’actions.

Il s’agit de nouvelles missions qui viennent s’ajouter à leurs prérogatives existantes depuis de nombreuses années concernant la loi de sécurité financière (LSF), SOX, le référentiel de contrôle interne COSO notamment.

Détaillons un peu plus de quoi il s’agit exactement : type de procédures concernées, type de vulnérabilité associée et comment ces procédures peuvent être automatisées pour faciliter les tâches quotidiennes des responsables métiers.

Les différentes réglementations en compliance engendrent l’écriture de nouvelles procédures de contrôle interne

  • Pour le RGPD le compliance officer va devoir écrire les procédures de gestion des demandes d’accès, les procédures de rectification/suppression des données, les procédures de demande de portabilité, les procédures de gestion des réclamations, les procédures de mesures de sécurité (pseudonymisation, chiffrement, gestion de la confidentialité, back up and restore).
  • Pour la loi Sapin II, le compliance officer va devoir écrire les procédures de code de conduite/règlement intérieur, procédure de gestion des conflits d’intérêts, procédure cadeaux/invitations, procédure sponsoring/dons et mécénats, procédure de vérification des tiers, procédure de méthodologie de mesure des niveaux de risques, procédure d’alerte interne professionnelle, procédure relatives à l’application de sanctions disciplinaires,…
  • Pour la législation OFAC, le compliance officer va devoir écrire les procédures de gestion des sanctions internationales,…
Dans tous ces exemples de réglementations récemment publiées, le responsable du contrôle interne va travailler en concertation avec sa direction juridique pour rédiger le contenu des procédures concernées et une fois validées s’assurer de leur diffusion auprès des collaborateurs concernés dans son organisation.

Les projets de compliance se terminent toujours par la réalisation de tests dans le référentiel de contrôle interne 

Une fois les procédures de compliance écrites, diffusées aux opérationnels puis implémentées par ces derniers, différents interlocuteurs peuvent être nommés pour tester la correcte implémentation de ces dernières : 

  • les commissaires aux comptes, 
  • les contrôleurs internes, 
  • les auditeurs internes (externalisés), 
  • voir les certificateurs qualités ISO (la norme 37001 pour Sapin II par exemple). 
Les tests consistent en général à s’assurer qu’au regard de l’échantillon choisi, le contrôle concerné fonctionne correctement, est dûment documenté, et est correctement décrit pour limiter le risque associé.

L’objectif général du contrôleur est de donner une appréciation générale sur le(s) contrôle(s) concerné(s) qui peut se matérialiser par : un « Pass » (concluant), un « Fail » (non concluant), l’émission d’une réserve généralement commentée. Pour les deux derniers cas cités, un plan d’action est créé dont la responsabilité est confiée à un interlocuteur désigné.

Quelle vulnérabilité ?

Quel que soit le type de procédure interne et de référentiel concerné (procédures de compliance, COSO, SOX,…), le compliance officer est confronté au même type de difficultés et de risques :

  • le volume de contrôles à tester engendre une complexité difficilement gérable avec des logiciels de bureautique, 
  • la multiplicité du nombre d’interlocuteurs (et de rôles associés), de plans d’actions pour la gestion des remédiations liés aux plans d’action génère une volumétrie de données compliquée à gérer manuellement.


Comment limiter ces risques si spécifiques ? 

Le réflexe naturel du responsable du contrôle interne va être de mettre en place un référentiel de contrôle interne unifié fiable qui permette de supporter l’ensemble de la documentation des procédures et l’ensemble des résultats des tests pour l’ensemble des problématiques de compliance à adresser (RGPD, Sapin II, OFAC, AML, ISO 37001,…).

C’est sur l’ensemble de ce processus de gestion du contrôle interne de la compliance qu’une solution logicielle comme Nasdaq Contrôle Interne (qui fait partie de la plate-forme de GRC intégrée BWise) vous apportera sa valeur ajoutée en vous permettant par exemple de :

  • utiliser un workflow qui inclut des rôles et des responsabilités (business owners en charge de respecter les procédures, contrôleurs internes en charge de mettre à jour les procédures, testeurs en charge de vérifier l’opérabilité des contrôles…),
  • consolider et agréger les résultats des tests, en ayant la possibilité d’effectuer des extractions et modéliser des reporting (niveau d’avancement des tests, % de conformité des tests réalisés,…),
  • diminuer le niveau de risque global de votre contrôle interne en limitant au maximum le niveau d'exposition à la fraude et aux erreurs,
  • augmentez le niveau de confiance de votre direction en fournissant plus de transparence et de visibilité concernant votre programme de contrôle interne, 
  • réduisez les coûts de votre programme de contrôle interne : créez l'efficacité par l'automatisation de vos processus de contrôle internes et la réduire les tâches manuelles et répétitives.

Pour approfondir le sujet je vous propose d’accéder à la brochure Nasdaq Contrôle Interne.

Si cet article vous a été utile, je vous invite à le partager. Je serais également heureux d’échanger plus avant avec vous sur ces sujets, n’hésitez pas à me contacter personnellement !

Scroll up