La digitalisation des processus de compliance au sein des entreprises
« La digitalisation des processus de compliance au sein des entreprises. » C’est le titre du livre blanc présenté le 21 septembre, dans les locaux parisiens de l’Edhec, devant quelques membres de l’AFJE et du Cercle Montesquieu à l’initiative du projet. La LJA y était aussi invitée.
La digitalisation des processus de compliance est l’un des sujets d’attention des entreprises et de leurs dirigeants. Car au-delà des multiples aspects juridiques qu’elle recouvre (données personnelles, prévention de la fraude et de la corruption, lutte contre le blanchiment et le financement du terrorisme, sanctions économiques et financières, droit de la concurrence, obligations résultant de la responsabilité sociale et environnementale), elle porte également des enjeux en termes de business, financier et de risque réputationnel. Face à la multiplication des mesures législatives et réglementaires liées à la compliance dans les entreprises et au virage numérique au sein des directions juridiques, la question se pose de savoir comment améliorer l’efficacité et la performance de la gestion de la compliance et des risques associés en construisant des référentiels de conformité, éventuellement mutualisés, et en numérisant les process. Le Cercle Montesquieu et l’Afje ont donc entrepris de se plonger ensemble dans une réflexion approfondie, à l’automne 2020. Analyse qui a été menée par une trentaine de personnes, sous l’égide de Denis Musson pour le Cercle Montesquieu et de Jean-Yves Trochon pour l’Afje. Près d’un an aura été nécessaire pour enquêter, brainstormer et aboutir à des recommandations et des pistes de réflexion.
Un état des lieux du marché instructif
C’est Day One qui a d’abord cherché à établir l’état des lieux du marché, par une enquête visant à apporter un éclairage sur le niveau de digitalisation de la compliance. Il en ressort que 87 % des entreprises ont déjà entamé une transformation digitale de leurs activités, dont 55 % en matière juridique (69 % en finance, 63 % en RH et 58 % en commercial). Environ 3 répondants sur 4 ont initié un projet de digitalisation de leurs processus de compliance, leurs objectifs étant bien sûr d’autonomiser les process (71 % des répondants), mais aussi d’améliorer la gestion des risques (66 %) et d’autonomiser les contrôles (50 %). La numérisation des sujets de compliance porte en priorité sur l’évaluation des tiers (52 %), l’anticorruption et les conflits d’intérêts (37 %), ainsi que les données personnelles (37 %).
Dans ce cadre, les directions compliance se démarquent en tant que responsables de projet, loin devant les directions juridiques. Elles sont bien sûr assistées par des opérationnels, par la DSI, ou encore par les directions de l’audit, du contrôle interne, ou des RH. « Les legal ops interviennent également généralement en tant qu’approbateurs », note Olivier Chaduteau, qui a conduit l’enquête. La moitié des projets font aussi intervenir des conseils externes (éditeurs de logiciels, ou cabinets de consultants) pour la conception et la mise en œuvre. Les répondants insistent tout de même sur l’importance de ne pas déléguer totalement l’expression des besoins à un externe qui, par principe, ne connaît pas assez le fonctionnement interne de l’entreprise.
S’agissant du coût de mise en œuvre, les montants annoncés semblent pour le moment assez modestes. « Que ce soit en phase de build ou de run, les budgets sont la majeure partie des cas inférieurs à 50 K€. Seuls 8 % des entreprises ont investi plus de 300 K€ au titre du build », précise l’enquête. Si elle est rapidement évoquée, la question budgétaire ne semble donc pas être un frein au déploiement de tels projets. Ce sont plutôt des difficultés organisationnelles, techniques et humaines qui sont d’abord visées.
Les leçons à en tirer
Au-delà de l’efficience des process et de leur sécurisation, cette digitalisation présente l’avantage indéniable de faciliter les échanges avec les autorités de contrôle. « En dehors des contrôles sur pièces où le papier sera privilégié, la digitalisation facilite le reporting et la mise à disposition des extractions demandées par les autorités. Elle permet également de démontrer la démarche de conformité et d’accountability à travers l’identification d’axes d’amélioration et la mise en œuvre de plans d’action », détaille l’enquête. L’un des participants donne quelques perspectives sur le futur de cette démarche de numérisation : « Si la compliance devient un moyen de ‘‘vérifier les risques’’, de donner une assurance à mon entreprise et que les autorités assistent les entreprises dans cette démarche, la compliance deviendra majeure et les projets de digitalisation pourront se développer. On voit une certaine tendance européenne dans ce sens à travers la prise de conscience du devoir européen de vigilance. »
C’est sur la base de ces divers échanges que les auteurs ont formulé dix recommandations permettant d’apporter aux directions juridiques et compliance une check-list des actions à mettre en place pour réussir la digitalisation des processus de compliance au sein de son entreprise. Avec toujours en ligne de mire l’idée selon laquelle « la digitalisation de la fonction compliance doit être envisagée dans la globalité de cette fonction et sa dimension systémique. Elle ne doit pas être vue comme une fin en soi. C’est un moyen, pas une raison d’être », prévient Denis Musson.
Dix recommandations formulées
1. Obtenir l’adhésion et l’impulsion de la direction générale en amont et tout au long du projet ;
2. Adopter une approche par processus métier dans le cadre de l’expression de besoin ;
3. Opérer un centrage utilisateurs et co-construire avec les opérationnels ;
4. L’humain doit rester au cœur du processus de compliance ;
5. Définir une roadmap à l’appui de la vision ;
6. Incarner un véritable leadership dans le cadre d’une gestion en mode projet ;
7. Décloisonner la gestion des risques ;
8. Adapter les budgets aux besoins et à la valeur apportée par la digitalisation ;
9. Obtenir le détachement d’un chef de projet issu de l’IT/du digital ;
10. Pour l’évaluation des tiers, travailler sur un référentiel commun et, pourquoi pas, une plateforme sécurisée mutualisée, opérée par un tiers de confiance.