Notre expert en compliance Laurent Luce a eu le plaisir d’être interrogé par le Journal du management juridique, au sujet des bonnes pratiques à mettre en œuvre dans le cadre des due diligences.
Voici la retranscription de son interview.
Merci au Journal du management juridique pour cette collaboration.
Les compliance officers font face à un paysage économique en constante évolution, marqué par des réglementations de plus en plus strictes et des risques croissants. Pour prémunir leur entreprise de tous risques de non-conformité, ils doivent mettre en place une démarche proactive et un certain nombre de processus garantissant la lutte contre la fraude et la corruption, et la Responsabilité Sociétale d’Entreprise.
Ces enjeux et leurs réponses sont basés sur les choix de solutions permettant d’adapter sa démarche à son environnement et à sa stratégie de conformité.
Voici quelques bonnes pratiques et outils recommandés pour mener à bien ses due diligences et ainsi, s’assurer du caractère fiable de ses relations professionnelles.
L’évaluation des tiers dans le cadre de la loi Sapin 2 : les étapes clés
Dans le cadre de la lutte contre la corruption, il convient de mettre en place un dispositif personnalisé d’évaluation de l’intégrité des tiers pour agir en prévention des risques de conformité.
L’optimisation du processus d’intégration de ces tiers – clients et fournisseurs – passe par une approche méthodique consistant à cartographier les risques, sélectionner des tiers spécifiques et segmenter les due diligences. Cette démarche ciblée vise à rationaliser le processus et à le rendre plus efficient.
La qualité des données identitaires est une des clés d’une due diligence et d’un screening réussi. Tout d’abord, il est impératif de mener une collecte minutieuse des données de vos tiers qui servira de base au processus de screening. Les données identitaires sont souvent accessibles gratuitement en open source, mais de nombreuses disparités existent quant à la valeur des données fournies par les différents data providers, et il est recommandé de s’appuyer sur une base de données dont les sources sont vérifiées et permettent l’exhaustivité des informations.
Identifier et enrichir le bon tiers
Bien que cela puisse sembler une évidence de prime abord, l’identification et la sélection des bons tiers est en réalité une étape plus délicate qu’il n’y parait. Les bases de données des entreprises comportent fréquemment de nombreuses erreurs et un grand nombre de doublons. Identifier le bon tiers garantit la réalisation d’une due diligence de qualité optimale. Eu égard aux personnes physiques, de nombreuses catégories doivent être prises en compte, incluant non seulement les dirigeants, les actionnaires, mais également les bénéficiaires effectifs. Dans le processus KYC (Know Your Customer) / KYS (Know Your Supplier), l’identification des bénéficiaires effectifs (BE) est cruciale. Bien que le Registre National des Bénéficiaires Effectifs (RNBE) soit une première base d’information fiable, il est essentiel de surveiller attentivement les autres sources, car si 70% des entreprises ont complété le RNBE, seules 20% le mettent régulièrement à jour. C’est pourquoi la collecte minutieuse de ces données et des informations sur les personnes physiques représente un enjeu crucial, une étape à ne surtout pas négliger dans le processus global de conformité. Un investissement judicieux durant cette phase initiale garantit une base solide et fiable pour le reste du processus de screening et de due diligence.
Le screening
La prochaine étape consiste à partager ces informations dans le screening ou criblage, afin de détecter parmi ses tiers ceux qui ont exercé des activités frauduleuses. Notons qu’en plus des trois piliers « classiques » du criblage que sont les listes de sanctions, les PEP et la presse négative, il convient d’associer les risques pays aux activités des entreprises. La définition du niveau de risque doit être abordée avec précaution. Il est recommandé de commencer avec un paramétrage par défaut et de le personnaliser au besoin. Concernant le pilier « activité », notons que certaines entités disposent de plusieurs activités enregistrées. De fait, il est primordial de bien analyser ces activités secondaires. Concernant les PEP, les régulateurs recommandent également d’analyser leurs RCA (Relatives and Close Associates, ou les parents et proches des PEP).
Les faux-positifs
La seule étape de la due diligence qui requiert une intervention manuelle est la gestion des faux positifs. Il est donc primordial d’évaluer cette charge de travail en équivalent temps plein (ETP). En effet, le temps de gestion d’un faux positif est estimé à environ 5 minutes par entité analysée. Avec des portefeuilles de tiers pouvant contenir des milliers d’organisations, le temps consacré à cette tâche peut être démesuré, au détriment d’autres tâches plus stratégiques. Pour pallier ce problème, des solutions automatisées sont disponibles, notamment grâce à l’utilisation d’un numéro commun d’identification des tiers, facilitant ainsi la gestion des faux positifs des entités morales et permettant d’atteindre des taux d’efficacité de l’ordre de 80%.
Le score de conformité
Des solutions de conformité existent pour permettre de calculer un score de conformité pour chaque tiers analysé à partir de plusieurs indicateurs clés : risque Pays, risque Activités, PEP, presse… Ce score se doit d’être personnalisé en fonction de vos propres critères de gestion du risque et de la conformité, tout en gardant à l’esprit que certains critères ne devraient pas être exclus, tels que les listes de sanctions, qui représentent un risque fort.
Le monitoring
Pour assurer la fiabilité de l’information, l’utilisation d’alertes avec des notifications par e-mail fréquentes et l’activation du workflow en fonction du niveau de risque sont des mesures cruciales pour ne pas manquer d’informations capitales.
Toutes ces étapes peuvent être réalisées automatiquement et rapidement au moyen d’une solution de conformité telle qu’indueD d’Altares.
Conformité et RSE : la convergence des enjeux et des risques
Applicable au 1er janvier 2024, la CSRD fait entrer en vigueur l’obligation pour les entreprises de mettre en œuvre une démarche RSE et d’évaluer l’engagement de leurs tiers dans ce domaine. Par ailleurs, les 17 ODD ou les 10 recommandations du Pacte Mondial intègrent désormais l’évaluation des tiers dans une démarche Sapin 2.
Une part croissante des entreprises de taille intermédiaire (ETI) et des grands comptes reconnaissent l’importance d’intégrer les due diligences dans le cadre d’une stratégie de Responsabilité Sociétale d’Entreprise. En effet, les compliance officers et les responsables RSE collaborent de plus en plus étroitement pour obtenir une évaluation éthique des tiers.
Diverses initiatives sont en cours pour faire converger les évaluations, que ce soit en combinant deux scores pour obtenir une perspective « éthique » des tiers (notamment des fournisseurs) ou l’association des deux types d’informations en un seul score. Cette approche est fortement plébiscitée par les directions des achats, qui cherchent à obtenir ces scores avec un taux de couverture d’au moins 80% aujourd’hui.
En élargissant la consolidation des scores de conformité et de RSE, certaines entreprises manifestent également le désir d’incorporer le score de solvabilité dans une interface unique, offrant ainsi une vision globale et claire des 3 niveaux de risques associés à leurs tiers : la solvabilité, l’honorabilité et la responsabilité. Cette initiative nécessite l’intégration de ces données au sein même des solutions métiers internes telles que les ERP, CRM et SRM incluant des workflows et des calculs intermédiaires qui, par exemple, automatisent la collecte de documents ou l’envoi de questionnaires. Une démarche facilitée par les API d’Altares-D&B, largement reconnues sur le marché.
Retrouvez l’interview de Laurent Luce en pages 23 et 24 du numéro 98 (mars 2024) du Journal du management juridique.