Depuis plusieurs années, je dirais depuis le scandale des comptes Enron aux US en 2001, la fonction dite «compliance» a été implémentée dans les entreprises qui traitent un volume important d’échanges financiers (assurances, banques, immobilières, etc.). Ces dernières années, les contraintes ont augmenté et la demande en termes de preuves et documentation est devenue difficile à suivre. Les regtech ou legaltech semblent être une réponse à ces besoins de gestion et suivi documentaires. Toutefois, ces instruments ont besoin d’être organisés et structurés selon une gouvernance stricte et alignée à la taille et au business de l’entreprise.
Un expert compliance est avant tout un conseiller pour son entreprise.
Personnellement, je trouve que mes clients ont du mal à structurer leur organisation et à suivre des recommandations, et ils adoptent un logiciel qui est censé représenter la solution miracle qui va les aider; mais le logiciel ne fait autre que suivre des processus et recommandations standard déjà disponibles. Il en résulte une déception et une dépense qui n’est pas nécessaire si une bonne analyse initiale est effectuée.
Un expert compliance est avant tout un conseiller pour son entreprise. En aucun cas il ne s’agit uniquement d’un aspect légal, et les experts compliance le savent bien. Un compliance officer doit avoir une préparation multifacette car il englobe la recherche, le légal, la compétence financière et informatique. La gestion documentaire et la structuration des demandes/avis internes sont fondamentales pour les entreprises car la loi les oblige à un suivi même après des années. De plus, ils sont responsables de communiquer au parquet des soupçons de fraude ou blanchiment d’argent, ce qui cumule la pression sur les institutions qui sont quand même des entreprises et doivent faire des bénéfices.
Un bon suivi documentaire va permettre d’accomplir leur devoir de contrôle et adéquation avec les normes. Des nombreuses solutions existent pour aider ce suivi: certains veulent faire passer cela comme des tools spécifiques à la fonction compliance, mais ce n’est pas le cas. C’est une petite ruse commerciale.
La collaboration avec le RSSI ou responsable sécurité informatique est indispensable pour créer un binôme qui travaille dans le même sens à la protection des intérêts de l’entreprise.
Il est vrai que, parfois, la méconnaissance des systèmes informatiques et des éléments de sécurité rend la figure du compliance officer assujettie aux informaticiens et, en général, aux experts informatiques. Toutefois, on ne demande pas au compliance officer de structurer un système informatique mais de comprendre quelles sont les clés de la sécurité et comment s’en servir et les organiser pour atteindre ses fins.
La collaboration avec le RSSI ou responsable sécurité informatique est indispensable pour créer un binôme qui travaille dans le même sens à la protection des intérêts de l’entreprise. Ensuite, une formation adéquate sur les aspects de la sécurité informatique, le RGPD (souvent le compliance officer fait aussi fonction de DPO de l’entreprise) et la gestion des rôles et responsabilités par exemple dans les logiciels métier peuvent apporter un grand bénéfice et augmenteraient la compréhension et la capacité du compliance officer d’apporter un conseil et des solutions à son entreprise dans le respect de sa mission.