Aujourd'hui, personne ne conteste plus que les entreprises doivent disposer d'un système de gestion de la conformité. Dans ce contexte, la question décisive est celle du type et de l'étendue de la fonction de conformité.
En principe, les objectifs d'une fonction de conformité dans une entreprise sont clairement définis : d'une part, il s'agit d'empêcher les violations de la conformité (au sein de l'entreprise) afin d'éviter tout préjudice (matériel ou réputationnel) à l'entreprise. D'autre part, la fonction de conformité vise également à minimiser, voire à empêcher, la responsabilité pénale et civile personnelle de la direction.
Depuis que le thème de la conformité fait l'objet d'une grande attention médiatique et que de nombreux scandales d'entreprises ont sensibilisé un public de plus en plus critique, la question de la mise en place et de l'implémentation de systèmes de gestion de la conformité (CMS) est également débattue dans des cercles qui ne se sentaient pas concernés jusqu'à présent.
Paysage des risques et stratégie en matière de risques
Dans chaque entreprise, quels que soient son secteur d'activité, ses produits et son modèle économique, il existe des risques qui peuvent se concrétiser et causer des dommages à l'entreprise. Dans le cadre de la mondialisation et de l'internationalisation, les exigences réglementaires ont augmenté. Certains secteurs sont particulièrement touchés. Citons par exemple le secteur de l'énergie, qui doit faire face à une avalanche de nouvelles lois dans le contexte des changements significatifs du marché. Mais la frénésie réglementaire au sein des entreprises, en particulier dans les groupes, ne cesse de croître, de sorte que de plus en plus de directives internes doivent être respectées.
Avec le nombre croissant de réglementations, le risque d'enfreindre, mêmeinvolontairement, des dispositions légales, normatives et internes augmente. Les infractions intentionnelles ne sont pas concernées par cette disposition.
Tous les risques n'ont pas nécessairement des conséquences critiques ou existentielles lorsqu'ils se concrétisent. Dans ce contexte, la détermination du paysage des risques et de la stratégie de gestion des risques constitue une base essentielle pour l'élaboration future du système de gestion de la conformité. La première étape consiste à identifier les risques, ce qui permet de dresser le paysage des risques (quels sont les risques dans quel contexte commercial). Dans un deuxième temps, les risques sont évalués en quantifiant les dommages potentiels et en estimant leur probabilité de survenance. Dans un troisième temps, les risques sont classés par ordre de priorité et affectés à une gestion stratégique (en règle générale, la stratégie de gestion des risques distingue entre la prévention des risques, la minimisation des risques, le transfert des risques et la prise en charge des risques). Les risques faibles sont souvent supportés par l'entreprise elle-même, tandis que les risques entraînant des dommages importants sont transférés à des tiers (par exemple, une assurance). Pour les risques non transférables, l'entreprise tente de les minimiser, voire de les éviter, par des mesures appropriées.
Obligation de mettre en place une fonction de conformité
Tout dirigeant a intérêt à protéger son entreprise – et lui-même – contre les risques liés aux violations de la conformité. Cela se fait généralement au moyen d'un système spécifique de gestion des risques (CMS). Mais dans quelle mesure existe-t-il une obligation de mettre en place une telle fonction de conformité ?
Les avis à ce sujet sont loin d'être unanimes. Il n'existe des obligations légales explicites que dans des cas particuliers, comme par exemple dans le § 33 de la loi allemande sur le commerce des valeurs mobilières (WpHG).[1] et l'article 25a de la loi allemande sur le crédit (KWG)[2]. Les dispositions mentionnées exigent expressément la mise en place de fonctions de conformité, ce qui concerne ici les entreprises qui fournissent des services d'investissement ou des services financiers.
Les partisans partent du principe qu'il existe une obligation générale d'introduire une fonction de conformité. Celle-ci résulte d'une analyse globale des dispositions légales existantes telles que les articles 76, 91 II, 93 I de la loi sur les sociétés par actions (AktG) ou les articles 35, 41, 43, 85 de la loi sur les sociétés à responsabilité limitée (GmbHG) (fonction de direction normalisée par la loi)[3].
Les dispositions de la loi allemande sur les infractions administratives (OWiG, §§ 3, 9, 130 OWiG)permettentégalementdedéduirel'obligationde mettre en place une fonction de conformité[4].
Enfin, leCodeallemand de gouvernance d'entreprise (DCGK) exige que le directoire veille au respect des dispositions légales et des directives internes à l'entreprise et veille à ce que les sociétés du groupe s'y conforment[5].
Les détracteurs ne partagent pas cet avis. Leur argument principal est qu'il n'existe aucune disposition légale explicite à ce sujet, à l'exception des dispositions susmentionnées de la WpHG et de la KWG, ainsi que de la disposition complémentaire du § 64a VAG[6]. Si le législateur avait souhaité rendre obligatoires les fonctions de conformité, quelles qu'elles soient, il l'aurait inscrit dans les dispositions légales applicables.
L'interprétation de la loi sur les sociétés anonymes (AktG) et de la loi sur les sociétés à responsabilité limitée (GmbHG) visant à en déduire l'obligation de mettre en place une fonction de conformité est également considérée comme excessive.
Enfin, le DCGK est également rejeté comme base juridique, car il a un caractère recommandatoire et n'est donc pas juridiquement contraignant. En outre, il s'applique exclusivement aux sociétés anonymes cotées en bourse et ne tient donc pas compte de toutes les autres entreprises.
Tous les arguments cités sont pertinents et justifiés. Ils perdent toutefois de leur poids face à la question de savoir si les membres de la direction souhaitent s'exposer à un risque de responsabilité civile et pénale en raison d'un manque de gestion de la conformité.
Le système de gestion de la conformité doit être adapté à l'entreprise
À cette question, on peut tout d'abord répondre simplement qu'il n'existe aucune exigence légale ou normative spécifique pour un système de gestion de la conformité. À cet égard, chaque direction d'entreprise est en principe libre de choisir les structures fonctionnelles et organisationnelles de la fonction de conformité dans son entreprise. Néanmoins, il existe un certain nombre d'aspects qu'il est utile de prendre en compte lors de la mise en place du CMS et qui peuvent avoir des implications directes et indirectes sur la conception du CMS. Après tout, une telle fonction mobilise des ressources humaines et matérielles et représente donc un facteur de coût non négligeable.
La fonction de conformité ne peut déployer efficacement ses effets souhaités que si elle est intégrée dans l'organisation globale de l'entreprise en tant que système de gestion. Il s'agit donc de mettre en place un système adapté à l'entreprise concernée. Cela nécessite au minimum :
- Affectation du personnel
En matière de conformité, il convient d'affecter du personnel, c'est-à-dire de confier cette responsabilité à des personnes spécifiques. Dans les petites entreprises, cette fonction peut être cumulée avec d'autres (par exemple, le contrôle de gestion), tandis que les grandes entreprises emploient leurs propres responsables de la conformité. Il est également envisageable de faire appel à un consultant spécialisé. - Ancrage organisationnel
La fonction de conformité doit être ancrée dans l'organisation de l'entreprise. Cet aspect dépend également de la taille et de la structure de l'entreprise : du service administratif au département de conformité dédié, toutes les variantes sont représentées dans la pratique. Quelle que soit la manière dont l'ancrage organisationnel est réalisé, il est important que la fonction de conformité ne soit pas une solution isolée. Il est essentiel de veiller à ce qu'il existe une étroite interaction avec d'autres systèmes de gestion (gestion de la qualité, gestion des risques, etc.). - Définition des tâches de la fonction de conformité (
) La définition des tâches de la fonction de conformité comporte deux dimensions. D'une part, il convient de décrire les tâches opérationnelles concrètes (par exemple, conseiller la direction et d'autres services de l'entreprise, élaborer et mettre en œuvre des règles internes, former les collaborateurs, contrôler et détecter les violations de la conformité). D'autre part, il convient de veiller à ce que les tâches de la fonction de conformité soient adaptées pour garantir le respect des obligations de la direction de l'entreprise (obligations d'organisation, de contrôle et d'enquête) – il s'agit en fin de compte de la délégation de tâches de surveillance et de l'interaction pertinente dans ce contexte entre l'acte de délégation, la décision de sélection et la surveillance du délégué. - Surveillance, contrôle et reporting
Une fonction de conformité nécessite une surveillance et un contrôle. Cela se fait généralement par le biais d'un système de reporting, dont le cadre élargi comprend également la réalisation d'audits internes et externes.
Le CMS doit être adapté individuellement à l'entreprise, tenir compte de ses exigences et préoccupations spécifiques ainsi que de son profil de risque individuel. À cet égard, il est indispensable de procéder à une analyse minutieuse des paramètres décisifs avant de mettre en place ou de développer un CMS.
[1]Dans le § 33 de la loi allemande sur le commerce des valeurs mobilières (WpHG), le législateur a imposé aux sociétés de négoce de titres des obligations organisationnelles particulières (mise en place d'une fonction de conformité indépendante).
[2]§ 25a KWG (loi allemande sur le crédit) : un établissement doit disposer d'une organisation commerciale appropriée qui garantit le respect des dispositions légales auxquelles il est soumis et des exigences économiques (extrait).
[3]Le § 91 al. 2 de la loi allemande sur les sociétés par actions (AktG) stipule par exemple que le directoire doit prendre les mesures appropriées, notamment mettre en place un système de surveillance. Il en va de même pour les sociétés à responsabilité limitée (GmbH).
[4]Conformément à l'article 9 de la loi allemande sur les infractions administratives (Ordnungswidrigkeitengesetz, OWiG), la « propriété » de l'entreprise au sens de l'OWiG est attribuée aux personnes agissant directement. Dans la pratique, la responsabilité pour une faute organisationnelle au sens de l'OWiG n'incombe donc pas à l'entreprise elle-même, mais à la direction.
[5]N° 4.1.3 DCGK (Code allemand de gouvernance d'entreprise)
[6]L'article 64 de la loi allemande sur la surveillance des assurances (VAG) n'est pas pertinent ici.
Le deuxième article du blog traitera des pratiques des entreprises et des exigences qui en découlent.
À propos de l'auteur
Eckart Achauer, études de droit et de gestion d'entreprise, études postuniversitaires pour l'obtention d'un Master of Business Administration (MBA). Formations continues en cours d'emploi pour devenir European Quality Manager (DGQ), médiateur spécialisé dans la médiation économique et Certified Compliance Manager (TÜV).
Il a travaillé pendant environ 10 ans dans le secteur international de l'assurance, où il a occupé différentes fonctions (service des sinistres, distribution, assistance) au sein de la direction d'un groupe d'assurance suisse, avant de se tourner vers le conseil en gestion et en entreprise en 1997.
En tant que consultant et directeur général de différentes sociétés de conseil, M. Achauer s'est spécialisé dans l'optimisation des organisations et des processus ainsi que dans la mise en place et l'implémentation de systèmes de gestion (gestion de la qualité, gestion des risques et conformité).
Chez Senator Executive Search Partners, M. Achauer est responsable du domaine de la gestion de la conformité. Dans le cadre d'audits de conformité, il analyse la « conformité organisationnelle » des entreprises, sensibilise et forme la direction, les cadres et les employés, et aide les entreprises à mettre en place et à implémenter des systèmes individuels de gestion de la conformité. Ce faisant, il tient toujours compte de la situation spécifique de l'entreprise en matière de risques. Grâce à ses nombreuses années d'expérience en tant que cadre et consultant, il connaît parfaitement les défis entrepreneuriaux rencontrés dans la pratique.
