La remédiation réglementaire : un projet comme un autre ?

Qu’est ce qui peut rapprocher la GBPC, une norme française qui oblige certains établissements du Secteur Public à certifier leurs comptes, de la IVème Directive sur la LCB-FT, une Directive Européenne qui conduit les Banques et les Compagnies d’Assurances à organiser leur vigilance selon une approche par les risques ou encore du COSO 2013, un cadre de référence redéfinissant le périmètre du contrôle interne des organisations cotées ?

Serait-ce que ces normes requièrent de la part des organisations concernées, et ce dès lors qu’elles sont édictées, une mise en conformité coûteuse, complexe opérationnellement et dont l’horizon de déploiement est souvent difficile à respecter ?

Paradoxalement non ! Notamment dans la mesure où les “meilleurs élèves” ont souvent inspiré voire co-construit la réglementation, s’ils n’ont pas devancé sa publication.

Pour viser plus juste, il convient de se pencher sur le corollaire invariable de toutes ces évolutions réglementaires : l’accroissement du nombre de missions d’audit et de celui, exponentiel, des recommandations qui en découlent. En effet, ce nombre a été démultiplié par la diversité des audits (projet, compliance, ...), de leurs périmètres (une filiale, un réseau, un prestataire, un produit, ...) et des ordonnateurs (l’audit interne, le régulateur, le client).

Mais, dès lors que le nombre de recommandations liées à des évolutions réglementaires augmente, c’est aussi la qualité de la réponse aux recommandations qui, par un effet de dilution, se trouve amoindrie. En effet, l’enveloppe de temps disponible à consacrer à la remédiation ne variant pas, chaque recommandation recevra un temps de prise en charge réduit, d’autant que des budgets complémentaires ne sont pas toujours débloqués. Dès lors, comment contrebalancer cette surcharge de travail tout en maintenant le niveau de qualité et d’exigence attendu pour la remédiation ?

Et si un premier élément de réponse résidait dans le fait de positionner la remédiation comme un véritable “projet de transformation” ?

D’abord, parce que les recommandations ayant appelé des actions de remédiation définissent aussi les éléments structurants nécessaires pour le cadrage d’un projet, par (i) la fixation d’un délai de mise en oeuvre (ii) la restitution de la criticité du problème identifié et donc, par extension, celle de la recommandation et de l’action de remédiation (iii) l’identification d’un ou plusieurs responsables.

Les contraintes découlent généralement de la complexité de ce type de projet, en lien avec :

• La hiérarchisation des actions de remédiation : elle peut être déduite de la criticité des recommandations émises mais peut aussi conduire à négliger voire écarter certains points mineurs, avec un risque d’accumulation ou de surcharge opérationnelle ;
• La diversité des émetteurs : si les recommandations des auditeurs internes adressent généralement des problématiques opérationnelles, vérifiant l’efficacité et l’efficience des contrôles de 1er ou de 2nd niveau, les missions d’audit de conformité réalisées par le(s) régulateur(s) concernent des problématiques plus diffuses et transverses ; cela présente un risque lié à l’émission de recommandations "orthogonales" (contradictoires) et qui nécessitent des arbitrages ;
• La nature même des recommandations et leurs adhérences potentielles : certaines recommandations comportent des volets à la fois informatiques, organisationnels, juridiques et leur remédiation mobilise un panel d'opérationnels multi-métiers qui doivent apprendre à dialoguer ensemble.

Les risques d’un projet de remédiation sont de nature équivalente à ceux d’un projet classique, mais leur impact financier est plus conséquent :

• Les risques “projet” sont similaires dans les projets de remédiation comme dans les projets de transformation ; ils découlent dans les deux cas (i) du non-respect des délais (ii) du mauvais calibrage des budgets et de leur dépassement (iii) d’un manque de capacité technique (iv) de la mise en oeuvre d’une solution ne répondant pas correctement aux objectifs de la recommandation et obligeant à des ajustements réguliers.
• Leur impact financier se mesure d’abord par des externalités négatives au sein de l’organisation (i) un coût d’opportunité lié au temps perdu (ii) un coût financier lié à des investissements mal ciblés ou calibrés (iii) un coût humain lié à la démotivation des équipes partie-prenantes, qui renforce à son tour les défaillances qualitatives et temporelles (iv) cet impact financier est d’autant plus ressenti que les projets de remédiation ne sont bien souvent eux-mêmes pas pris en compte dans le plan budgétaire initial.

En effet, s’il apparaît évident qu’un projet a pour objectif d’être mené à terme, il n’en reste pas moins que, dans son rapport d’études “CHAOS - 2014”, Le “Standish Group Report” a pu identifier que celui-ci n’est pas si facilement atteint. Ainsi, parmi les projets standards (i) 84% dépassent leur délai (ii) 52% dépassent leur budget (iii) 31% ne sont pas menés jusqu’à leur terme (iv) 30% voient leurs objectifs changer en cours de déploiement.

Dans le cas des projets de remédiation, les impératifs de succès sont grandement accrus. En effet, lorsque des organisations ne sont pas parvenues à se mettre en conformité avec les normes, le régulateur dispose souvent d’outils incitatifs qui font peser sur les organisations (i) un risque de sanction financière (ii) un risque réputationnel.

Et les derniers exemples permettent de chiffrer ce risque en millions, notamment dans le cas de la IVème Directive LCB-FT (cf la condamnation de Generali Vie à 5 millions d’euros pour avoir tardé à remédier à ses problématiques de conformité).

Le Projet de remédiation réglementaire a donc de nombreuses caractéristiques communes avec un projet de transformation classique, notamment du point de vue de ses contraintes. Les enjeux financiers s’en trouvent par contre fortement accru. Dès lors, il importe de s’assurer qu’un pilote est à la barre dans ce type de projet. Trouver le bon pilote n’étant pas chose aisée, ce point sera abordé dans le prochain article « La remédiation réglementaire : Y a-t-il un PMO dans le projet ? »

Copyright © 2016 Sia Partners. Any use of this material without specific permission of Sia Partners is strictly prohibited.