L’humain est sans conteste au cœur de la gestion des risques de votre entreprise et nous avons choisi de mettre les fonctions gestion des risques et conformité à l’honneur de cette édition à travers des résultats d’études et le témoignage d’une responsable du Risk Management, du contrôle interne et de la compliance.

Par ailleurs, au vu des évolutions qui touchent les acteurs de l’industrie financière aujourd’hui, vous retrouverez nos points de vue sur la gestion des risques publiés à l’occasion de la conférence annuelle RiskMinds.

Enfin, nous avons choisi d’aborder dans cette édition certaines des préoccupations majeures des entreprises autour de la conformité règlementaire, de la cybersécurité et de la sécurité au sens large.

Nous espérons que cette lettre contribuera utilement à vos réflexions et nous nous tenons à votre disposition pour échanger avec vous. Patrice Morot

Risk Assurance & Advisory Services Leader

Nos publications f Comment les dirigeants gèrent la cybersécurité

dans leurs organisations ? f Quels sont les principaux risques pour les acteurs

Banque et Assurance ? f Quelles évolutions pour le métier du Risk Manager ? f Mieux gérer les risques dans l’industrie financière

Focus sur vos enjeux f Comment faire face aux enjeux de sécurité et de

sûreté de votre entreprise ? f Conformité réglementaire : repensez votre approche

de la conformité pour en faire un atout stratégique f Témoignage de Florence Ascher, Head of Risk

Management, Internal Control & Compliance chez Rexel

Actualité réglementaire f Loi « Sapin II » : en savoir plus sur la loi

anti-corruption f Loi Eckert : ce qui va changer pour les banques

Temps forts f Conférence PwC sur la fonction Conformité f PwC lance en France son premier serious game

dédié à la cybersécurité

Mieux nous connaître f Contacts

La lettre d’information PwC pour les Directions de la gestion des risques, de la conformité, du contrôle interne et de l’audit interne

Février 2016Newsletter Risk Assurance

2 | Février 2016

Newsletter Risk Assurance

Comment les dirigeants gèrent la cybersécurité dans leurs organisations ? Résultats de notre étude

L’étude « The Global State of Information Security® Survey 2016 » réalisée par PwC en collaboration avec CIO et CSO a permis d’identifier la façon dont plus de 10 000 dirigeants dans 127 pays gèrent la cybersécurité dans leurs organisations. Découvrez les principaux résultats de l’étude.

La France, un pays où les cyberattaques ont davantage augmenté en 2015 que dans le reste du monde

En France, les entreprises ont subi en moyenne 21 incidents/jour en 2015. Les incidents de cybersécurité ont donc augmenté de 51 % au cours des 12 derniers mois, tandis qu’au niveau mondial, ils ont enregistré une hausse de 38 %.

Au niveau mondial comme en France, la source des menaces reste majoritairement interne aux entreprises.

En effet, les employés constituent, cette année encore, la principale source des compromissions de données. Cependant les sources qui ont progressé le plus en 2015 sont, elles, externes aux entreprises.

L’étude révèle que la responsabilité des fournisseurs et des prestataires de services actuels est de plus en plus importante ; elle a augmenté d’environ 32 % pour les fournisseurs et de 30 % pour les prestataires de services, les entreprises travaillant de plus en plus en collaboration avec des partenaires externes.

Le budget moyen de cybersécurité des entreprises françaises interrogées atteint 4,8 millions d’euros par entreprise en 2015.

Soit un budget en hausse de 29 % par rapport à l’année dernière (24 % au niveau mondial). Les répondants ont affirmé que l’implication grandissante du comité exécutif a permis d’améliorer leurs pratiques en matière de cybersécurité. Ces investissements budgétaires répondent à une menace réelle impactant les résultats des entreprises. En effet, les pertes financières liées à des incidents de cybersécurité sont estimées en moyenne à 3,7 millions d’euros par entreprise en France (+28 % par rapport à 2014).

Autres enseignements de l’enquête :

Collaboration avec des partenaires externes : le nombre d’organisations qui travaillent avec des partenaires externes a régulièrement augmenté depuis 3 ans. 65 % des répondants déclarent travailler en collaboration avec d’autres pour améliorer la sécurité. Qui est en charge de la cybersécurité ? : 54 % des répondants ont un CISO (Chief Information Security Officer) en charge de la sécurité. L’implication grandissante du comité exécutif : 45 % des comités exécutifs participent à la définition de la stratégie en matière de sécurité ce qui permet ainsi d’améliorer les pratiques en matière de sécurité. Investir dans l’assurance : techniquement, les attaquants trouveront toujours de nouveaux moyens de franchir les dispositifs de protection. C’est pourquoi de nombreuses organisations (59 %) ont souscrit une police d’assurance pour atténuer les impacts financiers des cyberattaques potentielles.

Contact : Philippe Trouchaud | 01 56 57 82 48 | philippe.trouchaud@fr.pwc.com

Les résultats de cette étude ont été présentés le 1er décembre dernier à Paris lors d’une conférence animée par les experts de PwC.

Je souhaite recevoir le support de présentation

Quelques pistes de réflexion

- Connaissez-vous les menaces auxquelles votre entreprise est exposée ? Avez-vous analysé vos risques et mis en œuvre les dispositifs nécessaires ?

- Avez-vous mis en place une stratégie de cybersécurité ? Est-elle efficace ?

- Les actifs sensibles de votre entreprise ont-ils été identifiés ? Sont-ils protégés ?

- Disposez-vous de moyens permettant de détecter et de réagir face aux attaques ? Ces moyens sont-ils efficaces ?

- Votre entreprise a-t-elle fait le choix d’engager sa transformation digitale ? A-t-elle mesuré les risques associés ?

- Les risques de cybersécurité associés au Cloud et à la mobilité sont-ils maîtrisés au sein de votre entreprise ?

3 | Février 2016

Newsletter Risk Assurance

Quelles évolutions pour le métier du Risk Manager ?

PwC et l’AMRAE (Association pour le Management des Risques et des Assurances de l’Entreprise) ont publié le « Baromètre du Risk Manager 2015 » basé sur les résultats d’une enquête menée auprès de près de 200 professionnels des métiers de la gestion des risques. Conduite tous les deux ans, cette étude permet d’en savoir plus sur le Risk Manager d’aujourd’hui et présente un état des lieux de ses missions, ses moyens, sa rémunération et ses perspectives d’évolution.

Le profil du Risk Manager

• Les Risk Managers de cette enquête sont en majorité des hommes (59 %) d’au moins 46 ans (53 %).

• En 2015, les trois principales formations initiales des Risk Managers sont, Commerce/Gestion/Économie (31 %), Droit (24 %) et Ingénieur/Scientifique (22 %).

• Comme en 2013, les Risk Managers exercent principalement dans des entreprises de type grands comptes (63 %), des secteurs de l’industrie et des services (52 %).

• Nous observons une diminution des Risk Managers gérant exclusivement les assurances et la prévention (de 42 % en 2013 à 31 % en 2015) au profit des Risk Managers plus polyvalents gérant les risques et/ou les assurances.

Pour en savoir plus, consultez le rapport complet

Les missions du Risk Manager

• Interrogés sur la base du Référentiel Métier Risk Manager de l’AMRAE, les répondants ont indiqué réaliser principalement les activités de définition du dispositif de gestion des risques, d’appréciation du risque, de maîtrise des risques et de diffusion de la culture du risque.

• 29 % des Risk Managers ont indiqué être également en charge du contrôle interne.

• Les Risk Managers interviennent sur une large palette de risques et notamment les risques opérationnels (80 %), les risques de fraude (75 %), ou bien encore les risques environnementaux et les risques sûreté/sécurité (70 %).

Les moyens à disposition du Risk Manager

• Les Risk Managers sont principalement rattachés à la direction générale (36 %) ou à la direction financière (26 %) et ont un accès direct (62 %) au directeur général.

• Pour mener à bien ses missions, le Risk Manager gérant les assurances et la prévention dispose d’une équipe composée de moins de 5 personnes (66 %). Le Risk Manager ayant en charge la gestion globale des risques dispose quant à lui d’une équipe constituée de moins de 3 personnes (76 %).

• 77 % des Risk Managers déclarent disposer d’un budget de fonctionnement suffisant.

La rémunération du Risk Manager

• Comme en 2013, la rémunération fixe brute annuelle d’un Risk Manager est en moyenne de 108 KEuros pour les « top managers » et de 84 KEuros pour les « non top managers ». Nous notons une différence de salaire de 15 % entre les « top managers » hommes et femmes.

Les évolutions du Risk Manager

• À titre professionnel, 70 % des Risk Managers pensent que la diffusion de la culture des risques est un axe important de développement de la fonction tandis qu’à titre personnel, les Risk Managers s’orienteraient plutôt vers l’audit interne/contrôle interne (27 %) ou le conseil (27 %) après leur poste actuel.

Contact s : Françoise Bergé | 01 56 57 81 59 | francoise.berge@fr.pwc.com Julien Muller | 01 56 57 47 19 | julien.muller@fr.pwc.com

Quelques pistes de réflexion

- Le Risk Manager est-il intégré aux processus de décision de votre entreprise ?

- Les rôles et responsabilités en matière de risk management et de contrôle interne sont-ils bien définis au sein de votre organisation ?

- Les ressources à la fois humaines et techniques sont-elles adaptées à vos enjeux ?

- Un parcours professionnel interne a t-il été défini pour les équipes risk management ?

4 | Février 2016

Newsletter Risk Assurance

Mieux gérer les risques dans l’industrie financière

RiskMinds International, l’événement mondial majeur sur la gestion des risques, a réuni plus de 600 Chief Risk Officers et acteurs de la gestion des risques dans l’industrie financière à Amsterdam du 8 au 12 décembre dernier.

En tant que partenaire principal de l’événement, PwC a choisi cette occasion pour présenter de nouvelles publications dans lesquelles nous partageons notre vision et apportons des éclairages pour vous aider à mieux faire face aux risques.

Operational Risk : the end of internal modelling ?

Si le modèle interne de risques opérationnels (AMA : Approche de Mesure Avancée) semble condamné par les régulateurs, sa disparation pourrait permettre de libérer des ressources pour développer de nouveaux modèles de gestion des risques opérationnels plus adaptés que les modèles AMA

Financial Services Industry : Continuous Model Monitoring

Cette publication aborde le concept du Continuous Model Monitoring (CMM) et explique en quoi ce modèle peut rendre la gestion du risque plus fiable et plus efficace.

Facing the future of Risk

Ce rapport, réalisé dans le cadre de l’événement Risk Minds 2015 présente la vision de PwC sur le futur de la gestion des risques.

Enhancing business resilience : Transforming Cyber Risk Management through the role of the Chief Risk Officer

Les établissements financiers doivent impérativement prendre conscience du risque que représentent les cybermenaces et à quel point elles peuvent profondément impacter leurs activités. Les entreprises doivent devenir « cyber-résilientes », capables d’anticiper, de résister et de se remettre d’incidents de cybersécurité. Pour la plupart des organisations cela va bien au-delà des enjeux liés à la technologie…

Contacts : Marie-Line Ricard | 01 56 57 88 29 | marie-line.ricard@fr.pwc.com Rami Feghali | 01 56 57 71 27 | rami.feghali@fr.pwc.com

5 | Février 2016

Newsletter Risk Assurance

Contacts : Banque Patrice Morot | 01 56 57 81 68 | patrice.morot@fr.pwc.com Rami Feghali | 01 56 57 71 27 | rami.feghali@fr.pwc.com Assurance François Beugin | 01 56 57 80 85 | francois.beugin@fr.pwc.com Ronald Sloukgi | 01 56 57 45 71 | ronald.sloukgi@fr.pwc.com

Quels sont les principaux risques pour les acteurs Banque et Assurance ?

L’étude « Banking Banana Skins 2015 - Recovery under threat » * a été réalisée à partir des résultats d’une enquête menée auprès de 672 banquiers, régulateurs, Risk Managers et spécialistes de 52 pays et présente les principaux risques auxquels les acteurs de la banque sont confrontés.

Principaux résultats de l’étude

• Le risque macro-économique rebondit de la 3ème à la 1ère place du classement en raison notamment du poids de la dette, des taux d’intérêt bas et du ralentissement de la Chine.

• L’une des préoccupations grandissantes est la criminalité qui passe de la 9ème à la 2ème place.

• Parmi les risques évoqués, la cybercriminalité est en tête ainsi que le blanchiment et le financement du terrorisme et l’évasion fiscale.

• Le risque technologique (4ème place) associé notamment à la nouvelle concurrence des Fintechs entrés sur le marché apparaît comme une réelle menace et un challenge pour les banques.

L’étude mondiale « Insurance Banana Skins 2015 » * présente les risques auxquels les acteurs de l’assurance font face aujourd’hui et met en exergue les risques sur lesquels ils doivent se concentrer en priorité. Cette étude repose sur les réponses de 806 professionnels provenant de 54 pays, essentiellement issus de l’industrie de l’assurance pure (également des acteurs de la réassurance, du courtage…).

Principaux résultats de l’étude

• Les réglementations arrivent en tête des principaux risques pour la 3ème édition consécutive de l’enquête

• Selon les répondants, le secteur de l’assurance est mieux préparé à gérer les risques que les années précédentes.

• L’une des plus grandes préoccupations concerne les risques de cybersécurité et notamment les risques de défaillance logicielle ou liés à la protection des données.

• Le risque macro-économique passe de la 3ème à la 2ème place du classement.

• Les risques liés aux taux d’intérêt et à la cybersécurité font leur entrée dans le classement et sont respectivement en 3ème et 4ème position des principaux risques identifiés.

Voir la vidéo de présentation des résultats :

* Etude réalisée par PwC en partenariat avec le Centre for the Study of Financial Innovation

6 | Février 2016

Newsletter Risk Assurance

Contact : Olivier Hassid | 01 56 57 75 16 | olivier.hassid@fr.pwc.com

Comment faire face aux enjeux de sécurité et de sûreté de votre entreprise ?

La sécurité est un enjeu de plus en plus stratégique pour l’entreprise mais les réponses apportées ne sont pas toujours adaptées et à la mesure des risques encourus. Découvrez les principaux enjeux de sécurité, notre vision et quelques pistes afin d’optimiser la gouvernance de la sécurité.

Les 7 principaux enjeux de sécurité

1. Identifier les risques

2. Assurer la sécurité de vos clients et de vos collaborateurs

3. Assurer la protection de vos actifs matériels

4. Assurer la protection de vos informations

5. Protéger la réputation de votre entreprise

6. Mettre en œuvre un dispositif adapté et proportionné

7. Optimiser le pilotage de la sécurité

Notre vision

La gestion de la sécurité et de la sûreté est une responsabilité du top management. Les dispositifs dédiés doivent être adaptés aux menaces induites par l’activité et les orientations stratégiques de l’organisation. Seul un membre de l’équipe de direction dispose de la vision transverse indispensable à la mise en place d’un dispositif efficace et adapté.

Fermer les yeux sur son environnement, c’est ouvrir la porte aux menaces. De nombreuses organisations ne disposent pas d’une vision claire des menaces auxquelles elles sont exposées et qui pourraient impacter leurs activités. Une connaissance approfondie et à jour des risques sécuritaires permet d’orienter les actions de traitement pour les rendre plus efficaces et efficientes.

Les sujets afférents à la protection d’une organisation doivent être pilotés par anticipation et de façon proactive. Afin de pouvoir gérer et protéger de manière efficace les collaborateurs, les biens et les informations, il est indispensable d’avoir mis en place une organisation robuste qui repose à la fois sur des processus clairs et des comportements adéquats.

Même en pilotage automatique, un commandant de bord doit disposer de ses instruments de vol. La mise en place et le suivi d’indicateurs de performance pertinents doivent permettre d’optimiser l’efficacité du dispositif de gouvernance de la sécurité. Cela doit également permettre d’allouer les capitaux de l’entreprise en fonction de la réalité des enjeux.

La sécurité est l’affaire de tous. Le comportement de chaque collaborateur tient un rôle important pour la sécurité de l’organisation. La culture du risque de l’organisation doit garantir le développement d’un comportement adapté.

Une approche à 360° de la sécurité

Sécurité du personnel, des systèmes d’information, des infrastructures, des informations… notre approche couvre l’ensemble du spectre de la sécurité de votre organisation partout dans le monde.

Quelques pistes de réflexion

- Connaissez-vous les principales menaces de votre organisation et disposez-vous d’indicateurs de suivi ?

- Etes-vous satisfait par le niveau de protection de votre organisation et êtes-vous sûr qu’il n’y a pas de risques de sûreté ?

- Comment assurez-vous la sécurité de vos clients ? Est-ce que l’ensemble de vos collaborateurs connaissent les comportements à adopter en cas de crise ?

- Les moyens de protection de vos actifs matériels sont-ils adaptés à la typologie et à l’activité de vos sites ?

- Quelles sont les données critiques de votre entreprise et comment assurez-vous leur protection ?

- Les rôles et responsabilités en matière de sûreté sont-ils définis ?

Organisation

Stratégie et politique de

sécurité

Management des prestataires

de sécurité

Management des risques

Sécurité des biens

et de l’information

Pilotage et reporting

Culture et comportements

Pour en savoir plus, n’hésitez pas à nous contacter.

7 | Février 2016

Newsletter Risk Assurance

Contact s : Françoise Bergé | 01 56 57 15 32 | francoise.berge@fr.pwc.com Kader Garnier-Aw | 01 56 57 17 05 | kader.garnier-aw@fr.pwc.com

Conformité réglementaire : repensez votre approche de la conformité pour en faire un atout stratégique

Dans un environnement compétitif et de plus en plus réglementé, la confiance, la transparence et la conformité aux lois et règlements sont des éléments clés de la bonne gouvernance de votre entreprise. Voici quelques pistes pour une approche efficace de la conformité.

Conformité et réussite sont liées.

La conformité est de plus en plus perçue comme pouvant être un véritable atout : elle contribue à préserver une image positive de votre entreprise et de votre marque, facteur de confiance pour vos clients et fournisseurs. Elle est gage du bon fonctionnement et de la bonne gouvernance pour les actionnaires, tout en limitant les risques auxquels votre entreprise peut être exposée.

Un programme de conformité efficace permet une réponse rapide et adaptée aux attentes des autorités judiciaires et des régulateurs.

En dépit de ce constat partagé, de nombreuses organisations n’ont à ce jour pas identifié ou mis en place les actions nécessaires au renforcement de leur conformité.

Quand agir ?

L’adéquation de votre programme de conformité à vos enjeux est d’autant plus importante en cas :

• D’introduction d’une nouvelle loi• De problèmes de performance liés à la réglementation• De la survenance d’un événement majeur dans votre

secteur d’activité• D’attention particulière des régulateurs et des autorités

locales

Comment PwC peut vous accompagner ?

Nous pouvons vous aider dans la mise en place de solutions pragmatiques et robustes vous permettant d’être en conformité avec les exigences qui s’imposent à votre organisation :

• Analyse des risques et définition d’une stratégie de contrôle

• Accompagnement dans le déploiement de votre programme de conformité

• Renforcement de votre résilience en intégrant la conformité dans vos modes de fonctionnement et en changeant votre approche de management

• Perfectionnement de vos processus et de vos technologies vous permettant un accès aux données en temps réel pour un meilleur pilotage de votre programme de conformité

• Analyse de vos forces et de vos axes d’amélioration afin d’être mieux préparé en cas de crise

« La multiplication des réglementations arrive en tête des préoccupations des dirigeants d'après la 18ème édition de l’étude mondiale annuelle « Global CEO Survey » de PwC. En effet, 38 % des entreprises ont décidé d’augmenter le budget qu’elles allouent à la conformité. » Selon l’étude PwC State of Compliance 2015.

Quelques pistes de réflexion

- Etes-vous bien informé des nouvelles lois et réglementations qui pourraient impacter votre entreprise ?

- Avez-vous développé une culture d’entreprise intégrant l’éthique ?

- Avez-vous mise en place un dispositif d’alerte permettant de détecter les problèmes potentiels et apportez-vous une attention particulière à la qualité du suivi, de l’audit et du dispositif de remontée d’alertes ?

- Communiquez-vous de façon proactive vos performances en conformité, qu’elles soient positives ou négatives afin de renforcer votre réputation et la confiance de vos parties prenantes ?

Newsletter Risk Assurance

8 | Février 2016 Lire la suite >

Focus sur les enjeux de… Florence Ascher, Directeur de la Gestion des Risques, du Contrôle Interne et de la Conformité chez Rexel

Rexel est un leader mondial de la distribution professionnelle de produits et de services pour le monde de l’énergie.

Le Groupe est présent dans 35 pays d’Europe, d’Amérique du Nord et d’Asie-Pacifique. 28 000 collaborateurs travaillent dans les 2100 agences et 127 structures logistiques du Groupe. En 2014, Rexel a généré un chiffre d’affaires de 13,1 Md €.

C’est dans ce contexte qu’intervient Florence Ascher, Directeur de la Gestion des Risques, du Contrôle Interne et de la Conformité du Groupe. Florence Ascher est diplômée d’un Master en Sciences de Gestion de l’Université Paris Dauphine et d’un DESS en Ingénierie Financière de l’Université Paris Val-de-Marne (Paris XII). Elle a débuté sa carrière professionnelle chez Total en tant que Credit Manager avant de rejoindre les cabinets Arthur Andersen puis Ernst & Young. Elle a rejoint le groupe Rexel en mai 2007.

Pourriez-vous nous présenter votre parcours chez Rexel ?J’ai rejoint le groupe Rexel en 2007 en tant que Credit Manager Groupe, fonction que j’ai exercée pendant 4 ans. J’ai ensuite été nommée Directeur adjoint de l’audit interne avant de me voir confier mi-2013 la responsabilité de la gestion des risques et de la conformité qui s’est étendue plus récemment au contrôle interne.

Pourriez-vous nous présenter votre département ?A ma prise de fonction j’ai créé la fonction compliance et repris le risk management qui dépendait de l’audit interne, puis est venu s’ajouter le contrôle interne. Aujourd’hui, mon département est constitué, d’un collaborateur sur les sujets contrôle interne et gestion des risques et d’un apprenti compliance actuellement en Master Droit et Éthique des Affaires à l’Université Cergy-Pontoise. Nous nous appuyons sur un réseau de correspondants aux niveaux corporate et entités opérationnelles qui en fonction des sujets et des organisations peuvent être des directeurs financiers, des directeurs juridiques ou des contrôleurs internes ou auditeurs internes. Nous interagissons en outre avec tous les départements et à divers niveaux car les différents volets de ma fonction touchent toute l’organisation.

Comment articulez-vous les fonctions risques, compliance et contrôle interne ?Les trois aspects de ma fonction ont en commun la transversalité et les risques. Pour commencer, notre cartographie des risques groupe est remise à jour chaque année par le Comité des Risques que j’anime, et grâce notamment à une cinquantaine de contributeurs couvrant différentes fonctions et zones géographiques au sein du groupe et comprenant notamment le Comité Exécutif du groupe. Des « propriétaires » des risques sont nommés et présentent régulièrement au Comité des Risques l’avancement de leurs plans d’actions. Notre cartographie des risques groupe comprend en particulier les risques de non-conformité tels que la corruption ou l’export control dont je suis en charge directement. En complément nous réalisons 4 à 5 cartographies pays par an sur la base de 2 ateliers de travail sur 2 jours avec l’équipe de management locale. Notre référentiel de contrôle interne comprend 250 contrôles critiques et nous animons une campagne annuelle d’auto-évaluation par chaque entité du groupe avec le support de l’outil GRC de BWise. Nous travaillons actuellement à améliorer l’articulation du référentiel de contrôle interne qui couvre des risques très opérationnels y compris des risques de non-conformité, avec la cartographie des risques groupe.

9 | Février 2016

Newsletter Risk Assurance

Focus sur les enjeux de… Florence Ascher, Directeur de la Gestion des Risques, du Contrôle Interne et de la Conformité chez Rexel

Ces fonctions sont-elles complémentaires ? Leur cumul vous apporte-t-il une valeur ajoutée pour appréhender les risques au sein de votre organisation ?Il y a une réelle cohérence à avoir ces trois fonctions au sein d’un même département car elles structurent notre deuxième ligne de défense. Le risk management permet d’avoir une vision claire et synthétique de nos principaux risques, le contrôle interne permet d’apporter notre support aux opérationnels dans la maîtrise de leurs risques et la compliance permet d’avoir un rôle de « police » lorsque les pratiques dépassent le cadre fixé. De plus ce dispositif intégré permet de donner une assurance aux administrateurs quant à la maîtrise de nos risques.

Quels sont les enjeux majeurs de votre fonction aujourd’hui ?Afin de renforcer encore la sensibilisation de l’ensemble de nos collaborateurs sur les sujets compliance, nous prévoyons de mettre en place de nouveaux modules de formation en e-learning, des campagnes de communication par voie d’affichage ou bien encore de newsletter interne. Nous devons également développer le partage des bonnes pratiques entre les différentes entités.Nous souhaitons aussi simplifier le dispositif de contrôle interne afin de le rendre plus opérationnel et aligné sur les principaux risques et enjeux de groupe.

Selon notre dernière étude sur la fonction conformité*, le compliance officer doit participer à l’élaboration de la stratégie de l’entreprise - est-ce une tendance que vous observez dans votre organisation ?Je suis de plus en plus impliquée dans la mise en œuvre de la stratégie, notamment lors des projets de développement commercial ou d’implantation dans des nouveaux pays ou encore lors de négociations de contrats clés avec des partenaires commerciaux ou financiers. J’interviens très régulièrement lors de nos CFO meetings et environ deux fois par an au niveau du Comité Exécutif.

Témoignage recueilli par : Kader Garnier-Aw | 01 56 57 17 05 | kader.garnier-aw@fr.pwc.com Julien Muller | 01 56 57 47 19 | julien.muller@fr.pwc.com

10 | Février 2016

Newsletter Risk Assurance

Contact : Kader Garnier-Aw | 01 56 57 17 05 | kader.garnier-aw@fr.pwc.com

Loi « Sapin II » : en savoir plus sur la loi anti-corruption

En octobre 2014, l’OCDE a exprimé d’importantes préoccupations quant au caractère limité des efforts fournis par la France en matière de lutte contre la corruption, l’invitant à poursuivre les réformes annoncées. Michel Sapin a alors révélé le 22 juillet 2015 en Conseil des ministres un avant-projet de loi pour la transparence et la modernisation de la vie économique qui devrait être débattu en mars 2016.

Bien que nous ne disposions pas à ce jour des modalités pratiques, les contours de la réforme semblent se dessiner.

Création d’une agence nationale de prévention et de détection de la corruption

Le texte prévoit la création d’une agence nationale de prévention et de détection de la corruption. Aujourd’hui, le Service Central de Prévention de la Corruption (SCPC), dispose de pouvoirs limités et se limite à la formation d’entreprises publiques et privées en la matière.

La nouvelle loi accordera à l’agence le pouvoir d’émettre des lignes directrices relatives à la nouvelle obligation de prévention de la corruption et en contrôlera son respect. Elle aura compétence pour apprécier la validité des plans de prévention et de détection de la corruption et sera dotée de pouvoirs étendus en matière procédurale : elle pourra entendre toute personne, se faire communiquer tout document et procéder à des vérifications sur place.

Obligation de prévention contre les risques de corruption

La nouvelle loi instaure une obligation de prévention contre les risques de corruption. Cette obligation s’imposera aux sociétés employant au moins 500 salariés ainsi qu’aux filiales d’un groupe employant au moins 500 salariés et dont le chiffre d’affaires est supérieur à 100 millions d’euros. Elle s’appliquera enfin à leurs dirigeants.

Ces derniers devront prendre des mesures effectives destinées à prévenir et détecter la commission en France ou à l’étranger, de faits de corruption ou de trafic d’influence.

Sanction complémentaire en cas d’absence de mise en conformité

Pour garantir le respect de cette nouvelle législation, la loi Sapin II créée une peine complémentaire en cas d’absence de mise en conformité. Concrètement, ce nouveau délit consistera en l’obligation pendant trois ans maximum de mettre en œuvre un programme de conformité sous le contrôle de l’Agence.  

Les frais engendrés par cette mise en conformité seront à la charge de la personne morale condamnée sans toutefois excéder le montant de l’amende encourue au titre de l’infraction principale ayant justifié le prononcé de la peine.

En cas de violation de l’obligation de mise en conformité, de lourdes sanctions sont prévues : deux ans d’emprisonnement et 400.000 euros d’amende pour les personnes physiques et jusqu’à 2.000.000 euros pour les personnes morales. Des peines complémentaires d’affichage et de diffusion de la décision pourront également être prononcées.

L’introduction de la justice négociée

Mécanisme appliqué aux Etats-Unis et plus récemment au Royaume-Uni connu sous le nom de « Deferred Prosecution Agreement » (DPA), il permet aux entreprises soupçonnées d’avoir commis un acte de corruption de négocier une amende pour éviter le procès.

Dans l’article 17 du projet de loi, il est précisé que le montant de cette amende sera calculé de manière proportionnée aux avantages tirés des manquements constatés mais ne pourra toutefois pas excéder 30 % du chiffre d’affaires moyen des trois dernières années. Nul doute que les efforts fournis par l’entreprise en matière de prévention de la corruption seront pris en compte par le parquet.

Le nouveau texte s’inspire grandement des dispositions américaines et britanniques et s’avère être une grande première dans le paysage législatif français en matière de lutte contre la corruption.

Quelques pistes de réflexion

- Avez-vous évoqué avec les directions juridiques et conformité les conséquences opérationnelles de cette loi ?

- Disposez-vous d’un programme de conformité efficace pour prévenir le risque corruption ?

- Connaissez-vous les intérêts économiques et business développés par un programme de conformité efficace ?

11 | Février 2016

Newsletter Risk Assurance

Loi Eckert : ce qui va changer pour les banques

La Loi Eckert (N°2014-617) a été promulguée le 13 juin 2014 faisant suite au rapport de la Cour des comptes rendu public en juillet 2013 relative aux comptes bancaires inactifs et aux contrats d’assurance vie en déshérence. Cette loi est entrée en application depuis le 1er janvier 2016.

Qui est concerné ?

D’un point de vue bancaire, les entités assujetties sont :

• Les établissements de crédit mentionnés au titre Ier du livre V du Code Monétaire et Financier ;

• Les établissements de monnaie électronique• Les établissements de paiement mentionnés au titre II du

livre V du Code Monétaire et Financier.

Principaux points de la loi

Cette loi est destinée à rendre plus efficace la recherche des bénéficiaires de comptes bancaires inactifs et améliorer la protection des épargnants et des bénéficiaires d’assurance vie. Cette loi (i) renforce l’obligation de devoir d’information par les professionnels, (ii) plafonne les frais (iii) oblige le transfert des avoirs à la CDC passé certains délais (notamment variable en fonction de la nature des avoirs) et pour finir (iv) renforce le pouvoir de l’ACPR.

Ce qui va changer

Avant la loi du 13 juin 2014, un compte identifié comme « inactif » désignait, au sein des établissements de crédit, un compte n’ayant enregistré aucune opération à l’initiative du titulaire pendant un certain délai qui était variable selon les établissements et était, en général, d’une durée d’un an.

La loi du 13 juin 2014 a précisé la définition du compte « inactif ».

Cas 1, absence de mouvementIl s’agit d’un compte (i) n’ayant fait l’objet d’aucune opération (ii) ni de manifestation du titulaire du compte ou de son représentant sur un autre compte ouvert à son nom pendant une période de 12 mois, hormis celles établies par l’établissement tenant le compte. Ce délai peut être porté à 5 ans pour certains types de comptes (Comptes sur livret, comptes à termes, comptes avec titres financiers).

Cas 2, titulaire décédéIl s’agit d’un compte pour lequel le titulaire est décédé et durant la période de 12 mois suivant le décès, aucun de ses ayants droit n’a informé l’établissement tenant le compte de sa volonté de faire valoir ses droits sur les avoirs et dépôts qui y sont inscrits.

Les principaux changements résumés ci dessous :

Contacts : Sébastien d’Aligny | 01 56 57 15 32 | sebastien.daligny@fr.pwc.com Nicolas Montillot | 01 56 57 77 95 | nicolas.montillot@fr.pwc.com

Avant la loi Eckert Après la loi Eckert

Recherche du décès

éventuel du client

Absence d'obligation de

s'informer du décès éventuel

d'un client et de rechercher

ses ayants droits en cas de

décès.

Consultation chaque année

du Répertoire National

d'Identification des Personnes

Physiques (RNIPP).

Recensement Publication annuelle du nombre

et montant des comptes

déposés.

Prise contact

avant transfert

Prise de contact avec les

ayants-droit 6 mois avant le

transfert à la CDC.

Information du titulaire du

compte ou de ses ayants-

droit 6 mois avant le transfert

à la CDC.

Transfert à la CDC La banque peut, dans le cas

d'un compte inactif, clôturer

(délai de 10 ans) et transférer

les sommes à la CDC.

Transfert des fonds à la CDC si

absence de mouvement sur le

compte ou titulaire décédé (10

ans ou 3 ans si client décédé).

Reversement à l'Etat Sommes acquises par l'Etat

après un délai de 30 ans.

Sommes déposées à la CDC

acquises par l'Etat (délai de 20

ou 27 ans selon les cas)

Clôture des

comptes

Possibilité de clôturer les

comptes inactifs. Clôture

compte client décédé après

règlement succession.

Clôture des compte après

transfert des avoirs à la CDC.

Conservation

de la documentation

Obligation de conserver,

d'une manière générale,

pendant 10 ans la

documentation comptable et

pièces justificatives.

Obligation de conserver les

documents du compte et les

informations client.

Frais La pratique de tarification non

homogène.

Plafonnement des frais et

commissions.

Quelques pistes de réflexion

- Votre dispositif est il opérationnel depuis le 1er janvier 2016 ?

- Avez-vous effectué une revue de la qualité des données de vos clients ?

- Etes-Vous prêt à transférer à la CDC les sommes présentes sur les comptes inactifs

- Avez-vous audité votre dispositif en place ?

12 | Février 2016

Newsletter Risk Assurance

Conférence PwC sur la fonction Conformité

A l’occasion de la publication des résultats de la 5ème édition de son étude mondiale «State of Compliance» PwC a organisé, le 13 octobre dernier à Paris la première édition de sa conférence dédiée à la fonction conformité.

Cette conférence a permis aux nombreux directeurs de la conformité et directeurs juridiques présents d’en savoir plus sur les nouveaux enjeux et les perspectives de la fonction conformité.

Après une présentation des résultats clés de l’étude, les experts PwC ont échangé avec les différents intervenants autour de deux tables rondes :

• Table ronde 1 : le rôle stratégique du Chief Compliance Officer

• Table ronde 2 : l’importance du digital et des données dans la maîtrise des risques de Conformité.

Frédéric Basset-Chercot, Ethics Standards chief compliance officer chez Bolloré Logistics et Marc Olivier Lamaro, Chief compliance officer chez Sanofi Pasteur MSD sont venus apporter leurs témoignages sur la fonction conformité dans les secteurs de l’industrie et des services.

Je souhaite recevoir le support de présentation de la conférence sur la fonction conformité

Ne manquez pas la vidéo diffusée à l’occasion de la conférence PwC sur la fonction conformité

« La complexification de la réglementation, la pression de certains clients et l’attitude de plus en plus intransigeante des régulateurs poussent les entreprises à développer la fonction conformité. Cet événement a permis de montrer en quoi les directeurs de la conformité occupent une place de plus en plus stratégique dans les entreprises. »

Kader Garnier-Aw, Directeur PwC

Moving beyond the baselineLeveraging the compliance function to gain a competitive edge

pwc.com/us/stateofcompliance

State of ComplianceSurvey 2015

Contacts : Françoise Bergé | 01 56 57 15 32 | francoise.berge@fr.pwc.com Kader Garnier-Aw | 01 56 57 17 05 | kader.garnier-aw@fr.pwc.com

Conférence PwC, 13 octobre 2015

13 | Février 2016

Newsletter Risk Assurance

PwC lance en France son premier serious game dédié à la cybersécurité

A l’occasion de la 8ème édition du Forum International de la Cybersécurité (FIC) organisé à Lille les 25 et 26 janvier derniers, PwC a présenté, pour la première fois en France, son serious game dédié à la cybersécurité : « Game of Threats - simulation de cyberattaques ». Ce jeu unique, destiné aux responsables de ces enjeux en entreprise, est une simulation réaliste à la prise de décision en temps réel face aux menaces de cybersécurité.

Cette initiative vous permet de tester vos compétences décisionnelles en situation de cyberattaque. Les « joueurs » doivent traiter quantité d’informations en un temps limité, puis choisir les bonnes décisions malgré des ressources limitées.

Cette simulation oblige les acteurs à se glisser dans la peau des deux parties : l’entreprise cible mais aussi l’assaillant.

Les participants peuvent donc à la fois évaluer leur capacité à défendre leur entreprise dans l’urgence face à des cyberattaques soudaines, mais également jouer le rôle de l’assaillant qu’il s’agisse d’un Etat, d’un activiste ou d’un collaborateur en interne, dans un même but : essayer de détecter et d’exploiter les failles de sécurité de l’entreprise.

A l’heure où les entreprises françaises sont victimes de près de 21 cyberattaques recensées par jour (en hausse de 51 % par rapport à 2014)*, « Game of Threats » fournit des clés pour mieux identifier les failles de sécurité des entreprises et ainsi répondre plus efficacement aux attaques.

Si vous souhaitez en savoir plus ou si vous êtes intéressés pour vivre cette expérience unique, notre équipe reste à votre disposition pour toute information.

Je souhaite en savoir plus

Contacts : Philippe Trouchaud | 01 56 57 82 48 | philippe.trouchaud@fr.pwc.com Nacira Salvan | 01 56 57 75 88 | nacira.guerroudji.salvan@fr.pwc.com

*Selon l’étude PwC « The Global State of Information Security® Survey 2016 »

14 | Février 2016

Newsletter Risk Assurance

Gestion des risques Gouvernance des données

Audit interne (certifiés CIA)

Cybersécurité

Contrôle interneAudit informatique

(certifiés CISA)

Pour un management des risques performant et « résilient »

Notre équipe

Des professionnels expérimentés dotés d’une connaissance approfondie des normes, standards et des meilleures pratiques dans les domaines suivants :

Nous intervenons pour des grands groupes internationaux et des entreprises de taille intermédiaire.

Nos équipes travaillent en coordination étroite avec les experts sectoriels et fonctionnels des autres activités (audit, conseil, juridique et fiscal) et notre réseau international pour livrer des prestations adaptées à chaque client.

Nos services pour vous accompagner Audit interne

Mettre en place des modèles de réalisation des missions efficaces• Co-sourcing (généralistes, spécialistes, autres pays)• Participation à l’évaluation annuelle du contrôle interne• Externalisation de mission ad hoc• Création de la fonction Audit interne• Revue de la performance• Organisation, méthodes et outils

Gestion des risques

Mettre en place des dispositifs de gestion des risques intégrés au pilotage• Cartographie des risques• Culture de risque et appétence• Intégration au pilotage• Plan de continuité et plan de secours• Gestion de risques projets• Programme anti fraude• Organisation, méthodes et outils

Contrôle interne

Concevoir, déployer, optimiser et rendre compte des dispositifs de contrôle interne• Programme de contrôle interne• Définition, documentation et évaluation des contrôles• Articulation des contrôles avec les objectifs et risques

associés• Outils

Conformité

Se conformer aux réglementations externes (règlementations sectorielles, directives européennes, règlementations anti corruption…)• Cartographie des risques de conformité• Organisation, méthodes et outils• Création de la fonction conformité• Programme d’alertes et de veille• Audits de conformité

Maîtrise des risques, audit informatique, Data et Cybersécurité

Maîtriser les risques liés à la cybersécurité, aux données et aux systèmes d’information• Cybersécurité : organisation sur la cybersécurité,

développement et mise en œuvre des programmes d’améliorations de la cybersécurité, contrôle de la cybersécurité, dispositifs de réaction à un incident de cybersécurité

• Data : gouvernance de données, Data & Analytics• Gouvernance et maîtrise du système d’information :

audit IT, cartographie des risques IT, continuité IT

« Third Party Assurance »

Apporter un niveau d’assurance et de transparence sur l’efficacité des dispositifs de contrôle interne portant ur les activités externalisées• Rapports sur les contrôles financiers• Rapports au-delà des contrôles financiers

Newsletter Risk Assurance

Contacts

Risk Assurance & Advisory Services Leader

Patrice Morot Associé patrice.morot@fr.pwc.com Tél. 01 56 57 81 68

Audit Interne

Jean Pierre Hottin Associé jean-pierre.hottin@fr.pwc.com Tél. 01 56 57 82 63

Paul Le Nail Associé paul.le.nail@fr.pwc.com Tél. 01 56 57 78 88

Gouvernance et risques IT

Arnaud Fritz Associé arnaud.fritz@fr.pwc.com Tél. 01 56 57 18 84

Maîtrise des risques et audit informatique «Third Party Assurance»

Financial Services

Romain Camus Associé romain.camus@fr.pwc.com Tél. 01 56 57 87 83

Industrial Products & Services

Pierre Olivier Duranton Associé pierre.olivier.duranton@fr.pwc.com Tél. 01 56 57 73 53

Anne Christine Marie Associée anne-christine.marie@fr.pwc.com Tél. 01 56 57 13 42

Gestion des Risques, Conformité, Contrôle Interne

Industrial Products & Services

Françoise Bergé Associée francoise.berge@fr.pwc.com Tél. 01 56 57 81 59

Financial Services

Nicolas Montillot Associé nicolas.montillot@fr.pwc.com Tél. 01 56 57 77 95

Les informations contenues dans le présent document ont un objet exclusivement général et ne peuvent en aucun cas être utilisées comme un substitut à une consultation rendue par un professionnel. En tout état de cause, en aucun cas la responsabilité de PricewaterhouseCoopers Audit et/ou de l’une quelconque des entités membres du réseau PwC ne pourra être engagée du fait ou à la suite d’une décision prise sur la base des informations contenues dans le présent document.© 2016 PricewaterhouseCoopers Audit. Tous droits réservés.

PwC Société d’Avocats est membre de PricewaterhouseCoopers International Ltd, société de droit anglais. PwC désigne la marque sous laquelle les entités membres de PricewaterhouseCoopers International Ltd rendent leurs services professionnels et peut également faire référence à l’une ou plusieurs des entités membres de PricewaterhouseCoopers International Ltd dont chacune est une entité juridique distincte et indépendante.

Suivez nous sur