Accueil / blog / Saboter la deuxième ligne de maîtrise peut vous conduire en prison

Saboter la deuxième ligne de maîtrise peut vous conduire en prison

L’un des premiers souvenirs que je garde de ma carrière d’auditeur interne est le refrain que répétaient sans cesse les grands responsables de mon organisation : le job des auditeurs internes, c’est de « leur éviter la prison ». C’était leur manière de nous faire comprendre, sur le ton de l’ironie, à quel point nous étions importants pour eux. Je ne les ai jamais pris trop au sérieux car, à ma connaissance, les personnes envoyées en prison pour des défaillances de contrôle interne ou non-conformités n’étaient pas légion. Mais comme le dit Bob Dylan dans sa chanson, « the times they are a-changin » ! (les temps changent)

Un exemple de non-conformité intentionnelle susceptible de conduire un dirigeant en prison nous a encore été fourni récemment par l’ancien responsable de la conformité d’une société pharmaceutique, qui a plaidé coupable d’association de malfaiteurs et d’autres chefs d’accusation retenus contre lui. L’arrestation de l’ancien CEO de la société qui a suivi montre que les procureurs sont prêts à aller jusqu’au sommet de l’organisation pour faire passer le message.

Les arrestations stupéfiantes des anciens cadres de la Rochester Drug Cooperative mettent en évidence les enjeux considérables associés à certains types de manquements en matière de contrôle interne et de conformité et, plus particulièrement, le danger de les ignorer. Certains sont même allés jusqu’à décrire cette affaire comme un cas d’espèce pour les autorités fédérales amenées à poursuivre des dirigeants d’entreprises pharmaceutiques pour trafic de drogue.

Le parquet affirme que la vente par la société d’opioïdes dangereux comme l’oxycodone et le fentanyl à des personnes qui n’y avaient pas droit avait été portée, à plusieurs reprises, à l’attention des deux cadres inculpés. Qui plus est, selon l’acte d’accusation déposé par le parquet à la U.S. District Court du Southern District de New York, la société aurait délibérément pris la décision de « ne pas investiguer, surveiller ou dénoncer » les personnes qu’elle savait impliquées dans le détournement de substances contrôlées.

En sa qualité de distributeur agréé de médicaments, la Rochester Drug Cooperative était, selon l’acte d’accusation, tenue de mettre en place « des contrôles efficaces visant à empêcher le détournement de certaines substances réglementées à des fins autres que des applications médicales, scientifiques et industrielles légitimes ». L’entreprise avait également l’obligation de signaler à l’U.S. Drug Enforcement Administration (DEA) toutes les « commandes de taille inhabituelle, les commandes s’écartant de manière significative de la norme et les commandes passées à une fréquence inhabituelle. »

Bien qu’elle ait satisfait l’exigence d’instaurer les politiques et contrôles nécessaires, la société est accusée d’avoir ignoré les nombreux signaux d’alarme indiquant que les médicaments n’étaient pas vendus à des fins médicales légitimes. L’un des incidents les plus graves cités dans l’acte d’accusation est la recommandation émise par un consultant en conformité en 2014. Ce dernier avait exhorté Rochester Drug à adhérer à la politique de diligence raisonnable « Know your customer » du DEA, les avertissant, de façon prémonitoire, que, si elle ne changeait pas ses pratiques, la société allait se retrouver dans le collimateur du DEA « à cause de son aveuglement et de son ignorance délibérés. »

En supposant que les informations contenues dans l’acte d’accusation soient exactes, cette affaire diffère d’autres défaillances de gouvernance qui ont récemment défrayé la chronique à trois égards :

  • Les processus et structures de conformité de la deuxième ligne de maîtrise semblent avoir fonctionné comme prévu.
  • La première ligne de maîtrise a apparemment saboté la deuxième ligne en ignorant délibérément ses avertissements.
  • La première ligne a, à plusieurs reprises, mis en échec la deuxième ligne, voire même la troisième, et ce à l’insu du conseil d’administration, selon toute vraisemblance.

Cet incident démontre la nécessité pour les auditeurs internes de développer de solides relations avec toutes les lignes de maîtrise de l’organisation et pas seulement avec le comité d’audit et le conseil d’administration.

  • L’audit interne devrait être capable de soutenir les efforts de la seconde ligne de maîtrise et d’intervenir quand les fonctions de conformité de cette dernière sont effectivement entravées.
  • L’audit interne devrait être capable de critiquer le management quand celui-ci n’accorde ni sa protection ni son soutien aux processus et aux structures de contrôle.
  • L’audit interne devrait communiquer toutes les défaillances en matière de gestion des risques et de conformité au management dans un premier temps, puis directement au conseil d’administration (particulièrement si le management est complice).
  • L’audit interne devrait fournir une certaine assurance sur les informations présentées au conseil d’administration par le management.

Le rapport North American Pulse of Internal Audit de 2019, intitulé Defining Alignment in a Dynamic Risk Landscape, aborde le rôle de l’audit interne dans la transmission d’informations au conseil d’administration. C’est un domaine où l’audit interne peut s’améliorer. Selon l’enquête, près de 6 responsables d’audit interne sur 10 déclarent que l’audit interne fournit rarement, voire jamais, une assurance sur la qualité des informations soumises au conseil d’administration et qu’il n’en discute pas de manière formelle avec le conseil d’administration ou le management.

A mesure que les attentes des régulateurs relatives à la mission de surveillance des conseils d’administration augmentent, il devient impératif d’assumer nos responsabilités d’auditeurs internes. Ce faisant, nous remplissons non seulement notre mission de préservation et d’accroissement de la valeur de l’organisation, mais nous évitons aussi à nos dirigeants de passer par la case prison.

Vos commentaires sont les bienvenus.

A propos Richard CHAMBERS

Richard CHAMBERS
Richard F. Chambers, Président et directeur général de l’IIA (Institute of Internal Auditors) publie chaque semaine sur son blog InternalAuditor.org un article sur les enjeux et les tendances concernant la profession d’audit interne.