Sélectionner une page
Revue de presse – 1ère quinzaine du mois de février 2024

Revue de presse – 1ère quinzaine du mois de février 2024

par | 19 Fév 2024 | Externalisation, Revue de presse

Temps de lecture estimé : 2 min
  • Manquement au devoir d’information du banquier : nature du préjudice en cas de remboursement anticipé
    Le dommage résultant du manquement d’une banque à l’obligation d’informer le souscripteur d’un prêt in fine du risque que le rachat de contrats d’assurance vie, du fait d’une contre-performance de ceux-ci, ne permette pas le remboursement du prêt à son terme consiste en la perte d’une chance d’éviter la réalisation de ce risque.
    >> Le site de la revue Banque du 2 février 2024
  • Bâle 3 et le financement de l’économie européenne : la balle est dans le camp des superviseurs
    Véronique Ormezzano, présidente du Cercle de la régulation et de la supervision financière, défend une mise en œuvre du texte final respectant l’engagement initial de neutralité en capital.
    >> Le site de l’Agefi du 2 février 2024
  • Le Fonds de Garantie des Dépôts et de Résolution (FGDR) alerte le public sur les agissements d’escrocs qui éditent de fausses attestations de garantie du FGDR pour commercialiser des produits financiers
    Des attestations frauduleuses à en-tête et signature du Fonds de Garantie des Dépôts et de Résolution (FGDR) semblent circuler, prétendant à l’intention de leurs destinataires que le FGDR garantit les placements auxquels il leur est proposé de souscrire.
    >> Le site du FGDR du 5 février 2024
  • L’Union Européenne arrive à un accord sur les activités de notation ESG
    Les agences de notation basées dans l’un des Etats membres seront placées sous la tutelle de l’Autorité européenne des marchés financiers et la transparence dans des processus de notation sera renforcée.
    >> Le site gestiondefortune.com du 7 février 2024
  • Enquête mensuelle de conjoncture à début février
    La Banque de France publie des enquêtes de conjoncture : un diagnostic sur l’économie française, sous la forme d’indicateurs de climat des affaires et de prévisions à court terme.
    >> Le site de la Banque de France du 8 février 2024
  • Bercy peaufine la réglementation sur le non-coté dans l’assurance-vie
    Imposer aux assureurs une part de non-coté dans l’assurance-vie : c’est ce que prévoit la loi industrie verte, adoptée fin octobre.
    >> Le site d’Option Finance du 9 février 2024
  • L’AMF publie un guide pédagogique sur les plans de transition climatique des entreprises élaboré par sa Commission Climat et finance durable
    Dans la perspective de la première publication des plans de transition demandés par la directive européenne sur le reporting de durabilité (CSRD), publication d’un guide.
    >> Le site de l’AMF du 9 février 2024
  • La BCE remet la pression sur les banques sur leur exposition à l’immobilier commercial
    Si le superviseur des banques de la zone surveille depuis 2020 l’exposition des établissements au secteur immobilier, les récents déboires de Deutsche Pfandbriefbank (PBB) suscitent l’attention des investisseurs.
    >> Les Echos du 12 février 2024
  • Une nouvelle vision pour le Mécanisme de Résolution Unique européen est présentée à Bruxelles
    La stratégie Vision 2028 du MRU a été rendue publique, après une année de consultation et de réflexion avec les parties prenantes de l’Union bancaire, qui réunit les 20 pays de la zone euro et la Bulgarie.
    >> Le site de l’ACPR du 13 février 2024

Auteur
Michel Pesci   
Formateur à l’ESBanque du BTS au Master 2 et intervenant à l’université

Analyse des risques et conformité des PSE/E : 5 challenges à relever

Analyse des risques et conformité des PSE/E : 5 challenges à relever

par | 15 Jan 2022 | Externalisation

Temps de lecture estimé : 12 min

Rédaction WEB : JUST DEEP CONTENT

Le recours aux prestataires de services externalisés (PSE et PSEE) est croissant dans le secteur bancaire. Comment en étudier les risques et la conformité ? Analyse en 5 points clés.

 

« Il n’y a aucun doute sur le fait que les prestataires de services externalisés (essentiels ou non) sont en train de redéfinir la façon dont notre business concurrence avec le nouveau monde digital » explique un Chief Compliance Officer d’une société de services financiers.

Les organisations financières sont de plus en plus demandeuses de services externalisés et particulièrement de services impliquant du Cloud sous toutes ses formes. Les avantages recherchés sont notamment la flexibilité dans la volumétrie du « Hardware » et l’optimisation des coûts.

En plus de prendre une place grandissante au sein de ces organisations, les prestataires de services (essentiels ou non) externalisés (PSE) sont beaucoup plus consommateurs de données d’entreprises pour lesquelles ils fournissent des services. Par ailleurs, ils utilisent eux-mêmes des sous-traitants, élargissant et complexifiant le réseau de prestataires. Ainsi, sur les 4 dernières années, selon une étude Gartner, les responsables juridiques et conformité ont identifié 2,5 fois plus de prestataires comme ayant un risque élevé.

Dans un monde où les PSE/E (Prestataire de Service Externalisé / Essentiel) prennent une place grandissante, quels sont les défis opérationnels d’analyse et de management des risques auxquels doivent faire face les institutions financières et en particulier les grands groupes bancaires ?

Il existe principalement 5 challenges associés à l’analyse des risques PSE/E.

SOMMAIRE

Rappel des exigences réglementaires relatives aux PSE/E

Les banques ont pour obligation de contrôler les risques associés à leurs PSE/E, conformément à l’arrêté du 3 Novembre 2014, sur le contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement.

Cet arrêté introduit la distinction entre caractère essentiel ou non d’une prestation et précise les exigences réglementaires supplémentaires incombant à un Prestataire de Services Essentiels Externalisés.

Lorsqu’une prestation est considérée comme essentielle, la responsabilité d’exécution de l’activité déléguée au prestataire reste à la main de la banque. L’analyse et le pilotage des risques en sont donc d’autant plus renforcés.

Quelques années plus tard, l’Autorité Bancaire Européenne (ABE) spécifie dans ses recommandations de février 2019 la manière dont les banques doivent contrôler leurs risques opérationnels liés aux prestations des PSE/E, afin de renforcer le dispositif de contrôles des risques liés aux externalisations.

L’ABE spécifie aussi la distinction entre PSE (Prestataire de Service Externalisés) et PSEE (Prestataire de Service Externalisés Essentiels) en ajoutant la notion de « fonctions critiques ou importantes ». Cette notion fait référence au caractère « essentiel » d’un PSEE défini par l’arrêté du 3/11/2014 mais fournit une analyse plus approfondie sur le sujet, afin d’aider à la qualification des différentes activités externalisées.

Le package européen présenté par la Commission en juillet 2021 prévoit de nouvelles exigences règlementaires pour les sous-traitants prestataires de service. » et inclure un lien vers le nouvel article sur l’ancre « le package européen »

l’harmonisation de la méthodologie des analyses

Ce premier challenge s’impose par la structure inhérente d’un grand groupe bancaire. Beaucoup d’enjeux opérationnels sont associés à la problématique de taille des banques.

Dans un groupe d’envergure, la plupart des projets d’externalisation sont initiés par les chefs de projet (ou autre personne ayant un budget sur une thématique dédiée). Les demandeurs doivent ensuite faire valider ces projets à un niveau décisionnaire.

Une fois validés, il est nécessaire de réaliser un appel d’offre et de présélectionner des prestataires. Vient ensuite un double process, où les achats sont sollicités pour la partie mise en concurrence et la centralisation des contrats, ainsi que les experts pour évaluer les risques associés à l’externalisation auprès d’un PSE/E.

Ce process de création des demandes de PSE/E est d’abord « bottom-up » puisque ce sont les équipes métiers/opérationnelles qui en font la demande à un niveau hiérarchique plus élevé.

L’approche est aussi « top-down », dans le sens où, une fois la validation obtenue, les demandes d’expertises vont être faites auprès des experts proches des équipes opérationnelles. Ce sont en effet les plus à-mêmes de comprendre les enjeux de cette prestation par rapport à l’environnement métier ou service bénéficiaire.

Dans un environnement où des milliers de projets avec des PSE/E se multiplient, l’enjeu est alors d’avoir une méthodologie d’analyse homogène entre experts disséminés dans toute la banque.

Une structure commune est alors nécessaire afin de :

  • Construire des KPI (Key Performance Indicator) probants, et avoir une visibilité sur le risque moyen des prestations de la banque. Or, si la structure d’analyse diverge entre les experts, ces KPI ne font plus vraiment sens.
  • Tenir un registre des PSE/E fiable et homogène. Dans le cadre des activités externalisées dites critiques ou importantes, il est demandé d’inscrire le risque global de la prestation dans un registre. Il est donc important d’avoir une certaine homogénéité méthodologique pour que ce suivi soit cohérent.

Ce défi d’harmonisation revêt deux aspects :

  • dans la forme pour toutes les expertises :

    Différentes expertises sont demandées pour l’évaluation des risques : l’ABE (Autorité Bancaire Européenne) établit une liste des risques à évaluer a minima pour l’ensemble des externalisations (risques opérationnels, risques de concentration, risques liés à la sous-externalisation …). Ces analyses requièrent donc différents experts, une seule personne ne pouvant appréhender l’ensemble.

    Il est alors indispensable d’avoir une structure commune détaillant typiquement le risque inhérent, les éléments atténuant le risque et le risque résiduel. Il faudra également définir la méthode d’analyse : pour les facteurs d’atténuation du risque par exemple, prend-on les éléments déjà établis par le prestataire et la banque, ou seulement ceux du prestataire ?

  • dans le fond au sein d’une même expertise :

    L’évaluation des risques de non-conformité par un expert est à elle-seule un challenge. Elle recoupe plusieurs sujets tels que le risque de conflits d’intérêts, le risque d’abus de marché (lié aux données privilégiées), le risque LCB/FT ou tout autre sujet relatif à la sécurité financière.

    On comprend alors que ne pas imposer un cadre commun d’évaluation plus granulaire et orienté sur le fond pour chaque expertise peut créer des écarts non-justifiés dans les résultats d’analyse.

la gouvernance et l’assignation du projet d’externalisation

Théoriquement, les demandes d’analyse sont faites auprès des experts de seconde ligne de défense, opérant pour le service demandeur de l’externalisation.

Exemple

La fonction transversale de communication de la banque souhaite externaliser le processus de gestion des cookies sur internet (recueil du consentement, lignes directrices de la CNIL).

Les experts LOD2 (deuxième ligne de défense) de cette fonction vont être sollicités car ils connaissent l’environnement évalué. C’est d’autant plus pertinent lorsqu’il s’agit d’un métier (les activités de marché par exemple), où il est important d’avoir l’expertise des produits et services requis.

Dans la réalité cependant, l’assignation d’un projet est beaucoup plus complexe que la règle énoncée et rend la gouvernance relative aux analyses de risques des externalisations elle aussi plus délicate à définir.

Deux cas de figure en témoignent :

  • Les projets d’externalisation internationaux :

    La responsabilité de chacune des analyses est ici difficile à déterminer étant donné que le projet bénéficie à plusieurs filiales/entités du Groupe.

    Une première logique voudrait que le département portant le projet ait la responsabilité de l’analyse des risques. Mais on oublie alors tous les autres environnements dans lesquels la prestation va opérer et toutes leurs spécificités influant le risque.

    Il est alors indispensable pour les experts analysant la prestation d’avoir une connaissance « terrain » de chaque entité bénéficiaire afin de n’omettre aucuns risques. Avoir un seul expert pour chaque risque n’est pas viable dans ce cas de figure.

    Par ailleurs, dans ce type de projets, la réglementation locale peut avoir un impact dans l’analyse. Par exemple, si la réglementation locale est plus restrictive que celle du pays d’implantation de la maison-mère du groupe.

    Or, chaque responsable de la conformité ne peut avoir une connaissance exhaustive de toutes les réglementations internationales s’appliquant au groupe et ses entités. Il est donc aussi nécessaire de solliciter un avis local par entité bénéficiaire du prestataire de service.

  • Les projets d’externalisation s’étendant sur différentes activités et services :

    On retrouve ici la même problématique de connaissance de l’environnement bénéficiaire.

    Avoir une prestation de Cloud IaaS (Infrastructure as a Service, externalisation du hardware), par exemple, n’a pas le même impact risque pour les activités de marché que sur un service de communication : premièrement, du fait de typologies de données différentes dans ces deux environnements, mais aussi parce que l’impact opérationnel d’une panne, et donc les enjeux financiers associés, est drastiquement plus conséquent sur les activités de marché que sur un service de support.

Partant de ces deux cas d’usages, il faudrait donc assigner une même demande d’analyse (risques de non-conformité par exemple) à différents experts, venant de chaque environnement bénéficiaire, afin d’avoir une vue exhaustive du risque.

Se posent ici deux difficultés de gouvernance :

  • L’identification de tous les experts de chaque environnement (géographique ou activité) dans une banque d’envergure. En effet, à l’échelle internationale, les postes d’expertise peuvent différer selon les régions, ou tout simplement ne pas exister. Déterminer la responsabilisation via l’énumération des différents postes d’expertise et donc détailler la gouvernance des analyses PSE/E pour ces cas de figure devient presque impossible.
  • Une seule entité étant en général demandeur de la prestation (les autres étant simplement bénéficiaires), responsabiliser des experts d’un environnement bénéficiaire non porteurs d’un projet est également un véritable challenge.

la transmission d’informations entre experts internes ou externes

Le partage d’informations est l’un des principaux défis des analyses PSE/E :

  • d’un point de vue temporel : la bonne transmission dans le temps des analyses entre les différents experts est capitale. Certains pans de l’analyse de l’expert Conformité reposent ainsi sur les analyses d’autres experts.Pour un prestataire fournissant des serveurs à la banque par exemple, obtenir l’avis de l’expert sécurité permettra à la conformité de savoir si :
    • il y a un risque d’interruption d’activité, cet expert donnant son avis sur la robustesse technique des serveurs,
    • ou encore de vol de données, l’expert évaluant la robustesse de la sécurité physique mais aussi virtuelle des serveurs.

    Ces risques ont des impacts forts sur ceux de non-conformité (protection des données, continuité d’activité …). Ne pas les prendre en compte serait une erreur.

    Cette « dépendance » temporelle force un expert donné à attendre qu’un autre réalise son analyse. Ceci constitue une perte de temps considérable, alors que les enjeux business liés au démarrage du prestataire ne le permettent pas.

    Par ailleurs, qu’en est-il de la définition de l’ordre de réalisation des analyses ? Etablir un process clair et valable pour l’ensemble des projets d’externalisation est nécessaire mais encore une fois ardu, d’autant plus pour un projet de portée internationale et multi-sectorielle.

  • en termes de gouvernance :

    Au sein d’une même expertise, plusieurs experts peuvent être sollicités notamment dans les projets d’envergure internationale. Se pose alors la question de la responsabilisation de ces différents spécialistes.

    Si ces derniers ne sont pas inscrits dans un plan de gouvernance bien défini, ils ne prendront pas l’initiative de réaliser et transmettre une analyse au responsable de l’entité porteuse du projet.

    D’où l’importance d’une prise d’engagement par l’ensemble des experts provenant des environnements bénéficiaires. Sans cela, la collecte et la centralisation seront très compliquées à mener et alourdiront d’autant plus le processus d’analyse. Par ailleurs, les experts centralisateurs consommeraient une grande majorité de leur temps à relancer les contributeurs, sans toujours grand succès.

    Disposer d’un outil de workflow peut permettre de responsabiliser les experts sur le moment précis auquel ils doivent soumettre leur analyse. Il est aussi possible de monitorer le temps mis pour la production de l’avis de chaque expert.

La meilleure réponse à ce challenge de transmission de l’information est certainement la mise en place d’un outil de gestion intégrant les différentes étapes d’analyse.

Cet outil pourra prévoir par exemple que tant que l’expert n°1 n’a pas rendu son analyse, le prochain expert ne pourra le faire à son tour, stoppant l’avancée du process. Le mécanisme pourra bien sûr être plus flexible. Si tous les experts peuvent rendre indépendamment leurs analyses sauf l’expert conformité, il est pertinent de définir le workflow dans ce sens.


la qualification pse ou psee et les exigences de conformité associées

Il existe deux types de PSEE selon l’arrêté du 3 novembre 2014 :

  • Les PSE qualifiés d’essentiels car intervenant au sein d’activités régulées relatives :
    • au secteur bancaire et financier et nécessitant un agrément (service de paiement par exemple)
    • à certaines opérations connexes comme la tenue de compte-conservation
    • à l’exécution directe de ces activités régulées et opérations connexes.
  • Les PSE qualifiés d’essentiel dans le cadre d’une approche risques opérationnels. Cette définition est alors plus sujette à interprétation.En effet, cette catégorie regroupe les prestations qui, en cas d’anomalie ou défaillance, peuvent nuire considérablement :
    • à la capacité de l’établissement à se conformer de façon permanente aux obligations de son agrément et de ses activités
    • à ses performances financières ;
    • à la continuité de ses services et activités.

Cette deuxième typologie de prestataire pose un réel problème quant à la qualification de PSEE ou non. Il est en effet nécessaire d’analyser les risques associés pour définir ce caractère essentiel.

En ce qui concerne les performances financières par exemple, quid de l’impact du prestataire sans analyse préalable ?

De la même manière, pour savoir si la prestation a un impact sur la conformité de l’établissement à ses activités, il est indispensable de faire appel aux experts pour établir une première analyse.

Par exemple, des données personnelles utilisées dans le cadre d’une prestation peuvent avoir un impact significatif sur la non-conformité de la banque à ses obligations réglementaires, le prestataire pouvant être considéré comme PSEE sous un prisme opérationnel.

A quel moment qualifier le prestataire de PSEE ou PSE ?

Dans ce cadre de la qualification « opérationnelle », le critère retenu est l’impact de la prestation sur les activités de l’établissement. L’analyse de risques de ces prestations externalisées est donc indispensable à leur qualification.

Mais parallèlement, le caractère essentiel des PSEE implique, par rapport aux PSE, des exigences supplémentaires dans le cadre de l’analyse elle-même. Il serait donc nécessaire de réaliser la qualification en amont du démarrage des analyses puisque ces dernières diffèrent selon le caractère essentiel ou non.

Pour éviter cette problématique opérationnelle, il peut être d’autant plus simple d’aborder directement les analyses sous le prisme des PSEE.

l’application des mesures des experts et le suivi des prestations

Une fois que l’harmonisation des méthodologies est définie, que les demandes d’analyses sont assignées aux bons contributeurs, que ces derniers se transmettent leur point de vue sur les risques de la prestation et soumettent enfin leurs conclusions, ils restent une étape qui n’est pas des moindres : la prise en compte des recommandations des experts.

La maîtrise des risques passent par leur analyse mais aussi par l’application de recommandations qui visent à les réduire.  

Or, la réalisation de ces recommandations ne relève pas de la responsabilité des experts mais des personnes initiatrices du projet. Ces dernières n’ont pas forcément les mêmes intérêts que ceux des analystes en amont.

Les enjeux business peuvent ainsi s’opposer aux risques identifiés et à leur mitigation. Concernant par exemple le coût de la mise en place de mesures réductrices du risque, celui-ci a vocation à rester dans une fourchette bien défini par les porteurs du projet. De leur côté, les experts risques n’ont pas nécessairement cette donnée « coût » en tête lorsqu’ils analysent les différents projets et ne doivent pas l’avoir afin d’émettre des recommandations basées sur une approche risque, sans aucune pression liée aux contraintes d’activité.

Le suivi de la prestation est aussi un enjeu post-soumission des analyses. Il est en effet nécessaire de piloter cette dernière afin d’évaluer tout changement significatif pouvant affecter le risque lié aux prestataires.

Or, comme le confirme une étude Gartner  faite auprès de plusieurs centaines de fonctions juridiques et conformité, ce suivi continu n’est pas en place dans la plupart des banques.

Ainsi, 73% du travail réalisé pour identifier les risques liés aux PSE/E est alloué aux phases de « due diligence », donc en amont de la mise en production du prestataire et à celles de « recertification », donc de revue du prestataire. Cette revue est plus ou moins fréquente selon le niveau de risque défini durant la phase d’entrée en relation.

Seuls 27% des efforts sont menés tout au long de la relation avec le PSE/E.

Source du document : Etude Gartner « 2019 Gartner Third Party Risk Management Model »

Or, il s’avère que la mise en place d’une approche itérative est cruciale dans l’identification des risques.

En effet, 83% des responsables juridiques et conformité identifieraient les risques liés aux PSE/E après la phase de « due diligence » et avant celle de « recertification ». Autrement dit, 92% d’entre eux affirment que les risques les plus importants ne sont pas identifiés via la phase de « due diligence ».

Suivre en continu les prestations est un impératif afin d’avoir une vue exhaustive des risques liés aux PSE/E.

Pour la mise en place de ce suivi, il est nécessaire de définir des déclencheurs ou « triggers ».

Ces indicateurs peuvent être de différents ordres : un changement dans la nature de la relation entre la banque et le prestataire (les services octroyés s’étendent par exemple), un changement dans la stratégie Groupe (où l’appétence au risque peut être différente), ou encore un changement opérationnel.

La question du pilotage en temps réel de ce suivi nécessiterait :

  • un ou des emplois à temps plein. Cette solution n’est pas financièrement viable étant donné le nombre de prestations auxquelles les grands groupes font appel et le nombre d’ETP (Equivalent Temps Plein) nécessaires.
  • ou des outils déclenchant automatiquement ces avertissements de changements. Ce choix est plus optimal mais plus complexe à mettre à œuvre.

    Il faudrait en effet établir des métriques basées sur des données en amont de ce suivi quotidien. Les experts devraient donc, au-delà de leurs efforts d’harmonisation et de centralisation des analyses qualitatives, insérer des aspects quantitatifs.

    En plus de trouver un terrain d’entente sur les Key Risk Indicators (KRI), il leur faudrait disposer d’une base de données robuste et conséquente permettant d’établir ces KRI.

Bien que loin d’être relevé, ce dernier challenge reste incontournable pour la maîtrise des risques et la conformité des prestations de services externalisées, PSE et PSEE.

Sources

Auteur
Pauline Langlès

Consultante Conformité, Diplômée du Cycle Expert Conformité de l’ESBanque

Sécurité Financière et Asset Management : l’approche par les risques

Sécurité Financière et Asset Management : l’approche par les risques

par | 5 Juil 2021 | Externalisation

Temps de lecture estimé : 10 min

Rédaction WEB : JUST DEEP CONTENT

Comment gérer les principaux risques de sécurité financière en asset management : l’externalisation des services et la multiplicité des intervenants ?

 

Devant l’ampleur du phénomène de criminalité financière et son caractère transnational, les exigences des organes de supervision et de contrôle se font de plus en plus strictes, notamment envers les acteurs économiques et financiers. La problématique est la même pour tous, à savoir : comment raisonnablement et efficacement protéger son entité du risque que représente la criminalité financière ?

La mise en place d’un système efficace de protection relatif à la sécurité financière doit nécessairement passer par « l’approche par les risques », c’est-à-dire déterminer quels sont les risques encourus, les évaluer et les classer selon leur niveau, avant de décider quelles mesures d’atténuation des risques identifiés sont les plus appropriées.

Les moyens employés diffèrent en raison de la typologie de l’entité concernée : sommes-nous en présence d’une société commerciale, d’une institution bancaire, d’un asset manager ?

Les risques encourus par un asset manager en particulier ne seront pas nécessairement les mêmes que pour une institution bancaire.

Nous retiendrons ici deux des risques principaux rencontrés en asset management, à savoir l’externalisation des services et la multiplicité des intervenants. Puis, nous verrons comment l’approche par les risques permet de les atténuer.

SOMMAIRE

deux risques majeurs de sécurité financière pour l’asset management : l’externalisation des services et la multiplicité des intervenants

asset management et externalisation des services : une vigilance accrue

Différentes raisons peuvent pousser un asset manager à recourir à l’externalisation ou « outsourcing » de certaines de ses activités auprès de prestataires de services externalisés. L’objectif peut être une politique de maîtrise des coûts avec un recentrage sur le cœur de métier : la gestion et la commercialisation des produits financiers. Il peut également s’agir d’un moyen de faire face au grand nombre d’exigences réglementaires, pouvant impliquer la mise en place d’une infrastructure informatique coûteuse et chronophage.

Un asset manager peut par exemple décider d’externaliser son activité liée à la connaissance clients.

Cette externalisation prend la forme d’un contrat de prestations de services conclu entre l’asset manager et le prestataire de services incluant généralement :

  • l’identification du client (collecte de la documentation, vérification de la bonne réputation du client…),
  • la revue de son dossier,
  • et le contrôle de supervision permanente de premier niveau

Mais attention, externalisation d’une activité ne signifie aucunement transfert de responsabilité.

Et il est important d’en tenir compte à chaque étape de la relation entre l’asset manager et son prestataire .

Ainsi, l’asset manager reste pleinement responsable aux yeux de la réglementation et de ses autorités de tutelle. Les conséquences de la défaillance du prestataire de services peuvent être précisées dans le contrat liant les deux parties (par exemple, une réparation sous forme de dédommagement financier). Toutefois, ces conséquences n’auront aucune incidence sur la responsabilité de l’asset manager à l’égard de ses autorités de tutelle qui reste entière.

Lors du choix d’un prestataire de services, de nombreux éléments sont à prendre en compte :

  • la vérification de la bonne réputation du prestataire pressenti est bien sûr un pré requis.
  • l’examen de la politique de sécurité financière du prestataire est absolument nécessaire afin de mettre en lumière d’éventuels écarts avec celle de l’asset manager. Ceci est d’autant plus important si les deux parties ne sont pas localisées dans le même pays. Il est nécessaire de garder en tête que même deux entités localisées en Europe peuvent avoir une interprétation différente de la réglementation ou bien des exigences distinctes.

Sources : Natacha Cheron pour l’ESBanque 

Ainsi, par exemple, lors de l’identification d’un bénéficiaire effectif, une institution financière pourrait arrêter l’analyse au niveau d’une personne morale ou personne physique agissant en qualité de prête-nomaussi appelée « nominee », située dans un pays à risque faible, là où la politique d’une autre institution exigerait de remonter la chaîne des intervenants jusqu’au bout, peu importe le pays de localisation du « nominee ».

1 et 2 : identification client mené directement par l’asset manager
3 et 4 : identification client menée par le prestataire

Source : Natacha Cheron pour l’ESBanque

Ou bien encore, l’asset manager et son prestataire de services peuvent avoir une analyse LCB/FT (lutte contre le blanchiment d’argent et financement du terrorisme) des pays différente et avec des critères de risques distincts.  

Par exemple, un pays peut être classé comme à risque moyen par le prestataire mais à risque élevé par l’asset manager, ce qui est souvent le cas dans l’appréciation des risques des pays d’Afrique ou d’Amérique Latine.  

L’asset manager et le prestataire peuvent aussi avoir une gradation du risque pays différente. L’un peut appliquer une gradation de type « pays à risque faible, moyen ou élevé », tandis que l’autre peut appliquer une gradation plus granulaire « faible, faible/moyen, moyen/risqué ou risqué ».  

Il peut également y avoir une discrépance dans la façon d’envisager le soupçon, notion s’appuyant certes sur des éléments factuels mais appelant aussi une certaine subjectivité.  

Tout comme un ensemble d’éléments peut être considéré comme un soupçon chez un chargé de conformité, il peut ne pas l’être chez un autre. Au sein d’une même entité, il revient alors au responsable de trancher. La situation pourrait être plus délicate entre un asset manager et son prestataire si les deux n’ont pas la même appréciation du soupçon.  

Enfin, une politique de sécurité financière étant amenée à évoluer au fil du temps, il est primordial que l’asset manager soit informé de ces évolutions aux fins d’analyse et de commentaires par rapport à ses propres exigences.

la multiplicité d’intervenants : une difficulté de gestion des risques pour l’asset management 

L’activité d’asset management a pour spécificité de faire appel à une multiplicité d’intervenants. Administrateurs, brokers, plateformes, apporteurs d’affaires … sont autant d’acteurs dont la défaillance peut avoir des conséquences sur l’asset manager.  

Les administrateurs de fonds agissent par délégation de l’asset manager dans le cadre d’un contrat. Ils sont en charge de la valorisation et de la comptabilisation des actifs, des reportings et de la vie sociale des fonds, y compris l’identification des clients, sur la base de la politique de sécurité financière propre à l’administrateur.  

Une fois cette identification faite et le dossier validé, le client investisseur peut investir directement dans le fonds de l’asset manager, sans que le dossier KYC (Know Your Costumer) du client investisseur ne soit revu par l’asset manager.  

Cette identification du client investisseur peut parfois incomber au dépositaire du fonds (aussi appelé « custodian »). 

Sources : Natacha Cheron pour l’ESBanque

Les brokers sont chargés d’exécuter les ordres des clients investisseurs. Dans ce cadre, ces derniers doivent faire l’objet d’un KYC et d’un suivi à fréquence régulière sur la base de la politique de sécurité financière du broker.

Sources : Natacha Cheron pour l’ESBanque

Pour un grand nombre de professionnels, la plateforme est l’avenir du contrat de distribution car elle permet une optimisation des opérations : moins de négociations et des solutions numériques adaptées au besoin des clients. Les plateformes permettent ainsi aux assets managers-distributeurs de référencer leurs fonds et aux clients d’y investir directement.

L’ensemble des acteurs actifs sur une plateforme doivent faire l’objet d’un KYC dont la politique est définie par la plateforme. Les asset managers-distributeurs peuvent donc voir investir dans leurs fonds des personnes qui n’auraient peut-être pas franchi l’étape du KYC dans le cadre d’un contrat direct entre l’asset manager-distributeur et l’investisseur.

1 : référencement de ses fonds sur la plateforme
2 : investissement par l’entité participante via la plateforme

Sources : Natacha Cheron pour l’ESBanque 

L’apporteur d’affaires est une société ou une personne, qui, grâce à son activité ou sa position, peut prescrire ou recommander les services d’une autre entreprise. En fonction de la réussite de sa mission, l’apporteur d’affaires percevra une commission. Il faut savoir qu’un client potentiel proposé par un apporteur d’affaires va en principe faire l’objet d’un KYC par l’asset manager.

Tout comme pour le sujet de l’externalisation de services, l’asset manager est responsable aux yeux de ses autorités de tutelle de toute défaillance de ces différentes entités au cas où elles auraient permis à un investisseur d’investir dans un de ces fonds alors qu’il présente un risque en matière de sécurité financière.

Une fois l’investisseur présent dans un fond, l’asset manager doit faire face à un autre problème : comment faire sortir cet investisseur du fonds s’il n’était pas conforme à sa politique de sécurité financière ?

Si un contrat existe entre cet investisseur et l’asset manager, ce contrat prévoit en principe une clause de résiliation pouvant être activée, mais sous certaines conditions. La défaillance dans le processus KYC lors de l’entrée en relation, ou bien la découverte d’un élément négatif lors de la revue du dossier, peuvent ne pas justifier l’activation de cette clause. L’investisseur peut en effet arguer du fait que le dysfonctionnement du processus KYC ne relève pas de sa responsabilité ou bien encore que la découverte d’un élément négatif lors d’une revue n’est pas un élément tangible (par exemple : une instruction toujours en cours, des propos de presse…). Pire encore, l’asset manager peut alors voir une action intenter contre lui pour résiliation abusive du contrat.

Il est donc nécessaire de déterminer quels sont les risques encourus par l’asset manager dans ses relations avec ses prestataires de services et autres intervenants, afin d’assurer la mise en place d’une structure de protection raisonnable et efficace.

l’approche par les risques et les moyens d’y répondre

Les risques encourus par un asset manager étant connus, quels sont les moyens dont disposent les asset managers afin de les circonscrire ?

sécurité financière des assets managers : la méthode d’approche par les risques

Le risque de non-conformité est lié au non-respect par l’asset manager de ses obligations professionnelles, telles que mentionnées au II de l’article L621-15 du Code monétaire et financier.

Les obligations professionnelles des asset managers comprennent toutes les obligations définies par les lois, par les décrets, règlements européens, règlement général de l’AMF et règles professionnelles approuvées par l’AMF.

En cas de mauvaise gestion d’un tel risque, l’établissement peut faire face à une mise en cause de sa responsabilité civile, pénale, à une sanction administrative ou voir sa réputation ternie.  Quand bien même il s’avère difficile de quantifier l’impact négatif d’une sanction sur le public, il est évident que les conséquences existent et sont amenées à perdurer : perte de clientèle, frilosité des contreparties, dénonciation de contrats…

Comment apprécier le risque de non-conformité ?

Il s’agit de mettre en place un dispositif à trois temps :

  • Identifier les risques auxquels l’asset manager est exposé. Pour ce faire, il s’agira de prendre en compte la typologie de clients et leur situation géographique ainsi que les services et produits proposés. Il faudra également prendre en compte les relations de l’asset manager en cas d’externalisation ou de délégation, partie qui représentera une part non négligeable dans la détermination du niveau de risque
  • Analyser les risques et établir un dispositif de prévention et de gestion raisonnable
  • Contrôler l’efficacité du dispositif mis en place.

Bien entendu, l’élaboration de ce dispositif ne saurait relever des professionnels de la conformité uniquement. Il s’agit d’un travail commun entre différentes équipes : les structureurs pour leur connaissance des produits, les commerciaux pour leur connaissance des clients, les juristes pour leur connaissance des contrats …

Afin d’avoir une vision complète, il est nécessaire de prendre en considération les autres risques auxquels s’expose un asset manager, tout comme toute institution financière :

  • Le risque financier, qui comprend le risque de contrepartie, le risque de liquidité et le risque de marché,
  • Le risque opérationnel, qui comprend le risque juridique et de documentation, le risque de défaillance des personnes et le risque de défaillance des systèmes.

asset management et approche par les risques : les outils nécessaires

Une fois identifiés les risques auxquels l’asset manager est soumis et les limites acceptables établies, il est nécessaire d’établir une cartographie des risques.

Cette cartographie liste :

  • l’ensemble des risques : par exemple, une grande exposition à l’externalisation et à la délégation de prestation de services en matière d’identification clients.
  • les solutions apportées : par exemple, la rédaction d’une procédure relative à la sécurité financière avec une partie dédiée aux activités considérées comme les plus risquées, la mise en place de contrôles de supervision permanente dédiés.
  • et le risque résiduel : c’est-à-dire le risque non couvert mais accepté par l’asset manager.

La cartographie doit être revue à fréquence régulière et à chaque survenance d’un nouvel élément (une nouvelle activité comme la gestion d’un fonds de dette, par exemple, qui inclura une analyse des contreparties non plus au passif mais à l’actif).

Une cartographie des risques permet d’avoir la vue suivante :

Sources : Infoprotection.fr
L’établissement d’une cartographie des risques et la rédaction de procédures, instructions et modes opératoires ne sauraient suffire.

Il est indispensable de mettre en place un dispositif de contrôles afin de veiller au bon respect par le personnel des règles établies.

Ces contrôles s’inscrivent dans le plan de supervision et de contrôle permanent et se divisent en trois parties :

  • contrôle de niveau 1 (ou LoD1, Line Of Defense 1) effectué par les personnes chargées de l’activité opérationnelle,
  • contrôle de niveau 2 (ou LoD2) réalisé par le contrôle permanent : pour la sécurité financière, il s’agira de l’équipe de conformité
  • contrôle de niveau 3 (ou LoD3) exécuté par les équipes d’audit et d’inspection.

Ces contrôles sont un bon moyen de savoir si un prestataire a bien effectué l’activité demandée et si l’asset manager a bien effectué son obligation de surveillance (une revue fréquente de la politique de sécurité financière du prestataire par exemple, ou l’envoi et l’analyse d’indicateurs de performance).

Il est également nécessaire d’effectuer des contrôles in situ, aussi appelés « due diligence on site », chez le prestataire. Ceci permet de connaître les locaux, de rencontrer le personnel et surtout d’avoir accès à des documents tels les dossiers gérés par les prestataires au nom de l’asset manager et de pouvoir discuter d’éventuelles discrépances entre la qualité attendue et celle fournie.

Les contrôles in situ sont aussi un excellent moyen d’apprécier la performance des outils employés dans le cadre de la sécurité financière.

Les asset managers faisant appel à des prestataires sont généralement de larges institutions. Raisonnablement, il leur est donc difficile de vérifier le travail fourni sur chaque dossier de sécurité financière.

Outre les procédures, les contrôles de supervision permanente et les contrôles in situ, il est important de demander la mise en place et l’envoi régulier d’indicateurs de performance (KPI Key Performance Indicator).

Ces indicateurs peuvent comprendre :

  • la typologie de clients identifiés, leur localisation,
  • l’état de la relation avec les clients : par exemple, certains ont-ils été réticents à la fourniture des documents ?
  • le nombre de déclaration de soupçons remontés à l’organe de réception et d’analyse des déclarations,
  • le nombre de comptes inactifs ou bien le nombre de comptes inactifs et ayant connu une activité soudaine …

Même si les indicateurs de performance ou bien les visites sur site n’offrent pas à eux seuls une vue exacte et exhaustive du travail fourni par les prestataires en matière de sécurité financière, ils constituent néanmoins des éléments déterminants de la mesure du risque encouru par un asset manager.

 

 

 

En soi, la détermination du risque n’est pas chose difficile, les moyens mis à la disposition des asset managers semblant suffisants. Toutefois, l’appréciation concrète et pratique de ce risque s’avère plus complexe, de par la multiplicité des intervenants et les tâches qui leur incombent. La distance, le manque de visibilité et plus prosaïquement, les activités quotidiennes soutenues des équipes de conformité sont autant d’éléments rendant la tâche complexe. Pour ces raisons, l’approche par les risques et la mise en place des outils adéquats et efficaces doivent faire l’objet d’une attention accrue dans l’asset management.

Auteurs

Natacha Chéron  et Miriasi Thouch

Natacha Chéron Financial Crime Supervisor / Expert en Sécurité Financière

Miriasi Thouch – Expert Conformité Senior de L’ESBanque – Ancien membre de la Commission des sanctions de l’AMF 

 

Sources