Rédaction WEB : JUST DEEP CONTENT
Comment détecter, collecter, remonter les incidents de Conformité mais aussi les intégrer dans une démarche d’amélioration continue ?
Parler de dispositif de gestion des incidents de conformité nécessite au préalable de rappeler ce que signifie le risque de non-conformité.
Au titre de l’article 10 de l’arrêté du 3 novembre 2014 sur le contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de Contrôle prudentiel et de Résolution (ACPR), le risque de non-conformité est défini comme :
« Le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d’atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, nationales ou européenne directement applicables, ou qu’il s’agisse de normes professionnelles et déontologique, ou d’instructions des dirigeants effectifs prises notamment en application des orientations de l’organe de surveillance. »
De manière à pouvoir détecter, collecter et rapporter les éventuels incidents de conformité à la hiérarchie des métiers, à la Direction de la conformité de l’établissement, jusqu’au niveau de la Direction Générale et des organes de surveillance, il est essentiel que tout établissement bancaire ou financier dispose d’un dispositif de gestion robuste.
Tout établissement doit par conséquent pouvoir mettre à profit ses faiblesses et éventuels échecs du passé, pour renforcer et faire progresser son dispositif de contrôle interne relatif aux risques de non-conformité, afin d’éviter la survenance de nouveaux incidents.
Tout incident de conformité doit systématiquement faire l’objet d’un plan d’actions correctrices voire d’un plan de remédiation présentant un cadre plus large. Ces actions doivent par ailleurs toujours revêtir un caractère pérenne pour éviter que des incidents de même nature se reproduisent dans le futur.
Comment optimiser la gestion des incidents de Conformité ? Comment mettre en place un système de détection efficace mais aussi un processus d’amélioration continue ? Explications.
SOMMAIRE
- Les incidents de conformité : composants essentiels du pilotage et de la maîtrise des risques de non-conformité
- Gouvernance robuste et dispositif ad hoc de collecte et de reporting : 2 prérequis à une bonne gestion des incidents de conformité
- Intégrer la gestion des incidents de Conformité dans une démarche d’amélioration continue : une condition fondamentale
- Incidents de Conformité externes : une analyse indispensable
- Appétence au risque ou « Risk Appetite » et risques de non-conformité ?
les incidents de conformité : composants essentiels du pilotage et de la maîtrise des risques de non-conformité
Les incidents de Conformité doivent tout d’abord être détectés, ce qui relève naturellement du rôle du contrôle permanent.
Ils doivent aussi être intégrés dans une analyse de risques plus large et susciter des modifications des mécanismes de pilotage de la Conformité.
Incidents de Conformité : contrôle, sanction et risques
Le dispositif de gestion des incidents de Conformité doit principalement s’appuyer sur :
- des ressources humaines qualifiées,
- un cadre normatif et procédural,
- ainsi que des instances de gouvernance ad hoc pour y être présentés et commentés.
Le contrôle permanent, composé de ses deux lignes de défense, doit permettre de détecter en premier les incidents de conformité et engager les actions de remédiation nécessaires.
Le contrôle périodique (audit interne et/ou Inspection générale selon les établissements) apporte aussi sa contribution dans la détection des incidents non décelés par les niveaux 1 et 2 du contrôle interne. Les faiblesses du contrôle permanent sont alors mises en exergue et rapportées à la Direction Générale de l’établissement sous formes de préconisations et de recommandations.
Lorsqu’un incident est parfois détecté par un superviseur ou régulateur, cette situation témoigne en règle générale de la déficience du système de contrôle interne de l’établissement. Des corrections sont alors attendues et formalisées dans un rapport ou une lettre de suite.
Dans certains cas, les déficiences relevées par un superviseur ou régulateur peuvent faire l’objet de lourdes sanctions. Au-delà des pertes financières occasionnées, elles peuvent aussi, si elles sont rendues publiques, fortement altérer l’image de l’entreprise (risque de réputation) auprès de sa clientèle, de ses investisseurs et de ses pairs sur la place de marché.
Les établissements sanctionnés doivent également intégrer des coûts parfois très importants dans les actions de remédiation à mener, tels que la mise en place de nouveaux systèmes d’information, le lancement d’un programme ou projets de remédiation, avec le cas échéant le recours à des ressources externes (conseil, prestations de services).
Un bon pilotage des risques nécessite la mise en perspective systématique des incidents de conformité relevés, en se basant sur :
- les cartographies de risques (intrinsèques et résiduels),
- les résultats de contrôles de premier niveau,
- les résultats des contrôles de second niveau,
- les constats de missions du contrôle périodique,
- les constats des superviseurs financiers et régulateurs lors de leurs missions d’inspection ou d’enquêtes.
Après analyse de leur origine et de leurs causes, la survenance d’incidents de conformité a généralement comme conséquences :
- la modification de l’évaluation des cartographies de risques résiduels et des plans d’actions qui en découlent,
- le renforcement des contrôles et/ou la création de nouveaux,
- la mise en place d’un cadre normatif différent ou d’une mise à jour de l’existant,
- l’actualisation des procédures opérationnelles des métiers.
Dans la quasi-totalité des cas, des actions de sensibilisation, de formation des collaborateurs des métiers et du management sont nécessaires.
Ces actions relèvent naturellement du Responsable de la conformité dédié aux métiers concernés.
gouvernance robuste et dispositif ad hoc de collecte et de reporting : 2 prérequis à une bonne gestion des incidents de conformité
Le cadre normatif impose la mise à jour régulière des politiques et procédures régissant la gestion des incidents de conformité, ceci en fonction de l’organisation et de la taille de chaque établissement.
La remontée des incidents de conformité doit s’inscrire dans un processus de reporting aux instances dirigeantes de l’établissement sur plusieurs niveaux hiérarchiques :
- le management de la ligne métier concernée,
- le management d’un pôle d’activités couvrant plusieurs métiers,
- la Direction de la conformité de l’établissement
- et la Direction Générale.
Selon la taille de l’établissement financier et la nature de ses activités, les incidents de conformité peuvent être rapportés dans un comité général des risques et de la conformité, ou bien dans un comité spécifique dédié uniquement à certains types d’incidents.
La présentation des incidents de conformité dans ces instances offre l’avantage de partager l’information, d’échanger sur les actions correctrices engagées et de sensibiliser les différents acteurs et les membres de l’exécutif.
La gouvernance doit intégrer :
- une organisation ad hoc pour assurer une gestion centralisée des incidents
- ainsi que des outils applicatifs pour faciliter le processus de collecte et de reporting dans les différents comités.
Les incidents de conformité les plus significatifs sont communiqués à l’organe de surveillance (Comité des Risques).
Les incidents considérés comme majeurs doivent quant à eux être signalés aux superviseurs tels que : l’Autorité des Marchés Financier (AMF), la Banque de France (BdF), la Commission Nationale Informatique et Libertés (CNIL) … et l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).
Pour chaque incident de conformité, il est nécessaire d’analyser s’il y a eu ou non un risque de conduite avéré, sujet sur lequel les autorités de supervision financière prêtent une grande attention.
Un collaborateur indélicat peut par exemple s’affranchir de respecter les règles et les normes de manière délibérée, alors même que l’établissement dispose pourtant d’un important cadre normatif et d’un dispositif de contrôle robuste.
Dans le cadre du pilotage des risques, les origines, les causes et les modalités de détection des incidents doivent être détaillées. A cet égard, il est nécessaire de rappeler que nombre d’incidents opérationnels ou informatiques (panne et interruption de services, bugs…) peuvent générer un incident de conformité.
Par exemple, la déficience d’un système d’information ou une erreur d’exécution d’un back-office peuvent parfois empêcher un établissement de respecter ses obligations réglementaires, comme le reporting de transactions à une autorité de marché.
Les responsables de la conformité dédiés aux métiers doivent bien appréhender les sources permettant de détecter les incidents de conformité, dans des délais courts et acceptables. Ils peuvent s’appuyer pour cela sur :
- les descriptifs des anomalies dans les contrôles de premier niveau,
- les constats dans le cadre des activités de la deuxième ligne de défense et de celles spécifiques au contrôle de second niveau,
- les rapports émis par le contrôle périodique de l’établissement,
- les analyses et synthèses des métiers,
- les alertes issues de outils de filtrage,
- l’analyse des incidents opérationnels et informatiques,
- les informations transmises dans le cadre du dispositif d’alerte des collaborateurs « Whistleblowing »,
- les sanctions disciplinaires à l’encontre des salariés (manquements aux obligations réglementaires et/ou affectant le risque de réputation et/ou conduite inappropriée),
- les comptes rendus de comités (Comité de direction (CODIR), Comité exécutif (COMEX), Comité des Risques, Comité de Conformité, …),
- les constats réalisés dans les rapprochements comptables,
- le registre des réclamations de la clientèle,
- les dépôts de plainte et assignations, actions juridiques en cours, contentieux en cours,
- les rapports d’audit externes,
- les rapports et/ou lettres des superviseurs financiers et régulateurs,
- les informations publiées et échangées dans les médias sociaux …
Enfin, la gestion des incidents de conformité, relevant naturellement de la responsabilité de la 2ème ligne de défense du contrôle interne, devrait régulièrement faire l’objet d’un contrôle de second niveau.
L’article 14 de l’arrêté du 3 novembre 2014 sur le contrôle interne précise à cet égard que les agents exerçant des contrôles de deuxième niveau sont indépendants des unités qu’ils contrôlent.
intégrer la gestion des incidents de Conformité dans une démarche d’amélioration continue : une condition fondamentale
Une démarche d’amélioration continue suppose la mise en place d’éléments de mesure :
- les indicateurs de pilotage des risques ou « Key Risk Indicators » (KRI)
- les indicateurs portant sur la performance, « Key Performance Indicators » (KPI)
- mais aussi des reporting ad hoc, tel que par exemple un tableau de bord de gestion à fréquence périodique.
En fonction de la volumétrie enregistrée des incidents de conformité et de la taille de l’établissement, une automatisation du calcul des différents indicateurs de pilotage (KRI et KPI) permet d’éviter une charge de travail manuelle conséquente pour les équipes impliquées dans leur gestion.
Des sessions régulières de formation et de sensibilisation des collaborateurs contribuent à l’amélioration des processus.
Un support ad hoc, tel un « Training Kit », rappelant et résumant les principales règles normatives en matière de détection, de collecte et de remontée permet d’apporter rapidement des réponses aux opérationnels à des questions du type :
- « Ai-je ici vraiment affaire à un incident de conformité ? »,
- « Quelles sont les conséquences avérées ou potentielles de cet incident pour l’établissement ? »
- « Comment dois-je évaluer son niveau de significativité ? »,
- « A quel niveau managérial ou à quelle instance de gouvernance dois-je remonter cet incident ? ».
Enfin et au-delà de l’amélioration continue du processus de gestion, il est important pour de grandes organisations de partager les informations de manière automatisée. Les base de données de type « datalake » permettent la mise à disposition systématique des caractéristiques des incidents et de tout ou partie de leur descriptif et plans d’action.
Ces systèmes d’informations sont fort utiles aux différents acteurs en charge d’élaborer des synthèses dans le cadre du pilotage des risques (analyse du risk assessment, de l’exploitation des résultats de contrôles …).
incidents de conformité externes : une analyse indispensable
Un solide dispositif de pilotage des risques de non-conformité doit aussi pouvoir s’appuyer sur l’analyse des incidents de conformité dits « externes ». Ces incidents n’ont pas impacté directement l’établissement mais sont survenus dans le secteur bancaire et financier.
L’intégration des incidents de conformité externes peut nous amener à nous poser quelques questions du type :
- Si cela est arrivé à certains de nos confrères, pourrions-nous rencontrer les mêmes types d’incidents ?
- Est-ce que notre dispositif de contrôle est suffisamment robuste pour éviter que cela se produise chez nous ?
- Est-ce que notre processus d’évaluation et de pilotage des risques prend aussi en considération les incidents de conformité survenus dans l’industrie ?
Pour en savoir plus :
« Principles for the Sound Management of Operational risk », Comité de Bâle
Pour assurer cette veille des incidents de conformité externes, il est nécessaire de :
- mettre en place un dispositif ad hoc de veille des sanctions publiques des superviseurs et régulateurs
- relever également les sanctions et pénalités prononcées par des autorités de marché (superviseurs, bourses, organismes de compensation …)
- utiliser des articles parus dans les médias
- exploiter des bases de données d’incidents externes ayant impacté des banques, des compagnies d’assurances, des courtiers, des gestionnaires de fonds …
- mettre en place un reporting périodique de ces incidents à destination de la direction des métiers et de la conformité.
La mise en place de cette veille contribue également à la sensibilisation sur les différentes thématiques de conformité (sécurité financière, protection des clients et des investisseurs, intégrité des marchés, protection des données, lutte contre la corruption … ).
Certains établissements ont subi de lourdes sanctions et pénalités financières pour des incidents de conformité majeurs, ce qui a fortement porté atteinte à leur image, dans leur pays et souvent au niveau international. Parmi les thématiques concernées, nous pouvons citer :
- le non-respect des sanctions internationales et embargos (Iran, Cuba…) : 3 grands établissements bancaires français se sont vu infliger ces dernières années des sanctions financières records par les autorités américaines (8,9 milliards de dollars, 1,3 milliards de dollars, 900 millions de dollars).
- Les insuffisances dans le dispositif de prévention et de contrôle en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB/FT).
18 des 20 principales banques européennes ont déjà été condamnées sur ce sujet au cours de la dernière décennie. Une grande banque scandinave (Danske Bank) a ainsi été impliquée dans un scandale international, dans le cadre de ses activités bancaires en Estonie et d’importants flux de capitaux en provenance de Russie. - Les manquements aux obligations professionnelles : l’Autorité des Marchés Financiers (AMF) a infligé une amende record de 35 millions d’euros à une société française de gestion d’actifs. Il ne faut pas perdre de vue que ce superviseur peut, dans l’absolu, sanctionner financièrement un établissement jusqu’à 100 millions d’euros.
Source : Alain Gigante pour l’ESBanque
appétence au risque ou « risk appetite » et risques de non-conformité ?
Les principes établis par le Conseil de la stabilité financière (Financial Stability Board) et publié en novembre 2013 imposent aux établissements financiers la mise en place d’un dispositif de gouvernance (« Risk Appetite Framework ») et sa communication (« Principles for an Effective Risk Appetite framework ») .
Les établissements bancaires doivent formaliser leur appétence au risque :
- pour l’ensemble de leurs risques y compris ceux liés à liés à la non-conformité,
- pour leur dispositif de gouvernance (« Risk Appetite Framework ») faisant partie de leur contrôle interne
- et pour le pilotage des différents risques avec notamment la fixation de seuils d’alerte (« Risk Appetite Statement »), actualisés chaque année et approuvés par l’organe de surveillance.
Pour ce qui concerne les risques de non-conformité, la règle est logiquement l’application d’une « tolérance zéro ». Chaque établissement se doit de respecter impérativement les lois et obligations réglementaires pour l’exercice de ses activités régulées.
Des « arbitrages réglementaires » ne sont en aucune façon envisageables, entre, par exemple, le coût d’une sanction potentielle d’un superviseur ou régulateur et le bénéfice attendu d’une opération commerciale.
Les incidents de conformité doivent naturellement faire partie de l’un des indicateurs de suivi en matière d’appétence aux risques.
Au-delà des incidents remontés à la hiérarchie de l’établissement et à l’organe de surveillance (Comité des risques), les opérationnels des métiers et la conformité ne doivent pas négliger certains incidents qualifiés de mineurs, qui pourraient en soi être qualifiés de « signaux faibles » ou de dysfonctionnements dans le dispositif de contrôle interne.
En synthèse, pour apprécier et améliorer le dispositif de gestion des incidents de Conformité, posez-vous ces quelques questions simples :
- Au sein de votre établissement, considérez-vous réellement que tout est « sous contrôle » concernant la gestion des incidents de Conformité ?
- Sont-ils du reste tous remontés comme il se doit ?
- Quels axes de progrès avez-vous identifié en la matière ?
Auteur
Alain Gigante
Cadre en conformité bancaire,
Diplômé de la Certification Expertise Opérationnelle de Lutte contre le Blanchiment des Capitaux et le Financement du Terrorisme (LCB/FT) de L’ESBanque
Sources
- Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) : en particulier les articles 10 : 10 – p) ; 10 – al) ; 10 – an) ; Article 11 : 11 – a) ; Article 12 : 12 – b) ; Article 14 ; Article 26 : 26 – a) ; Article 28 ; Article 31 ; Article 36 ; Article 38 ; Article 39 ; Article 98 ; Article 241 ; Article 249 ; Article 249 – 1
Basel Committe on Banking Supervision :
- Principles for the Sound Management of Operational Risk – Juin 2011
- Revisions to the Principles for the Sound Management of Operational Risk – Mars 2021
Guidelines Corporate governance principles for banks – Octobre 2014
- Risk Appetite framework : good progress but still room for improvement – Avril 2018