Rédaction WEB : JUST DEEP CONTENT

La crise sanitaire a permis de réfléchir, analyser ce qui a fonctionné et surtout ce qui pourrait être amélioré dans un contexte organisationnel complexe ou les circuits décisionnels se sont trouvés accélérés et parfois raccourcis.

Il aura fallu évoluer dans un environnement anxiogène et distant, tout en continuant de donner une vision exhaustive du risque de non-conformité et des actions correctrices aux dirigeants et aux actionnaires pour une restitution fidèle et sans délai aux régulateurs. Sans oublier la cible : la satisfaction de la clientèle dans le respect des réglementations. En bref, une période quelque peu chahutée…

Un positionnement indépendant, à proximité des métiers et intégré aux cellules de crise quotidienne aura permis de rendre des avis objectifs et d’accéder rapidement aux instances décisionnaires de l’établissement, lorsque les décisions urgentes devaient être prise pour continuer d’assurer un service qui protège nos clients et nos collaborateurs.

Dans ce contexte, les responsables de la conformité ont dû continuer de gérer les projets déjà lancés, proposer des procédures dérogatoires mais aussi être particulièrement attentifs à d’éventuelles dérives et apparition de nouveaux risques de non-conformité. 

Tous les processus dérogatoires n’étant pas nécessairement transposable post-crise sanitaire, il aura aussi fallu les analyser pour décider de les abroger ou de les pérenniser.

C’est ainsi que la crise sanitaire a pu susciter une véritable évolution des pratiques des professionnels de la conformité, les rendant de facto plus proches des métiers et en coordination plus étroite avec eux. Ce mouvement doit être poursuivi car il est la clé de réussite et d’efficacité des fonctions conformité.

SOMMAIRE

• Conformité et métiers opérationnels : état des lieux
• Une vision 360° Conformité : une méthode indispensable
• Vers une Conformité au cœur des métiers

conformité et métiers opérationnels : état des lieux

Où en sommes-nous dans la communication et la coordination entre les métiers de la conformité et les fonctions opérationnelles ?
La crise sanitaire a été un révélateur de nombreuses faiblesses, même si des avancées ont eu lieu.

les faiblesses opérationnelles mises en exergue par la crise sanitaire

La crise sanitaire a pu mettre en évidence certains points critiques des processus de conformité :

• le manque de gouvernance ainsi que la multiplication d’acteurs peut engendrer l’apparition de « silos » de compétences au sein des directions fonctionnelles : Risques et contrôle permanent, ainsi que conformité (LCB-FT (Lutte contre le blanchiment et le financement du terrorisme), déontologie, protection de la clientèle, DPO (Délégué à la Protection des Données)),

• l’insuffisance de socle commun, de chemin critique

• des spécialisations de plus en plus spécifiques et techniques.

Seuls des liens forts entre les départements conformité et opérationnels permettront de mettre en œuvre un programme robuste et cohérent qui répondent à des processus métier et qualité de bout en bout. Cette vision reste dans de nombreux établissement à fluidifier et à consolider.

Ces aspects concernent particulièrement toutes les thématiques transverses (connaissance client, transparence fiscale, conseil et devoir d’information, démarchage bancaire, protection des données personnelles, tarification, traitements des réclamations …).

Pour réussir collectivement, l’entreprise et les services de conformité ne doivent pas perdre de vue leur cible commune de développement, de pérennisation des affaires et de qualité des services proposés à leurs clients externes, mais aussi internes, car ce sont les premiers concernés par les procédures et les outils quel que soit le canal de distribution.

Une autre pression croissante sur les processus est de s’adapter aux différents canaux de distribution, de produit ou service, de spécificité de clientèle, tout en détectant et limitant les possibilités de fraude.

Le chemin critique de la prévention et lutte contre tous les risques doit être rendu le plus fluide possible, tout en continuant à se conformer aux exigences réglementaires.

Les contrôles pertinents de niveaux 1 et de niveau 2 doivent être coordonnés et mis à jour à chaque évolution. Ceci suppose des actions préventives et correctives permanentes de la conformité, gage de pérennité et d’éthique d’une organisation.

La distribution de produits dite « multi-canal », en fort développement, suscite également de nouvelles contraintes d’adaptation à différentes réglementations. Ceci suppose de revoir et adapter constamment les processus de conformité mais aussi les technologies.

De nouveaux outils de digitalisation doivent ainsi être intégrés à des refontes des systèmes d’information déjà nécessaires et planifiés. Ceci n’est pas sans complexifier les feuilles de route et les budgets.

Pour atteindre la cible de satisfaction légitime de la clientèle et des régulateurs, il est indispensable de réfléchir à une harmonisation des concepts « Conformité » et « Contrôle de la Qualité des services rendus ».

mais des avancées vers une conformité opérationnelle

L’environnement des professions de la conformité progresse favorablement vers plus d’opérationnalité sur plusieurs points :

• les régulateurs tentent d’harmoniser les nombreuses règlementations et s’inscrivent dans l’accompagnement. Les textes se précisent, les établissements se réunissent et travaillent de concert avec les organismes de place pour comprendre les attendus. Les textes ne cessaient en effet de se multiplier et les réglementations parfois de se chevaucher….

• la mise à disposition par différents acteurs (AFA (Agence Française Anti-corruption), ACPR (Autorité de Contrôle Prudentiel et de Résolution), AMF (Autorité des Marchés Financiers) …) de guides de bonnes pratiques et autres partages pédagogiques. Ces supports permettent de mieux comprendre les attendus, éclaircir certaines zones d’ombre susceptibles de mauvaises interprétations des premières directives ou recommandations, et ceci dans un réel effort pédagogique.

• des réflexions communes risques, RIL (Référent Informatique et Libertés) et conformité autour de l’harmonisation des règles de l’archivage intelligent. Il est en effet indispensable d’intégrer de nouvelles technologies qui concilieront le concept d’archivage « durable », papier ou digital et les obligations liées à la protection des données personnelles.
  Enregistrer, archiver 10 ans les pièces comptables, 5 ans voir 7 ans pour le devoir de conseil, 5 ans après la fin de la relation dans le cadre de la LCB-FT … tout en respectant le droit à l’oubli…Ce sujet n’a pas fini de faire couler de l’encre…

• la distribution mutli-canal engendre une réelle prise de conscience de développement d’offres dédiées aux clientèles spécifiques visant à mieux conseiller et protéger les segments de clientèle par canal de distribution.

• et d’autres thématiques qui mériteraient d’être abordées entre homologues

Du côté des établissements réglementés et pour répondre aux différentes exigences, on peut également constater une montée en compétence mais aussi une multiplication des spécialistes de la maîtrise des risques.

une vision 360° Conformité : une méthode indispensable

Une vision 360° Conformité formalise un chemin critique du risque de non-conformité de l’établissement, lui permettant de rester en cohérence avec les exigences croissantes liées au contexte sanitaire, démographique, géographique, économique, réglementaire, mais aussi au changement d’habitudes des consommateurs.

Cette démarche consiste à :

• évaluer en continu les effets d’un programme de conformité

• mesurer les écarts entre les objectifs attendus et les résultats obtenus

• identifier les dysfonctionnement

• mettre à jour les forces et les faiblesses d’une entreprise dans sa communication

• élaborer une stratégie et ajuster sa communication aux attentes de ses publics

Par quels moyens ?

• en se rendant en permanence à l’écoute des métiers grâce à des réunions quotidiennes de gestion de crise,

• en gérant des listes de priorité pour créer une relation fluide et continue dans le traitement des projets réglementaires en cours,

• en personnalisant la relation,

• en automatisant les demandes d’avis les plus fréquentes, grâce notamment à des FAQ (Foire Aux Questions),

• en valorisant les tâches à forte valeur ajoutée,

• en développant des analyses d’impact de la veille réglementaire et en suivant les projets de l’établissement grâce à des indicateurs et des scores objectifs,

• en intégrant les Comités décisionnels des Directions opérationnelles.

Il s’agit ainsi de placer la conformité autant que possible au sein des métiers opérationnels.

vers une conformité au cœur des métiers

Lorsqu’elle est positionnée au sein même des métiers, la conformité peut devenir un acteur clé de la satisfaction de la clientèle. Une plus grande participation de représentants de la conformité aux analyses d’impact et des risques, aux expressions de besoins ainsi qu’aux phases de recettes permet :

• d’éviter le déploiement d’outils inadaptés entraînant directement ou indirectement une « non qualité »,

• la mise en place de formations ou processus trop complexes qui engendreraient au final des risques de non-conformité par mauvaise interprétation ou inadéquation des normes, pratiques, procédures, ou réglementations.

Ces méthodes de travail permettent par ailleurs de développer la confiance de tous, gage de sécurité psychologique, essentielle à une conformité efficace.

L’unité de tous les acteurs du contrôle permanent, des risques et de la conformité participe à la progression individuelle et collective et au développement d’une véritable culture de la conformité. Pour cela, il est nécessaire de :

• procéder à une revue régulière et à la mise en œuvre du dispositif de conformité,

• participer aux analyses de risques et à l’identification des impacts prévisibles ou potentiels,

• rédiger et mettre à jour le corpus documentaire ainsi que les guides de contrôles, notamment en lien avec les politiques et les standards du groupe,

• étayer les avis de conformité sur la base des documents de référence déclinées par métier,

• analyser et reporter les incidents de communication identifiés, proposer et suivre la mise en œuvre du plan d’actions correctives défini,

• contribuer au développement de nouvelles communications, de nouveaux marchés, en appréciant leur faisabilité opérationnelle et leur conformité, en collaboration avec les équipes business, opérationnelles, risques et juridiques,

• assurer la sensibilisation des équipes de négociation sur des sujets tels que les conflits d’intérêt, abus de marché, barrières à l’information, lutte contre la corruption …

Ceci suppose une organisation spécifique consistant à :

• protéger l’entreprise contre le risque de sanction et de réputation,

• donner une vision transversale et stratégique de l’entreprise, une connaissance approfondie de la réglementation et du risque inhérent au processus de l’établissement, afin de détecter les failles organisationnelles,

• sensibiliser les parties prenantes dont les Maîtrises d’Ouvrage et Maîtrises d’œuvre au risque de non-conformité,

• contrôler le respect des procédures en adéquation avec les contraintes de l’entité,

• documenter et rapporter les alertes critiques à la direction générale,

• collaborer avec l’ensemble des départements

• instaurer une cohésion d’ensemble autour d’un système de valeurs communes en développant des réflexes conformité et une culture conformité.

• communiquer aussi bien en transversal qu’en vertical.

• rendre le département de la conformité visible dans l’entreprise via des journées ou séminaires conformité.

• trouver des relais de communication et d’informations, des correspondants métiers : il n’est pas possible d’être partout mais nécessaire d’être là quand il le faut…

• organiser de brèves interventions en introduction des formations métier pour les sensibiliser le cas échéant au risque de réputation qui pourraient les impacter.

• alterner formation et communication : utilisez des techniques de communication (utiliser des mises en forme accessibles, attrayantes, utiliser des supports interactifs tels les quiz …).

• optimiser les reporting pour faciliter la compréhension et escalader les risques de manière objective.

• s’informer régulièrement via des revues, sites spécialisés ou blogs de conformité.

• rester en contact avec des homologues sur les grands thèmes et les nouvelles techniques, afin de partager les interrogations et les meilleures pratiques.

• transmettre des informations compréhensibles et accessibles aux lecteurs des reporting. Ajouter tables des matières, être attentif aux différentes compétences, langues, technologies ou appétences aux risques, ou bien encore insérer des glossaires dans les utilisations des termes techniques, acronymes ou noms d’applications informatique facilitent la clarté de lecture.

La communication ainsi que la précision, le détail et l’accessibilité des informations transmises sont des sujets clés permettant aux parties prenantes, professionnels de la conformité et métiers opérationnels, de collaborer efficacement à la performance de l’organisation.

L’évolution de l’activité et la crise sanitaire que nous venons de vivre le démontrent, il est essentiel de considérer que la « conformité sur étagère » n’existe pas.

Les professionnels de la conformité doivent travailler en étroite association avec les métiers, les juristes et les risques opérationnels, afin de développer une activité efficace et pérenne.

Sources : 

• 365 risques en entreprise : Une année en risk management – Jean-David Darsa – Edition Gereso – Octobre 2017
• Gouvernance et fonctions clés de risque, conformité et contrôle dans les établissements financiers: Banques, assurances, sociétés de gestion – Marie-Agnès Nicolet – RB Edition – Octobre 2015

Rédaction WEB : JUST DEEP CONTENT

L’Intelligence Artificielle et les Graph Analytics sont les outils de Conformité de demain. Leur technologie supplante les algorithmes déterministes sur de nombreux aspects. Explications.

Le marché des solutions logicielles d’entreprise de sécurité financière et de conformité connaît une véritable révolution depuis 2015. De nouvelles technologies sont apparues permettant de véritables gains en efficacité et réduction de coûts pour les institutions financières qui s’y intéressent.

Ces institutions sont de plus en plus nombreuses à sauter le pas. Bien entendu, toutes affichent des stades de maturité inégaux sur le sujet mais aujourd’hui, aucune institution financière de premier plan, où qu’elle se trouve sur la planète, ne saurait se permettre de se détourner de cette révolution.

Le coût de la conformité a constamment progressé au cours des 20 dernières années et les institutions financières cherchent par tous moyens à optimiser leurs dispositifs de conformité.

Le recours aux algorithmes déterministes a permis la mise en place de premiers outils technologiques permettant d’automatiser un grand nombre de contrôles de conformité. Leur principe de fonctionnement connaît néanmoins des limites, y compris en termes d’efficacité.

Dès lors, le recours aux nouvelles technologies ne peut être ignoré.

Malgré la prudence des établissements assujettis et des régulateurs, tant dans les choix technologiques réalisés que dans la manière dont ils sont mis en œuvre, l’Intelligence Artificielle et les Graph Analytics sont des outils dont l’usage va devenir croissant. Point sur cette nouvelle révolution technologique.

SOMMAIRE

• Les algorithmes déterministes : les outils jusqu’ici utilisés en Conformité bancaire
• Intelligence Artificielle, Graph Analytics : la révolution des nouvelles technologies pour la Conformité financière
• A quand une révolution technologique en Conformité financière ?

les algorithmes déterministes : les outils jusqu’ici utilisés en conformité bancaire

Le marché des solutions logicielles de conformité existe depuis plusieurs décennies.

La première Directive européenne sur le blanchiment d’argent de 1991 (LCB/FT, Lutte Contre le Blanchiment et le Financement du Terrorisme) a fait naître une vague importante de fournisseurs que l’on peut qualifier d’historiques, encore présents sur ce marché (Mantas en 1996, Norkom et Fortent en 1998 et Actimize en 1999).

Jusqu’à très récemment, l’essentiel de l’offre disponible dans le marché reposait sur des algorithmes simples, uniquement basés sur ce que l’on appelle des « règles déterministes ».

Un algorithme déterministe est d’abord un algorithme prévisible : il produira toujours le même résultat pour la même donnée en entrée.

Un exemple de règle déterministe serait : si le montant d’un virement est supérieur ou égal à 1000 euros, alors l’algorithme fera « ABC… ».

La prévisibilité, c’est une qualité ! Une règle de détection ainsi configurée est explicable et pouvoir en expliquer le fonctionnement à son régulateur est aujourd’hui un « must » et, souvent, une obligation réglementaire !

L’inconvénient majeur d’une règle déterministe est qu’elle ne détectera que ce pour quoi elle a été programmée.

Dans l’exemple ci-avant, un dépôt espèces même s’il a des caractéristiques identiques à ce virement, ne sera pas détecté. Le logiciel ne détectera cette transaction que s’il a été configuré pour le faire.

Pour trouver ce que l’on recherche, il faudra donc que cela « rentre dans les cases ». Du coup, la banque se reposant sur ce type de détection devra, pour satisfaire aux exigences du régulateur, configurer beaucoup de règles (plus d’une centaine parfois) afin de ne passer à côté d’aucune typologie de blanchiment d’argent ou de financement du terrorisme.

Un nombre élevé de règles et des seuils bas pour ne rien laisser passer : vous avez ici une recette universelle qui conduit à la génération de beaucoup d’alertes et de presque autant de faux positifs (ces alertes de mauvaise qualité, inintéressantes). Chaque alerte devant être analysée a priori par des analystes humains.

On voit ici clairement quelques-unes des principales raisons pour lesquelles le coût de la conformité a littéralement explosé au cours des deux dernières décennies.

intelligence artificielle, graph analytics : la révolution des nouvelles technologies pour la conformité financière

On parle de révolution, de nouvelles technologies, mais de quoi s’agit-il précisément ?

Au-delà des solutions « historiques » à base de règles évoquées plus haut, le vaste univers de l’apprentissage automatique (une des branches de l’IA, l’Intelligence Artificielle, appelé « Machine Learning » en anglais) ainsi que l’analyse à base de graphes (« Graph Analytics ») revêtent un intérêt certain pour les institutions financières qui les utilisent. Voyons comment.

l’intelligence artificielle ou l’usage du machine learning en conformité bancaire

L’intelligence Artificielle, déjà présente dans de nombreux domaines, y compris de la vie quotidienne, apporte une valeur ajoutée significative dans l’optimisation de l’activité de Conformité.

Qu’est-ce que l’apprentissage automatique ?

L’apprentissage automatique est aujourd’hui partout autour de nous.

Quand les autorités chinoises trouvent une personne recherchée quelque part sur leur territoire, c’est qu’une caméra aura produit et stocké des images qu’une intelligence artificielle aura ensuite analysées, en extrayant des visages de ces vidéos et en les comparant à une base de données de ces personnes recherchées.

Lorsque votre voiture corrige d’elle-même sa trajectoire parce que son conducteur s’approche trop près du bord de la route, c’est qu’une intelligence artificielle aura détecté cette situation anormale et pris la décision d’y remédier.

Quand votre téléphone mobile effectue des actions parce que vous le lui aurez demandé par la voix (par exemple : « appelle X », « Dis-moi où se trouve le coiffeur le plus proche » …), c’est, ici encore, qu’une intelligence artificielle aura « compris » ce que vous lui demandez et aura traduit cet ordre en une action qu’elle sait réaliser.

En matière de solutions de Sécurité Financière, l’apprentissage automatique est aujourd’hui préconisé et utilisé pour plusieurs cas d’usage distincts.

Intelligence Artificielle : quelle utilité en Conformité financière ?

En premier lieu, l’apprentissage automatique permet à un ordinateur d’« apprendre » ce qu’est une bonne alerte (un « vrai positif »).

Cet apprentissage est réalisé en soumettant à l’algorithme le plus possible d’exemples d’alertes considérées comme de vrais positifs par des analystes humains dans le passé. On parle alors d’apprentissage « supervisé » (« Supervised Machine Learning » en anglais) ou « semi-supervisé », selon les cas, en ce sens que l’on « supervise » l’algorithme en lui montrant la voie.

L’intérêt pour ce type d’approche est clair : si un ordinateur peut automatiquement classifier les alertes générées en tant que vrais et faux positifs, il le fera en une fraction de seconde, soit beaucoup plus rapidement que ne pourrait le faire un analyste humain qui, lui, aura besoin de plusieurs minutes par alerte pour arriver à un résultat comparable.

Autre intérêt, chaque alerte clôturée devant faire l’objet d’une explication sous forme de texte, l’algorithme pourra la générer en une fraction de seconde, ce qui représente ici encore un gain de temps très substantiel par rapport au travail manuel d’un analyste humain. Pour plus de sécurité, on peut même demander à l’algorithme de prendre une décision de clôture ou d’escalade des seules alertes pour lesquelles son degré de confiance (vrai ou faux positif quasi-certain) est très élevé.

S’agissant des alertes pour lesquelles un doute raisonnable subsiste, un analyste humain pourra tout à fait les revoir manuellement. Quoi qu’il en soit, la somme de ces minutes de traitement gagnées au niveau de chaque alerte peut représenter des centaines de milliers voire des millions d’euros chaque année pour une institution financière, selon la taille de ses opérations. Les économies induites par cette solution peuvent représenter jusqu’à 90% des coûts de traitement humain.

L’apprentissage automatique peut également être utilisé au stade de la détection, c’est-à-dire en amont de l’exemple mentionné au paragraphe précédent. En matière de lutte contre la fraude, par exemple, on peut tout à fait « apprendre » à un algorithme (supervisé, donc) à quoi ressemble une transaction frauduleuse afin d’en stopper les effets le plus rapidement possible.

Pour ce faire, à nouveau, l’institution financière doit soumettre à l’algorithme le plus possible de cas de fraude avérés de sorte que la qualité de la détection soit optimale. Il n’est pas toujours possible, même après un certain délai, d’acquérir la certitude qu’une transaction est frauduleuse ou pas. En matière bancaire, qu’il s’agisse de chèques, de carte ou de prêts à la consommation, les chiffres de la fraude mûrissent assez rapidement et après un mois ou deux, on obtient des données relativement « propres » pour pouvoir les soumettre à un algorithme d’apprentissage automatique. Il s’agirait en effet de ne pas biaiser son apprentissage avec par exemple des exemples de transactions non frauduleuses qui, en définitive, seraient déclarées comme frauduleuses quelques semaines plus tard.

L’intérêt de cette approche est assez évident : stopper la fraude en temps réel avant que l’argent ne quitte les caisses de la banque, ce qui permet de réaliser très rapidement des économies substantielles. D’autant plus qu’en France, l’impact financier de la fraude est généralement supporté par les établissements financiers, sauf à ce que ces derniers ne parviennent à démontrer que le client porteur des moyens de paiement en question a été négligeant (par exemple, report du code secret de carte bancaire sur un post-it dans le portefeuille).

En dernier lieu, il existe une branche de l’apprentissage automatique qui n’a pas besoin qu’on lui apprenne ce qui est problématique et ce qui ne l’est pas, à la différence des deux exemples précédents. On parle donc ici d’apprentissage « non supervisé » (« unsupervised machine learning » en anglais).

Pour simplifier l’explication, ces algorithmes permettent de trouver des anomalies dans les données qui lui sont soumises. On parle d’ailleurs « d’anomaly detection » en anglais, ou détection d’anomalies en français. Très souvent, il s’agit de séries de données dans lesquelles l’algorithme perçoit une décorrélation, c’est-à-dire un écart inhabituel entre plusieurs séries de données préalablement mieux ou différemment corrélées.

Par exemple, un client pouvait appartenir à un « groupe de pairs » ou « cluster » particulier quant à la fréquence ou au montant global de ses transactions jusqu’à récemment et, pour une période plus récente, l’algorithme détecte que le client en question en est sorti à la faveur de transactions plus fréquentes ou de montants globaux plus élevés que d’habitude.

On dit souvent que l’intérêt pour ce type de détection est de contrebalancer le biais des règles déterministes : ces dernières ne trouvent que ce qu’on leur a demandé de trouver, tandis que l’apprentissage automatique non-supervisé fait exactement le contraire, à savoir chercher les anomalies jusqu’alors inconnues de l’institution financière (les fameuses « unknown unknowns » en anglais).

On touche ici au « graal » des métiers de détection en conformité : trouver tout ce qui doit l’être et non juste ce qui peut l’être.

graph analytics : l’apport technologique de l’analyse à base de graphes

L’analyse à base de graphes (« Graph Analytics » en anglais), quant à elle, complète une installation traditionnelle à base de règles ou utilisant l’apprentissage automatique. On peut utiliser les graphes au stade de la détection et/ou à celui de l’adjudication des alertes.

Source : Oracle

L’exemple ci-dessus montre ce qu’est un graphe. Il s’agit d’une représentation visuelle d’entités reliées entre elles d’une façon ou d’une autre. Une entité peut être une personne, un compte, un moyen de paiement, une alerte, une adresse … Un lien peut-être une transaction (par ex. ‘X’ envoie de l’argent à ‘Y’), un lien de possession (par ex. ‘X’ est titulaire du compte ‘Y’, ou ‘X’ détient 20% du capital de la société ‘Y’).

On perçoit assez rapidement les apports des graphes par rapport à l’approche traditionnelle des règles déterministes :

• les règles produisent généralement des résultats sous la forme de matrices, qui peuvent être difficiles à analyser de manière holistique lorsque le nombre de résultats est élevé.

• ces résultats sont souvent unidimensionnels en ce sens qu’ils renvoient rarement les résultats obtenus de manière consolidée à travers les différentes entités de données d’une même problématique : transactions, personnes, comptes, produits financiers …
• enfin, les règles permettent très difficilement de voir au-delà du premier degré de séparation. Les graphes, eux, gomment l’ensemble de ces biais.

En tant qu’outil de détection, on peut facilement configurer une solution à base de graphes de sorte qu’elle alerte sur des schémas de trafic d’êtres humains ou d’espèces animales protégées, par exemple. Les graphes auraient tout aussi pu aider à découvrir plus tôt les escroqueries au carrousel de TVA dans les années 1990.

La possibilité offerte par les graphes de voir au-delà du premier degré de séparation est également d’une aide certaine. En effet, savoir qu’un client de la banque est lié à une autre personne (premier degré) qui elle-même est liée à une autre personne (deuxième degré) et que cette dernière est une personne apparaissant sur une liste de sanctions internationales, situation compliquée à détecter au moyen de règles, est un apport indéniable aux solutions classiques.

Au stade de l’adjudication des alertes, les graphes apportent une plus-value certaine. Ils permettent justement à un analyste :

• d’avoir une vue d’ensemble de la situation d’une personne ou d’un compte objet de l’alerte sur laquelle il travaille,

• de comprendre les liens entre ces entités ou avec des alertes ou des entités tierces,

• comprendre celles de ces entités liées qui pourraient être sanctionnées ou politiquement exposées (PPE) ou pour lesquelles des informations à connotation négative existent dans les médias, par exemple.

Lorsqu’elles sont suffisamment puissantes, les solutions à base de graphes permettent également de lier ces entités de façon floue (« fuzzy » en anglais).

Ainsi, une personne nommée « M. Louis DUPOND » pourra être considérée comme identique à une personnes nommée « M. L. DUPOND » s’ils ont une date de naissance proche voire identique, par exemple. Sans cette fonctionnalité cruciale, aucune correspondance ne pourrait être faite entre ces deux entités alors qu’il s’agit à l’évidence de la même personne. Ce qui restreindrait, par construction, la vision d’un analyste à une partie seulement de l’histoire du client sous investigation.

L’application de ces nouvelles technologies au domaine de la Sécurité Financière et de la Conformité est assez récente puisqu’elle date à peu près du milieu des années 2010, alors même que le concept d’apprentissage automatique existe depuis les années 1960 et que les prémices de la théorie des graphes datent de… 1736 (publication du problème mathématique nommé « Les 7 ponts de Königsberg » par Leonhard Euler) !

Seulement, le passage de la théorie à la pratique en ces domaines nécessite une certaine puissance informatique (surtout s’agissant des graphes).

L’explosion des capacités informatiques et du « cloud computing » au cours de ces dix dernières années, cumulée à l’inflation des coûts de conformité, ont grandement facilité l’avènement de la révolution en cours.

a quand une révolution technologique en conformité financière ?

A lire ce qui précède, l’on pourrait tout à fait se poser la question de l’avènement d’une véritable révolution, celle du remplacement pur et simple des règles déterministes par ces nouvelles technologies. Certains éditeurs spécialisés ne proposant que des solutions à base d’apprentissage automatique en font d’ailleurs la promotion. La mort des règles, selon eux, serait imminente !

Mais cette transformation tarde à arriver et n’arrivera probablement pas de sitôt.

Premièrement, comme expliqué ci-avant, les règles ont un avantage que l’apprentissage automatique n’a pas toujours : elles sont facilement compréhensibles et explicables. Un algorithme d’apprentissage automatique est d’autant plus explicable que sa logique de détection est simple et certains algorithmes sont très complexes. Adieu, donc, l’explicabilité dans certains cas.

Et c’est bien là que se situe le problème : une alerte générée doit être explicable aux yeux des régulateurs.

Si un établissement ne sait pas expliquer comment ses algorithmes fonctionnent, ni pourquoi telle ou telle alerte a été générée, comment saura-t-il convaincre ses régulateurs qu’il a confiance dans la couverture de ses risques ?

Que les règles soient compréhensibles est également un atout : les équipes d’analystes LCB–FT à travers le monde ont été formées à leur utilisation depuis des décennies.

Une approche transformative radicale vers ces nouvelles technologies nécessiterait à la fois un effort de formation important et une évolution du profil des équipes de Conformité et de gestion des Risques vers des profils beaucoup plus « matheux ». Ce qui suppose un budget plus important, alors que l’objectif poursuivi par les établissements financiers à l’heure actuelle est justement la réduction des coûts.

Intelligence Artificielle, Graph Analytics, les nouvelles technologies permettent des gains en efficacité et en productivité réels et les institutions financières ne s’y trompent pas : elles s’en saisissent massivement depuis 2015.

L’usage de ces nouveaux outils reste néanmoins loin de se généraliser. Ces nouvelles technologies restent le plus souvent utilisées en particulier aux fins d’amélioration d’une partie du dispositif LCB–FT. Il faut dire que remplacer un système dans son ensemble est parfois compliqué, souvent coûteux et long. Il induit aussi beaucoup de changements, notamment au niveau des équipes opérationnelles.

Quant aux régulateurs, la majorité d’entre eux embrasse la révolution en cours et l’encourage même, pour certains, tout en soulignant qu’il est nécessaire de rester en conformité avec la réglementation, quels que soient les dispositifs de supervision employés par les établissements assujettis.

Que faut-il comprendre par-là ? Que les établissements doivent rester à la pointe de l’innovation et s’équiper des toutes nouvelles technologies et approches disponibles dans le marché, mais que les économies générées par ces nouveaux outils ne sauraient se faire au détriment de la maîtrise de leurs risques de blanchiment d’argent et de financement du terrorisme.

Sources : 

• Directive 91/308/CEE du Conseil, du 10 juin 1991, relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux
• New technologies and anti-money laundering compliance – Financial Conduct Authority – PA Consulting group – 31/03/2017
• Joint statement on innovative efforts to combat money laundering and terrorist financing –12/03/2018
• ACPR – Pôle FinTech et Innovation