Sélectionner une page
3 Niveaux de contrôle : quel modèle adopter et comment être conforme à l’arrêté du 25/02/2021 ?

3 Niveaux de contrôle : quel modèle adopter et comment être conforme à l’arrêté du 25/02/2021 ?

Temps de lecture estimé : 8 min

Rédaction WEB : JUST DEEP CONTENT

Modèle indépendant dit « anglo-saxon » ou modèle intégré dit « français » : lequel adopter pour organiser les 3 niveaux de contrôle ? Quel est le plus efficace ? Quel est le plus conforme aux nouvelles exigences règlementaires ?

 

En matière de contrôle des risques et de conformité, la notion des « 3 niveaux de contrôle des risques » peut se comprendre selon deux lectures :

  • soit un modèle avec 3 lignes de contrôle assurées par 3 acteurs de façon indépendante, souvent appliqué dans le monde anglo-saxon, que l’on appelle aussi « modèle anglo-saxon » pour simplifier.
  • ou bien un modèle avec un contrôle homogène plus intégré dans lequel 3 acteurs y occupent chacun un rôle complémentaire, que l’on trouve assez souvent en France, que l’on peut désigner de « modèle français » ou modèle intégré.

… et bien-sûr toutes les solutions intermédiaires.

Au-delà du débat purement sémantique, il s’agit en fait de de 2 philosophies différentes du contrôle interne avec des conséquences importantes en matière d’organisation et de pilotage. Par sa réglementation bancaire spécifique, la France est depuis longtemps un cas particulier, qu’est venu préciser par ailleurs le récent arrêté du 25/02/2021.

Alors, quelles différences entre ces deux modèles ? Existe-t-il un modèle plus efficace et plus conforme par rapport aux derniers textes ? Quelles sont les conditions pour passer de l’un à l’autre ?

Modèle anglo-saxon ou modèle intégré : un choix portant sur la philosophie et l’organisation du contrôle interne

L’introduction dans le règlement français 97/02 en 2005 de la notion de ‘contrôle permanent distincte du contrôle périodique, avait suscité des interrogations quant aux conséquences pratiques.

L’apparition d’un second niveau de contrôle a remis en cause le rôle historique des métiers (de 1er niveau) et de l’audit (devenu 3ème niveau).  Par la suite, les réformes Bâle II puis Bâle III ont introduit, sur le plan international, des concepts assez proches de celui en place en France sans toutefois être identiques.

Chacun des 3 niveaux est donc légitime à réaliser des contrôles … mais alors quels contrôles ? Les mêmes ? Des contrôles différents ? Dans quelles conditions ? …

La question est soulevée principalement au sein du contrôle permanent : quelle est l’articulation entre les fonctions clés de 2ème niveau et les métiers de 1er niveau ?

Et même si le problème est aujourd’hui moins fréquent, on observe encore, çà et là, des duplications de tâches entre les auditeurs du contrôle périodique et les fonctions en charge du contrôle permanent de 2ème niveau.

 

La défense en ligne ou « modèle anglo-saxon »

La première approche consiste à simplement répartir voire dupliquer les contrôles de risque entre les 3 groupes d’acteurs :

Le 1er niveau effectuant des contrôles fréquents et granulaires,

Le 2ème niveau des contrôles moins fréquents et moins granulaires,

Le 3ème niveau enfin effectuant des vérifications selon un plan d’audit triennal ou quadriennal.

En prenant une image dans le domaine militaire, la banque peut être représentée par la forteresse médiévale ci-dessous. Elle doit se défendre contre des risques qui l’entourent en se dotant de 3 murailles concentriques qui représentent les 3 niveaux de contrôle.

Source : Chandara OK pour l’ESBanque

Dans ce schéma, la banque s’organise pour repousser les risques selon une défense en ligne.

Source : Chandara OK pour l’ESBanque

Chaque acteur évalue ses risques, bâtit sa propre muraille et maintient sa ligne de défense contre les chocs de risque (flèches en orange). Certains de ces risques, avec une intensité identique ou atténuée, vont franchir la 1er ligne pour buter contre la 2ème ligne tenue par les fonctions clés de 2ème niveau. Celles-ci vont à leur tour essayer de capter ou d’atténuer ces risques … ; ainsi de suite jusqu’à la 3ème ligne.

Beaucoup de banques françaises ont adopté cette défense en ligne dans un premier temps, avant d’évoluer progressivement. Certaines continuent encore cette méthode aujourd’hui car elle est assez simple mais … est-elle efficace et surtout est-elle conforme par rapport aux exigences réglementaires ?

Cette approche est aussi celle auparavant favorisée dans le monde anglo-saxon et que la littérature technique désigne par le terme « 3 lines of defence ». Pour être totalement juste, ce « modèle anglo-saxon» a néanmoins évolué ces dernières années pour se rapprocher progressivement du modèle plus intégré évoqué plus loin, dans une position intermédiaire que l’on peut qualifier d’hybride.

Le modèle intégré ou « modèle français »

A l’opposé du modèle précédent de défense sur 3 lignes, il s’agit ici d’une défense en profondeur, à partir d’une architecture et d’une organisation du contrôle interne unifiées.

Source : Chandara OK pour l’ESBanque

On peut considérer ici qu’il n’y a qu’une seule ligne de défense structurée avec 3 acteurs qui occupent des rôles différents mais complémentaires, les 2 premiers niveaux fonctionnant ensemble et formant le dispositif de contrôle permanent :

  • En 1er niveau : des métiers qui assurent la défense sur le terrain (contrôle permanent de 1er niveau), chacun dans son secteur d’activité avec ses spécificités propres mais en respectant des règles structurantes communes dont le 2ème niveau en est le gardien.
  • En 2ème niveau: des fonctions clés dotées d’équipes spécialisées (assurant un contrôle permanent de 2ème niveau) moins nombreuses, chargées de piloter les risques dont elles ont la charge. Leur rôle est donc essentiellement tourné vers le 1er niveau. Il comporte deux aspects :
    • veiller au bon fonction du contrôle permanent de 1er niveau, au regard des politiques en vigueur et des modalités auparavant convenues avec les  métiers (profilage des risques, choix des points de contrôle, formalisme, restitution des contrôles…). Cette vigilance repose notamment sur un exercice conjoint de la cartographie des risques, une vérification de la qualité des contrôles permanents de 1er niveau (« contrôle de contrôle ») et complétée par d’autres contrôles ciblés.
    • assurer des travaux complémentaires permettant un pilotage plus complet des risques, tels que : la revue des incidents, la consolidation et l’analyse des risques ainsi que les reportings vers les décideurs ou les pouvoirs publics …
  • En 3ème niveau : la fonction clé « audit » assure le contrôle périodique de l’ensemble, c’est-à-dire :
    • l’existence, la conformité, le fonctionnement et la qualité de l’ensemble de dispositif de contrôle permanent selon les politiques de l’entreprise
    • ainsi que, le cas échéant, des règles de la maison-mère.

Pour rester dans l’image militaire, l’audit inspecte périodiquement les fondations et la solidité de la muraille ainsi que les moyens et la stratégie de défense mise en œuvre.

Dans cette logique, la fonction clé « audit » ne consiste donc pas à réaliser périodiquement des contrôles permanents.

Le 3ème niveau ne doit pas dupliquer ce que fait ou devrait faire le 2ème niveau, sous peine de gâcher les ressources et d’alourdir les activités. On peut identifier ce genre de dérive lorsqu’une mission d’audit est centrée sur des contrôles dits « sur la masse », c’est-à-dire portant sur le contrôle du 1er niveau. Elle devrait plutôt apprécier la façon dont le 2ème niveau organise et surveille le 1er niveau. C’est bien-sûr plus délicat et plus enrichissant que de simplement déployer des contrôles de type « check-list »

Quel modèle est plus efficace et permet d’être en conformité avec la réglementation ?

A cette question, l’analyse et la pratique de terrain dans une grande variété de structures bancaires conduisent à favoriser le modèle intégré.

En plein milieu de la pandémie du COVID, l’arrêté du 25/02/2021 vient confirmer ce choix en apportant les précisions suivantes quant au rôle des acteurs du contrôle interne :

Extraits de l’arrêté du 25/02/2021 :

«Les entreprises assujetties disposent, selon des modalités adaptées à leur taille, à la nature et à la complexité de leurs activités, de trois niveaux de contrôle distincts :

a) Le premier niveau de contrôle est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.

b) Le deuxième niveau de contrôle est assuré par des agents au niveau des services centraux et locaux, exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues…

c) Le troisième niveau de contrôle est assuré par la fonction d’audit interne composée d’agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième (…) »

Au-delà des seuls aspects réglementaires, le tableau ci-dessous synthétise les principaux avantages et inconvénients intrinsèques des deux modèles :

Source : Chandara OK pour l’ESBanque

Le modèle de défense en ligne présente surtout l’avantage de la facilité et de la rapidité de mise en œuvre, au détriment d’une certaine rigidité qui se révèle pénalisante dans le contexte actuel où tout évolue vite, tant du point de vue réglementaire que du contexte socio-économique.

A contrario, le modèle de défense intégrée est plus complexe à mettre en place. Il nécessite, pour bien faire, de (re)penser son dispositif de contrôle interne et de réussir à entraîner non seulement une adhésion large, mais aussi une discipline collective.

Il implique aussi une conviction et une volonté fortes des dirigeants et que l’on décline dans des politiques écrites précises : particulièrement une charte de contrôle interne décrivant clairement les obligations réciproques entre le 1er et le 2ème niveau.

Tous ces préalables, qui peuvent être perçus a priori comme des contraintes, sont aussi des opportunités pour harmoniser et faire évoluer son contrôle interne, parfois figé depuis longtemps.

Du point de vue réglementaire, l’arrêté du 25/02/2021 focalise la vigilance du 2ème niveau sur la qualité du 1er niveau et celle du 3ème niveau sur le dispositif de contrôle permanent dans son ensemble. Il évoque aussi l’interdépendance entre les 3 acteurs en vue d’une (seule) défense de la banque, ce qui milite pour le modèle intégré.

Le modèle de défense intégrée (« modèle français ») se révèle être le meilleur compromis et donc le choix à privilégier. Il est non seulement celui suggéré indirectement par l’arrêté du 25/02/2021, mais aussi, une fois les efforts initiaux consentis, la solution qui se révèle la plus performante et la plus souple.

Un autre avantage, et non des moindres, est qu’il oblige à une plus forte implication des dirigeants et à davantage de communication entre les équipes. La mise en œuvre d’une contrainte réglementaire converge alors vers un bénéfice opérationnel.

Pour les établissements encore dans le modèle « défense en ligne », il s’agirait donc de muter vers le « modèle intégré », tout en profitant de ce chantier pour lancer une mise à plat généralement salutaire. Pour ceux qui y sont déjà, ce dispositif doit continuer à évoluer avec des progrès continus.

Pour les filiales françaises de groupes étrangers, anglo-saxons ou non, cette doctrine du contrôle interne bancaire peut être parfois vue comme singulière, et même parfois ne pas être comprise. Cette situation conduit alors à de longs débats avec la maison-mère. La pratique de terrain montre néanmoins que le « modèle intégré » est généralement compatible avec des habitudes anglo-saxonnes plus proches du « modèle en ligne », à condition de fournir, çà et là, au groupe quelques travaux complémentaires.

Auteur
Chandara Ok 

Conseil en gouvernance et maîtrise des risques, Intervenant-formateur pour le Cycle Expert Conformité de L’ESBanque

Sources : 

Incidents de Conformité : comment en optimiser la gestion ?

Incidents de Conformité : comment en optimiser la gestion ?

Temps de lecture estimé : 11 min

Rédaction WEB : JUST DEEP CONTENT

Comment détecter, collecter, remonter les incidents de Conformité mais aussi les intégrer dans une démarche d’amélioration continue ?

Parler de dispositif de gestion des incidents de conformité nécessite au préalable de rappeler ce que signifie le risque de non-conformité.

Au titre de l’article 10 de l’arrêté du 3 novembre 2014 sur le contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de Contrôle prudentiel et de Résolution (ACPR), le risque de non-conformité est défini comme :

« Le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d’atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et financières, qu’elles soient de nature législative ou réglementaire, nationales ou européenne directement applicables, ou qu’il s’agisse de normes professionnelles et déontologique, ou d’instructions des dirigeants effectifs prises notamment en application des orientations de l’organe de surveillance. »

De manière à pouvoir détecter, collecter et rapporter les éventuels incidents de conformité à la hiérarchie des métiers, à la Direction de la conformité de l’établissement, jusqu’au niveau de la Direction Générale et des organes de surveillance, il est essentiel que tout établissement bancaire ou financier dispose d’un dispositif de gestion robuste.

Tout établissement doit par conséquent pouvoir mettre à profit ses faiblesses et éventuels échecs du passé, pour renforcer et faire progresser son dispositif de contrôle interne relatif aux risques de non-conformité, afin d’éviter la survenance de nouveaux incidents.

Tout incident de conformité doit systématiquement faire l’objet d’un plan d’actions correctrices voire d’un plan de remédiation présentant un cadre plus large. Ces actions doivent par ailleurs toujours revêtir un caractère pérenne pour éviter que des incidents de même nature se reproduisent dans le futur.

Comment optimiser la gestion des incidents de Conformité ? Comment mettre en place un système de détection efficace mais aussi un processus d’amélioration continue ? Explications.

les incidents de conformité : composants essentiels du pilotage et de la maîtrise des risques de non-conformité

Les incidents de Conformité doivent tout d’abord être détectés, ce qui relève naturellement du rôle du contrôle permanent.

Ils doivent aussi être intégrés dans une analyse de risques plus large et susciter des modifications des mécanismes de pilotage de la Conformité.

Incidents de Conformité : contrôle, sanction et risques

Le dispositif de gestion des incidents de Conformité doit principalement s’appuyer sur :

  • des ressources humaines qualifiées,
  • un cadre normatif et procédural,
  • ainsi que des instances de gouvernance ad hoc pour y être présentés et commentés.

Le contrôle permanent, composé de ses deux lignes de défense, doit permettre de détecter en premier les incidents de conformité et engager les actions de remédiation nécessaires.

Le contrôle périodique (audit interne et/ou Inspection générale selon les établissements) apporte aussi sa contribution dans la détection des incidents non décelés par les niveaux 1 et 2 du contrôle interne. Les faiblesses du contrôle permanent sont alors mises en exergue et rapportées à la Direction Générale de l’établissement sous formes de préconisations et de recommandations.

Lorsqu’un incident est parfois détecté par un superviseur ou régulateur, cette situation témoigne en règle générale de la déficience du système de contrôle interne de l’établissement. Des corrections sont alors attendues et formalisées dans un rapport ou une lettre de suite.

Dans certains cas, les déficiences relevées par un superviseur ou régulateur peuvent faire l’objet de lourdes sanctions. Au-delà des pertes financières occasionnées, elles peuvent aussi, si elles sont rendues publiques, fortement altérer l’image de l’entreprise (risque de réputation) auprès de sa clientèle, de ses investisseurs et de ses pairs sur la place de marché.

Les établissements sanctionnés doivent également intégrer des coûts parfois très importants dans les actions de remédiation à mener, tels que la mise en place de nouveaux systèmes d’information, le lancement d’un programme ou projets de remédiation, avec le cas échéant le recours à des ressources externes (conseil, prestations de services).

Un bon pilotage des risques nécessite la mise en perspective systématique des incidents de conformité relevés, en se basant sur :

  • les cartographies de risques (intrinsèques et résiduels),
  • les résultats de contrôles de premier niveau,
  • les résultats des contrôles de second niveau,
  • les constats de missions du contrôle périodique,
  • les constats des superviseurs financiers et régulateurs lors de leurs missions d’inspection ou d’enquêtes.

Après analyse de leur origine et de leurs causes, la survenance d’incidents de conformité a généralement comme conséquences :

  • la modification de l’évaluation des cartographies de risques résiduels et des plans d’actions qui en découlent,
  • le renforcement des contrôles et/ou la création de nouveaux,
  • la mise en place d’un cadre normatif différent ou d’une mise à jour de l’existant,
  • l’actualisation des procédures opérationnelles des métiers.

Dans la quasi-totalité des cas, des actions de sensibilisation, de formation des collaborateurs des métiers et du management sont nécessaires.
Ces actions relèvent naturellement du Responsable de la conformité dédié aux métiers concernés.

gouvernance robuste et dispositif ad hoc de collecte et de reporting : 2 prérequis à une bonne gestion des incidents de conformité

Le cadre normatif impose la mise à jour régulière des politiques et procédures régissant la gestion des incidents de conformité, ceci en fonction de l’organisation et de la taille de chaque établissement.

La remontée des incidents de conformité doit s’inscrire dans un processus de reporting aux instances dirigeantes de l’établissement sur plusieurs niveaux hiérarchiques :

  • le management de la ligne métier concernée,
  • le management d’un pôle d’activités couvrant plusieurs métiers,
  • la Direction de la conformité de l’établissement
  • et la Direction Générale.

Selon la taille de l’établissement financier et la nature de ses activités, les incidents de conformité peuvent être rapportés dans un comité général des risques et de la conformité, ou bien dans un comité spécifique dédié uniquement à certains types d’incidents.

La présentation des incidents de conformité dans ces instances offre l’avantage de partager l’information, d’échanger sur les actions correctrices engagées et de sensibiliser les différents acteurs et les membres de l’exécutif.

La gouvernance doit intégrer :

  • une organisation ad hoc pour assurer une gestion centralisée des incidents
  • ainsi que des outils applicatifs pour faciliter le processus de collecte et de reporting dans les différents comités.

Les incidents de conformité les plus significatifs sont communiqués à l’organe de surveillance (Comité des Risques).

Les incidents considérés comme majeurs doivent quant à eux être signalés aux superviseurs tels que : l’Autorité des Marchés Financier (AMF), la Banque de France (BdF), la Commission Nationale Informatique et Libertés (CNIL) … et l’Autorité de Contrôle Prudentiel et de Résolution (ACPR).

Pour chaque incident de conformité, il est nécessaire d’analyser s’il y a eu ou non un risque de conduite avéré, sujet sur lequel les autorités de supervision financière prêtent une grande attention.

Un collaborateur indélicat peut par exemple s’affranchir de respecter les règles et les normes de manière délibérée, alors même que l’établissement dispose pourtant d’un important cadre normatif et d’un dispositif de contrôle robuste.

Dans le cadre du pilotage des risques, les origines, les causes et les modalités de détection des incidents doivent être détaillées. A cet égard, il est nécessaire de rappeler que nombre d’incidents opérationnels ou informatiques (panne et interruption de services, bugs…) peuvent générer un incident de conformité.

Par exemple, la déficience d’un système d’information ou une erreur d’exécution d’un back-office peuvent parfois empêcher un établissement de respecter ses obligations réglementaires, comme le reporting de transactions à une autorité de marché.

Les responsables de la conformité dédiés aux métiers doivent bien appréhender les sources permettant de détecter les incidents de conformité, dans des délais courts et acceptables. Ils peuvent s’appuyer pour cela sur :

  • les descriptifs des anomalies dans les contrôles de premier niveau,
  • les constats dans le cadre des activités de la deuxième ligne de défense et de celles spécifiques au contrôle de second niveau,
  • les rapports émis par le contrôle périodique de l’établissement,
  • les analyses et synthèses des métiers,
  • les alertes issues de outils de filtrage,
  • l’analyse des incidents opérationnels et informatiques,
  • les informations transmises dans le cadre du dispositif d’alerte des collaborateurs « Whistleblowing »,
  • les sanctions disciplinaires à l’encontre des salariés (manquements aux obligations réglementaires et/ou affectant le risque de réputation et/ou conduite inappropriée),
  • les comptes rendus de comités (Comité de direction (CODIR), Comité exécutif (COMEX), Comité des Risques, Comité de Conformité, …),
  • les constats réalisés dans les rapprochements comptables,
  • le registre des réclamations de la clientèle,
  • les dépôts de plainte et assignations, actions juridiques en cours, contentieux en cours,
  • les rapports d’audit externes,
  • les rapports et/ou lettres des superviseurs financiers et régulateurs,
  • les informations publiées et échangées dans les médias sociaux …

Enfin, la gestion des incidents de conformité, relevant naturellement de la responsabilité de la 2ème ligne de défense du contrôle interne, devrait régulièrement faire l’objet d’un contrôle de second niveau.

L’article 14 de l’arrêté du 3 novembre 2014 sur le contrôle interne précise à cet égard que les agents exerçant des contrôles de deuxième niveau sont indépendants des unités qu’ils contrôlent.

intégrer la gestion des incidents de Conformité dans une démarche d’amélioration continue : une condition fondamentale

Une démarche d’amélioration continue suppose la mise en place d’éléments de mesure :

  • les indicateurs de pilotage des risques ou « Key Risk Indicators » (KRI)
  • les indicateurs portant sur la performance, « Key Performance Indicators » (KPI)
  • mais aussi des reporting ad hoc, tel que par exemple un tableau de bord de gestion à fréquence périodique.

En fonction de la volumétrie enregistrée des incidents de conformité et de la taille de l’établissement, une automatisation du calcul des différents indicateurs de pilotage (KRI et KPI) permet d’éviter une charge de travail manuelle conséquente pour les équipes impliquées dans leur gestion.

Des sessions régulières de formation et de sensibilisation des collaborateurs contribuent à l’amélioration des processus.

Un support ad hoc, tel un « Training Kit », rappelant et résumant les principales règles normatives en matière de détection, de collecte et de remontée permet d’apporter rapidement des réponses aux opérationnels à des questions du type :

  • « Ai-je ici vraiment affaire à un incident de conformité ? »,
  • « Quelles sont les conséquences avérées ou potentielles de cet incident pour l’établissement ? »
  • « Comment dois-je évaluer son niveau de significativité ? »,
  • « A quel niveau managérial ou à quelle instance de gouvernance dois-je remonter cet incident ? ».

Enfin et au-delà de l’amélioration continue du processus de gestion, il est important pour de grandes organisations de partager les informations de manière automatisée.  Les base de données de type « datalake » permettent la mise à disposition systématique des caractéristiques des incidents et de tout ou partie de leur descriptif et plans d’action.

Ces systèmes d’informations sont fort utiles aux différents acteurs en charge d’élaborer des synthèses dans le cadre du pilotage des risques (analyse du risk assessment, de l’exploitation des résultats de contrôles …).

incidents de conformité externes : une analyse indispensable

Un solide dispositif de pilotage des risques de non-conformité doit aussi pouvoir s’appuyer sur l’analyse des incidents de conformité dits « externes ». Ces incidents n’ont pas impacté directement l’établissement mais sont survenus dans le secteur bancaire et financier.

L’intégration des incidents de conformité externes peut nous amener à nous poser quelques questions du type :

  • Si cela est arrivé à certains de nos confrères, pourrions-nous rencontrer les mêmes types d’incidents ?
  • Est-ce que notre dispositif de contrôle est suffisamment robuste pour éviter que cela se produise chez nous ?
  • Est-ce que notre processus d’évaluation et de pilotage des risques prend aussi en considération les incidents de conformité survenus dans l’industrie ?

Pour en savoir plus :
« Principles for the Sound Management of Operational risk », Comité de Bâle

Pour assurer cette veille des incidents de conformité externes, il est nécessaire de :

  • mettre en place un dispositif ad hoc de veille des sanctions publiques des superviseurs et régulateurs
  • relever également les sanctions et pénalités prononcées par des autorités de marché (superviseurs, bourses, organismes de compensation …)
  • utiliser des articles parus dans les médias
  • exploiter des bases de données d’incidents externes ayant impacté des banques, des compagnies d’assurances, des courtiers, des gestionnaires de fonds …
  • mettre en place un reporting périodique de ces incidents à destination de la direction des métiers et de la conformité.

La mise en place de cette veille contribue également à la sensibilisation sur les différentes thématiques de conformité (sécurité financière, protection des clients et des investisseurs, intégrité des marchés, protection des données, lutte contre la corruption … ).

Certains établissements ont subi de lourdes sanctions et pénalités financières pour des incidents de conformité majeurs, ce qui a fortement porté atteinte à leur image, dans leur pays et souvent au niveau international. Parmi les thématiques concernées, nous pouvons citer :

  • le non-respect des sanctions internationales et embargos (Iran, Cuba…) : 3 grands établissements bancaires français se sont vu infliger ces dernières années des sanctions financières records par les autorités américaines (8,9 milliards de dollars, 1,3 milliards de dollars, 900 millions de dollars).
  • Les insuffisances dans le dispositif de prévention et de contrôle en matière de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB/FT).
    18 des 20 principales banques européennes ont déjà été condamnées sur ce sujet au cours de la dernière décennie. Une grande banque scandinave (Danske Bank) a ainsi été impliquée dans un scandale international, dans le cadre de ses activités bancaires en Estonie et d’importants flux de capitaux en provenance de Russie.
  • Les manquements aux obligations professionnelles : l’Autorité des Marchés Financiers (AMF) a infligé une amende record de 35 millions d’euros à une société française de gestion d’actifs. Il ne faut pas perdre de vue que ce superviseur peut, dans l’absolu, sanctionner financièrement un établissement jusqu’à 100 millions d’euros.

 

Source : Alain Gigante pour l’ESBanque

appétence au risque ou « risk appetite » et risques de non-conformité ?

Les principes établis par le Conseil de la stabilité financière (Financial Stability Board) et publié en novembre 2013 imposent aux établissements financiers la mise en place d’un dispositif de gouvernance (« Risk Appetite Framework ») et sa communication (« Principles for an Effective Risk Appetite framework ») .

Les établissements bancaires doivent formaliser leur appétence au risque :

  • pour l’ensemble de leurs risques y compris ceux liés à liés à la non-conformité,
  • pour leur dispositif de gouvernance (« Risk Appetite Framework ») faisant partie de leur contrôle interne
  • et pour le pilotage des différents risques avec notamment la fixation de seuils d’alerte (« Risk Appetite Statement »), actualisés chaque année et approuvés par l’organe de surveillance.

Pour ce qui concerne les risques de non-conformité, la règle est logiquement l’application d’une « tolérance zéro ». Chaque établissement se doit de respecter impérativement les lois et obligations réglementaires pour l’exercice de ses activités régulées.

Des « arbitrages réglementaires » ne sont en aucune façon envisageables, entre, par exemple, le coût d’une sanction potentielle d’un superviseur ou régulateur et le bénéfice attendu d’une opération commerciale.

Les incidents de conformité doivent naturellement faire partie de l’un des indicateurs de suivi en matière d’appétence aux risques.

Au-delà des incidents remontés à la hiérarchie de l’établissement et à l’organe de surveillance (Comité des risques), les opérationnels des métiers et la conformité ne doivent pas négliger certains incidents qualifiés de mineurs, qui pourraient en soi être qualifiés de « signaux faibles » ou de dysfonctionnements dans le dispositif de contrôle interne.

 

 

 

En synthèse, pour apprécier et améliorer le dispositif de gestion des incidents de Conformité, posez-vous ces quelques questions simples :

  • Au sein de votre établissement, considérez-vous réellement que tout est « sous contrôle » concernant la gestion des incidents de Conformité ?
  • Sont-ils du reste tous remontés comme il se doit ?
  • Quels axes de progrès avez-vous identifié en la matière ?

 

Sources

  • Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) : en particulier les articles 10 : 10 – p) ; 10 – al) ; 10 – an) ; Article 11 : 11 – a) ; Article 12 : 12 – b) ; Article 14 ; Article 26 : 26 – a) ; Article 28 ; Article 31 ; Article 36 ; Article 38 ; Article 39 ; Article 98 ; Article 241 ; Article 249 ; Article 249 – 1

Basel Committe on Banking Supervision :

Cartographie des risques de non-conformité : préalables à respecter et opportunités

Cartographie des risques de non-conformité : préalables à respecter et opportunités

Temps de lecture estimé : 10 min

Rédaction WEB : JUST DEEP CONTENT

Réaliser une cartographie unique recouvrant l’ensemble des risques opérationnels est une stratégie tentante par son approche globale mais qui trouve vite ses limites.

Il est le plus souvent nécessaire de constituer une cartographie spécifique par type de risque. Mais avant de décider de multiplier les cartographies, il faut s’assurer de pouvoir maintenir une cohérence d’ensemble, afin de pouvoir consolider tous les risques et disposer d’une vision transversale des enjeux.

Cette démarche, bien que contraignante, permet de mettre à plat certaines règles méthodologiques, afin de les clarifier et in-fine améliorer la gestion des risques.

a chaque grande famille de risque sa propre cartographie ?

Si la cartographie des risques a un caractère obligatoire (Article 100 de l’Arrêté du 3/11/2014), elle constitue également un élément central du dispositif de contrôle interne dans la banque et l’assurance.

En matérialisation le profil de risque, la cartographie sert à calibrer de nombreux outils en aval tels que les processus et procédures, les sécurités informatiques, le plan annuel de contrôle permanent N2, pour n’en citer que les principaux.

Au fil des ans s’est développée une cartographie supplémentaire dédiée aux seuls risques de non-conformité : LCB-FT, protection de la clientèle, RGPD, Loi Sapin 2 … Elle a d’abord été élaborée sous l’intitulé « risques opérationnels » (ou parfois uniquement « risques ») à caractère universel.

Cette 2ème cartographie des risques est-elle indispensable ? Même si l’importance de cette famille de risques est indiscutable, justifie-t-elle pour autant la création d’un support supplémentaire, source potentielle de divergence des méthodes et de difficultés ultérieures ?

De nombreux arguments plaident pour une cartographie des risques spécifique pour la non-conformité, y compris pour les établissements de taille moyenne :

  • Une meilleure lisibilité face à des volumes importants : à partir d’un certain stade, il devient difficile de réunir dans un seul support un grand nombre de risques ou d’évènements de risque, pour un établissement ou un groupe.
  • Une plus grande clarté d’analyse : les natures de risque sont en effet très variées et pas toujours comparables. Les risques opérationnels, au sens du Comité de Bâle, regroupe ainsi pêle-mêle les risques d’erreur, les risques juridiques, de fraude, climatiques, de déficit de surveillance, de non-conformité …
  • Une évaluation spécifique du risque : le calcul selon le principe de la fréquence et de l’impact n’a pas de sens pour la non-conformité comme nous le verrons plus loin.
  • Un meilleur partage de responsabilité pour les fonctions clés : un support unique suppose en effet que plusieurs fonctions clés se partagent la responsabilité du pilotage des risques, au gré des pages de la cartographie.

    Une organisation claire voudrait que chaque fonction clé dispose d’une cartographie pour son propre périmètre de risque. D’ailleurs, en dehors de la fonction « Gestion des risques et de la Conformité », d’autres responsables peuvent en exprimer le besoin : RCSI (Responsable de la Conformité des Services d’Investissement), DPO (Délégué à la Protection des Données), RSSI (Responsable de la Conformité des Systèmes Informatiques) …

  • Une méthodologie de construction adaptée aux risques de non-conformité : une cartographie pour les risques opérationnels « purs » suit généralement un déroulement linéaire selon le processus métier.On essaie alors d’identifier les risques par étape de gestion (risques d’erreur, de fraude …).

    L’élaboration d’une cartographie des risques de non-conformité est plus complexe car on cherche à contrôler si l’activité dans son ensemble est conforme ou non à une règle. De ce fait, on peut être amené à analyser plusieurs processus métier différents pour estimer si la contrainte est respectée (respect de la Loi Eckert par exemple).

Pour ces raisons, il est préférable de séparer les cartographies lorsque les logiques de profilage des risques sont différentes. On observe même, ici et là, l’élaboration d’une ou deux autres cartographies supplémentaires portant généralement sur le système d’information (S.I.) et sa sécurité. Ces risques croissants méritent en effet toute notre attention et devraient être les prochains chantiers en termes de cartographie.

La coexistence de plusieurs cartographies des risques dans un même établissement contribue à une meilleure vision des risques, si elle a été pensée ainsi dès le départ.

la mesure de la non-conformité : faut-il remplacer le sacro-saint étalon monétaire ?

La réponse est oui.

Pour quantifier le risque, on utilise en principe une seule référence : l’étalon monétaire (le risque mesuré en K€). Le principe est compréhensible dans la mesure où il est important d’arriver à la fois :

  • à mesurer le niveau d’impact subi par l’entreprise lors de la survenance d’un risque : par exemple, une fraude informatique ayant un impact direct de 25 K€ (montant du détournement) et indirect de 50 K€ (comprenant la correction pour corriger la faille de paramétrage informatique)
  • à assurer une comparabilité entre différents évènements ou natures de risque.

Cette méthode est assez bien adaptée pour les risques potentiels liés à la survenance d’un évènement concret : incident technique ou opérationnel, fraude, évènements externes …

En matière de non-conformité néanmoins, l’impact monétaire n’est généralement pas la mesure adaptée.

comment le risque de non-conformité se présente-t-il ?

Il s’agit d’une situation dans laquelle une offre de service ou de gestion de l’établissement ne produit pas un résultat conforme : par rapport aux lois et règlements, aux attentes du superviseur mais aussi aux règles déontologiques, aux bonnes pratiques de place et aux décisions structurantes de la gouvernance.

Ces situations non conformes sont un état de fait et peuvent être soulevées à tout moment par les pouvoirs publics, par un client ou tout autre tiers.

quel impact pour l’établissement en cas de non-conformité révélée ?

Une situation constatée de non-conformité peut conduire à :

  • Une sanction disciplinaire par le superviseur
  • Une sanction judiciaire par les tribunaux
  • Un risque d’image et de réputation, voire une combinaison des trois.

Il existe bien une conséquence pécuniaire directement évaluable en euros lorsqu’il faut payer une amende ou une condamnation mais l’impact global est bien plus large. Il est très difficilement mesurable et peut même déboucher, dans le pire des cas, sur une interdiction d’exercer.

Ainsi, l’option consistant à retenir le montant d’une amende de l’ACPR pour mesurer l’impact d’une non-conformité n’est pas pertinente, ce pour deux raisons :

  • même sans sanction, il y a toujours, après un contrôle sur place par l’Autorité, des obligations d’actions correctives signifiées dans une lettre de suite engendrant des coûts parfois très élevés.
  • le paiement d’une amende disciplinaire, c’est-à-dire en accompagnement d’une sanction prononcée par la Commission des Sanctions pour une non-conformité grave, ne constitue pas un solde de tout compte. Il faudra en effet engager également des actions correctives probablement assez conséquentes. On peut estimer raisonnablement que pour chaque euro d’amende, il faut prévoir plusieurs fois cette somme en chantiers divers.

etablir une grille de mesure décrivant l’impact probable sans évaluation monétaire

Une telle grille pourrait par exemple présenter la forme ci-dessous :

Source : Chandara OK pour l’ESBanque

A chaque niveau d’intensité du risque correspond un scénario d’impact clair et compréhensible pour les dirigeants comme pour les responsables métier. On peut lire clairement l’impact auquel on s’expose pour chaque qualification du risque et l’adapter à chaque établissement selon sa sensibilité aux risques.

un exercice de cartographie des risques de non-conformité ouvert à un 3ème acteur

La fonction clé Conformité en tant que pilote en second niveau des risques de non-conformité devient un troisième acteur, demandeur et premier utilisateur de cette cartographie.

Source : Chandara OK pour l’ESBanque

Le pôle Risques Opérationnels de la fonction Risques (Risques\RO), pilote habituel, laisse donc la conduite de la cartographie à la Conformité mais garde un rôle important de « gardien » de la méthodologie : à lui de bien formaliser au préalable le mode opératoire et de valider régulièrement les options, prises par la Conformité et les métiers, pourront être facilement retraitées en vue de la consolidation.

Cet exercice de cartographie réunit donc sur une période assez longue, trois fonctions, Conformité, Risques et Métiers, autour des thèmes communs de risque ou de contrôle.

C’est également l’opportunité de « casser » la vision habituelle en silo, de mieux comprendre les univers mutuels et de partager, à chaque fois que possible, une approche commune de la gestion des risques. Cette transversalité est aussi nécessaire pour les 2 fonctions clés, Conformité et Risques, qui ne communiquent pas toujours suffisamment entre elles.

consolider tous les risques et créer des points de convergence

L’élaboration de cartographie spécifique par type de risque ne saurait suffire et une consolidation est indispensable.

Il est alors nécessaire de définir un critère de regroupement.

cartographies individuelles et cartographie consolidée

Les cartographies individuelles sont destinées aux fonctions clés pour piloter les risques dont elles ont la charge en lien avec les métiers, qui de leur côté les gèrent au quotidien. Elles sont généralement assez granulaires et précises.

Il est également nécessaire de pouvoir consolider tous les risques de toutes les cartographies afin d’en tirer les messages clés à destination des décideurs (dirigeants effectifs, organe de surveillance et maison-mère …), ainsi que pour l’élaboration des rapports annuels réglementaires.

Source : Chandara OK pour l’ESBanque

un critère commun pour regrouper différentes grilles de cotation des risques

La cartographie des risques opérationnels utilise l’étalon monétaire pour mesurer l’intensité du risque.

La cartographie des risques de non-conformité s’appuie sur des scénarii d’impact à partir de niveaux de sanctions ou de perte de réputation.

Comment concilier ces 2 critères ?

Il existe pour cela une notion commune à caractère transversal : le principe de l’appétence aux risques telle que prévue par Bâle III (pilier 3) et attendue par le superviseur bancaire.

Il s’agit du niveau et du type de risques que l’établissement peut et souhaite assumer, dans ses expositions et ses activités, par rapport aux contraintes réglementaires et compte tenu de ses objectifs stratégiques. Si cette appétence aux risques n’a été fixée que pour les risques de nature financière (crédit, marché, liquidité, ALM (Asset Liabilities Management)), il faut l’étendre aux risques opérationnels et de non-conformité.

Cette appétence aux risques (ou niveau(x) d’acceptation des risques) est fixée par les instances dirigeantes et peut être matérialisée sous forme d’un tableau comme dans cet exemple :

Source : Chandara OK pour l’ESBanque

La gradation en couleur exprime l’échelle de l’appétence aux risques, quelle qu’en soit la nature. Il s’agit ensuite de l’appliquer aux grilles de cotation des risques par nature.

Le tableau ci-dessous donne une illustration appliquée aux risques de non-conformité.

Par exemple, un contrôle sur place de l’ACPR débouchant sur une lettre de suite avec mise en demeure ou une situation proche d’une sanction n’est pas acceptable (rouge : « au-delà du seuil de tolérance »).

Source : Chandara OK pour l’ESBanque

Le même exercice est effectué pour les risques opérationnels. Dans l’exemple ci-dessous, un scénario d’incident avec un impact à + 5 M€, même avec une fréquence faible, est apprécié comme « rouge » également, donc au-delà du niveau d’acceptation.

Source : Chandara OK pour l’ESBanque

Une fois ces grilles de cotation qualifiées par rapport à l’appétence aux risques, il faudra bien entendu les faire valider par les deux niveaux d’instance dirigeante, ce qui pourra donner lieu à un déplacement de l’échelle de couleur.

Une fois validés, les « codes couleurs » selon l’appétence servent ainsi de passerelle entre les risques provenant de la cartographie des risques opérationnels et ceux provenant de la cartographie des risques de non-conformité.

Il est alors possible de produire un document consolidé :

Source : Chandara OK pour l’ESBanque

Il est donc indispensable d’utiliser des critères spécifiquement adaptés à chaque catégorie de risque et réaliser ensuite le lien par les critères d’appétence aux risques.

harmonisation et optimisation du pilotage des risques : pistes pour aller plus loin

On constate souvent un manque d’intérêt des collaborateurs de la Conformité pour la démarche de cartographie des risques et ceci notamment lorsqu’elle ne porte que sur les risques opérationnels. Ils n’adhérent pas nécessairement à la méthodologie ou n’y ont pas participé.

La mise en place d’une cartographie des risques de non-conformité, selon une approche concertée, nécessite quant à elle un travail d’harmonisation entre les fonctions Risques et Conformité d’une part et avec les métiers d’autre part.

On peut alors profiter de cette occasion pour aller encore plus loin, afin d’obtenir une convergence plus importante des méthodes, y compris sur d’autres aspects du contrôle interne.

Plusieurs notions structurantes sont examinées lors des différents travaux entre les trois fonctions, principalement :

  • le choix de découpage de l’activité en processus opérationnels,
  • la méthode de valorisation des risques,
  • la cotation de l’environnement de contrôle (« DMR » (Dispositif de Mesure des Risques)).

Les processus opérationnels métier, encore rarement formalisés, sont fréquemment utilisés comme axe d’analyse dans le déroulement d’une cartographie. Sa matérialisation contribue à la connaissance collective des modes de gestion de l’établissement.

Le mouvement engagé lors de l’exercice de cartographie peut se poursuivre par un véritable chantier de formalisation des processus métier, première étape indispensable à tout projet d’évolution, notamment de transformation numérique.

La finalité d’un exercice de cartographie est d’estimer les risques. La mise à jour de la méthodologie de valorisation, afin d’intégrer les risques de non-conformité, favorise l’ancrage des fonctions clés et des métiers dans une règle d’appréciation commune et normalisée des risques. Elle amène aussi la fonction Conformité vers un pilotage plus structuré de ses risques.

Enfin, l’examen de l’environnement de contrôle DMR est l’occasion d’identifier globalement les composants qui contribuent à la sécurisation des opérations. L’estimation collective de son efficacité favorise l’appropriation du contrôle permanent de 1er niveau par les métiers et permettent de mieux préparer les contrôles ultérieurs de niveau 2. C’est aussi un tremplin pour engager un véritable chantier d’harmonisation de toutes les règles de cotation et notation utilisées par les fonctions clés de second niveau et même, pourquoi pas le contrôle périodique de 3ème niveau.

L’un des bénéfices visibles et attendus de ces harmonisations méthodologiques est un lien plus évident et assumé entre cartographie des risques et plan de contrôle permanent de 2nd niveau, mais il y en a beaucoup d’autres.

Les établissements ne doivent donc pas hésiter à quitter la règle de la cartographie des risques unique : celle-ci arrive vite à saturation. Chaque type de risque comporte ses spécificités et nécessite des outils adaptés.

L’élaboration d’une cartographie distincte pour les risques de non-conformité est l’occasion de décloisonner cette démarche, favorisant ainsi une meilleure appropriation de l’exercice par tous.

Elle permet aussi de poser les premières pierres d’un partage méthodologique plus poussé entre les fonctions clés de Conformité et Risques, et également avec d’autres. Cette convergence permet de clarifier et donc favoriser la compréhension des risques par tous les décideurs.

Enfin, la consolidation des risques de natures différentes nécessite de faire appel à la notion d’appétence aux risques, principe dont l’utilisation est souvent limitée aux risques de nature financière.

Auteur
Chandara Ok 

Conseil en gouvernance et maîtrise des risques, Intervenant-formateur pour le Cycle Expert Conformité de L’ESBanque

Evolution post-crise sanitaire : la nécessité d’une conformité opérationnelle

Evolution post-crise sanitaire : la nécessité d’une conformité opérationnelle

Temps de lecture estimé : 8 min

Rédaction WEB : JUST DEEP CONTENT

La communication, la coordination et le rapprochement entre les professions de la conformité et les métiers opérationnels sont plus que jamais indispensables. Explications et moyens. 

 

La crise sanitaire a permis de réfléchir, analyser ce qui a fonctionné et surtout ce qui pourrait être amélioré dans un contexte organisationnel complexe ou les circuits décisionnels se sont trouvés accélérés et parfois raccourcis.

Il aura fallu évoluer dans un environnement anxiogène et distant, tout en continuant de donner une vision exhaustive du risque de non-conformité et des actions correctrices aux dirigeants et aux actionnaires pour une restitution fidèle et sans délai aux régulateurs. Sans oublier la cible : la satisfaction de la clientèle dans le respect des réglementations. En bref, une période quelque peu chahutée…

Un positionnement indépendant, à proximité des métiers et intégré aux cellules de crise quotidienne aura permis de rendre des avis objectifs et d’accéder rapidement aux instances décisionnaires de l’établissement, lorsque les décisions urgentes devaient être prise pour continuer d’assurer un service qui protège nos clients et nos collaborateurs.

Dans ce contexte, les responsables de la conformité ont dû continuer de gérer les projets déjà lancés, proposer des procédures dérogatoires mais aussi être particulièrement attentifs à d’éventuelles dérives et apparition de nouveaux risques de non-conformité. 

Tous les processus dérogatoires n’étant pas nécessairement transposable post-crise sanitaire, il aura aussi fallu les analyser pour décider de les abroger ou de les pérenniser.

C’est ainsi que la crise sanitaire a pu susciter une véritable évolution des pratiques des professionnels de la conformité, les rendant de facto plus proches des métiers et en coordination plus étroite avec eux. Ce mouvement doit être poursuivi car il est la clé de réussite et d’efficacité des fonctions conformité.

conformité et métiers opérationnels : état des lieux

Où en sommes-nous dans la communication et la coordination entre les métiers de la conformité et les fonctions opérationnelles ?
La crise sanitaire a été un révélateur de nombreuses faiblesses, même si des avancées ont eu lieu.

les faiblesses opérationnelles mises en exergue par la crise sanitaire

La crise sanitaire a pu mettre en évidence certains points critiques des processus de conformité :

  • le manque de gouvernance ainsi que la multiplication d’acteurs peut engendrer l’apparition de « silos » de compétences au sein des directions fonctionnelles : Risques et contrôle permanent, ainsi que conformité (LCB-FT (Lutte contre le blanchiment et le financement du terrorisme), déontologie, protection de la clientèle, DPO (Délégué à la Protection des Données)),
  • l’insuffisance de socle commun, de chemin critique
  • des spécialisations de plus en plus spécifiques et techniques.

Seuls des liens forts entre les départements conformité et opérationnels permettront de mettre en œuvre un programme robuste et cohérent qui répondent à des processus métier et qualité de bout en bout. Cette vision reste dans de nombreux établissement à fluidifier et à consolider.

Ces aspects concernent particulièrement toutes les thématiques transverses (connaissance client, transparence fiscale, conseil et devoir d’information, démarchage bancaire, protection des données personnelles, tarification, traitements des réclamations …).

Pour réussir collectivement, l’entreprise et les services de conformité ne doivent pas perdre de vue leur cible commune de développement, de pérennisation des affaires et de qualité des services proposés à leurs clients externes, mais aussi internes, car ce sont les premiers concernés par les procédures et les outils quel que soit le canal de distribution.

Une autre pression croissante sur les processus est de s’adapter aux différents canaux de distribution, de produit ou service, de spécificité de clientèle, tout en détectant et limitant les possibilités de fraude.

Le chemin critique de la prévention et lutte contre tous les risques doit être rendu le plus fluide possible, tout en continuant à se conformer aux exigences réglementaires.

Les contrôles pertinents de niveaux 1 et de niveau 2 doivent être coordonnés et mis à jour à chaque évolution. Ceci suppose des actions préventives et correctives permanentes de la conformité, gage de pérennité et d’éthique d’une organisation.

La distribution de produits dite « multi-canal », en fort développement, suscite également de nouvelles contraintes d’adaptation à différentes réglementations. Ceci suppose de revoir et adapter constamment les processus de conformité mais aussi les technologies.

De nouveaux outils de digitalisation doivent ainsi être intégrés à des refontes des systèmes d’information déjà nécessaires et planifiés. Ceci n’est pas sans complexifier les feuilles de route et les budgets.

Pour atteindre la cible de satisfaction légitime de la clientèle et des régulateurs, il est indispensable de réfléchir à une harmonisation des concepts « Conformité » et « Contrôle de la Qualité des services rendus ».

mais des avancées vers une conformité opérationnelle

L’environnement des professions de la conformité progresse favorablement vers plus d’opérationnalité sur plusieurs points :

  • les régulateurs tentent d’harmoniser les nombreuses règlementations et s’inscrivent dans l’accompagnement. Les textes se précisent, les établissements se réunissent et travaillent de concert avec les organismes de place pour comprendre les attendus. Les textes ne cessaient en effet de se multiplier et les réglementations parfois de se chevaucher….
  • la mise à disposition par différents acteurs (AFA (Agence Française Anti-corruption), ACPR (Autorité de Contrôle Prudentiel et de Résolution), AMF (Autorité des Marchés Financiers) …) de guides de bonnes pratiques et autres partages pédagogiques. Ces supports permettent de mieux comprendre les attendus, éclaircir certaines zones d’ombre susceptibles de mauvaises interprétations des premières directives ou recommandations, et ceci dans un réel effort pédagogique.
  • des réflexions communes risques, RIL (Référent Informatique et Libertés) et conformité autour de l’harmonisation des règles de l’archivage intelligent. Il est en effet indispensable d’intégrer de nouvelles technologies qui concilieront le concept d’archivage « durable », papier ou digital et les obligations liées à la protection des données personnelles.
    Enregistrer, archiver 10 ans les pièces comptables, 5 ans voir 7 ans pour le devoir de conseil, 5 ans après la fin de la relation dans le cadre de la LCB-FT … tout en respectant le droit à l’oubli…Ce sujet n’a pas fini de faire couler de l’encre…
  • la distribution mutli-canal engendre une réelle prise de conscience de développement d’offres dédiées aux clientèles spécifiques visant à mieux conseiller et protéger les segments de clientèle par canal de distribution.
  • et d’autres thématiques qui mériteraient d’être abordées entre homologues

Du côté des établissements réglementés et pour répondre aux différentes exigences, on peut également constater une montée en compétence mais aussi une multiplication des spécialistes de la maîtrise des risques.

une vision 360° Conformité : une méthode indispensable

Une vision 360° Conformité formalise un chemin critique du risque de non-conformité de l’établissement, lui permettant de rester en cohérence avec les exigences croissantes liées au contexte sanitaire, démographique, géographique, économique, réglementaire, mais aussi au changement d’habitudes des consommateurs.

Vision 360° Conformité
Source : Nathalie Pitault

Cette démarche consiste à :

  • évaluer en continu les effets d’un programme de conformité
  • mesurer les écarts entre les objectifs attendus et les résultats obtenus
  • identifier les dysfonctionnement
  • mettre à jour les forces et les faiblesses d’une entreprise dans sa communication
  • élaborer une stratégie et ajuster sa communication aux attentes de ses publics

Par quels moyens ?

  • en se rendant en permanence à l’écoute des métiers grâce à des réunions quotidiennes de gestion de crise,
  • en gérant des listes de priorité pour créer une relation fluide et continue dans le traitement des projets réglementaires en cours,
  • en personnalisant la relation,
  • en automatisant les demandes d’avis les plus fréquentes, grâce notamment à des FAQ (Foire Aux Questions),
  • en valorisant les tâches à forte valeur ajoutée,
  • en développant des analyses d’impact de la veille réglementaire et en suivant les projets de l’établissement grâce à des indicateurs et des scores objectifs,
  • en intégrant les Comités décisionnels des Directions opérationnelles.

Il s’agit ainsi de placer la conformité autant que possible au sein des métiers opérationnels.

vers une conformité au cœur des métiers

Lorsqu’elle est positionnée au sein même des métiers, la conformité peut devenir un acteur clé de la satisfaction de la clientèle. Une plus grande participation de représentants de la conformité aux analyses d’impact et des risques, aux expressions de besoins ainsi qu’aux phases de recettes permet :

  • d’éviter le déploiement d’outils inadaptés entraînant directement ou indirectement une « non qualité »,
  • la mise en place de formations ou processus trop complexes qui engendreraient au final des risques de non-conformité par mauvaise interprétation ou inadéquation des normes, pratiques, procédures, ou réglementations.

Ces méthodes de travail permettent par ailleurs de développer la confiance de tous, gage de sécurité psychologique, essentielle à une conformité efficace.

L’unité de tous les acteurs du contrôle permanent, des risques et de la conformité participe à la progression individuelle et collective et au développement d’une véritable culture de la conformité. Pour cela, il est nécessaire de :

  • procéder à une revue régulière et à la mise en œuvre du dispositif de conformité,
  • participer aux analyses de risques et à l’identification des impacts prévisibles ou potentiels,
  • rédiger et mettre à jour le corpus documentaire ainsi que les guides de contrôles, notamment en lien avec les politiques et les standards du groupe,
  • étayer les avis de conformité sur la base des documents de référence déclinées par métier,
  • analyser et reporter les incidents de communication identifiés, proposer et suivre la mise en œuvre du plan d’actions correctives défini,
  • contribuer au développement de nouvelles communications, de nouveaux marchés, en appréciant leur faisabilité opérationnelle et leur conformité, en collaboration avec les équipes business, opérationnelles, risques et juridiques,

Ceci suppose une organisation spécifique consistant à :

  • protéger l’entreprise contre le risque de sanction et de réputation,
  • donner une vision transversale et stratégique de l’entreprise, une connaissance approfondie de la réglementation et du risque inhérent au processus de l’établissement, afin de détecter les failles organisationnelles,
  • sensibiliser les parties prenantes dont les Maîtrises d’Ouvrage et Maîtrises d’œuvre au risque de non-conformité,
  • contrôler le respect des procédures en adéquation avec les contraintes de l’entité,
  • documenter et rapporter les alertes critiques à la direction générale,
  • collaborer avec l’ensemble des départements
  • instaurer une cohésion d’ensemble autour d’un système de valeurs communes en développant des réflexes conformité et une culture conformité.
Les clefs pour la mise en place d’un dispositif de conformité opérationnelle :

  • communiquer aussi bien en transversal qu’en vertical.
  • rendre le département de la conformité visible dans l’entreprise via des journées ou séminaires conformité.
  • trouver des relais de communication et d’informations, des correspondants métiers : il n’est pas possible d’être partout mais nécessaire d’être là quand il le faut…
  • organiser de brèves interventions en introduction des formations métier pour les sensibiliser le cas échéant au risque de réputation qui pourraient les impacter.
  • alterner formation et communication : utilisez des techniques de communication (utiliser des mises en forme accessibles, attrayantes, utiliser des supports interactifs tels les quiz …).
  • optimiser les reporting pour faciliter la compréhension et escalader les risques de manière objective.
  • rester en contact avec des homologues sur les grands thèmes et les nouvelles techniques, afin de partager les interrogations et les meilleures pratiques.
  • transmettre des informations compréhensibles et accessibles aux lecteurs des reporting. Ajouter tables des matières, être attentif aux différentes compétences, langues, technologies ou appétences aux risques, ou bien encore insérer des glossaires dans les utilisations des termes techniques, acronymes ou noms d’applications informatique facilitent la clarté de lecture.

 

La communication ainsi que la précision, le détail et l’accessibilité des informations transmises sont des sujets clés permettant aux parties prenantes, professionnels de la conformité et métiers opérationnels, de collaborer efficacement à la performance de l’organisation.

L’évolution de l’activité et la crise sanitaire que nous venons de vivre le démontrent, il est essentiel de considérer que la « conformité sur étagère » n’existe pas.

Les professionnels de la conformité doivent travailler en étroite association avec les métiers, les juristes et les risques opérationnels, afin de développer une activité efficace et pérenne.

Auteurs
Nathalie Pitault et Miriasi Thouch   

Nathalie Pitault – Responsable Conformité 
Miriasi Thouch – Responsable Expertise métiers et Ingénierie pédagogique – Learning Factory ESBanque

 

Sources : 

  • 365 risques en entreprise : Une année en risk management – Jean-David Darsa – Edition Gereso – Octobre 2017
  • Gouvernance et fonctions clés de risque, conformité et contrôle dans les établissements financiers: Banques, assurances, sociétés de gestion – Marie-Agnès Nicolet – RB Edition – Octobre 2015
Apprentissage automatique et conformité financière : une révolution technologique incontournable

Apprentissage automatique et conformité financière : une révolution technologique incontournable

Temps de lecture estimé : 11 min

Rédaction WEB : JUST DEEP CONTENT

L’Intelligence Artificielle et les Graph Analytics sont les outils de Conformité de demain. Leur technologie supplante les algorithmes déterministes sur de nombreux aspects. Explications.

 

Le marché des solutions logicielles d’entreprise de sécurité financière et de conformité connaît une véritable révolution depuis 2015. De nouvelles technologies sont apparues permettant de véritables gains en efficacité et réduction de coûts pour les institutions financières qui s’y intéressent.

Ces institutions sont de plus en plus nombreuses à sauter le pas. Bien entendu, toutes affichent des stades de maturité inégaux sur le sujet mais aujourd’hui, aucune institution financière de premier plan, où qu’elle se trouve sur la planète, ne saurait se permettre de se détourner de cette révolution.

Le coût de la conformité a constamment progressé au cours des 20 dernières années et les institutions financières cherchent par tous moyens à optimiser leurs dispositifs de conformité.

Le recours aux algorithmes déterministes a permis la mise en place de premiers outils technologiques permettant d’automatiser un grand nombre de contrôles de conformité. Leur principe de fonctionnement connaît néanmoins des limites, y compris en termes d’efficacité.

Dès lors, le recours aux nouvelles technologies ne peut être ignoré.

Malgré la prudence des établissements assujettis et des régulateurs, tant dans les choix technologiques réalisés que dans la manière dont ils sont mis en œuvre, l’Intelligence Artificielle et les Graph Analytics sont des outils dont l’usage va devenir croissant. Point sur cette nouvelle révolution technologique.

les algorithmes déterministes : les outils jusqu’ici utilisés en conformité bancaire

Le marché des solutions logicielles de conformité existe depuis plusieurs décennies.

La première Directive européenne sur le blanchiment d’argent de 1991 (LCB/FT, Lutte Contre le Blanchiment et le Financement du Terrorisme) a fait naître une vague importante de fournisseurs que l’on peut qualifier d’historiques, encore présents sur ce marché (Mantas en 1996, Norkom et Fortent en 1998 et Actimize en 1999).

Jusqu’à très récemment, l’essentiel de l’offre disponible dans le marché reposait sur des algorithmes simples, uniquement basés sur ce que l’on appelle des « règles déterministes ».

Un algorithme déterministe est d’abord un algorithme prévisible : il produira toujours le même résultat pour la même donnée en entrée.

Un exemple de règle déterministe serait : si le montant d’un virement est supérieur ou égal à 1000 euros, alors l’algorithme fera « ABC… ».

La prévisibilité, c’est une qualité ! Une règle de détection ainsi configurée est explicable et pouvoir en expliquer le fonctionnement à son régulateur est aujourd’hui un « must » et, souvent, une obligation réglementaire !

L’inconvénient majeur d’une règle déterministe est qu’elle ne détectera que ce pour quoi elle a été programmée.

Dans l’exemple ci-avant, un dépôt espèces même s’il a des caractéristiques identiques à ce virement, ne sera pas détecté. Le logiciel ne détectera cette transaction que s’il a été configuré pour le faire.

Pour trouver ce que l’on recherche, il faudra donc que cela « rentre dans les cases ». Du coup, la banque se reposant sur ce type de détection devra, pour satisfaire aux exigences du régulateur, configurer beaucoup de règles (plus d’une centaine parfois) afin de ne passer à côté d’aucune typologie de blanchiment d’argent ou de financement du terrorisme.

Un nombre élevé de règles et des seuils bas pour ne rien laisser passer : vous avez ici une recette universelle qui conduit à la génération de beaucoup d’alertes et de presque autant de faux positifs (ces alertes de mauvaise qualité, inintéressantes). Chaque alerte devant être analysée a priori par des analystes humains.

On voit ici clairement quelques-unes des principales raisons pour lesquelles le coût de la conformité a littéralement explosé au cours des deux dernières décennies.

intelligence artificielle, graph analytics : la révolution des nouvelles technologies pour la conformité financière

On parle de révolution, de nouvelles technologies, mais de quoi s’agit-il précisément ?

Au-delà des solutions « historiques » à base de règles évoquées plus haut, le vaste univers de l’apprentissage automatique (une des branches de l’IA, l’Intelligence Artificielle, appelé « Machine Learning » en anglais) ainsi que l’analyse à base de graphes (« Graph Analytics ») revêtent un intérêt certain pour les institutions financières qui les utilisent. Voyons comment.

l’intelligence artificielle ou l’usage du machine learning en conformité bancaire

L’intelligence Artificielle, déjà présente dans de nombreux domaines, y compris de la vie quotidienne, apporte une valeur ajoutée significative dans l’optimisation de l’activité de Conformité.

Qu’est-ce que l’apprentissage automatique ?

L’apprentissage automatique est aujourd’hui partout autour de nous.

Quand les autorités chinoises trouvent une personne recherchée quelque part sur leur territoire, c’est qu’une caméra aura produit et stocké des images qu’une intelligence artificielle aura ensuite analysées, en extrayant des visages de ces vidéos et en les comparant à une base de données de ces personnes recherchées.

Lorsque votre voiture corrige d’elle-même sa trajectoire parce que son conducteur s’approche trop près du bord de la route, c’est qu’une intelligence artificielle aura détecté cette situation anormale et pris la décision d’y remédier.

Quand votre téléphone mobile effectue des actions parce que vous le lui aurez demandé par la voix (par exemple : « appelle X », « Dis-moi où se trouve le coiffeur le plus proche » …), c’est, ici encore, qu’une intelligence artificielle aura « compris » ce que vous lui demandez et aura traduit cet ordre en une action qu’elle sait réaliser.

En matière de solutions de Sécurité Financière, l’apprentissage automatique est aujourd’hui préconisé et utilisé pour plusieurs cas d’usage distincts.

Intelligence Artificielle : quelle utilité en Conformité financière ?

En premier lieu, l’apprentissage automatique permet à un ordinateur d’« apprendre » ce qu’est une bonne alerte (un « vrai positif »).

Cet apprentissage est réalisé en soumettant à l’algorithme le plus possible d’exemples d’alertes considérées comme de vrais positifs par des analystes humains dans le passé. On parle alors d’apprentissage « supervisé » (« Supervised Machine Learning » en anglais) ou « semi-supervisé », selon les cas, en ce sens que l’on « supervise » l’algorithme en lui montrant la voie.

L’intérêt pour ce type d’approche est clair : si un ordinateur peut automatiquement classifier les alertes générées en tant que vrais et faux positifs, il le fera en une fraction de seconde, soit beaucoup plus rapidement que ne pourrait le faire un analyste humain qui, lui, aura besoin de plusieurs minutes par alerte pour arriver à un résultat comparable.

Autre intérêt, chaque alerte clôturée devant faire l’objet d’une explication sous forme de texte, l’algorithme pourra la générer en une fraction de seconde, ce qui représente ici encore un gain de temps très substantiel par rapport au travail manuel d’un analyste humain. Pour plus de sécurité, on peut même demander à l’algorithme de prendre une décision de clôture ou d’escalade des seules alertes pour lesquelles son degré de confiance (vrai ou faux positif quasi-certain) est très élevé.

S’agissant des alertes pour lesquelles un doute raisonnable subsiste, un analyste humain pourra tout à fait les revoir manuellement. Quoi qu’il en soit, la somme de ces minutes de traitement gagnées au niveau de chaque alerte peut représenter des centaines de milliers voire des millions d’euros chaque année pour une institution financière, selon la taille de ses opérations. Les économies induites par cette solution peuvent représenter jusqu’à 90% des coûts de traitement humain.

L’apprentissage automatique peut également être utilisé au stade de la détection, c’est-à-dire en amont de l’exemple mentionné au paragraphe précédent. En matière de lutte contre la fraude, par exemple, on peut tout à fait « apprendre » à un algorithme (supervisé, donc) à quoi ressemble une transaction frauduleuse afin d’en stopper les effets le plus rapidement possible.

Pour ce faire, à nouveau, l’institution financière doit soumettre à l’algorithme le plus possible de cas de fraude avérés de sorte que la qualité de la détection soit optimale. Il n’est pas toujours possible, même après un certain délai, d’acquérir la certitude qu’une transaction est frauduleuse ou pas. En matière bancaire, qu’il s’agisse de chèques, de carte ou de prêts à la consommation, les chiffres de la fraude mûrissent assez rapidement et après un mois ou deux, on obtient des données relativement « propres » pour pouvoir les soumettre à un algorithme d’apprentissage automatique. Il s’agirait en effet de ne pas biaiser son apprentissage avec par exemple des exemples de transactions non frauduleuses qui, en définitive, seraient déclarées comme frauduleuses quelques semaines plus tard.

L’intérêt de cette approche est assez évident : stopper la fraude en temps réel avant que l’argent ne quitte les caisses de la banque, ce qui permet de réaliser très rapidement des économies substantielles. D’autant plus qu’en France, l’impact financier de la fraude est généralement supporté par les établissements financiers, sauf à ce que ces derniers ne parviennent à démontrer que le client porteur des moyens de paiement en question a été négligeant (par exemple, report du code secret de carte bancaire sur un post-it dans le portefeuille).

En dernier lieu, il existe une branche de l’apprentissage automatique qui n’a pas besoin qu’on lui apprenne ce qui est problématique et ce qui ne l’est pas, à la différence des deux exemples précédents. On parle donc ici d’apprentissage « non supervisé » (« unsupervised machine learning » en anglais).

Pour simplifier l’explication, ces algorithmes permettent de trouver des anomalies dans les données qui lui sont soumises. On parle d’ailleurs « d’anomaly detection » en anglais, ou détection d’anomalies en français. Très souvent, il s’agit de séries de données dans lesquelles l’algorithme perçoit une décorrélation, c’est-à-dire un écart inhabituel entre plusieurs séries de données préalablement mieux ou différemment corrélées.

Par exemple, un client pouvait appartenir à un « groupe de pairs » ou « cluster » particulier quant à la fréquence ou au montant global de ses transactions jusqu’à récemment et, pour une période plus récente, l’algorithme détecte que le client en question en est sorti à la faveur de transactions plus fréquentes ou de montants globaux plus élevés que d’habitude.

On dit souvent que l’intérêt pour ce type de détection est de contrebalancer le biais des règles déterministes : ces dernières ne trouvent que ce qu’on leur a demandé de trouver, tandis que l’apprentissage automatique non-supervisé fait exactement le contraire, à savoir chercher les anomalies jusqu’alors inconnues de l’institution financière (les fameuses « unknown unknowns » en anglais).

On touche ici au « graal » des métiers de détection en conformité : trouver tout ce qui doit l’être et non juste ce qui peut l’être.

graph analytics : l’apport technologique de l’analyse à base de graphes

L’analyse à base de graphes (« Graph Analytics » en anglais), quant à elle, complète une installation traditionnelle à base de règles ou utilisant l’apprentissage automatique. On peut utiliser les graphes au stade de la détection et/ou à celui de l’adjudication des alertes.

Source : Oracle

L’exemple ci-dessus montre ce qu’est un graphe. Il s’agit d’une représentation visuelle d’entités reliées entre elles d’une façon ou d’une autre. Une entité peut être une personne, un compte, un moyen de paiement, une alerte, une adresse … Un lien peut-être une transaction (par ex. ‘X’ envoie de l’argent à ‘Y’), un lien de possession (par ex. ‘X’ est titulaire du compte ‘Y’, ou ‘X’ détient 20% du capital de la société ‘Y’).

On perçoit assez rapidement les apports des graphes par rapport à l’approche traditionnelle des règles déterministes :

  • les règles produisent généralement des résultats sous la forme de matrices, qui peuvent être difficiles à analyser de manière holistique lorsque le nombre de résultats est élevé.
  • ces résultats sont souvent unidimensionnels en ce sens qu’ils renvoient rarement les résultats obtenus de manière consolidée à travers les différentes entités de données d’une même problématique : transactions, personnes, comptes, produits financiers …
  • enfin, les règles permettent très difficilement de voir au-delà du premier degré de séparation. Les graphes, eux, gomment l’ensemble de ces biais.

En tant qu’outil de détection, on peut facilement configurer une solution à base de graphes de sorte qu’elle alerte sur des schémas de trafic d’êtres humains ou d’espèces animales protégées, par exemple. Les graphes auraient tout aussi pu aider à découvrir plus tôt les escroqueries au carrousel de TVA dans les années 1990.

La possibilité offerte par les graphes de voir au-delà du premier degré de séparation est également d’une aide certaine. En effet, savoir qu’un client de la banque est lié à une autre personne (premier degré) qui elle-même est liée à une autre personne (deuxième degré) et que cette dernière est une personne apparaissant sur une liste de sanctions internationales, situation compliquée à détecter au moyen de règles, est un apport indéniable aux solutions classiques.

Au stade de l’adjudication des alertes, les graphes apportent une plus-value certaine. Ils permettent justement à un analyste :

  • d’avoir une vue d’ensemble de la situation d’une personne ou d’un compte objet de l’alerte sur laquelle il travaille,
  • de comprendre les liens entre ces entités ou avec des alertes ou des entités tierces,
  • comprendre celles de ces entités liées qui pourraient être sanctionnées ou politiquement exposées (PPE) ou pour lesquelles des informations à connotation négative existent dans les médias, par exemple.

Lorsqu’elles sont suffisamment puissantes, les solutions à base de graphes permettent également de lier ces entités de façon floue (« fuzzy » en anglais).

Ainsi, une personne nommée « M. Louis DUPOND » pourra être considérée comme identique à une personnes nommée « M. L. DUPOND » s’ils ont une date de naissance proche voire identique, par exemple. Sans cette fonctionnalité cruciale, aucune correspondance ne pourrait être faite entre ces deux entités alors qu’il s’agit à l’évidence de la même personne. Ce qui restreindrait, par construction, la vision d’un analyste à une partie seulement de l’histoire du client sous investigation.

L’application de ces nouvelles technologies au domaine de la Sécurité Financière et de la Conformité est assez récente puisqu’elle date à peu près du milieu des années 2010, alors même que le concept d’apprentissage automatique existe depuis les années 1960 et que les prémices de la théorie des graphes datent de… 1736 (publication du problème mathématique nommé « Les 7 ponts de Königsberg » par Leonhard Euler) !

Seulement, le passage de la théorie à la pratique en ces domaines nécessite une certaine puissance informatique (surtout s’agissant des graphes).

L’explosion des capacités informatiques et du « cloud computing » au cours de ces dix dernières années, cumulée à l’inflation des coûts de conformité, ont grandement facilité l’avènement de la révolution en cours.

a quand une révolution technologique en conformité financière ?

A lire ce qui précède, l’on pourrait tout à fait se poser la question de l’avènement d’une véritable révolution, celle du remplacement pur et simple des règles déterministes par ces nouvelles technologies. Certains éditeurs spécialisés ne proposant que des solutions à base d’apprentissage automatique en font d’ailleurs la promotion. La mort des règles, selon eux, serait imminente !

Mais cette transformation tarde à arriver et n’arrivera probablement pas de sitôt.

Premièrement, comme expliqué ci-avant, les règles ont un avantage que l’apprentissage automatique n’a pas toujours : elles sont facilement compréhensibles et explicables. Un algorithme d’apprentissage automatique est d’autant plus explicable que sa logique de détection est simple et certains algorithmes sont très complexes. Adieu, donc, l’explicabilité dans certains cas.

Et c’est bien là que se situe le problème : une alerte générée doit être explicable aux yeux des régulateurs.

Si un établissement ne sait pas expliquer comment ses algorithmes fonctionnent, ni pourquoi telle ou telle alerte a été générée, comment saura-t-il convaincre ses régulateurs qu’il a confiance dans la couverture de ses risques ?

Que les règles soient compréhensibles est également un atout : les équipes d’analystes LCBFT à travers le monde ont été formées à leur utilisation depuis des décennies.

Une approche transformative radicale vers ces nouvelles technologies nécessiterait à la fois un effort de formation important et une évolution du profil des équipes de Conformité et de gestion des Risques vers des profils beaucoup plus « matheux ». Ce qui suppose un budget plus important, alors que l’objectif poursuivi par les établissements financiers à l’heure actuelle est justement la réduction des coûts.

Intelligence Artificielle, Graph Analytics, les nouvelles technologies permettent des gains en efficacité et en productivité réels et les institutions financières ne s’y trompent pas : elles s’en saisissent massivement depuis 2015.

L’usage de ces nouveaux outils reste néanmoins loin de se généraliser. Ces nouvelles technologies restent le plus souvent utilisées en particulier aux fins d’amélioration d’une partie du dispositif LCBFT. Il faut dire que remplacer un système dans son ensemble est parfois compliqué, souvent coûteux et long. Il induit aussi beaucoup de changements, notamment au niveau des équipes opérationnelles.

Quant aux régulateurs, la majorité d’entre eux embrasse la révolution en cours et l’encourage même, pour certains, tout en soulignant qu’il est nécessaire de rester en conformité avec la réglementation, quels que soient les dispositifs de supervision employés par les établissements assujettis.

Que faut-il comprendre par-là ? Que les établissements doivent rester à la pointe de l’innovation et s’équiper des toutes nouvelles technologies et approches disponibles dans le marché, mais que les économies générées par ces nouveaux outils ne sauraient se faire au détriment de la maîtrise de leurs risques de blanchiment d’argent et de financement du terrorisme.

Auteur
Frédéric Boulier  
Global Head of Solution Consulting, Membre du jury du prix « Finance : Ethique & Confiance », Observatoire de la Finance – ESBanque