Rédaction WEB : JUST DEEP CONTENT
La maitrise des risques de non-conformité est aujourd’hui intégrée dans la stratégie des groupes internationaux. Le degré de supervision par l’organe central d’un groupe avec une présence à l’international peut varier suivant le niveau de maturité de son dispositif Conformité, l’appétence aux risques décidée par les dirigeants et la stratégie du groupe de décentraliser ou non les prises de décisions. Quoi qu’il en soit, il est nécessaire et important d’avoir une approche structurante afin d’organiser au mieux le dispositif Conformité à l’échelle d’un groupe.
SOMMAIRE
- Pourquoi décliner le dispositif Conformité à l’échelle groupe
- Comment superviser au-delà des frontières ?
- Quels sont les indicateurs d’une gestion efficace et maitrisée ?
Pourquoi décliner le dispositif Conformité à l’échelle groupe
Une obligation réglementaire ou une démarche volontaire ?
Le secteur d’activité concerné influe sur le caractère obligatoire ou volontaire d’une approche à l’échelle groupe plus ou moins stricte.
Pour les groupes exerçant dans le secteur financier qui sont soumis à agrément (comme les établissements de crédits, les banques digitales, les sociétés d’assurances, les courtiers, etc.), les règles de la société mère sont en principe appliquées par les filiales étrangères ; cela découle d’une obligation réglementaire.
Ainsi, la veille réglementaire est obligatoire à mettre en place pour les entreprises assujetties en France et leurs filiales à l’étranger.
Pour les autres entreprises, elles transposent à minima leur dispositif Conformité pour (i) assurer l’application du programme Anti-corruption (cadre extraterritorial de la loi Sapin II), (ii) assurer des vérifications sur les noms des clients, fournisseurs ou tout autre tiers contre les listes consolidées au regard des sanctions internationales (iii) lutter contre la fraude avec un programme à l’échelle groupe et (iv) respecter la confidentialité des données personnelles.
Cette cascade du dispositif conformité à l’échelle du groupe tend à assurer une supervision cohérente et efficace du dispositif global.
Nécessité de cascader le dispositif de la maison mère dans une perspective de maitrise des risques à l’échelle du groupe
La mise en place d’une gouvernance adaptée permet une telle maitrise des risques.
Ainsi, le Corps procédural va permettre une cohérence dans l’application des règles ;
Exemple : sur les sanctions internationales contre la Russie, sanctions EU et sanctions US (OFAC office of foreign assets control), diffusion à l’échelle groupe pour une application cohérente et uniforme par toutes les entités du groupe.
Un autre élément important est l’exercice de la cartographie des risques. Elle va aider à avoir la visibilité nécessaire : la société mère diffuse la méthodologie et ensuite, remontée des informations pour consolidation. Les risques spécifiques identifiés sont ainsi pris en compte et escaladés au niveau central.
De même, les « Key Risk Indicators » (KRI) sont ceux adressés par la société mère pour assurer un pilotage cohérent des risques identifiés.
Exemples : des KRI spécifiques sur le traitement des alertes en matière de Lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT). Des indicateurs sur les correspondants bancaires : nombre, due diligence avant toute nouvelle relation, etc.
Enfin, cette cascade est liée également à la nécessité de contrôler les entités pour remédier à d’éventuels ajustements du dispositif (supervision) et assurer une maitrise globale des risques.
Superviser impose également de s’assurer de la bonne application des règles ; le contrôle est défini et déployé à tous les niveaux de l’organisation. Des contrôles effectués au niveau local mais également des contrôles décidés et exécutés depuis la société mère suivant le plan de contrôle annuel défini. Il s’agit bien d’assurer la maitrise des risques de non-conformité à l’échelle du groupe.
Comment superviser au-delà des frontières
L’exercice peut parfois paraitre difficile : les informations demandées ou cascadées depuis la société mère peuvent ne pas être comprises par les équipes locales ou appréhendées dans la même perspective.
La gouvernance en place comme passage obligé
- Mettre en place une comitologie et en définir le cadre (fréquence, participants, contributions, présentations, décisions ou avis). Prendre en compte les différences de langues s’agissant du corps procédural, définir la hiérarchie des normes (politiques, procédures, instructions, etc.) Expliquer cette hiérarchie aux entités qui doivent bien appréhender les attentes.
- Assurer un canal de diffusion : Diffusion des procédures, instructions, notes et toute autre information aux entités.
- Pour les Etablissements de crédit, la gouvernance intègre la gestion harmonisée des correspondants bancaires, c’est-à-dire les banques partenaires qui fournissent des prestations de services bancaires notamment la gestion de trésorerie ou encore les virements internationaux. Une politique unique pour le choix de ces correspondants est mise en place dans les Etablissements de crédits afin d’assurer des dispositifs conformité équivalents et qui répondent aux exigences et standards internationaux. Enfin, la gestion des correspondants bancaires est souvent centralisée afin d’assurer un suivi consolidé et un contrôle cohérent pour l’ensemble du groupe.
- Installer des reportings: la remontée des informations nécessaires permettra de compléter la visibilité de la société mère ; cela peut être une demande du régulateur et donc remontée des informations pour une consolidation par le central. Cela peut aussi être lié aux changements survenus dans un pays (nouvelle loi, audit régulateur, nouvelle liste de sanction, etc.).
- Organiser des entretiens réguliers/visites de supervision : avec une liste des sujets à traiter et à sur lesquels échanger. Formaliser également cette supervision par le biais de rapports sur les sujets discutés.
- Prendre en compte l’environnement réglementaire spécifique local, qui peut imposer un traitement différent des sujets Conformité (par exemple, résoudre la situation où certains dossiers présentent une sensibilité ou un impact potentiel sur le groupe dans un contexte réglementaire local interdisant l’escalade à la société mère).
L’extraterritorialité est-elle considérée/traitée comme une spécificité locale ? L’extraterritorialité n’est pas une spécificité locale mais plutôt s’impose comme une règle devant être appliquée en local. La conséquence est que parfois, un conflit de lois impose des avis juridiques et un traitement spécifique.
Exemple: extraterritorialité des règles américaines notamment sur les sanctions impose leur application au-delà des frontières. Autre exemple : extraterritorialité de la loi Sapin II avec les 8 piliers à mettre en place au sein des entités françaises avec leurs filiales situées à l’étranger.
Formaliser et suivre les spécificités locales
Pour identifier ces différences, il faut avoir mis en place une supervision rapprochée et donc avoir posé les bonnes questions au bon moment.
L’exercice de la cartographie des risques va aider à avoir cette visibilité en assurant la participation des entités locales à l’exercice et en ayant des échanges avec une méthodologie uniformisée en place au sein du groupe pour faciliter la consolidation des résultats.
Les comités mis en place permettront de remonter les informations pertinentes comme l’adoption d’une nouvelle loi, les difficultés d’implémentation d’une procédure cascadée par le central, etc.
Il s’agit donc de formaliser toute spécificité locale qui ferait obstacle à l’application des règles du groupe.
Mise en place de procédure opérationnelle dans chaque filiale tenant compte des spécificités organisationnelles et réglementaires.
Si des contraintes locales empêchent l’application d’une procédure, il faut formaliser cette exception et préciser si nécessaire quelle est l’option dégradée à mettre en œuvre.
Le système des exceptions doit toutefois rester spécifique et très limité.
La formation, partie intégrante du dispositif de supervision
Du fait de l’application des réglementations de la société mère à l’ensemble du groupe, et, plus globalement, de l’évolution réglementaire et environnementale pouvant impacter l’activité de l’entreprise, il est nécessaire d’avoir une interprétation cohérente et comprise par tous d’une manière identique. Par ailleurs, il est important d’expliquer ce niveau d’exigence lorsque cela est plus restrictif ou encore une nouvelle réglementation qui doit être déployer. La formation est clé pour les équipes locales.
Enfin, les formations sont ciblées et ont pour objectif de transmettre aux équipes conformité locales ce savoir et cette interprétation de la société mère pour qu’elles puissent former, à leur tour, les équipes métier locales. Les échanges font parfois apparaitre les spécificités/difficultés du local dans cette transposition des procédures de l’organe central.
Cela a également pour objectif de permettre une meilleure analyse des sujets conformité par les locaux ; une responsabilisation grandissante et donc une délégation locale plus large.
Quels sont les indicateurs d’une gestion efficace et maitrisée ?
Les indicateurs visés sont ceux liés à l’activité de l’entreprise et permettront de superviser efficacement le dispositif Conformité en place.
Des indicateurs de non-conformité sur les Know Your Customer
Le principe: il s’agit de s’assurer de l’uniformité dans l’application des règles.
La gestion uniformisée des tiers impose les mêmes exigences pour tout type de tiers (KYC, KYI, KYS, etc.). Les procédures de gestion des tiers sont détaillées et différencient les informations à collecter suivant le statut du tiers. Ainsi, des différences sont à prendre en compte suivant la relation entretenu avec le tiers : client, fournisseur, intermédiaire, etc. Tous ces tiers vont être définis au niveau de la MS pour avoir des règles cohérentes pour chaque type de tiers. Ce sont donc les mêmes procédures pour tous (à l’échelle groupe), etc. Au niveau local, les procédures sont implémentées avec des dispositions plus opérationnelles (ou des procédures opérationnelles) tenant compte de l’organisation, des processus ou encore des spécificités locales.
Quelques indicateurs à retenir : indicateur lié à la distinction de statut des tiers visés qui sera donc répercuté sur les informations à collecter. Un autre indicateur pourra être le nombre de clôtures des relations/tiers, par type de tiers, pour des raisons de non-conformité.
Un autre indicateur peut viser le nombre de Personnes Politiquement Exposées (PPE) à l’entrée en relation par rapport à l’ensemble des entrées en relation.
Indicateurs sur les transactions/flux financiers/outils
Les éléments qui sont à relever dans cette partie pourraient concerner le nombre d’alertes générées par l’outil LCB-FT (lutte contre le blanchiment et le financement du terrorisme) par rapport au nombre total de transactions (pour une banque), le taux de génération des alertes pourra aider à évaluer la pertinence des paramétrages ou encore la bonne couverture des risques avec les scénarios activés.
D’autres indicateurs pourront cibler le respect des sanctions financières, les résultats des contrôles effectués pour mieux pointer les axes d’amélioration ou encore la formation (avec des indicateurs sur le taux de participation, le taux d’achèvement, etc.).
Un point d’attention à prendre en compte sur les outils. Les systèmes d’information peuvent être différents au sein d’un groupe mais les informations à collecter sont bien les mêmes (suivant les procédures en place); on s’assure d’avoir les mêmes données bien que les outils soient différents. Pour certains traitements, des outils sont utilisés au niveau central pour permettre de maitriser davantage le risque de non-conformité : par exemple, vérifications des noms contre les sanctions (paramétrage, taux de similarité imposé, etc.).
Des outils pour la supervision des opérations, ex-post avec des scenarios couvrant les mêmes risques (socle commun) même si des spécificités locales peuvent également exister. Parfois, les outils sont centralisés pour la sécurisation des données ; cela est parfois difficile à concilier avec des réglementations sur la protection des données personnelles.
Les limites aux exigences du groupe
- Les exigences locales : la loi locale peut imposer une interdiction sur les échanges d’informations (données personnelles); elle peut imposer que les décisions soient prises par les responsables locaux; elle peut également imposer que les outils soient localisés dans le pays (exemple du système d’information) etc.
- Le dispositif conformité est local mais l’organisation souvent cascadée de la direction centrale : les structures des équipes, les différents domaines de la conformité, le lien hiérarchique de la fonction, etc. Toutefois, une spécificité locale peut imposer une organisation différente comme la séparation des équipes AML avec une unité distincte qui déclare les déclarations de soupçon (DS).
- Les exigences réglementaires du central : les régulateurs peuvent être plus conservateurs. Par Exemple, la réglementation EU impose la collecte d’un certain nombre d’informations notamment s’agissant des PPE, l’origine du patrimoine et l’origine des fonds impliqués dans la relation d’affaire. Pour les entités qui ne sont pas dans l’UE, ceci n’est pas toujours requis. Toutes ces contraintes peuvent interférer dans la maitrise du risque global au niveau groupe.
- Le risque spécifique local peut être lié à l’environnement géopolitique, à la culture, etc. par exemple l’usage fréquent du cash (normal dans certains pays) peut rendre difficile l’identification des transactions suspicieuses.
En conclusion, on peut noter certaines difficultés depuis le contexte de la pandémie du COVID.
L’absence de déplacements a impacté la connaissance du terrain : le contrôle se fait à distance, les formations également.
Conséquence, responsabilisation accrue des équipes locales mais renforcement de la supervision à distance et renforcement de la formation.
Une adaptation rapide avec tous les changements environnements et contextuels est nécessaire pour assurer le même niveau de supervision avec des moyens différents.
Auteur
Experte Conformité – Chargé de projet « Compliance transformation and Training » chez Arval Groupe – Intervenante pour le Certification Responsable Conformité / Compliance Officer
Sources :
- Veille réglementaire : article 41 de l’arrêté du 14 nov. 2014 modifié par l’arrêté de janvier 2021
- Article L561-2 les personnes assujetties à la lutte contre le blanchiment des capitaux et le financement du terrorisme.
- Loi Sapin II n°2016-1691 du 9 decembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. L’AFA a publié le 12 janvier 2020 la mise à jour de ses recommandations qui s’articulent désormais autour de 3 piliers.
- Sur la connaissance client : articles L561-5-1, L561-2, R561-12 et R561-12-1 du CMF
- Arrêté du 9 septembre 2021 définissant le cadre de référence pour la lutte contre la fraude et contre le blanchiment de capitaux et le financement du terrorisme.
- Arrêté du 24 décembre 2018 relatif au rapport sur l’organisation des dispositifs de contrôle interne et de lutte contre le blanchiment des capitaux et le financement du terrorisme et de gel des avoirs
- https://www.fatf-gafi.org/fr/publications/Recommandationsgafi/Recommandations-gafi.html
- Décisions ACPR commission des sanctions sur les manquements au dispositif LCBFT : exemples à consulter https://acpr.banque-france.fr/sites/default/files/media/2021/06/08/20210607_decision_ccmb.pdf https://acpr.banque-france.fr/sites/default/files/media/2023/05/26/20230526_decision_bmw_finance.pdf
- Sur la correspondance bancaire :
- Recommandation 13 du GAFI (Groupe d’Action Financière).
- Directive UE 2018/843 modifiant la directive (UE)2015/849 dite « 5ème Directive ».
- Article L561-10-3 CMF (modifié par l’ordonnance n°2020-115 du 12 février 2020 – article 3).
- ACPR, note explicative sur « Principes d’application sectoriels sur la correspondance bancaire »
- https://acpr.banque-france.fr/principes-dapplication-sectoriels-sur-la-correspondance-bancaire
- Sur l’extraterritorialité américaine
- Autres textes ou sources
