Sélectionner une page
Temps de lecture estimé : 10 min

Rédaction WEB : JUST DEEP CONTENT

Comment gérer les principaux risques de sécurité financière en asset management : l’externalisation des services et la multiplicité des intervenants ?

 

Devant l’ampleur du phénomène de criminalité financière et son caractère transnational, les exigences des organes de supervision et de contrôle se font de plus en plus strictes, notamment envers les acteurs économiques et financiers. La problématique est la même pour tous, à savoir : comment raisonnablement et efficacement protéger son entité du risque que représente la criminalité financière ?

La mise en place d’un système efficace de protection relatif à la sécurité financière doit nécessairement passer par « l’approche par les risques », c’est-à-dire déterminer quels sont les risques encourus, les évaluer et les classer selon leur niveau, avant de décider quelles mesures d’atténuation des risques identifiés sont les plus appropriées.

Les moyens employés diffèrent en raison de la typologie de l’entité concernée : sommes-nous en présence d’une société commerciale, d’une institution bancaire, d’un asset manager ?

Les risques encourus par un asset manager en particulier ne seront pas nécessairement les mêmes que pour une institution bancaire.

Nous retiendrons ici deux des risques principaux rencontrés en asset management, à savoir l’externalisation des services et la multiplicité des intervenants. Puis, nous verrons comment l’approche par les risques permet de les atténuer.

deux risques majeurs de sécurité financière pour l’asset management : l’externalisation des services et la multiplicité des intervenants

asset management et externalisation des services : une vigilance accrue

Différentes raisons peuvent pousser un asset manager à recourir à l’externalisation ou « outsourcing » de certaines de ses activités auprès de prestataires de services externalisés. L’objectif peut être une politique de maîtrise des coûts avec un recentrage sur le cœur de métier : la gestion et la commercialisation des produits financiers. Il peut également s’agir d’un moyen de faire face au grand nombre d’exigences réglementaires, pouvant impliquer la mise en place d’une infrastructure informatique coûteuse et chronophage.

Un asset manager peut par exemple décider d’externaliser son activité liée à la connaissance clients.

Cette externalisation prend la forme d’un contrat de prestations de services conclu entre l’asset manager et le prestataire de services incluant généralement :

  • l’identification du client (collecte de la documentation, vérification de la bonne réputation du client…),
  • la revue de son dossier,
  • et le contrôle de supervision permanente de premier niveau

Mais attention, externalisation d’une activité ne signifie aucunement transfert de responsabilité.

Et il est important d’en tenir compte à chaque étape de la relation entre l’asset manager et son prestataire .

Ainsi, l’asset manager reste pleinement responsable aux yeux de la réglementation et de ses autorités de tutelle. Les conséquences de la défaillance du prestataire de services peuvent être précisées dans le contrat liant les deux parties (par exemple, une réparation sous forme de dédommagement financier). Toutefois, ces conséquences n’auront aucune incidence sur la responsabilité de l’asset manager à l’égard de ses autorités de tutelle qui reste entière.

Lors du choix d’un prestataire de services, de nombreux éléments sont à prendre en compte :

  • la vérification de la bonne réputation du prestataire pressenti est bien sûr un pré requis.
  • l’examen de la politique de sécurité financière du prestataire est absolument nécessaire afin de mettre en lumière d’éventuels écarts avec celle de l’asset manager. Ceci est d’autant plus important si les deux parties ne sont pas localisées dans le même pays. Il est nécessaire de garder en tête que même deux entités localisées en Europe peuvent avoir une interprétation différente de la réglementation ou bien des exigences distinctes.

Sources : Natacha Cheron pour l’ESBanque 

Ainsi, par exemple, lors de l’identification d’un bénéficiaire effectif, une institution financière pourrait arrêter l’analyse au niveau d’une personne morale ou personne physique agissant en qualité de prête-nomaussi appelée « nominee », située dans un pays à risque faible, là où la politique d’une autre institution exigerait de remonter la chaîne des intervenants jusqu’au bout, peu importe le pays de localisation du « nominee ».

1 et 2 : identification client mené directement par l’asset manager
3 et 4 : identification client menée par le prestataire

Source : Natacha Cheron pour l’ESBanque

Ou bien encore, l’asset manager et son prestataire de services peuvent avoir une analyse LCB/FT (lutte contre le blanchiment d’argent et financement du terrorisme) des pays différente et avec des critères de risques distincts.  

Par exemple, un pays peut être classé comme à risque moyen par le prestataire mais à risque élevé par l’asset manager, ce qui est souvent le cas dans l’appréciation des risques des pays d’Afrique ou d’Amérique Latine.  

L’asset manager et le prestataire peuvent aussi avoir une gradation du risque pays différente. L’un peut appliquer une gradation de type « pays à risque faible, moyen ou élevé », tandis que l’autre peut appliquer une gradation plus granulaire « faible, faible/moyen, moyen/risqué ou risqué ».  

Il peut également y avoir une discrépance dans la façon d’envisager le soupçon, notion s’appuyant certes sur des éléments factuels mais appelant aussi une certaine subjectivité.  

Tout comme un ensemble d’éléments peut être considéré comme un soupçon chez un chargé de conformité, il peut ne pas l’être chez un autre. Au sein d’une même entité, il revient alors au responsable de trancher. La situation pourrait être plus délicate entre un asset manager et son prestataire si les deux n’ont pas la même appréciation du soupçon.  

Enfin, une politique de sécurité financière étant amenée à évoluer au fil du temps, il est primordial que l’asset manager soit informé de ces évolutions aux fins d’analyse et de commentaires par rapport à ses propres exigences.

la multiplicité d’intervenants : une difficulté de gestion des risques pour l’asset management 

L’activité d’asset management a pour spécificité de faire appel à une multiplicité d’intervenants. Administrateurs, brokers, plateformes, apporteurs d’affaires … sont autant d’acteurs dont la défaillance peut avoir des conséquences sur l’asset manager.  

Les administrateurs de fonds agissent par délégation de l’asset manager dans le cadre d’un contrat. Ils sont en charge de la valorisation et de la comptabilisation des actifs, des reportings et de la vie sociale des fonds, y compris l’identification des clients, sur la base de la politique de sécurité financière propre à l’administrateur.  

Une fois cette identification faite et le dossier validé, le client investisseur peut investir directement dans le fonds de l’asset manager, sans que le dossier KYC (Know Your Costumer) du client investisseur ne soit revu par l’asset manager.  

Cette identification du client investisseur peut parfois incomber au dépositaire du fonds (aussi appelé « custodian »). 

Sources : Natacha Cheron pour l’ESBanque

Les brokers sont chargés d’exécuter les ordres des clients investisseurs. Dans ce cadre, ces derniers doivent faire l’objet d’un KYC et d’un suivi à fréquence régulière sur la base de la politique de sécurité financière du broker.

Sources : Natacha Cheron pour l’ESBanque

Pour un grand nombre de professionnels, la plateforme est l’avenir du contrat de distribution car elle permet une optimisation des opérations : moins de négociations et des solutions numériques adaptées au besoin des clients. Les plateformes permettent ainsi aux assets managers-distributeurs de référencer leurs fonds et aux clients d’y investir directement.

L’ensemble des acteurs actifs sur une plateforme doivent faire l’objet d’un KYC dont la politique est définie par la plateforme. Les asset managers-distributeurs peuvent donc voir investir dans leurs fonds des personnes qui n’auraient peut-être pas franchi l’étape du KYC dans le cadre d’un contrat direct entre l’asset manager-distributeur et l’investisseur.

1 : référencement de ses fonds sur la plateforme
2 : investissement par l’entité participante via la plateforme

Sources : Natacha Cheron pour l’ESBanque 

L’apporteur d’affaires est une société ou une personne, qui, grâce à son activité ou sa position, peut prescrire ou recommander les services d’une autre entreprise. En fonction de la réussite de sa mission, l’apporteur d’affaires percevra une commission. Il faut savoir qu’un client potentiel proposé par un apporteur d’affaires va en principe faire l’objet d’un KYC par l’asset manager.

Tout comme pour le sujet de l’externalisation de services, l’asset manager est responsable aux yeux de ses autorités de tutelle de toute défaillance de ces différentes entités au cas où elles auraient permis à un investisseur d’investir dans un de ces fonds alors qu’il présente un risque en matière de sécurité financière.

Une fois l’investisseur présent dans un fond, l’asset manager doit faire face à un autre problème : comment faire sortir cet investisseur du fonds s’il n’était pas conforme à sa politique de sécurité financière ?

Si un contrat existe entre cet investisseur et l’asset manager, ce contrat prévoit en principe une clause de résiliation pouvant être activée, mais sous certaines conditions. La défaillance dans le processus KYC lors de l’entrée en relation, ou bien la découverte d’un élément négatif lors de la revue du dossier, peuvent ne pas justifier l’activation de cette clause. L’investisseur peut en effet arguer du fait que le dysfonctionnement du processus KYC ne relève pas de sa responsabilité ou bien encore que la découverte d’un élément négatif lors d’une revue n’est pas un élément tangible (par exemple : une instruction toujours en cours, des propos de presse…). Pire encore, l’asset manager peut alors voir une action intenter contre lui pour résiliation abusive du contrat.

Il est donc nécessaire de déterminer quels sont les risques encourus par l’asset manager dans ses relations avec ses prestataires de services et autres intervenants, afin d’assurer la mise en place d’une structure de protection raisonnable et efficace.

l’approche par les risques et les moyens d’y répondre

Les risques encourus par un asset manager étant connus, quels sont les moyens dont disposent les asset managers afin de les circonscrire ?

sécurité financière des assets managers : la méthode d’approche par les risques

Le risque de non-conformité est lié au non-respect par l’asset manager de ses obligations professionnelles, telles que mentionnées au II de l’article L621-15 du Code monétaire et financier.

Les obligations professionnelles des asset managers comprennent toutes les obligations définies par les lois, par les décrets, règlements européens, règlement général de l’AMF et règles professionnelles approuvées par l’AMF.

En cas de mauvaise gestion d’un tel risque, l’établissement peut faire face à une mise en cause de sa responsabilité civile, pénale, à une sanction administrative ou voir sa réputation ternie.  Quand bien même il s’avère difficile de quantifier l’impact négatif d’une sanction sur le public, il est évident que les conséquences existent et sont amenées à perdurer : perte de clientèle, frilosité des contreparties, dénonciation de contrats…

Comment apprécier le risque de non-conformité ?

Il s’agit de mettre en place un dispositif à trois temps :

  • Identifier les risques auxquels l’asset manager est exposé. Pour ce faire, il s’agira de prendre en compte la typologie de clients et leur situation géographique ainsi que les services et produits proposés. Il faudra également prendre en compte les relations de l’asset manager en cas d’externalisation ou de délégation, partie qui représentera une part non négligeable dans la détermination du niveau de risque
  • Analyser les risques et établir un dispositif de prévention et de gestion raisonnable
  • Contrôler l’efficacité du dispositif mis en place.

Bien entendu, l’élaboration de ce dispositif ne saurait relever des professionnels de la conformité uniquement. Il s’agit d’un travail commun entre différentes équipes : les structureurs pour leur connaissance des produits, les commerciaux pour leur connaissance des clients, les juristes pour leur connaissance des contrats …

Afin d’avoir une vision complète, il est nécessaire de prendre en considération les autres risques auxquels s’expose un asset manager, tout comme toute institution financière :

  • Le risque financier, qui comprend le risque de contrepartie, le risque de liquidité et le risque de marché,
  • Le risque opérationnel, qui comprend le risque juridique et de documentation, le risque de défaillance des personnes et le risque de défaillance des systèmes.

asset management et approche par les risques : les outils nécessaires

Une fois identifiés les risques auxquels l’asset manager est soumis et les limites acceptables établies, il est nécessaire d’établir une cartographie des risques.

Cette cartographie liste :

  • l’ensemble des risques : par exemple, une grande exposition à l’externalisation et à la délégation de prestation de services en matière d’identification clients.
  • les solutions apportées : par exemple, la rédaction d’une procédure relative à la sécurité financière avec une partie dédiée aux activités considérées comme les plus risquées, la mise en place de contrôles de supervision permanente dédiés.
  • et le risque résiduel : c’est-à-dire le risque non couvert mais accepté par l’asset manager.

La cartographie doit être revue à fréquence régulière et à chaque survenance d’un nouvel élément (une nouvelle activité comme la gestion d’un fonds de dette, par exemple, qui inclura une analyse des contreparties non plus au passif mais à l’actif).

Une cartographie des risques permet d’avoir la vue suivante :

Sources : Infoprotection.fr
L’établissement d’une cartographie des risques et la rédaction de procédures, instructions et modes opératoires ne sauraient suffire.

Il est indispensable de mettre en place un dispositif de contrôles afin de veiller au bon respect par le personnel des règles établies.

Ces contrôles s’inscrivent dans le plan de supervision et de contrôle permanent et se divisent en trois parties :

  • contrôle de niveau 1 (ou LoD1, Line Of Defense 1) effectué par les personnes chargées de l’activité opérationnelle,
  • contrôle de niveau 2 (ou LoD2) réalisé par le contrôle permanent : pour la sécurité financière, il s’agira de l’équipe de conformité
  • contrôle de niveau 3 (ou LoD3) exécuté par les équipes d’audit et d’inspection.

Ces contrôles sont un bon moyen de savoir si un prestataire a bien effectué l’activité demandée et si l’asset manager a bien effectué son obligation de surveillance (une revue fréquente de la politique de sécurité financière du prestataire par exemple, ou l’envoi et l’analyse d’indicateurs de performance).

Il est également nécessaire d’effectuer des contrôles in situ, aussi appelés « due diligence on site », chez le prestataire. Ceci permet de connaître les locaux, de rencontrer le personnel et surtout d’avoir accès à des documents tels les dossiers gérés par les prestataires au nom de l’asset manager et de pouvoir discuter d’éventuelles discrépances entre la qualité attendue et celle fournie.

Les contrôles in situ sont aussi un excellent moyen d’apprécier la performance des outils employés dans le cadre de la sécurité financière.

Les asset managers faisant appel à des prestataires sont généralement de larges institutions. Raisonnablement, il leur est donc difficile de vérifier le travail fourni sur chaque dossier de sécurité financière.

Outre les procédures, les contrôles de supervision permanente et les contrôles in situ, il est important de demander la mise en place et l’envoi régulier d’indicateurs de performance (KPI Key Performance Indicator).

Ces indicateurs peuvent comprendre :

  • la typologie de clients identifiés, leur localisation,
  • l’état de la relation avec les clients : par exemple, certains ont-ils été réticents à la fourniture des documents ?
  • le nombre de déclaration de soupçons remontés à l’organe de réception et d’analyse des déclarations,
  • le nombre de comptes inactifs ou bien le nombre de comptes inactifs et ayant connu une activité soudaine …

Même si les indicateurs de performance ou bien les visites sur site n’offrent pas à eux seuls une vue exacte et exhaustive du travail fourni par les prestataires en matière de sécurité financière, ils constituent néanmoins des éléments déterminants de la mesure du risque encouru par un asset manager.

 

 

 

En soi, la détermination du risque n’est pas chose difficile, les moyens mis à la disposition des asset managers semblant suffisants. Toutefois, l’appréciation concrète et pratique de ce risque s’avère plus complexe, de par la multiplicité des intervenants et les tâches qui leur incombent. La distance, le manque de visibilité et plus prosaïquement, les activités quotidiennes soutenues des équipes de conformité sont autant d’éléments rendant la tâche complexe. Pour ces raisons, l’approche par les risques et la mise en place des outils adéquats et efficaces doivent faire l’objet d’une attention accrue dans l’asset management.

Auteurs

Natacha Chéron  et Miriasi Thouch

Natacha Chéron Financial Crime Supervisor / Expert en Sécurité Financière

Miriasi Thouch – Expert Conformité Senior de L’ESBanque – Ancien membre de la Commission des sanctions de l’AMF