L’enjeu de conformité est devenu majeur pour les acteurs bancaires et de l’assurance, car il implique la mise en cause de leur responsabilité, et impacte leur image. Compte-rendu du Séminaire du 29 juin 2017 organisé par l’European Institute of Financial Regulation (EIFR) à Paris.
Marie-Agnès Nicolet, Présidente de Regulation Partners.
Méthodes de mesure des risques de conformité. Mesurer et anticiper
Missions de la conformité
On trouve les éléments principaux dans l’arrêté de novembre 2014 sur le contrôle interne. Pour les prestataires de services d’investissement (PSI), on se réfèrera à la position de l’Autorité des marchés financiers (AMF) 2012-17 (Exigences relatives à la fonction de conformité), qui traite, entre autres l’obligation de reporting, de l’établissement d’une carte des risques et du caractère indépendant et permanent de la fonction.
Les dix missions : assurer une veille réglementaire (qui passe aussi par la participation à des groupes de place en amont de la publication des textes) ; élaborer une carte des risques de non-conformité ; intervenir en matière de création de produits ; se former (c’est parfois une obligation) ; s’intéresser aux applicatifs liés à la conformité (ils peuvent être sources de non-conformité) ; prévenir les conflits d’intérêt ; assurer la lutte anti-blanchiment et la lutte contre le financement du terrorisme ; établir des reportings ; mettre en place des dispositifs pour les lanceurs d’alerte ; contrôler les applicatifs utilisés par les métiers.
Le cas des lanceurs d’alerte
Les salariés pouvaient signaler à l’Autorité de contrôle prudentiel et de résolution (ACPR) ou à l’AMF des manquements relatifs aux règles prudentielles. La loi Sapin II va plus loin avec la création de l’Agence française anti-corruption, dotée de contrôleurs et d’un pouvoir de sanction. L’ACPR et l’AMF, de leur côté, doivent prévoir des dispositifs pour le recueil des alertes. La loi fait obligation aux entreprises de plus de cinquante salariés de mettre en place des procédures de signalement, édicte des mesures de protection des lanceurs d’alerte. Des mesures supplémentaires (code de conduite, carte des risques, formation…) concernent les entreprises de plus de 500 salariés.
Carte des risques
Les cartes des risques de non-conformité doivent être alimentées par la veille réglementaire. Leur élaboration nécessite d’évaluer les risques, notamment sous l’angle des impacts financiers (les sanctions infligées par l’ACPR et l’AMF peuvent donner des points de repère). A noter : les opérationnels mis à contribution ont du mal à admettre que certains risques puissent se matérialiser.
Bertrand Brehier, Responsable Adjoint, Réglementation Bancaire et Financière, Société Générale.
Le périmètre de la conformité
On a assisté au cours des vingt dernières années à un basculement spectaculaire. On parlait hier de déontologie, fondée essentiellement sur des codes de conduite et des engagements volontaires, tandis que les équipes étaient réduites (une dizaine de personnes à la Société générale). Par ailleurs, le déontologue allait au-delà des textes, il se référait à des comportements et à une certaine moralité des affaires. Aujourd’hui, la soft law a été intégrée dans le droit positif et le domaine de la conformité s’est considérablement élargi : sécurité financière, protection des parties prenantes, sécurité du système (plan de résolution…)… Des textes étrangers, de l’Union européenne, et même français, d’application extraterritoriale (Volker, Fatca, anti-corruption aux Etats-Unis et au Royaume-Uni…), font peser de nouveaux risques.
L’extension du domaine de la conformité est si importante qu’il devient délicat d’en fixer les limites : l’ACPR, par exemple, s’appuie sur des textes non bancaires pour asseoir certaines de ses sanctions.
A la Société générale, dans le dispositif adopté, les juristes sont chargés de l’interprétation des textes, de la veille réglementaire (calendrier…) et du conseil, tandis que la conformité accompagne les opérations, assure les formations, diffuse une culture de la conformité et contrôle la mise en œuvre. La bonne articulation entre ces deux fonctions, qui doivent effectuer un travail conjoint, est primordiale.
Responsabilité
Elle peut être pénale (il faut une intentionnalité), disciplinaire (sanctions de l’AMF ou de l’ACPR) ou civile (réparation de dommages).
On assiste à une multiplication des statuts : responsable du contrôle de conformité (RCO), responsable de la conformité et du contrôle interne (RCCI) pour les sociétés de gestion, responsable de la conformité pour les services d’investissement (RCSI) pour les prestataires de services d’investissement, responsable du contrôle anti-blanchiment…Cependant, jusqu’ici, les sanctions ont visé principalement les établissements concernés (l’AMF a sanctionné des personnes, mais dans des cas gravissimes).
Points à surveiller :
Pour protéger l’entreprise et sa réputation, les délégations de pouvoirs sont fréquentes, mais la jurisprudence pose des conditions, en termes de compétence notamment. Par ailleurs, les délégations sont proscrites dans certains domaines.
Les montants des sanctions financières sont impossibles à anticiper ; il n’y a pas de barèmes auxquels se référer.
François Baudienville, Secrétaire général de la Direction de la Conformité Groupe, Crédit Agricole SA Groupe.
La conformité au Crédit agricole
La crise de 2008 a détruit la confiance accordée aux banques par le public et par les superviseurs. Pour la restaurer, les textes obligent à fournir de nombreuses informations au client, ce qui ralentit la vente et peut même susciter de la méfiance. C’est un des grands enjeux actuels pour les banques et un sujet d’attention pour la direction générale du Crédit agricole, où l’on se demande : comment passer de la conformité à la loyauté ?
Les missions des équipes de conformité : interpréter les textes (quel corpus ? avec la direction juridique), contrôler (la direction de la conformité est un des acteurs du contrôle de niveau 2) ; s’inscrire dans les procédures de validation des produits sans faire d’opposition systématique ; rendre des comptes à la direction générale et aux autorités de contrôle ; former.
Un plan à trois ans, en cours, à trois dimensions : renforcer la direction de la conformité, avec davantage de moyens et d’effectifs et en ayant recours à de nouveaux outils, l’intelligence artificielle notamment ; développer la culture de la conformité dans un groupe de 130 000 personnes en les convaincant que la conformité peut être une source de différenciation, notamment en publiant des chartes (sur l’utilisation des données, sur l’éthique…) ; aller vers une conformité native : comment rendre le processus commercial fluide et transparent ?
Annick Moriceau, Direction de la gestion d’actifs, Relations extérieures, travaux de place, RCCI‐RCSI, AMF.
Enjeux et priorité de la conformité
Le texte de référence est la position 2012-17 de l’AMF « Exigences relatives à la fonction de conformité ».
La conformité repose sur les dirigeants, qui sont responsables des dispositifs déployés.
L’AMF forme (les RCCI et RCSI) et informe, mais elle ne peut pas diffuser elle-même une culture de la conformité dans l’entreprise et surtout, faire en sorte que les opérationnels en comprennent les enjeux.
L’AMF a infligé une trentaine de sanctions depuis 2010, dont une dizaine à l’égard de personnes physiques.
Les priorités de l’AMF : améliorer la visibilité de la norme ; accompagner les acteurs dans la mise en place des textes ; suivre les enjeux liés à la digitalisation ; instaurer un échange avec les RCCI et les RCSI ; asseoir le métier de RCSI/RCCI sur des processus, des méthodes, des schémas d’organisation (pour les petites structures, le recours à l’intelligence artificielle est très recommandé) ; valoriser la place financière.
Lise-Hélène Etienne-Brunon, Responsable Conformité et Contrôle Interne, Amplegest.
Il existe une véritable communauté d’échanges entre la profession (RCCI et RCSI) et l’AMF. Ces échanges sont formels aussi bien qu’informels. L’AMF est un partenaire qui a la volonté de favoriser le développement des sociétés entrepreneuriales.
Pour Lise-Hélène Etienne-Brunon, le RCCI ou RCSI doit appliquer des méthodes proches de celles employées dans l’audit.
La conformité n’est pas qu’une contrainte : c’est un label qui valorise le reste de l’entreprise. On voit d’ailleurs dans les appels d’offres qu’une place grandissante est réservée à la conformité.
Alexandra Blanchard, Head of Global Compliance – Support Functions, AXA IM Group.
Le rôle du RCCI et du RCSI
Le RCCI/RCSI doit mettre en œuvre des compétences multiples, car il est amené à travailler avec toutes les fonctions de l’entreprise, y compris, aujourd’hui, avec le data management, où les enjeux sont colossaux. Il doit se considérer avant tout comme un accompagnateur des opérations (assister la direction juridique dans l’élaboration des propectus par exemple).
Il conseille, informe, forme et contrôle (accompagnement des différentes fonctions dans la mise en place des contrôles de niveau 1, dont les résultats sont transmis à la direction générale et aux autorités).
Le recours à l’automatisation est précieux dans les domaines de la veille réglementaire, du KYC (qui peut-être sous-traité) ou encore de la lutte contre le blanchiment.
La sous-traitance de certaines tâches peut être temporaire ou permanente, mais nécessite une due diligence sérieuse du prestataire, une étude de sa solvabilité et un suivi de ses services grâce à des indicateurs clés.
Christian Le Hir, Directeur Juridique, Natixis.
L’apport de la technique pour assurer une meilleure veille juridique
Christian Le Hir participe à l’élaboration d’une plate-forme traitant des megadonnées à l’aide d’intelligence artificielle, avec la société Luxia. Le produit devrait être commercialisé (il ne s’agit pas d’un intranet pour Natixis).
Il y a chaque jour 300 nouveaux textes bancaires ans le monde. Les moteurs de recherche existants donnent des résultats très décevants dans le domaine du droit.
L’outil en développement doit permettre une veille sur mesure, actualisée et qui ne sélectionne que ce qui a changé par rapport à l’état précédent du droit. Les textes présentés à l’utilisateur sont bruts, mais avec des vues dynamiques.
Ce service s’adresserait a priori à tous les salariés de l’entreprise (licence unique) : de nombreux non juristes lisent et appliquent quotidiennement des règles de droit.
L’EIFR a pour vocation de développer et promouvoir une « smart regulation » à travers l’échange entre régulateurs et régulés en France et à l’étranger. Les actions de l’EIFR visent à améliorer la compréhension de la régulation financière, à en valoriser la recherche et à en promouvoir les meilleures pratiques. En 2015, l’EIFR a organisé 33 évènements (13 séminaires de formation, 13 matinales et 4 conférences internationales) touchant plus de 1 700 personnes. L’EIFR a été créé en 2008, par Paris EUROPLACE et les principaux acteurs de la Place financière de Paris, avec le soutien du Trésor.
Le défi du risque de compliance : enjeux et solutions
12 octobre 2017