Cet article appartient au dossier : Réduire le risque, la nouvelle obsession.

Risque de non-conformité

Les banques peuvent-elles être exemplaires ?

Les banques devant se conformer à de nombreux textes officiels, certaines cherchent à identifier ceux qui doivent être respectés en priorité. Pour les sujets jugés secondaires, la tentation est forte d’assumer une éventuelle non-conformité. Mais les banques n’ont-elles pas intérêt à être exemplaires, en ne tolérant aucun écart ?

1. Hiérarchiser et évaluer les risques: deux exemples de risques

L'auteur

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°303

Réduire le risque : la nouvelle obsession

Risque de marché, de crédit, de liquidité, risque opérationnel… Dans le cadre de leurs activités, les établissements financiers sont exposés à de très nombreux risques, pour lesquels il leur est indispensable de mettre en place des systèmes de recensement, d’évaluation et de maîtrise. Le règlement n° 97-02 modifié [1] relatif au contrôle interne des établissements de crédit et des entreprises d’investissement en dresse un inventaire et en propose des définitions. Dans cette liste figure le risque de non-conformité, défini comme « ​le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou d’atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et financières, qu’elles soient de nature législatives ou réglementaires, ou qu’il s’agisse de normes professionnelles et déontologiques, ou d’instructions de l’organe exécutif prises notamment en application des orientations de l’organe délibérant. » Introduit dans la réglementation dès 2005, le risque de non-conformité soulève aujourd’hui encore des interrogations. Pourtant, sa mesure et son pilotage suscitent, à l’égard des établissements, des attentes aussi importantes que pour d’autres types de risque.

La complexité du recensement des risques de conformité potentiels

La mise en place d’un dispositif de maîtrise des risques commence par le recensement formalisé de l’ensemble des risques potentiels auxquels l’établissement est exposé, étape préalable à la « cartographie », véritable outil de pilotage pour les établissements. Or, le périmètre à couvrir est extrêmement large et il implique la prise en compte  :

  • de la loi : Code monétaire et financier, Code de la consommation, etc. ;
  • de la réglementation : règlements du CRBF, instructions de l’ACP, autres textes de l’ACP (lignes directrices,  recommandations),  règlement général et positions de l’AMF… ;
  • des engagements propres à l’entreprise : normes professionnelles, codes ou chartes de conduite interne, procédures, etc.

À chaque activité ou service à la clientèle son lot de textes et règlements : ouvertures de compte, octroi de crédit à la consommation ou immobilier, distribution de produits financiers et d’épargne, distribution de moyens de paiement… Qu'il s'agisse de la lutte contre le blanchiment des capitaux ou contre les abus de marché, de la protection de la clientèle, des intermédiaires en opérations de banque, ces thématiques recouvrent une multitude d’obligations. La constitution de ce référentiel des textes, c’est-à-dire des risques de non-conformité auxquels l’établissement s’expose s’il ne les respecte pas, est l’objectif de la veille réglementaire et l'une des missions principales des fonctions et directions conformité. Le nombre de textes publiés (en France, mais également en Europe – directives et règlements d’application immédiate –, et au niveau mondial – extraterritorialité de certains textes comme Dodd Frank Act, FATCA, UK Bribery Act… –) ainsi que leur complexité rendent l’exercice particulièrement complexe.

Pour les services de conformité, la veille s’avère extrêmement chronophage. En effet, loin de s'arrêter au seul recensement, la mission comprend également une analyse, en vue d’une traduction opérationnelle dans les différents métiers de l’établissement. La veille n'est en effet que la première étape d’un long processus, qui cheminera via la mise à jour de procédures métiers, l’accompagnement au changement et, le cas échéant, la formation du personnel. Dans ce contexte, il est essentiel pour les fonctions et directions conformité d’organiser la veille réglementaire, de la structurer, et de faire jouer leur expertise afin de trouver le bon niveau de granularité [2] dans la construction du référentiel. Un format adéquat de restitution des textes officiels permettra par la suite une utilisation pertinente, notamment lorsqu’il s’agira de mettre en place, face à chaque risque, un dispositif de maîtrise efficace.

Si l'approche par processus – ouvrir un compte-courant, traiter des opérations sur titre, distribuer un contrat d’assurance vie, etc. – a la faveur de certains établissements, d'autres optent pour une approche par thème – quelles sont les obligations en matière de relations avec les intermédiaires en opération de banque ? en matière de traitement des réclamations ? etc. – qui semble également convenir. L’écueil à éviter est de constituer un référentiel trop lourd, impraticable et impossible à maintenir. Dernière remarque et non des moindres : la veille est un processus continu et permanent. Elle nécessite une vigilance constante. Les modalités de mise à jour des référentiels de conformité doivent donc être organisées et prises en compte dans toute démarche de cartographie.

Une évaluation difficile des impacts

Toute démarche de cartographie des risques classique suppose l’évaluation des impacts en cas de survenance. Ce travail de cotation [3] permet de mettre en exergue, parmi tous ceux identifiés (selon la démarche décrite précédemment), les risques majeurs, puis de déterminer les plans d’action nécessaires pour diminuer les risques encourus en fixant des priorités. S’agissant des risques de non-conformité, beaucoup d’établissements se sont engagés sur cette voie. Les concernant, l’évaluation des impacts s’avère cependant ardue. Le règlement 97-02 modifié mentionne les impacts suivants :

  • La sanction judiciaire : il est possible, pour certaines typologies de risques de non-conformité, de se reposer sur des sanctions judiciaires avérées. Ainsi, certains établissements ont été condamnés par le passé en raison de manquements à leur devoir de conseil ou à leur devoir de mise en garde, face à des clients ou des associations de consommateurs qui les avaient conduits en justice. Or, en France, en l’absence de « » [4] , les indemnités individuelles obtenues dans le cadre de procédures civiles ne sont pas très élevées, à l’échelle d’un grand établissement. Est-il cohérent d’évaluer comme faible le risque de ne pas fournir un conseil approprié et formalisé au client parce que l’examen de la jurisprudence montre des indemnités en deçà de quelques milliers d’euros, alors même que c’est une des priorités affichées des autorités de supervision? Dans d’autres cas, comme le blanchiment par exemple, l’établissement et le dirigeant s’exposent à un risque pénal si leur responsabilité est démontrée. Faire un focus sur ces situations peut également constituer une piste intéressante.
  • La sanction administrative ou disciplinaire : il s’agit des sanctions infligées aux établissements à la suite d’une mission d’inspection des autorités de supervision (avertissement, blâme, retrait partiel ou total d’agrément et/ou sanction pécuniaire). L’outil d’aide à l’évaluation a cependant ses limites, d’une part parce que le nombre de sanctions est relativement faible [5], d’autre part parce que, si certaines sanctions sont motivées par des griefs bien précis – manquements aux dispositifs de lutte contre le blanchiment des capitaux notamment –, d’autres portent sur un ensemble de dysfonctionnements, ce qui rend difficile l’évaluation d’un manquement sur un point précis. Pour les groupes, les enseignements sont peut-être à chercher à l’étranger : à titre d’illustration, la FSA a infligé des pénalités significatives (au-delà du million de livres) à plusieurs établissements sur le sujet du reporting des transactions à l’AMF qui, en l’absence de sanctions marquantes en France, ne passionne pas les établissements.
  • La perte financière : pour certains types de risques de non-conformité pouvant avoir pour conséquence des risques opérationnels, il peut être intéressant de mutualiser les approches à des fins d’évaluation. Par exemple ne pas enregistrer les conversations des opérateurs de marché constitue un manquement au règlement général de l’AMF, ce manquement pouvant créer un contexte favorable à une fraude interne, laquelle peut générer plusieurs millions d’euros de perte… Dans ce cas, l’évaluation repose sur l’analyse de la conséquence opérationnelle de la non-conformité.
  • L’atteinte à la réputation : il s’agit là du manque à gagner futur provenant d’une détérioration de l’image. L’établissement peut construire sa propre échelle de valeurs afin d’évaluer les impacts potentiels : réclamation écrite du client sans poursuite judiciaire, publication dans une revue spécialisée dédiée aux professionnels et à tirage limité, publication dans la presse généraliste à diffusion large… L’effet à moyen et long terme peut être extrêmement préjudiciable, mais reste très difficile à estimer, en tout cas si l’on souhaite avoir une vision un peu fine.

Cumuler l’ensemble de ces éléments constitue une piste possible pour hiérarchiser et évaluer les risques. Le tableau 1 montre deux exemples, à titre d’illustration.

Plusieurs options sont ensuite possibles pour affiner la démarche : pondérer chacun des éléments ou retenir en priorité les événements pour lesquels un des quatre paramètres est noté fort.

La voie de l’exemplarité

Cet exercice d’évaluation des impacts est intéressant : d’un point de vue économique, il permet de fixer, selon des critères homogènes et définis, des priorités, ce qui est nécessaire dans toute allocation de moyens humains ou financiers (choisir par exemple d’acquérir un outil de surveillance des transactions à des fins de lutte contre le blanchiment pour plusieurs millions d’euros). C’est néanmoins un exercice difficile, caractérisé par plusieurs types d’impacts, une matière pas forcément riche (peu de sanctions) ou à élaborer (recueil des jurisprudences civiles et pénales), des incohérences possibles à gérer (entre les priorités des autorités de supervision et les sanctions avérées), une part de subjectivité (évaluation de l’impact potentiel sur la réputation)…

Cette difficulté peut conduire à la tentation de prendre un chemin de traverse, selon le credo du « pas vu, pas pris » : pas de sanction ou d’affaire déjà révélée équivaudrait à une absence de risque…

Aussi la question se pose. Est-ce faire le bon choix que de vouloir hiérarchiser les risques de non-conformité ? Hiérarchiser revient en effet à considérer certains sujets comme moins prioritaires que d’autres, et à acter et assumer une possible non-conformité.

Alors que les banques n’inspirent plus confiance et souffrent d’une image déplorable auprès de l’opinion, cette voie de la hiérarchisation est-elle judicieuse ? Les banques n’ont-elles pas plus à gagner en empruntant celle de l’exemplarité, en misant sur les valeurs de l’éthique, du respect de la loi et des règles, sans écart. Certaines affichent déjà ce choix…

Les risques de non-conformité nécessitent un pilotage au plus près, car ils sont complexes, de nature variée, et effectivement parce qu’ils peuvent générer des impacts difficiles à mesurer. Ces tentatives d’évaluation des impacts, décrites plus haut, sont intéressantes car elles donnent des indicateurs. Néanmoins dans une démarche éthique et exemplaire, il semble que le respect de la loi ne peut tolérer aucune demi-mesure. Ce qui signifie que dans une approche de cartographie, l’ensemble des risques de non-conformité « bruts » devraient être cotés comme forts. Il est naturellement évident qu’en pratique, quand il s’agira de définir et de déployer des plans d’action pour parvenir à des risques résiduels acceptables, des priorités seront à définir. Et ce sont bien là les enjeux aujourd’hui des fonctions et directions conformité, et des directions générales : assurer la maîtrise des coûts et optimiser les allocations de moyens, en assurant le développement commercial attendu, avec pour règle de conduite absolue la conformité aux lois et règlements. Face à chaque risque de non-conformité identifié, des dispositifs de maîtrise sont déployés afin de passer d’un risque « brut », estimé fort dans tous les cas, à un risque résiduel acceptable ou faible… Le chemin de l’optimisation se situe là : chasse à la redondance des contrôles internes, contrôles adaptés et pertinents à tous les niveaux, développement de l’automatisation des contrôles, formation et diffusion d’une culture de la conformité… Dans un environnement réglementaire de plus en plus exigeant, maîtriser et piloter la non-conformité résiduelle, avec des investissements eux aussi suivis au plus près, voilà le défi des établissements aujourd’hui.

[1] Règlement n°97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement, article 4.

[2] Niveau de précision.

[3] Il est ici question de l’évaluation des risques « bruts ». Dans les démarches de cartographie des risques, la notion de risque « brut » fait référence au risque absolu, avant tout dispositif de maîtrise et/ou de contrôle. Le risque brut est mitigé par un dispositif (contrôle interne, procédure…) qui permet de calculer le risque résiduel, ou risque « net ».

[4] En français, actions collectives.

[5] Cinq sanctions rendues par la Commission des sanctions de l’ACP en France en 2011 (dont la plus élevée se chiffrant à 800 000 euros d’amende et un avertissement) et une sanction en 2010 (200 000 euros et un blâme pour un établissement en raison de manquements sur la réglementation LCB FT).

 

Sommaire du dossier

Réduire le risque, la nouvelle obsession

Articles du(des) même(s) auteur(s)

Sur le même sujet