La conformité suffit-elle à garantir la confiance et la performance ?

Chaque semaine, un article ou un propos rapporté vient illustrer la crise de confiance que subit le secteur financier [1] . Un hebdomadaire titrait récemment « le procès de la finance sans visage » et dans ses colonnes, un banquier se plaignait de la banque prise comme « bouc émissaire » et « présumée coupable ». Pourtant, comme le rappelle François Pérol, P-DG de BPCE [2] , « nous avons un visage, c’est celui de la finance au service de l’économie ». Comment un établissement financier, dont la principale valeur ajoutée repose sur son capital humain, peut-il être perçu comme à ce point inhumain ?

La prise de conscience des enjeux liés au risque de non-conformité

Et pourtant, que de chemins parcourus par les établissements financiers depuis mars 2005, depuis la prise de conscience des enjeux liés au risque de non-conformité, que ce soit en termes réels (avec l’affaire Kerviel à la Société Générale) ou en termes d’image et de réputation (avec, par exemple, la question des paradis fiscaux). Comment tant d’investissements réalisés au sein des établissements pour être conforme aux différentes exigences réglementaires peuvent-ils être niés vis-à-vis des parties prenantes externes ?

Les banques ont déployé une organisation spécifique pour répondre aux exigences de la réglementation [3] . Il n’y a pas une banque où la place de la gestion de la conformité n’est pas visible dans l’organigramme. Le renforcement progressif des réglementations et la forte médiatisation de certaines affaires ont mis en exergue les conséquences que le risque de non-conformité peut leur faire courir – risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative et/ou d’atteinte à la réputation [4] . Ainsi, les multiples facettes que peuvent prendre les risques de réputation incitent certaines banques à mettre en place des comités « réputationnels ».

La recherche de la conformité : un objectif en soi

L’identification des zones de risques de non-conformité a progressivement élargi son périmètre d’étude. Si, dans les années 1990, le risque de non-conformité était principalement lié au respect des obligations en matière de blanchiment des capitaux, il s’est  étendu à quasiment tous les domaines d’activité bancaire. Sur les marchés financiers, c’est la transposition de la directive MIF [5] , et bientôt MIF II [6] , qui a introduit de nouvelles obligations. Sur les opérations courantes de moyens de paiement, c’est la surveillance des clients et des flux financiers pour répondre aux exigences de sécurité financière [7] .

La veille réglementaire facilite la prise en compte et l’interprétation des différentes évolutions réglementaires ; celles-ci sont alors traduites dans les procédures internes. Il s’agit d’un processus continu d’adaptation. Mais, en même temps, le champ de la conformité, s’il est de fait limité aux textes réglementaires, apparaît comme une créature bureaucratique monstrueuse qui ne fait que s’alimenter des nouvelles mesures sans jamais pouvoir diminuer de taille ou restreindre son emprise. La conformité serait-elle le Frankenstein moderne de la finance, et permet-elle de répondre vraiment aux attentes de confiance de la part des diverses parties prenantes ?

Le talon d’Achille de tous les systèmes financiers

Cette problématique n’est pas réellement nouvelle. La confiance a toujours été le talon d’Achille de tous les systèmes financiers, à commencer par celui de Law au XVIII^e siècle et l’introduction du papier-monnaie (qui dégénéra en crise en 1720). De même, l’existence d’une divergence entre les attentes des parties prenantes et la réalité du processus mis en œuvre par l’acteur principal n’est pas le seul apanage des banques. Les cabinets d’audit sont confrontés depuis de nombreuses années à ce que le milieu professionnel et académique dénomme «  expectation gap [8] ».

Les banques présentent néanmoins quelques spécificités, en raison du caractère désormais sans fin que semble présenter la recherche de la conformité. Si la conformité est le respect des règles, poussée à son paroxysme, elle est aussi la négation de la diversité. Les banques ont assis leur rentabilité, au cours des années 1990 et 2000 (avant la crise financière) sur le développement de produits et de services spécifiques, adaptés aux attentes et aux besoins de leurs clients. Il existe donc une forme de schizophrénie à vouloir simultanément poursuivre cette adaptation permanente des produits et des services – qui apparaît seule capable d’assurer la pérennité des marges bancaires – et, dans le même temps, à appliquer des procédures de plus en plus strictes visant à renforcer la conformité.

La conformité comme outil de dédouanement

Les dispositifs mis en place ( KYC [9] , directives, procédures, bases de réclamations, etc.) sont autant d’éléments visant à donner à la banque les moyens d’apporter la preuve, en cas de contestation avec une de ses parties prenantes, que son comportement a été conforme à la réglementation ou à une norme.

Ainsi, depuis la mise en place de la MIF, les entreprises d’investissement ont l’obligation de prendre toutes les mesures raisonnables pour obtenir le meilleur résultat possible pour leurs clients (en tenant compte du prix, des coûts, de la rapidité, etc.). Cette exigence a obligé l’entreprise à rédiger une procédure de « meilleure exécution », qui rend explicite ce que la banque entend par cette terminologie, et notamment les critères retenus pour l'évaluer. Si un client reproche à sa banque de ne pas l’avoir réalisé pour son compte, celle-ci pourra apporter la preuve que les critères ont bien été respectés. Si, apparemment, les directives de conformité visent à assurer le meilleur résultat possible pour les parties prenantes, elles conduisent en réalité à renforcer l’obligation de moyens sur celle de résultat. Cette primauté des moyens sur le résultat est renforcée par les procédures internes mises en place par la banque. Ainsi, en matière de prévention du blanchiment, supposons qu'un des clients de la banque se mette à réaliser des virements de nature frauduleuse, que la banque n’identifie pas comme telle ; l’existence d’un dossier client complet et à jour permettra à la banque de se dédouaner, en apportant la preuve que son dispositif de vigilance est adapté et qu’en l’état actuel des procédures de conformité, il n’était pas possible de déceler la fraude. La notion de conformité est ainsi fondamentalement attachée à la notion de formalisme, pour apporter la preuve que la banque agit de façon responsable, c’est-à-dire conformément aux normes et aux réglementations.

La conformité en tant que règle du jeu

Le formalisme lié à la conformité (procédures, comités, reporting, etc.) est une façon de préciser aux collaborateurs les règles du jeu, et ainsi d’encadrer l’action opérationnelle et la prise de décision. Les règles du jeu émanent des directives et des procédures et sont disséminées par les actions de formation et de sensibilisation.

Dans une vision idéale, la conformité permet à chaque collaborateur de devenir responsable de ses actes. En effet, les règles du jeu précisant clairement ce que chacun peut ou doit faire dans telle ou telle situation, se situer hors du jeu consiste à s’exposer à une sanction sur les actes non conformes.

Néanmoins, cette vision de la conformité, où chacun pourrait librement agir au sein d’un périmètre qui serait défini par une série d’interdictions, est en partie antinomique avec les attentes qui sont reportées sur chaque collaborateur. En effet si, apparemment, chaque acteur devient pleinement responsable de ses actes – puisqu’il a la possibilité de connaître ce qui est interdit –, dans le même temps, sa direction générale va lui fixer des objectifs qui ne seront pas nécessairement strictement compatibles avec l’observance de la conformité. La direction générale ne va pas inciter ses collaborateurs à s’affranchir du respect de la conformité, mais elle ne va pas nécessairement s’assurer que les deux sont compatibles.

La dichotomie entre conformité et objectifs

Au nom même de la liberté et de la responsabilité de ses collaborateurs, la direction générale va considérer que c’est à chacun d'entre eux d’adopter les moyens qui lui semblent adéquats, dans le respect de la conformité, pour atteindre ses objectifs. Au cas où un collaborateur s’affranchirait des exigences de conformité pour atteindre les objectifs qui lui ont été assignés, la banque se verrait dédouanée de toute responsabilité, puisqu’il ne s’agirait que d’une décision libre et prise en connaissance de cause par le collaborateur concerné, et non par la banque elle-même.

La question centrale est donc celle de la compatibilité des objectifs individuels avec les systèmes de conformité mis en place. Si les dispositifs de conformité ont le mérite de clarifier les rôles, ils inversent également la charge de la preuve, puisque le flou n’est plus au service du collaborateur. Les écarts entre la théorie affichée au travers des procédures et la pratique opérationnelle ne sont plus cautionnés par la direction, laquelle se retranche derrière les procédures de conformité affichées.

Pourtant, nombre de questions techniques et pratiques posées aux responsables de conformité par les collaborateurs restent sans réponse : par exemple, comment mettre à jour un dossier KYC avec plus de 200 clients à suivre ? Comment trouver le bénéficiaire effectif d’un fonds asiatique quand le responsable nommément désigné a son adresse en Corée et que le fonds est immatriculé aux îles Caïmans ?

Le responsable conformité se trouve alors jouer le rôle d’arbitre chargé d’interpréter, au cas par cas, des règles dont il perçoit les risques, mais pas nécessairement les enjeux. De surcroît, ce responsable conformité peut lui-même se trouver en porte-à-faux vis-à-vis de sa direction générale. Cette situation rappelle le rôle des responsables de la doctrine comptable qui, au sein des cabinets d’audit, s’assurent que les montages comptables proposés par les entreprises clientes sont conformes à la réglementation comptable en vigueur [10] . In fine, c’est bien la direction générale qui reste responsable de la qualité des dispositifs de contrôle de la conformité [11] .

La supervision du risque de conformité

La supervision du dispositif de conformité n’est pas un exercice facile, du fait de la diversité des risques sous-jacents et des facteurs susceptibles de générer ces derniers. La supervision passe par la mise en place de critères d’alerte : suivi des comptes dormants, contrôle des montants atypiques sur un mois donné, identification des ouvertures et des fermetures fréquentes de comptes, changements répétitifs de statut de la personne morale, etc. Ces critères peuvent se formaliser au sein de requêtes et faciliter le contrôle permanent des risques.

Cette supervision présente deux intérêts.

Tout d’abord, elle constitue un formidable terrain d’observation des situations atypiques au niveau des flux, des clients ou des collaborateurs – cas du suivi des opérations de marché pour compte propre selon des critères de volume, des cours, etc. Elle permet donc de sortir de la routine en observant et en identifiant les situations dites « anormales ». Par conséquent, de façon paradoxale, la supervision de la conformité peut faciliter l’innovation.

Ensuite, à l’image de la métaphore du panoptique développée par Foucault [12] , la supervision développe les mécanismes d’autodiscipline. Chaque collaborateur sait – et les formations le lui rappellent – que le dispositif de conformité et de supervision de la conformité existe, et qu’en cas de détection d’un flux atypique, les contrôleurs viendront demander des explications. Si le collaborateur veut rester dans le jeu, il doit en respecter les règles.

Par exemple, supposons un opérateur de marché qui passe un ordre trop important sur le marché au regard de la volumétrie. Si les dispositifs de conformité existent, sont appliqués et contrôlés, cet opérateur sait que tout décalage de cours sera identifié et qu’il devra être capable d’apporter des arguments pour expliquer ses décisions. L’observabilité joue donc un rôle disciplinant.

Trois types de risques issus d’un accroissement de la conformité

La conformité est au comportement professionnel ce que la morale est au comportement individuel. Une société ne peut pas se passer de conformité, mais une société trop conforme génère des déviances multiples qui, in fine, font exploser les comportements et les risques qui y sont liés [13] .

Trois types de risques émergent qui résultent directement d’un accroissement de la conformité.

Le premier risque est l’émergence du jeu avec les règles : celles-ci sont respectées sur la forme, mais elles sont contournées dans l’esprit. L’affaire Kerviel à la Société Générale symbolise, à sa manière, la capacité d’un individu à maîtriser les règles du jeu pour s’en affranchir. Le risque est donc de se jouer du dispositif pour maintenir sa liberté d’action opérationnelle en profitant de failles du système. Inversement, au niveau opérationnel, le risque symétrique est d’accorder une trop grande confiance aux dispositifs de conformité et de ne plus effectuer les contrôles complémentaires indispensables.

Le second risque est celui d’une structuration excessive des prises de décision par les outils, afin de limiter les sources d’interprétation par le collaborateur et d’avoir une relative assurance que le résultat du travail est conforme à la réglementation. Qu’il s’agisse de la structuration des saisies via les outils, des logiciels d’aide à la décision, et de manière générale de toutes les formalisations des arbres de décision, ces éléments génèrent souvent une réaction défensive de la part des collaborateurs, car ils sont perçus comme freinant le développement de leurs objectifs opérationnels.

Enfin, le troisième risque est la recherche de la conformité pour elle-même, comme fin ultime. En résulte la démultiplication des moyens de conformité (procédures, reporting, comités, logiciels, kit de formation, etc.), qui constituent autant de moyens très souvent chronophages à faire fonctionner au quotidien. Or, servir l’intérêt du client, détecter les comportements frauduleux, limiter les possibilités de placement de l’argent de la corruption, ne sont-ils que des objectifs réglementaires ou constituent-ils également des finalités pour tout acteur responsable ? Le risque de la conformité est de transformer un comportement éthique en un objectif réglementaire.

Des propositions de solutions

Une première solution consiste à utiliser les nombreux supports d’information comme outil pédagogique. La remontée des dysfonctionnements doit permettre aux « interlocuteurs conformité » – personnes identifiées comme étant responsables d’assurer la conformité au sein de la banque, sans nécessairement disposer d’une autorité hiérarchique sur les autres employés – d’échanger sur l’anomalie et d’inciter l’opérationnel à comprendre et à expliquer son dysfonctionnement apparent. C’est l’occasion de donner du sens au dispositif. Bien souvent, les dysfonctionnements sont abordés sous l’angle contrôleur/contrôlé, ce qui positionne ainsi les « interlocuteurs conformité » comme représentant une strate supplémentaire de contrôle bureaucratique.

La deuxième solution est d’exploiter les exigences de conformité pour contribuer au développement commercial. Spontanément, les dispositifs de conformité sont perçus par les différents acteurs comme une contrainte : comment expliquer à un commercial que la mise à jour d’un dossier client est aussi prioritaire que la vente de produits financiers ? La perception première de l’employé est une réduction de sa liberté d’action, en raison d’une formalisation et d’une bureaucratisation qui semblent contradictoires avec toute démarche commerciale. De même, le client perçoit ces exigences bureaucratiques comme une contrainte, voire comme une atteinte à sa liberté individuelle, qu’il s’agisse des pièces d’identité qu’il est obligé de fournir, des questionnaires à remplir sur son patrimoine ou de son expérience en matière de produits financiers. Or ces dispositifs peuvent s’inscrire dans une dynamique de développement (voir Encadré).

Conformité et responsabilité sociale de la banque

La conformité n’est pas seulement une exigence légale et réglementaire. Elle s’appuie également sur la responsabilité sociale de la banque. En cas de soupçon sur le comportement d’un client, la banque a l’obligation de faire une déclaration à Tracfin ; si un flux financier est transmis via les réseaux de correspondants bancaires à un bénéficiaire final figurant sur une liste des sanctions au titre du terrorisme, la banque doit bloquer le flux dans l’attente de la confirmation (ou non) que cette personne puisse être liée de près ou de loin à du financement de terrorisme ; dans le cadre de la directive Abus de marché [14] , le prestataire de service d’investissement doit déclarer à l’AMF toute transaction suspecte de la part d’une de ses contreparties – par exemple un soupçon non levé sur un comportement de la contrepartie qui laisserait penser à une manipulation de cours. L’ensemble de ces déclarations contribuent à la réalisation d’enquêtes plus approfondies au niveau national ou international, et réduisent – voire stoppent – certaines pratiques délictueuses (par exemple l’affaire UIMM révélée par l’intermédiaire des déclarations à Tracfin [15] de la BNP).

Il est temps de sortir d’une logique de conformité réglementaire, où le seul gain possible se situe sur le terrain juridique, pour évoluer vers une logique de responsabilité sociale où la banque mais aussi ses collaborateurs remplissent une mission sociale concomitante à la poursuite d’objectifs économiques.

La conformité ne se résume pas à une conformité à des procédures (qui, à force de s’accumuler, conduisent à la paralysie [16] ). Elle doit aussi permettre d’accompagner le collaborateur en lui donnant les moyens d’utiliser ses compétences et sa créativité tout en restant dans les frontières de la conformité. C’est à ce titre que la conformité pourra être perçue non comme une contrainte, mais comme un atout social et commercial, méritant de servir de support publicitaire : la banque de proximité, la banque qui mérite la confiance de ses clients, mais aussi et tout simplement la banque qui accepte de tenir sa place dans un monde économique et social complexe.

 

1 Dernièrement, les pertes de JP Morgan ont à nouveau jeté le discrédit sur les activités de marché. 2 Entretien, Libération du 24 février 2012. 3 Comme le souligne C. Noyer, tant l’AMF que l’ACP ont la volonté de « mettre les intérêts de la clientèle au centre du dispositif de régulation des différents produits financiers. » Extrait de l’introduction de C. Noyer lors du colloque académique ACP-AMF du 11 mai 2012. 4 B. Bon-Michel et B. Pigé (2009), « La conformité et la prise de risques dans le domaine bancaire », Revue française de comptabilité, n° 419, pp. 38-41. 5 La MIF (Marché d’instruments financiers) résulte de deux directives européennes du 21 avril 2004 (niveau 1) et de deux mesures d’exécution du 10 août 2006 (transposée le 1er novembre 2007 dans le RG AMF). 6 Un projet de directive et de règlement a été transmis au Parlement européen et aux États membres pour négociation et adoption. 7 Incluant, depuis l’ordonnance du 30 janvier 2009 en France, le blanchiment au titre de la fraude fiscale. 8 B. Pigé (2011), Qualité de l’audit, DeBoeck. 9 « Know Your Client », c'est-à-dire la connaissance du client nécessaire lors de toute entrée en relation. 10 L’affaire « Vivendi Universal », en 2002, où le responsable de la doctrine comptable du cabinet d’audit Salustro fut remercié du jour au lendemain pour s’être opposé au montage comptable proposé par le P-DG de l’époque et par l’associé signataire, rappelle qu’être garant de la conformité n’est pas nécessairement une sinécure. 11 Les lignes directrices en matière de LCB/FT rédigées depuis 2010 par l’ACP illustrent la nécessité d’assister les établissements dans la traduction des textes au regard des activités opérationnelles. 12 M. Foucault (1975), Surveiller et punir : naissance de la prison, Gallimard. 13 B. Bon-Michel et B. Pigé (2011), « La loyauté, une réponse aux enjeux de conformité dans les salles de marché », Actes pratiques et ingénierie sociétaire, JurisClasseur n° 116, pp. 36-41. 14 Intégrée dans le RG AMF en juillet 2006. 15 En 2011, Tracfin a reçu plus de 24 000 déclarations de soupçons (+19 % sur un an) tous secteurs confondus et a transmis 1 064 dossiers de blanchiment d'argent aux administrations partenaires ou à la justice (500 dossiers), soit une augmentation de 20 % sur un an (source : Agefi, 7 mars 2012). 16 D. Bessire, L. Cappelletti et B. Pigé (coordonné par) (2010), Normes : origines et conséquences des crises, Economica.