Risque de marché, de crédit, de liquidité, risque opérationnel… Dans le cadre de leurs activités, les établissements financiers sont exposés à de très nombreux risques, pour lesquels il leur est indispensable de mettre en place des systèmes de recensement, d’évaluation et de maîtrise. Le
La complexité du recensement des risques de conformité potentiels
La mise en place d’un dispositif de maîtrise des risques commence par le recensement formalisé de l’ensemble des risques potentiels auxquels l’établissement est exposé, étape préalable à la « cartographie », véritable outil de pilotage pour les établissements. Or, le périmètre à couvrir est extrêmement large et il implique la prise en compte :
- de la loi : Code monétaire et financier, Code de la consommation, etc. ;
- de la réglementation : règlements du CRBF, instructions de l’ACP, autres textes de l’ACP (lignes directrices, recommandations), règlement général et positions de l’AMF… ;
- des engagements propres à l’entreprise : normes professionnelles, codes ou chartes de conduite interne, procédures, etc.
Pour les services de conformité, la veille s’avère extrêmement chronophage. En effet, loin de s'arrêter au seul recensement, la mission comprend également une analyse, en vue d’une traduction opérationnelle dans les différents métiers de l’établissement. La veille n'est en effet que la première étape d’un long processus, qui cheminera via la mise à jour de procédures métiers, l’accompagnement au changement et, le cas échéant, la formation du personnel. Dans ce contexte, il est essentiel pour les fonctions et directions conformité d’organiser la veille réglementaire, de la structurer, et de faire jouer leur expertise afin de trouver le bon niveau de
Si l'approche par processus – ouvrir un compte-courant, traiter des opérations sur titre, distribuer un contrat d’assurance vie, etc. – a la faveur de certains établissements, d'autres optent pour une approche par thème – quelles sont les obligations en matière de relations avec les intermédiaires en opération de banque ? en matière de traitement des réclamations ? etc. – qui semble également convenir. L’écueil à éviter est de constituer un référentiel trop lourd, impraticable et impossible à maintenir. Dernière remarque et non des moindres : la veille est un processus continu et permanent. Elle nécessite une vigilance constante. Les modalités de mise à jour des référentiels de conformité doivent donc être organisées et prises en compte dans toute démarche de cartographie.
Une évaluation difficile des impacts
Toute démarche de cartographie des risques classique suppose l’évaluation des impacts en cas de survenance. Ce travail de
- La sanction judiciaire : il est possible, pour certaines typologies de risques de non-conformité, de se reposer sur des sanctions judiciaires avérées. Ainsi, certains établissements ont été condamnés par le passé en raison de manquements à leur devoir de conseil ou à leur devoir de mise en garde, face à des clients ou des associations de consommateurs qui les avaient conduits en justice. Or, en France, en l’absence de
« » , les indemnités individuelles obtenues dans le cadre de procédures civiles ne sont pas très élevées, à l’échelle d’un grand établissement. Est-il cohérent d’évaluer comme faible le risque de ne pas fournir un conseil approprié et formalisé au client parce que l’examen de la jurisprudence montre des indemnités en deçà de quelques milliers d’euros, alors même que c’est une des priorités affichées des autorités de supervision? Dans d’autres cas, comme le blanchiment par exemple, l’établissement et le dirigeant s’exposent à un risque pénal si leur responsabilité est démontrée. Faire un focus sur ces situations peut également constituer une piste intéressante.[4] - La sanction administrative ou disciplinaire : il s’agit des sanctions infligées aux établissements à la suite d’une mission d’inspection des autorités de supervision (avertissement, blâme, retrait partiel ou total d’agrément et/ou sanction pécuniaire). L’outil d’aide à l’évaluation a cependant ses limites, d’une part parce que
le nombre de sanctions est relativement faible , d’autre part parce que, si certaines sanctions sont motivées par des griefs bien précis – manquements aux dispositifs de lutte contre le blanchiment des capitaux notamment –, d’autres portent sur un ensemble de dysfonctionnements, ce qui rend difficile l’évaluation d’un manquement sur un point précis. Pour les groupes, les enseignements sont peut-être à chercher à l’étranger : à titre d’illustration, la FSA a infligé des pénalités significatives (au-delà du million de livres) à plusieurs établissements sur le sujet du reporting des transactions à l’AMF qui, en l’absence de sanctions marquantes en France, ne passionne pas les établissements.[5] - La perte financière : pour certains types de risques de non-conformité pouvant avoir pour conséquence des risques opérationnels, il peut être intéressant de mutualiser les approches à des fins d’évaluation. Par exemple ne pas enregistrer les conversations des opérateurs de marché constitue un manquement au règlement général de l’AMF, ce manquement pouvant créer un contexte favorable à une fraude interne, laquelle peut générer plusieurs millions d’euros de perte… Dans ce cas, l’évaluation repose sur l’analyse de la conséquence opérationnelle de la non-conformité.
- L’atteinte à la réputation : il s’agit là du manque à gagner futur provenant d’une détérioration de l’image. L’établissement peut construire sa propre échelle de valeurs afin d’évaluer les impacts potentiels : réclamation écrite du client sans poursuite judiciaire, publication dans une revue spécialisée dédiée aux professionnels et à tirage limité, publication dans la presse généraliste à diffusion large… L’effet à moyen et long terme peut être extrêmement préjudiciable, mais reste très difficile à estimer, en tout cas si l’on souhaite avoir une vision un peu fine.
Plusieurs options sont ensuite possibles pour affiner la démarche : pondérer chacun des éléments ou retenir en priorité les événements pour lesquels un des quatre paramètres est noté fort.
La voie de l’exemplarité
Cet exercice d’évaluation des impacts est intéressant : d’un point de vue économique, il permet de fixer, selon des critères homogènes et définis, des priorités, ce qui est nécessaire dans toute allocation de moyens humains ou financiers (choisir par exemple d’acquérir un outil de surveillance des transactions à des fins de lutte contre le blanchiment pour plusieurs millions d’euros). C’est néanmoins un exercice difficile, caractérisé par plusieurs types d’impacts, une matière pas forcément riche (peu de sanctions) ou à élaborer (recueil des jurisprudences civiles et pénales), des incohérences possibles à gérer (entre les priorités des autorités de supervision et les sanctions avérées), une part de subjectivité (évaluation de l’impact potentiel sur la réputation)…
Cette difficulté peut conduire à la tentation de prendre un chemin de traverse, selon le credo du « pas vu, pas pris » : pas de sanction ou d’affaire déjà révélée équivaudrait à une absence de risque…
Aussi la question se pose. Est-ce faire le bon choix que de vouloir hiérarchiser les risques de non-conformité ? Hiérarchiser revient en effet à considérer certains sujets comme moins prioritaires que d’autres, et à acter et assumer une possible non-conformité.
Alors que les banques n’inspirent plus confiance et souffrent d’une image déplorable auprès de l’opinion, cette voie de la hiérarchisation est-elle judicieuse ? Les banques n’ont-elles pas plus à gagner en empruntant celle de l’exemplarité, en misant sur les valeurs de l’éthique, du respect de la loi et des règles, sans écart. Certaines affichent déjà ce choix…
Les risques de non-conformité nécessitent un pilotage au plus près, car ils sont complexes, de nature variée, et effectivement parce qu’ils peuvent générer des impacts difficiles à mesurer. Ces tentatives d’évaluation des impacts, décrites plus haut, sont intéressantes car elles donnent des indicateurs. Néanmoins dans une démarche éthique et exemplaire, il semble que le respect de la loi ne peut tolérer aucune demi-mesure. Ce qui signifie que dans une approche de cartographie, l’ensemble des risques de non-conformité « bruts » devraient être cotés comme forts. Il est naturellement évident qu’en pratique, quand il s’agira de définir et de déployer des plans d’action pour parvenir à des risques résiduels acceptables, des priorités seront à définir. Et ce sont bien là les enjeux aujourd’hui des fonctions et directions conformité, et des directions générales : assurer la maîtrise des coûts et optimiser les allocations de moyens, en assurant le développement commercial attendu, avec pour règle de conduite absolue la conformité aux lois et règlements. Face à chaque risque de non-conformité identifié, des dispositifs de maîtrise sont déployés afin de passer d’un risque « brut », estimé fort dans tous les cas, à un risque résiduel acceptable ou faible… Le chemin de l’optimisation se situe là : chasse à la redondance des contrôles internes, contrôles adaptés et pertinents à tous les niveaux, développement de l’automatisation des contrôles, formation et diffusion d’une culture de la conformité… Dans un environnement réglementaire de plus en plus exigeant, maîtriser et piloter la non-conformité résiduelle, avec des investissements eux aussi suivis au plus près, voilà le défi des établissements aujourd’hui.
