Les banques peuvent-elles être exemplaires ?

Risque de march&eacute;, de cr&eacute;dit, de liquidit&eacute;, risque op&eacute;rationnel&hellip; Dans le cadre de leurs activit&eacute;s, les &eacute;tablissements financiers sont expos&eacute;s &agrave; de tr&egrave;s nombreux risques, pour lesquels il leur est indispensable de mettre en place des syst&egrave;mes de recensement, d&rsquo;&eacute;valuation et de ma&icirc;trise. Le r&egrave;glement n&deg; 97-02 modifi&eacute; [1] relatif au contr&ocirc;le interne des &eacute;tablissements de cr&eacute;dit et des entreprises d&rsquo;investissement en dresse un inventaire et en propose des d&eacute;finitions. Dans cette liste figure le risque de non-conformit&eacute;, d&eacute;fini comme &laquo; le risque de sanction judiciaire, administrative ou disciplinaire, de perte financi&egrave;re significative ou d&rsquo;atteinte &agrave; la r&eacute;putation, qui na&icirc;t du non-respect de dispositions propres aux activit&eacute;s bancaires et financi&egrave;res, qu&rsquo;elles soient de nature l&eacute;gislatives ou r&eacute;glementaires, ou qu&rsquo;il s&rsquo;agisse de normes professionnelles et d&eacute;ontologiques, ou d&rsquo;instructions de l&rsquo;organe ex&eacute;cutif prises notamment en application des orientations de l&rsquo;organe d&eacute;lib&eacute;rant . &raquo; Introduit dans la r&eacute;glementation d&egrave;s 2005, le risque de non-conformit&eacute; soul&egrave;ve aujourd&rsquo;hui encore des interrogations. Pourtant, sa mesure et son pilotage suscitent, &agrave; l&rsquo;&eacute;gard des &eacute;tablissements, des attentes aussi importantes que pour d&rsquo;autres types de risque. La complexit&eacute; du recensement des risques de conformit&eacute; potentiels La mise en place d&rsquo;un dispositif de ma&icirc;trise des risques commence par le recensement formalis&eacute; de l&rsquo;ensemble des risques potentiels auxquels l&rsquo;&eacute;tablissement est expos&eacute;, &eacute;tape pr&eacute;alable &agrave; la &laquo; cartographie &raquo;, v&eacute;ritable outil de pilotage pour les &eacute;tablissements. Or, le p&eacute;rim&egrave;tre &agrave; couvrir est extr&ecirc;mement large et il implique la prise en compte : de la loi : Code mon&eacute;taire et financier, Code de la consommation, etc. ; de la r&eacute;glementation : r&egrave;glements du CRBF, instructions de l&rsquo;ACP, autres textes de l&rsquo;ACP (lignes directrices, recommandations), r&egrave;glement g&eacute;n&eacute;ral et positions de l&rsquo;AMF&hellip; ; des engagements propres &agrave; l&rsquo;entreprise : normes professionnelles, codes ou chartes de conduite interne, proc&eacute;dures, etc. &Agrave; chaque activit&eacute; ou service &agrave; la client&egrave;le son lot de textes et r&egrave;glements : ouvertures de compte, octroi de cr&eacute;dit &agrave; la consommation ou immobilier, distribution de produits financiers et d&rsquo;&eacute;pargne, distribution de moyens de paiement&hellip; Qu'il s'agisse de la lutte contre le blanchiment des capitaux ou contre les abus de march&eacute;, de la protection de la client&egrave;le, des interm&eacute;diaires en op&eacute;rations de banque, ces th&eacute;matiques recouvrent une multitude d&rsquo;obligations. La constitution de ce r&eacute;f&eacute;rentiel des textes, c&rsquo;est-&agrave;-dire des risques de non-conformit&eacute; auxquels l&rsquo;&eacute;tablissement s&rsquo;expose s&rsquo;il ne les respecte pas, est l&rsquo;objectif de la veille r&eacute;glementaire et l'une des missions principales des fonctions et directions conformit&eacute;. Le nombre de textes publi&eacute;s (en France, mais &eacute;galement en Europe &ndash; directives et r&egrave;glements d&rsquo;application imm&eacute;diate &ndash;, et au niveau mondial &ndash; extraterritorialit&eacute; de certains textes comme Dodd Frank Act, FATCA, UK Bribery Act&hellip; &ndash;) ainsi que leur complexit&eacute; rendent l&rsquo;exercice particuli&egrave;rement complexe. Pour les services de conformit&eacute;, la veille s&rsquo;av&egrave;re extr&ecirc;mement chronophage. En effet, loin de s'arr&ecirc;ter au seul recensement, la mission comprend &eacute;galement une analyse, en vue d&rsquo;une traduction op&eacute;rationnelle dans les diff&eacute;rents m&eacute;tiers de l&rsquo;&eacute;tablissement. La veille n'est en effet que la premi&egrave;re &eacute;tape d&rsquo;un long processus, qui cheminera via la mise &agrave; jour de proc&eacute;dures m&eacute;tiers, l&rsquo;accompagnement au changement et, le cas &eacute;ch&eacute;ant, la formation du personnel. Dans ce contexte, il est essentiel pour les fonctions et directions conformit&eacute; d&rsquo;organiser la veille r&eacute;glementaire, de la structurer, et de faire jouer leur expertise afin de trouver le bon niveau de granularit&eacute; [2] dans la construction du r&eacute;f&eacute;rentiel. Un format ad&eacute;quat de restitution des textes officiels permettra par la suite une utilisation pertinente, notamment lorsqu&rsquo;il s&rsquo;agira de mettre en place, face &agrave; chaque risque, un dispositif de ma&icirc;trise efficace. Si l'approche par processus &ndash; ouvrir un compte-courant, traiter des op&eacute;rations sur titre, distribuer un contrat d&rsquo;assurance vie, etc. &ndash; a la faveur de certains &eacute;tablissements, d'autres optent pour une approche par th&egrave;me &ndash; quelles sont les obligations en mati&egrave;re de relations avec les interm&eacute;diaires en op&eacute;ration de banque ? en mati&egrave;re de traitement des r&eacute;clamations ? etc. &ndash; qui semble &eacute;galement convenir. L&rsquo;&eacute;cueil &agrave; &eacute;viter est de constituer un r&eacute;f&eacute;rentiel trop lourd, impraticable et impossible &agrave; maintenir. Derni&egrave;re remarque et non des moindres : la veille est un processus continu et permanent. Elle n&eacute;cessite une vigilance constante. Les modalit&eacute;s de mise &agrave; jour des r&eacute;f&eacute;rentiels de conformit&eacute; doivent donc &ecirc;tre organis&eacute;es et prises en compte dans toute d&eacute;marche de cartographie. Une &eacute;valuation difficile des impacts Toute d&eacute;marche de cartographie des risques classique suppose l&rsquo;&eacute;valuation des impacts en cas de survenance. Ce travail de cotation [3] permet de mettre en exergue, parmi tous ceux identifi&eacute;s (selon la d&eacute;marche d&eacute;crite pr&eacute;c&eacute;demment), les risques majeurs, puis de d&eacute;terminer les plans d&rsquo;action n&eacute;cessaires pour diminuer les risques encourus en fixant des priorit&eacute;s. S&rsquo;agissant des risques de non-conformit&eacute;, beaucoup d&rsquo;&eacute;tablissements se sont engag&eacute;s sur cette voie. Les concernant, l&rsquo;&eacute;valuation des impacts s&rsquo;av&egrave;re cependant ardue. Le r&egrave;glement 97-02 modifi&eacute; mentionne les impacts suivants : La sanction judiciaire : il est possible, pour certaines typologies de risques de non-conformit&eacute;, de se reposer sur des sanctions judiciaires av&eacute;r&eacute;es. Ainsi, certains &eacute;tablissements ont &eacute;t&eacute; condamn&eacute;s par le pass&eacute; en raison de manquements &agrave; leur devoir de conseil ou &agrave; leur devoir de mise en garde, face &agrave; des clients ou des associations de consommateurs qui les avaient conduits en justice. Or, en France, en l&rsquo;absence de &laquo; &raquo; [4] , les indemnit&eacute;s individuelles obtenues dans le cadre de proc&eacute;dures civiles ne sont pas tr&egrave;s &eacute;lev&eacute;es, &agrave; l&rsquo;&eacute;chelle d&rsquo;un grand &eacute;tablissement. Est-il coh&eacute;rent d&rsquo;&eacute;valuer comme faible le risque de ne pas fournir un conseil appropri&eacute; et formalis&eacute; au client parce que l&rsquo;examen de la jurisprudence montre des indemnit&eacute;s en de&ccedil;&agrave; de quelques milliers d&rsquo;euros, alors m&ecirc;me que c&rsquo;est une des priorit&eacute;s affich&eacute;es des autorit&eacute;s de supervision? Dans d&rsquo;autres cas, comme le blanchiment par exemple, l&rsquo;&eacute;tablissement et le dirigeant s&rsquo;exposent &agrave; un risque p&eacute;nal si leur responsabilit&eacute; est d&eacute;montr&eacute;e. Faire un focus sur ces situations peut &eacute;galement constituer une piste int&eacute;ressante. La sanction administrative ou disciplinaire : il s&rsquo;agit des sanctions inflig&eacute;es aux &eacute;tablissements &agrave; la suite d&rsquo;une mission d&rsquo;inspection des autorit&eacute;s de supervision (avertissement, bl&acirc;me, retrait partiel ou total d&rsquo;agr&eacute;ment et/ou sanction p&eacute;cuniaire). L&rsquo;outil d&rsquo;aide &agrave; l&rsquo;&eacute;valuation a cependant ses limites, d&rsquo;une part parce que le nombre de sanctions est relativement faible [5] , d&rsquo;autre part parce que, si certaines sanctions sont motiv&eacute;es par des griefs bien pr&eacute;cis &ndash; manquements aux dispositifs de lutte contre le blanchiment des capitaux notamment &ndash;, d&rsquo;autres portent sur un ensemble de dysfonctionnements, ce qui rend difficile l&rsquo;&eacute;valuation d&rsquo;un manquement sur un point pr&eacute;cis. Pour les groupes, les enseignements sont peut-&ecirc;tre &agrave; chercher &agrave; l&rsquo;&eacute;tranger : &agrave; titre d&rsquo;illustration, la FSA a inflig&eacute; des p&eacute;nalit&eacute;s significatives (au-del&agrave; du million de livres) &agrave; plusieurs &eacute;tablissements sur le sujet du reporting des transactions &agrave; l&rsquo;AMF qui, en l&rsquo;absence de sanctions marquantes en France, ne passionne pas les &eacute;tablissements. La perte financi&egrave;re : pour certains types de risques de non-conformit&eacute; pouvant avoir pour cons&eacute;quence des risques op&eacute;rationnels, il peut &ecirc;tre int&eacute;ressant de mutualiser les approches &agrave; des fins d&rsquo;&eacute;valuation. Par exemple ne pas enregistrer les conversations des op&eacute;rateurs de march&eacute; constitue un manquement au r&egrave;glement g&eacute;n&eacute;ral de l&rsquo;AMF, ce manquement pouvant cr&eacute;er un contexte favorable &agrave; une fraude interne, laquelle peut g&eacute;n&eacute;rer plusieurs millions d&rsquo;euros de perte&hellip; Dans ce cas, l&rsquo;&eacute;valuation repose sur l&rsquo;analyse de la cons&eacute;quence op&eacute;rationnelle de la non-conformit&eacute;. L&rsquo;atteinte &agrave; la r&eacute;putation : il s&rsquo;agit l&agrave; du manque &agrave; gagner futur provenant d&rsquo;une d&eacute;t&eacute;rioration de l&rsquo;image. L&rsquo;&eacute;tablissement peut construire sa propre &eacute;chelle de valeurs afin d&rsquo;&eacute;valuer les impacts potentiels : r&eacute;clamation &eacute;crite du client sans poursuite judiciaire, publication dans une revue sp&eacute;cialis&eacute;e d&eacute;di&eacute;e aux professionnels et &agrave; tirage limit&eacute;, publication dans la presse g&eacute;n&eacute;raliste &agrave; diffusion large&hellip; L&rsquo;effet &agrave; moyen et long terme peut &ecirc;tre extr&ecirc;mement pr&eacute;judiciable, mais reste tr&egrave;s difficile &agrave; estimer, en tout cas si l&rsquo;on souhaite avoir une vision un peu fine. Cumuler l&rsquo;ensemble de ces &eacute;l&eacute;ments constitue une piste possible pour hi&eacute;rarchiser et &eacute;valuer les risques. Le tableau 1 montre deux exemples, &agrave; titre d&rsquo;illustration. Plusieurs options sont ensuite possibles pour affiner la d&eacute;marche : pond&eacute;rer chacun des &eacute;l&eacute;ments ou retenir en priorit&eacute; les &eacute;v&eacute;nements pour lesquels un des quatre param&egrave;tres est not&eacute; fort. La voie de l&rsquo;exemplarit&eacute; Cet exercice d&rsquo;&eacute;valuation des impacts est int&eacute;ressant : d&rsquo;un point de vue &eacute;conomique, il permet de fixer, selon des crit&egrave;res homog&egrave;nes et d&eacute;finis, des priorit&eacute;s, ce qui est n&eacute;cessaire dans toute allocation de moyens humains ou financiers (choisir par exemple d&rsquo;acqu&eacute;rir un outil de surveillance des transactions &agrave; des fins de lutte contre le blanchiment pour plusieurs millions d&rsquo;euros). C&rsquo;est n&eacute;anmoins un exercice difficile, caract&eacute;ris&eacute; par plusieurs types d&rsquo;impacts, une mati&egrave;re pas forc&eacute;ment riche (peu de sanctions) ou &agrave; &eacute;laborer (recueil des jurisprudences civiles et p&eacute;nales), des incoh&eacute;rences possibles &agrave; g&eacute;rer (entre les priorit&eacute;s des autorit&eacute;s de supervision et les sanctions av&eacute;r&eacute;es), une part de subjectivit&eacute; (&eacute;valuation de l&rsquo;impact potentiel sur la r&eacute;putation)&hellip; Cette difficult&eacute; peut conduire &agrave; la tentation de prendre un chemin de traverse, selon le credo du &laquo; pas vu, pas pris &raquo; : pas de sanction ou d&rsquo;affaire d&eacute;j&agrave; r&eacute;v&eacute;l&eacute;e &eacute;quivaudrait &agrave; une absence de risque&hellip; Aussi la question se pose. Est-ce faire le bon choix que de vouloir hi&eacute;rarchiser les risques de non-conformit&eacute; ? Hi&eacute;rarchiser revient en effet &agrave; consid&eacute;rer certains sujets comme moins prioritaires que d&rsquo;autres, et &agrave; acter et assumer une possible non-conformit&eacute;. Alors que les banques n&rsquo;inspirent plus confiance et souffrent d&rsquo;une image d&eacute;plorable aupr&egrave;s de l&rsquo;opinion, cette voie de la hi&eacute;rarchisation est-elle judicieuse ? Les banques n&rsquo;ont-elles pas plus &agrave; gagner en empruntant celle de l&rsquo;exemplarit&eacute;, en misant sur les valeurs de l&rsquo;&eacute;thique, du respect de la loi et des r&egrave;gles, sans &eacute;cart. Certaines affichent d&eacute;j&agrave; ce choix&hellip; Les risques de non-conformit&eacute; n&eacute;cessitent un pilotage au plus pr&egrave;s, car ils sont complexes, de nature vari&eacute;e, et effectivement parce qu&rsquo;ils peuvent g&eacute;n&eacute;rer des impacts difficiles &agrave; mesurer. Ces tentatives d&rsquo;&eacute;valuation des impacts, d&eacute;crites plus haut, sont int&eacute;ressantes car elles donnent des indicateurs. N&eacute;anmoins dans une d&eacute;marche &eacute;thique et exemplaire, il semble que le respect de la loi ne peut tol&eacute;rer aucune demi-mesure. Ce qui signifie que dans une approche de cartographie, l&rsquo;ensemble des risques de non-conformit&eacute; &laquo; bruts &raquo; devraient &ecirc;tre cot&eacute;s comme forts. Il est naturellement &eacute;vident qu&rsquo;en pratique, quand il s&rsquo;agira de d&eacute;finir et de d&eacute;ployer des plans d&rsquo;action pour parvenir &agrave; des risques r&eacute;siduels acceptables, des priorit&eacute;s seront &agrave; d&eacute;finir. Et ce sont bien l&agrave; les enjeux aujourd&rsquo;hui des fonctions et directions conformit&eacute;, et des directions g&eacute;n&eacute;rales : assurer la ma&icirc;trise des co&ucirc;ts et optimiser les allocations de moyens, en assurant le d&eacute;veloppement commercial attendu, avec pour r&egrave;gle de conduite absolue la conformit&eacute; aux lois et r&egrave;glements. Face &agrave; chaque risque de non-conformit&eacute; identifi&eacute;, des dispositifs de ma&icirc;trise sont d&eacute;ploy&eacute;s afin de passer d&rsquo;un risque &laquo; brut &raquo;, estim&eacute; fort dans tous les cas, &agrave; un risque r&eacute;siduel acceptable ou faible&hellip; Le chemin de l&rsquo;optimisation se situe l&agrave; : chasse &agrave; la redondance des contr&ocirc;les internes, contr&ocirc;les adapt&eacute;s et pertinents &agrave; tous les niveaux, d&eacute;veloppement de l&rsquo;automatisation des contr&ocirc;les, formation et diffusion d&rsquo;une culture de la conformit&eacute;&hellip; Dans un environnement r&eacute;glementaire de plus en plus exigeant, ma&icirc;triser et piloter la non-conformit&eacute; r&eacute;siduelle, avec des investissements eux aussi suivis au plus pr&egrave;s, voil&agrave; le d&eacute;fi des &eacute;tablissements aujourd&rsquo;hui. 1 R&egrave;glement n&deg;97-02 du 21 f&eacute;vrier 1997 relatif au contr&ocirc;le interne des &eacute;tablissements de cr&eacute;dit et des entreprises d&rsquo;investissement, article 4. 2 Niveau de pr&eacute;cision. 3 Il est ici question de l&rsquo;&eacute;valuation des risques &laquo; bruts &raquo;. Dans les d&eacute;marches de cartographie des risques, la notion de risque &laquo; brut &raquo; fait r&eacute;f&eacute;rence au risque absolu, avant tout dispositif de ma&icirc;trise et/ou de contr&ocirc;le. Le risque brut est mitig&eacute; par un dispositif (contr&ocirc;le interne, proc&eacute;dure&hellip;) qui permet de calculer le risque r&eacute;siduel, ou risque &laquo; net &raquo;. 4 En fran&ccedil;ais, actions collectives. 5 Cinq sanctions rendues par la Commission des sanctions de l&rsquo;ACP en France en 2011 (dont la plus &eacute;lev&eacute;e se chiffrant &agrave; 800 000 euros d&rsquo;amende et un avertissement) et une sanction en 2010 (200 000 euros et un bl&acirc;me pour un &eacute;tablissement en raison de manquements sur la r&eacute;glementation LCB FT).

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Risque de non-conformité

Les banques peuvent-elles être exemplaires ?

À retrouver dans la revue

Intelligence artificielle

Le meilleur usage
du numérique est celui
qu’on ne voit pas

Métiers

Une page s’est tournée pour l’Europe financière

Banque de financement et d'investissement (BFI)

Un pont reste à franchir vers l’économie circulaire

Technologie

XBRL : un vaste champ d’applications

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Risque de non-conformité

Les banques peuvent-elles être exemplaires ?

À retrouver dans la revue

Le meilleur usage du numérique est celui qu’on ne voit pas

Une page s’est tournée pour l’Europe financière

Un pont reste à franchir vers l’économie circulaire

XBRL : un vaste champ d’applications

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Le meilleur usage
du numérique est celui
qu’on ne voit pas