L’organisation des dispositifs de contrôle des acteurs régulés de la gestion d’actifs (1/2)

L’organisation des dispositifs de contrôle des professionnels régulés intervenant dans les secteurs de la banque et de la gestion d’actifs fait l’objet en France d’un encadrement rigoureux, principalement en raison des risques qu’elle induit en cas de déficience. Or, si des similitudes existent entre les dispositions régissant ces deux domaines, des différences notables méritent toutefois d’être relevées et d’être appréhendées par les acteurs concernés. Au travers d’une série de deux articles, les auteurs tenteront de souligner les principales singularités de ces approches.

Des fondements textuels précis pour les gestionnaires d’actifs…

Concernant les sociétés de gestion de portefeuille (SGP), si certaines dispositions législatives européennes et nationales ont pu évoquer, succinctement, le périmètre des dispositifs de contrôle, les principales règles portant sur leur organisation figurent au sein du Règlement général [1] et dans les documents de doctrine de l’Autorité des marchés financiers (AMF).

En particulier, plusieurs documents apportent un éclairage sur les attentes du régulateur : la Position-recommandation n° 2014-06 portant sur le « guide relatif à l’organisation du dispositif de maîtrise des risques au sein des sociétés de gestion de portefeuille », la Position n° 2012-17 portant sur les « exigences relatives à la fonction de conformité », la Position-recommandation n° 2012-19 portant sur le « guide d’élaboration du programme d’activité des sociétés de gestion de portefeuille » et l’Instruction n° 2012-01 portant sur l’« organisation de l’activité de gestion de placements collectifs et du service d’investissement de gestion de portefeuille pour le compte de tiers en matière de gestion des risques ».

Pour rappel, trois niveaux de contrôle doivent, en principe, être institués :

• un premier niveau de contrôle, assuré par les opérationnels et/ou leurs responsables hiérarchiques ou des équipes dédiées, doit être chargé de veiller au respect de l’ensemble des politiques et procédures internes ;
• un deuxième niveau de contrôle, également dénommé « contrôle permanent », comprend trois sous-dispositifs distincts mais néanmoins complémentaires : le contrôle de la conformité, le contrôle interne et le contrôle des risques. Il est, en principe, exercé par des personnes exclusivement dédiées et doit s’assurer de la bonne exécution des contrôles de premier niveau ;
• un troisième niveau de contrôle, également dénommé « contrôle périodique », est traditionnellement assumé par des personnes distinctes et indépendantes des autres fonctions de la SGP. Il vise à examiner l’adéquation et l’efficacité des systèmes, mécanismes de contrôle interne et autres dispositifs mis en place par le gestionnaire, formule des recommandations sur la base des travaux qu’il effectue, vérifie le respect de ces recommandations et réalise un rapport sur les questions d’audit interne.

…appuyés par des principes directeurs éclairants…

En pratique, plusieurs principes encadrent l’organisation des dispositifs de contrôle des SGP. Ils permettent d’anticiper le niveau d’attente de l’AMF tout en offrant la possibilité aux acteurs d’ajuster, dans une certaine mesure, leurs schémas et processus opérationnels en tirant bénéfice de certaines dérogations, sous conditions.

Tout d’abord, l’organisation des dispositifs de contrôle doit être appropriée et adaptée aux caractéristiques propres à chaque SGP tout en veillant à s’assurer de la préservation et de l’efficacité des contrôles.

Ensuite, l’organisation des différents niveaux de contrôle est également impactée par l’application du principe de proportionnalité.

– Concernant la fonction de conformité, si un responsable doit obligatoirement être désigné, le gestionnaire peut estimer que le respect des obligations de conformité ne requiert pas un poste à temps plein en raison de la nature, de l’échelle et de la complexité des activités menées par la SGP. Dans cette hypothèse, il peut alors être décidé de regrouper cette fonction avec d’autres, de la confier à l’un des dirigeants responsables et/ou de l’externaliser auprès d’un prestataire. L’AMF demeure toutefois vigilante quant à l’usage de ces dérogations en les soumettant au respect de certaines conditions : l’usage du principe de proportionnalité doit être documenté, afin que les motifs ayant justifié de son application puissent être audités par le régulateur ; en cas de regroupement avec d’autres fonctions de contrôle, les différentes activités doivent être coordonnées ; un regroupement de la fonction de conformité avec celle de contrôle périodique doit être évité, en raison du fait que la seconde est chargée de contrôler la première et, en toute hypothèse, ce schéma est soumis à un avis préalable favorable de la part du régulateur ; lorsque la fonction de conformité est confiée à l’un des dirigeants responsables de la SGP exerçant des fonctions opérationnelles, le régulateur requiert que les missions dévolues à la fonction de conformité soient confiées à un prestataire externe, un salarié de la société ou d’une entité du groupe ou relevant d’un même organe central, dans le but de préserver l’indépendance du personnel chargé de la conformité vis-à-vis des services qu’il doit contrôler [2] .

– Pour ce qui est de la fonction de gestion des risques, s’il n’est pas nécessaire de désigner un responsable de la fonction, la réglementation impose toutefois la mise en place d’une telle fonction. En principe, celle-ci doit être indépendante des unités opérationnelles (i. e. gérants) qu’elle contrôle. De plus, l’indépendance est rendue obligatoire lorsque, d’une part, la SGP gère des fonds d’investissements ouverts à des investisseurs non professionnels et, d’autre part, fait usage de stratégies complexes, utilise des contrats et des titres financiers comportant un contrat financier complexe, ou encore utilise la méthode de la Value at Risk pour mesurer l’exposition au risque. Lorsque l’indépendance de la fonction n’est pas requise, un dirigeant ou un gérant peut l’exercer. À l’inverse, celle-ci doit être confiée à un risk manager dans l’hypothèse où l’indépendance est requise [3] .

– Concernant la fonction de contrôle périodique, les SGP doivent, en principe, instaurer une fonction distincte et indépendante. Une telle indépendante n’est toutefois plus requise lorsque l’obligation s’avère disproportionnée par rapport à la nature, l’importance, la complexité et la diversité des activités menées. Une nouvelle fois, l’AMF examine attentivement une telle dérogation en la soumettant à certaines conditions : l’usage du principe de proportionnalité doit être documenté pour être en capacité de démontrer au régulateur que la mise en place de la fonction est disproportionnée ; un regroupement de la fonction de contrôle périodique avec celles de conformité et de contrôle interne doit être évité, et, a minima, doit faire l’objet d’un avis favorable préalable de l’AMF ; lorsque la SGP n’appartient pas à un groupe, il est préférable que la fonction de contrôle périodique soit confiée à un prestataire externe [4] ; lorsqu’un responsable de la conformité et du contrôle interne est également en charge du contrôle des risques, il n’est pas souhaitable qu’il exerce également la fonction de contrôle périodique.

Enfin, d’autres principes participent également de l’encadrement de l’organisation des dispositifs de contrôle. C’est le cas de ceux de permanence, d’efficacité et de compétence communs aux fonctions de conformité et de gestion des risques.

…et devant faire l’objet d’une documentation appropriée

L’AMF s’attend également à ce que l’organisation du dispositif de contrôle de la SGP soit dûment documentée.

En premier lieu, celle-ci doit faire l’objet d’une description au sein du programme d’activité du gestionnaire (exemples : moyens humains et matériels consacrés, description de l’organisation générale, corpus documentaire associé) et la structure organisationnelle déployée doit être détaillée en distinguant clairement les lignes hiérarchiques et la répartition des fonctions et responsabilités des différentes parties prenantes au dispositif. Chez les acteurs de taille significative, lorsque plusieurs collaborateurs sont chargés de la même fonction, la SGP doit clairement établir la répartition des rôles et responsabilités de chacun.

En second lieu, le régulateur requiert que des politiques et procédures de contrôle et de suivi soient mises en place et appliquées au sein de la SGP, de manière à lui permettre de répondre à l’ensemble de ses obligations professionnelles (des documents spécifiques à chaque composante du dispositif de contrôle sont exigés, tels que, par exemple, une cartographie des risques pour la fonction de gestion des risques). Les deuxième et troisième niveaux de contrôle font également l’objet d’un plan ou programme de contrôle propre.

En outre, la documentation sous-jacente passe également par les reporting réalisés auprès de l’instance de surveillance du gestionnaire (exemples : rapports écrits sur la conformité et sur le contrôle périodique) de manière à parachever la gouvernance des risques.

Ces éléments étant rappelés, l’intérêt de ces développements réside dans leur comparaison avec les dispositions applicables au secteur bancaire, afin notamment d’en déduire les modalités d’articulation entre les deux corps de règles dans le contexte d’un groupe.