Les établissements de crédit comme les entreprises d’investissement se réfèrent, pour la mise en place de leur fonction conformité, aux obligations précisées par les modifications datant de 2005 du texte sur le contrôle
Les obligations réglementaires des sociétés de gestion d’actifs en matière de conformité sont, quant à elles, précisées par le règlement général de l’Autorité des marchés financiers (AMF). La position AMF 2012-17 parue fin novembre 2012 reprend les orientations émises par l’
L’évaluation des risques de non-conformité
Dans cette position AMF, la nécessité d’une évaluation des risques de non-conformité est réaffirmée : « Les PSI doivent s’assurer que la fonction de conformité adopte une approche fondée sur le risque, afin de garantir une allocation efficace des ressources de cette fonction. Une évaluation du risque de non-conformité doit être menée pour déterminer l’angle de travail des activités de contrôle et de conseil de la fonction de conformité. »
La nécessité de l’évaluation des risques apparaît notamment comme le point de passage obligé de toute démarche d’optimisation des ressources des contrôles. En pratique, cela se traduit par l’élaboration d’une cartographie des risques de non-conformité qui doit servir à mieux cibler les zones à risques et à mieux dimensionner les ressources de contrôles.
Dans un même objectif de mutualisation des ressources, il peut être judicieux de coordonner cette cartographie des risques de non-conformité avec les cartographies de risques opérationnels. Les démarches sont similaires : il s’agit de définir tout d’abord un risque brut (risque également appelé « intrinsèque ») avant évaluation des dispositifs de maîtrise des risques, puis d’identifier les contrôles existants afin d’en déduire les risques nets (ou résiduels). Mais si la démarche est identique, les critères d’évaluation des risques de non-conformité mettront beaucoup plus l’accent sur les risques d’image ou de sanctions des autorités que sur le risque purement financier qui est en général un critère majeur d’évaluation des autres cartographies de risques (voir Encadré 1).
Intégrer le résultat des contrôles dans la cartographie des risques
Le point faible récurrent de l’ensemble des cartographies de risques des établissements de la Place est qu’elles ne tiennent pas (ou peu) compte dans le résultat des risques résiduels, de la réalité des dispositifs de maîtrise des risques.
En effet, elles ont la plupart du temps été réalisées dans une démarche essentiellement participative, en impliquant les experts opérationnels de chaque activité ou métier. Cette démarche participative a le mérite de diffuser la culture risque et, dans le domaine des cartographies des risques de non-conformité, de faire prendre conscience à l’ensemble des acteurs d’un établissement, des exigences réglementaires des activités financières.
Cependant, la fiabilité des évaluations de risques et donc le bon dimensionnement des ressources en fonction des risques les plus significatifs nécessitent d’aller plus loin et d’intégrer dans cette démarche une véritable prise en compte de la réalité des contrôles. Cela rend nécessaire de comparer l’évaluation des dispositifs de contrôle vus par les opérationnels dans cette démarche dite « à dire d’expert », avec le résultat des contrôles de second niveau réalisés de manière indépendante. Ainsi, le pourcentage d’anomalies remontées lors des contrôles devrait être intégré dans la méthodologie d’évaluation et figurer dans les reportings de synthèse. Or la position 2012-17 va dans ce sens puisqu’elle précise : « L’évaluation doit également prendre en considération les résultats de l’ensemble des activités de contrôle et des conclusions d’audit interne ou externe pertinentes ».
Les contrôles en matière de conformité
Les contrôles en matière de conformité doivent répondre à deux objectifs : leur dimensionnement doit s’adapter à la gravité du risque, évalué au travers de la cartographie, mais également répondre à un objectif d’exhaustivité, pour ne pas laisser passer de risque non détecté. C’est le sens de l’orientation générale n° 2 de la position AMF 2012-17 : « Le programme de contrôle doit fixer des priorités sur la base de l’évaluation du risque de non-conformité, afin de garantir un contrôle exhaustif du risque de non-conformité. »
Concrètement, la position de l’AMF indique quelques outils et méthodes que les responsables de la conformité peuvent utiliser, notamment des indicateurs de risques, et la « création de rapports attirant automatiquement l’attention de la direction, ou indiquant les écarts substantiels entre les attentes et la situation constatée (rapports d’anomalies) ou les situations problématiques qui doivent être traitées (registre des problèmes) ». Il est en effet d’une importance majeure que le résultat des contrôles soit synthétisé dans des reportings orientés vers l’action qui permettent à une direction générale de prendre des décisions sur la base des anomalies constatées.
Une implication dans le processus de traitement des réclamations
Le traitement des réclamations a fait l’objet à la fois d’une recommandation de l’Autorité de contrôle
Des rapports détaillés pour mettre en place des actions correctives
La position AMF 2012-17 précise enfin le contenu des rapports qui doivent être émis par la fonction conformité pour être utilisés par la Direction générale (voir Encadré 2). Pour les sociétés de gestion d’actifs, ce texte impliquera de structurer des reportings beaucoup plus détaillés que la simple grille du rapport
Pour les autres prestataires de services d’investissement, les points détaillés dans cet article montrent que des ajustements seront également nécessaires dans les méthodes et démarches de la fonction conformité ainsi que dans les reportings qu’elle produit et enfin, dans son périmètre de compétence.
