Prochaine certification des Qualified Intermediaries : êtes-vous (réellement) prêts ?

Le nouveau contrat QI est exceptionnel par de nombreux aspects. Le premier étant d'avoir réussi le tour de force d’obliger les établissements QIs du monde entier à faire un chèque en blanc à l’IRS [1] , ces derniers ayant signé leur nouveau contrat sans en connaître précisément les nouvelles dispositions ! En effet, la plupart des banques étaient dès avril 2014 dans les starting-blocks pour s’enregistrer sur le portail FATCA [2] de l'IRS. L'obtention du GIIN (matricule FATCA) – qui n’était pourtant qu’une étape du projet FATCA – avait pris la forme d’une compétition internationale dont l’objectif était de faire figurer le nom de son établissement sur la première liste des Foreign Financial Institutions publiée par l’IRS en juin 2014. De fait, peu d’établissements ont été attentifs à la partie III du processus d'enregistrement, relatif au renouvellement du statut QI. Pour les QIs qui n’ont pas omis de la compléter, la demande de renouvellement du statut QI a été effectuée les yeux fermés.

Pourtant, de leur côté, les autorités fiscales américaines semblaient moins pressées et ont attendu la dernière minute pour publier le contenu du nouveau contrat QI le 27 juin 2014 (Revenue Procedure 2014-39), soit seulement quelques jours avant sa date d'effet au 1er juillet. Annoncé assez banalement comme un texte de coordination des obligations QI avec les nouvelles obligations FATCA, ce nouveau contrat réserve pourtant de nombreuses surprises aux directions des établissements concernés. Au-delà des ajustements inévitables en lien avec les nouvelles règles FATCA en matière de documentation, de retenue à la source et de reporting, le texte prévoit la mise en place au sein de chaque établissement QI d’un programme de conformité, ainsi qu’une obligation de certification périodique à l’IRS du bon fonctionnement dudit dispositif (le QI Compliance Program).

Le QI Compliance Program incorpore de manière surprenante la vérification du respect des obligations FATCA, alors que celles-ci étaient supposées être couvertes localement par les accords IGA Modèle 1 (modèle signé par la plupart des pays comme la France et le Luxembourg). Il s’agit d’un changement radical de modèle de travail, imposé par l’IRS.

Les principales modifications apportées au contrat

Les obligations du statut QI ont par le passé été largement sous-estimées par les directions générales des établissements ayant opté pour ce statut. Les préoccupations se sont souvent limitées à la préparation des reportings 1042 par les équipes opérationnelles…

De manière générale, les sections du contrat QI en relation avec les règles de documentation, de retenue à la source et de reporting ont été modifiées afin de tenir comptes des nouvelles obligations FATCA (leur application devant se faire de manière coordonnée), augmentant de fait le niveau de complexité de la matière.

À titre illustratif, nous souhaitons attirer l’attention sur certaines modifications majeures du nouveau contrat :

• le nouveau contrat prévoit des règles encore plus contraignantes pour l’application du « Joint Account Treatment », généralement appliqué aux véhicules transparents (i. e. trusts, partnerships ou véhicules considérés comme tels pour les besoins américains comme par exemple certaines sociétés civiles). Un nouvel ensemble de formulaires doit être utilisé depuis le 30 juillet 2015 pour les comptes ouverts par ce type de clientèle ;
• les exigences pour le bénéfice des taux réduits conventionnels sont durcies. De plus, il convient d’anticiper les nouvelles obligations à venir où toute entité prétendant au bénéfice de la convention avec les États-Unis devra confirmer en vertu de quel article d’un traité, elle est éligible aux bénéfices de la convention ;
• les données et informations faisant l’objet d’un reporting ont été modifiées. Parmi les changements, on peut noter la communication des informations se rapportant à FATCA et la mention de chacun des agents de retenue à la source « primaire ». La nouvelle procédure permet également dans la plupart des cas de reporter les clients américains de manière « poolée » via les formulaires 1042-S en lieu et place des formulaires 1099. De plus, les clients bénéficiant du régime du Joint Account Treatment doivent également faire l’objet d’un reporting spécifique.

À noter que les règles QI étant généralement plus restrictives que celles FATCA, elles prévalent. Il est donc important de bien les maîtriser.

Le QI Compliance Program

Remplaçant les obligations d’audit externe, le QI Compliance Program prévoit l’obligation de mettre en place un programme de conformité au sein de l’établissement QI. Ainsi, chaque QI a déjà dû identifier au sein de son organisation une personne responsable du programme, et ce lors du renouvellement du contrat sur le portail FATCA de l’IRS (à savoir le Responsible Officer). En effet, le nouveau contrat prévoit également une certification par le Responsible Officer de la conformité du dispositif de contrôle, tous les trois ans, sans seuil d’exonération. La première certification doit avoir lieu au plus tard le 30 juin 2018 et portera sur le premier cycle qui a débuté le 1er juillet 2014.

Le programme de mise en conformité à mettre en place par le Responsible Officer, couvre à minima les 6 axes suivants :

• l’existence de politiques internes, de procédures et de manuels suffisants, communiqués aux équipes et régulièrement mis à jour, pour permettre la bonne application des règles QI et FATCA ;
• un plan de formation QI, inclus dans les plans annuels des ressources humaines ;
• la mise à disposition d’outils informatiques permettant de limiter au maximum les risques d’erreur humaine ou de fraude volontaire ;
• le suivi des changements structurels de l’établissement qui pourraient avoir un impact sur le plan de conformité ;
• la réalisation de tests périodiques ;
• la mise en place du plan de conformité lui-même.

Les tests périodiques peuvent en principe être effectués par les équipes d’audit interne. Cependant, il convient de noter que les personnes en charge de ces audits doivent pouvoir justifier d’une connaissance suffisante de la réglementation QI et FATCA. Par ailleurs, elles doivent être hiérarchiquement indépendantes du Responsible Officer, ce qui peut être contraignant en fonction de l’organisation de certains établissements. De ce fait, il est fort probable que les travaux soient finalement délégués à un auditeur externe, comme cela était souvent le cas sous le précédent contrat QI.

Les tests à réaliser sont bien plus étendus que ceux exigés dans le cadre du premier contrat QI signé en 2001 où seule l’analyse d’un échantillon de comptes ayant perçu des revenus de source américaine, était généralement effectuée (i. e. contrôle de la documentation, des retenues effectuées et du reporting). A contrario, l’étendue des tests à réaliser dans le cadre du QI Compliance Program est bien plus large :

• réalisation de tests sur l’ensemble de la clientèle ;
• validation des systèmes de contrôles ;
• vérification de l’existence et de la mise à jour régulière des politiques et procédures QI.

Les tests réalisés dans le cadre du dispositif de contrôle devront permettre de s’assurer qu’aucune « erreur matérielle » n’est identifiée (par exemple : reporting tardif à l’IRS, documentation d’ouverture de compte non valide ou incorrecte pour une catégorie de clients, absence de programme de conformité QI adapté). Si de telles « erreurs matérielles » étaient identifiées, elles devraient être reportées par le Responsible Officer à l’IRS qui pourrait être amené à poser des questions supplémentaires au QI et à demander des investigations plus approfondies.

Retour sur expérience

Afin de se préparer à la certification à venir, certains établissements QI ont procédé à un diagnostic de leur dispositif au regard des nouvelles exigences de la réglementation. Il ressort des premiers rapports les mêmes constats, et cela quelle que soit la taille de l’établissement concerné.

Les principales faiblesses identifiées sont les suivantes :

• non-prise en compte des nouvelles obligations QI dans les processus opérationnels, notamment en termes de documentation des entrées en relation pour les entités transparentes ou dans la mise en place du plan de conformité ;
• faible niveau de connaissance des obligations du nouveau contrat au sein des équipes opérationnelles ;
• absence de procédures écrites relatives au nouveau contrat ;
• absence d’outils de contrôle adaptés aux exigences de la réglementation et permettant de détecter/éviter d’éventuelles erreurs humaines ;
• absence ou inefficacité des contrôles de second niveau.

Les rapports ont parfois donné lieu à certaines surprises au sein des directions générales des établissements QI qui pensaient être conformes aux exigences du dispositif, confortés à tort par les bons résultats des précédents audits externes dont le périmètre était pourtant différent.

Les risques identifiés

La question est de savoir si une situation de non-conformité QI aux termes du nouveau contrat représente réellement un risque et si oui, lequel. Il est difficile à ce stade de savoir quels seront les impacts en cas de non-conformité. Pour autant, comme l’auront appris à leurs dépens certaines banques suisses, signer un accord avec le fisc américain implique de vraies responsabilités civiles et pénales. Celles qui ont failli au respect des règles fiscales américaines, ont dû conclure avec les autorités américaines un accord de non-poursuite impliquant des amendes dont le montant total est supérieur au milliard de dollars. Certains établissements bancaires suisses, trop fragiles, ont déjà fermé leurs portes et il est probable que d’autres suivront.

L’IRS a clairement fait comprendre lors de sa conférence tenue à New York en juin 2015 que le contrat QI ayant plus de quinze ans, ses termes devaient à présent être parfaitement connus de tous. Non seulement la « phase d’apprentissage » est considérée comme close, mais la nouvelle équipe en charge du programme QI semble disposer de plus de moyens et être beaucoup moins tolérante. Ainsi, certains établissements ont été rappelés à l’ordre l’été dernier pour non-respect des procédures. De plus, avec le reporting électronique, l’IRS dispose d’un outil simple de vérification des données. Enfin, l’IRS pourra demander à avoir connaissance du rapport portant sur les tests de conformité QI ayant servi à la certification faite par le Responsible Officer (si l’IRS n’entend pas communiquer de programme d’audit précis, elle s’attend à ce qu’il contienne des renseignements précis).

L’urgence à mobiliser les ressources

Ainsi, fort d’une expérience de quinze ans sur base des termes d’un premier accord mais surtout des investigations menées au sein des banques suisses au cours des trois dernières années, les autorités américaines disposent à présent d'une vision assez précise des différentes faiblesses au sein des établissements QIs. Les États-Unis détiennent une liste complète des acteurs ayant assisté les clients américains à structurer leurs comptes en Suisse mais également des banques non suisses ayant accueilli les clients dont les comptes avaient été clôturés de force par les banques helvétiques. Ces banques étant connues de l’IRS, on peut s’attendre à ce que l’IRS soit particulièrement attentive à leurs situations et reportings.

Les études d’impact doivent être réalisées dans les meilleurs délais par des experts en la matière, capable d’effectuer des analyses transversales des processus QI. Il restera ensuite quelques précieux mois pour mettre en production les différentes actions correctrices identifiées afin de préparer les tests à réaliser en vue de la certification.

Pour ceux qui seraient dubitatifs face au coût élevé que représente la mise en application du nouveau régime QI par rapport aux revenus générés sur les portefeuilles-titres, nous aurons la même recommandation qu’en 2010 à effectuer : FATCA était un galop d’essai pour le CRS [3] , regardons le nouveau contrat QI comme un bon entraînement pour TRACE [4] .