La compliance assure le contrôle de la conformité des opérations aux normes légales ou réglementaires. Elle couvre, également, la politique des banques en matière de sécurité financière. C’est ainsi qu’elle prend en charge la prévention des fraudes, du blanchiment de capitaux, du financement du terrorisme et du financement de la prolifération des armes de destruction massive ainsi que l’application des sanctions financières ciblées.
En fonction des organigrammes, ces prérogatives peuvent, soit relever de deux entités différentes, soit être regroupées au sein d’une seule entité dénommée « conformité » ou « compliance », au sien de laquelle les filières sont bien distinguées. Dans les deux cas, la transversalité est de mise, car cette fonction permet de prendre en charge un risque de non-conformité qui conduit à divers types de sanctions, sans compter les pertes financières et les conséquences sur la réputation de la banque. C’est donc une catégorie de risque que les banques devraient définitivement intégrer.
Plus récemment, la place accordée à l’approche basée sur le risque par les nouvelles recommandations révisées du GAFI suppose des évolutions dans les tâches et le positionnement du Compliance Officer dans l’organigramme. Les relations avec les acteurs en charge des risques seront nécessairement impactées en plus d’être redéfinies probablement par un enrichissement mutuel.
La détermination de l’appétence ou appétit par rapport à un type de risque, place le Risk Officer dans un contexte d’analyse et de décision. Qu’en est-il de l’appétence aux risques propres à la sécurité financière ? Entre le Risk Officer et le Compliance Officer, qui serait plus interpellé par le Comité directeur ou le Comité en charge des risques, en termes de responsabilité et de compétences techniques en cas de décision de de-risking ou re-risking sur un pays, un produit ou un client qui est une Personne politiquement exposée (PPE) ? Comment l’appétence au risque en matière de lutte contre le blanchiment de capitaux pourra-t-elle être déclinée dans ce cas ?
L’analyse des évolutions dans les métiers de la compliance et de la gestion des risques aide à mieux appréhender le bien-fondé d’une harmonisation dans leurs rapports. Cela suppose une organisation des compétences et des moyens.
Pour être efficace, la sécurité financière doit être l’affaire de tous au sein de la banque. Même si elle relève principalement de la compliance, elle doit maintenant occuper une place plus importante dans les activités du Risk Officer. La mise en œuvre de l’approche par les risques requiert une identification des véritables enjeux et défis de l’évolution des rapports entre compliance et gestion des risques vers une convergence et une collaboration renforcée, voire poser les prémisses d’une fusion.
Enjeux et défis du rapprochement entre compliance et risk management
La dynamique de rapprochement entre compliance et gestion des risques semble appelée à évoluer sous la double impulsion des nouvelles règles et pratiques qui doivent, dans toutes les postures, permettre à la banque de bien gérer le risque de non-conformité tout en restant compétitive et efficace sur son marché à travers son offre de produits et services. Des systèmes performants de management des risques bâtis autour des attentes des régulateurs et la prise en compte globale des risques, sont nécessaires.
Penser conjointement sécurité financière et risk management en vue de mettre en œuvre une approche fondée sur les risques pour la LCB-FT, suppose la prise en compte de nombreux enjeux et défis avant d’envisager un rapprochement sous forme d’une collaboration poussée ou d’un transfert d’activités. L’examen des défis peut être envisagé sous l’angle des projections d’ordre managérial à travers les profils métier et l’organisation ainsi que par le recours aux outils de plus en plus performants grâce à l’informatique et les nouvelles technologies.
I. Les défis liés au management
L’analyse des enjeux et défis ferait difficilement l’impasse sur les conditions d’efficacité de l’approche fondée sur les risques qui suppose la coordination de diverses actions.
La Direction des risques est fondée à conserver son indépendance et ses prérogatives comme c’est le cas dans ses relations avec les autres entités. Un transfert de ses activités vers la compliance n’est pas envisagé.
La prise en compte des risques en matière de LCB-FT commande une réflexion sur le pilotage de certaines actions afin que les personnes les mieux outillées soient mises à contribution. La question d’une implication plus soutenue d’intervenants de divers métiers se fait jour. Dans ce contexte, l’approche basée sur le risque pourrait même conduire à certains réaménagements de la fonction de Conformité sous de multiples facettes, afin de cultiver une opérante interopérabilité entre Compliance et Gestion des risques.
En effet, pris isolément, le département Compliance évoluerait difficilement dans l’univers des risques, fussent-ils spécifiques à la sécurité financière. Pour être efficace, son action a besoin d’être appuyée par des spécialistes du risque ayant déjà élaboré des procédures et outils et qui soient aussi dotés d’une certaine culture d’accompagnement et de support aux autres métiers. Une harmonisation et un management des compétences et profil métier paraît nécessaire.
Les compétences et profils métiers
La perspective d’une collaboration avec la compliance laisse se dessiner les contours d’une redéfinition des missions dévolues au risk management. Ces missions seraient élargies à l’analyse de la conformité par rapport à la sécurité financière. Une telle démarche pourrait avoir un impact positif sur la faible attractivité de ce métier avec l’arrivée d’autres profils comme des juristes, des spécialistes de la lutte anti-blanchiment qui peuvent être issus d’autres domaines (enquêtes, intelligence économique, fiscalité). À ce niveau, l’interrogation porte sur l’avenir même de la fonction « Gestion des Risques » ainsi que sur l’étendue et le profil de son portefeuille d’activités dans les années à venir. Ses relations avec les autres entités de la banque vont probablement confirmer la dynamique de collaboration.
La fonction Risk Management est susceptible d’être renforcée en responsabilités, d’être plus engagée au niveau stratégique, améliorant probablement son attractivité.
Vers une nouvelle articulation des rapports entre les deux métiers
Dans cette perspective, il importe de prôner la prééminence d’une logique d’ensemble sur les logiques d’isolement des métiers pour assurer des échanges d’informations et de bonnes pratiques. Le management pourrait ainsi tirer profit d’une vision plus large et développer une approche plus globale, plus aboutie de la gestion des risques en général ; ce qui aura un impact positif sur la prise de décisions vu que les risques sont mieux gérés.
La fonction risque sera amenée à satisfaire de plus en plus de besoins surtout si elle est impliquée dans la mise en œuvre des obligations concernant l’approche fondée sur les risques en matière de LCB-FT. Elle devra alors trouver la meilleure articulation possible en termes d’objectifs et de moyens, d’où la question de l’affectation des ressources humaines, financières et matérielles et à moindre coût.
Les activités de gestion des risques et de compliance seront davantage rapprochées à défaut d’être intégrées. En fonction de leur métier, les responsables de divers types de risques s’inscriront dans une logique de complémentarité en vue du suivi des indicateurs clés de risque. La prise de décision pourrait en être renforcée au plus haut niveau.
Toutefois, la mise en pratique de ces nouvelles projections appelle une réflexion sur les facteurs clés de succès d’une reformulation des activités de la fonction gestion des risques. L’intégration des filières du risque et de la conformité serait d’un apport certain pour le traitement des questions liées à la criminalité financière par la facilitation de la communication et des échanges sur les cas traités. De plus, la convergence dans l’analyse et le partage des données présentent des avantages certains non seulement en termes d’efficacité mais aussi en matière d’optimisation des coûts et de duplication des efforts en ressources humaines. Également, l’intégration entre risque et compliance pourrait être vue autrement qu’un simple renforcement de la protection des banques contre les méfaits de la criminalité financière et la fraude. Des avantages en termes d’efficacité et d’optimisation des coûts liés à la prise en charge des actions de ces deux métiers sont à envisager.
Collaboration et synchronisation
Pour une intégration réussie devant favoriser la collaboration entre départements et la synchronisation de certaines activités, des changements sont à envisager. Cela tient aussi à la planification réussie, à la mise en commun des ressources disponibles (humaines, financières) ainsi qu’au management des équipes. Si elle conduit à une réduction des effectifs, de réels obstacles au changement pourraient émerger. Mais pour l’heure, les tendances sont plutôt à la hausse des budgets et au renforcement, parfois substantiel, des équipes en charge de compliance en général.
Une telle approche a l’avantage de favoriser une appropriation claire des niveaux de risques à différentes échelles de management ; ce qui aura un effet positif sur les plans de mise en conformité par rapport aux risques de BC et FT. Ainsi, le comité d’audit de la banque peut œuvrer dans le rapprochement des fonctions d’audit et de contrôle (internes comme externes) qui contribuent ensemble à la réalisation des objectifs.
Une intégration progressive
Une démarche progressive sera nécessaire. L’intégration non progressive et précipitée de l’ensemble des systèmes peut être laborieuse sans conduire aux résultats escomptés. L’option pour une démarche modulée et graduelle est à envisager. Elle devrait débuter par les départements où il y a moins de résistance au changement en termes de systèmes et de structure organisationnelle. De véritables défis sont à relever dans l’optique de faire travailler ensemble les acteurs qui s’occupaient de problématiques initialement différentes. La LCB-FT, les risques opérationnels, l’audit et le contrôle interne évoluent dans des contextes et des départements différents. À ce sujet, le regard de Marina Teller
Par rapport à la clientèle, par exemple, il y a lieu de procéder à une analyse minutieuse pour établir le niveau de vigilance (normale, réduite, renforcée) à appliquer aussi bien à l’entrée en relation que pendant toute la durée de la relation. Pour le premier cas, la mise en œuvre des obligations est plus aisée. À l’opposé, dans le second cas, les opérations et les profils des clients en relation avec la banque bien avant l’arrivée de ces nouvelles règles doivent à la fois faire l’objet d’un audit de l’existant et d’un suivi constant. C’est donc beaucoup d’activités pour les services en charge de la sécurité financière qui évoluent généralement avec des effectifs réduits. L’appui de ressources humaines supplémentaires de même que celui de solutions informatiques est requis. Le corollaire est un impact financier pour la prise en charge de ce personnel à défaut de mouvement interne au sein de la banque.
La qualité des reportings sur les risques pourrait en être nettement améliorée si la transition vers davantage d’outils automatisés est réussie. L’heure semble plutôt à l’érosion des pratiques et processus manuels pour une meilleure prise en charge de ses obligations. D’ailleurs une tendance à l’intégration Gouvernance, risques et compliance (GRC) est en train de se confirmer au plan mondial. Elle ne se limite pas aux banques.
Pour autant, l’élan des banques n’a pas faibli. Les investissements pour des solutions en matière de gestion des risques opérationnels sont en nette progression. Dans le cadre spécifique de la gestion des risques de BC et FT, serait-il possible d’envisager une automatisation ? À l’heure du recours à l’approche prédictive et de la digitalisation de plusieurs produits et opérations, quelles seraient les conditionnalités et que pourrait-on attendre d’une telle démarche ?
II. L’adoption des nouvelles technologies et d’outils informatiques performants
Le recours à l’informatique dans la gestion des risques pourrait se traduire par des initiatives incluant l’automatisation des processus, accessoirement l'utilisation de techniques d'apprentissage machine et éventuellement un reporting interactif et automatique des risques prédéfinis. Cette même dynamique est attendue dans la pratique de la compliance.
Les données à gérer seront de plus en plus complexes d’où le recours progressif au Big data et à des algorithmes. Une opportunité se présente ainsi pour les fonctions risques et compliance qui appréhendent l’amélioration des processus décisionnels avec des coûts d'exploitation plus faibles et une nette capitalisation en expérience sur la clientèle et les divers services qui lui sont offerts. À cela, les enjeux de l’introduction des nouvelles technologies dans l’activité et les services de la banque ainsi que ceux de la nécessaire et rapide adaptation à un environnement légal et réglementaire changeant, peuvent être édifiants.
Conclusion
La compliance et la gestion des risques ont enregistré, plus ou moins séparément, des évolutions considérables.
Du fait de la réglementation, de la démultiplication, mais aussi de la diversification des tâches qui leur sont dévolues, ces métiers ont vu leur importance et leur positionnement s’accroître. On pourrait même parler du regard, devenu différent, des autres acteurs de la banque, tant ils suscitent désormais de l’intérêt. Les profils et les effectifs des personnes qu’elles emploient ont également suivi la même courbe des évolutions.
La conformité est un métier en pleine mutation, particulièrement pour son volet sécurité financière. Cette fonction est appelée à s’adapter à un environnement réglementaire assez évolutif ; ce qui conduit à des changements. L’intégration de l’approche basée sur le risque dans le dispositif de LCB-FT constitue, d’ailleurs, un des facteurs marquants des changements en cours.
Également, les exigences de plus en plus pressantes des contrôleurs et superviseurs bancaires ont conduit à un surcroît d’activité au département en charge de la compliance que dans celui en charge des risques, car pour être conformes et éviter de tomber sous le coup des sanctions, les banques doivent relever le défi de l’organisation et de l’optimisation des ressources.
Dans ce contexte, une meilleure articulation des activités et des relations entre la compliance et les autres départements est un facteur de succès. Au regard des implications attendues, la compliance pourrait même être considérée, in fine, comme une forme de gestion des risques à l’image des opérationnels avec des activités de contrôle en interne. Des évolutions sur la culture « organisationnelle » du risque, renforcées par l'adoption d'une démarche intégrant des procédures et valeurs partagées par les différentes entités des banques, pourraient être postulées.
Une fois ces conditionnalités satisfaites, il sera plus aisé de se projeter vers la mise en œuvre optimale de l’approche basée sur le risque en matière de LCB-FT.
