La gestion des risques en milieu bancaire répond, en particulier, à une préoccupation de préservation de l’équilibre au plan individuel, de chaque établissement, ainsi qu’à l’équilibre du système financier, dans un cadre plus large. C’est dans ce sens qu’interviennent principalement les accords de Bâle qui posent des critères à satisfaire.
À ces accords sont venues s’ajouter les normes du Groupe d’Action Financière (GAFI) dans un contexte plus spécifique de lutte contre le blanchiment de capitaux et le financement du terrorisme et la prolifération des armes de destruction massive (LCB-FT). Introduites depuis 2008, l’évaluation des risques et l’application d’une approche basée sur le risque occupent désormais une place prépondérante dans la LCB-FT. La révision des normes du GAFI, en février 2012, met notamment l’accent sur la nécessité de renforcer les obligations dans les situations de risque plus élevé et sur celle de permettre aux pays l’adoption d’une réponse plus ciblée dans les domaines présentant des risques élevés et dans les domaines où la mise en œuvre des stratégies de lutte pourrait être renforcée.
Pour rappel, le système LCB-FT repose essentiellement sur deux catégories d’acteurs : ceux qui sont chargés de faire respecter la loi et ceux, désignés en tant qu’assujettis comme les banques, qui sont soumis, sous peine de sanctions, au respect de certaines obligations.
Des vigilances calibrées en fonction du risque
Les obligations des banques consistent en général à mettre en place un système interne de vigilance et de prévention pour une meilleure connaissance de leurs clients et la prise en compte des risques de blanchiment de capitaux et de financement du terrorisme liés aux activités de ces derniers. L’approche basée sur le risque, objet de la Recommandation 1 du GAFI consiste, pour les banques, à appliquer des mesures de vigilance renforcée lorsqu’il existe des risques élevés, afin de les prévenir et de les atténuer. Inversement, elle requiert l’application de mesures de vigilance simplifiées lorsque les risques sont faibles. À la suite des recommandations et dans le but de contribuer à une compréhension commune des concepts et pratiques en la matière, le GAFI a publié, dès octobre 2014, des lignes directrices destinées aux banques. Mieux élaboré, ce document est revenu sur la compréhension de la Recommandation 1, avant de décliner des orientations aux superviseurs et aux banques ; le tout dans une approche comparative mettant en exergue les expériences de plusieurs pays.
La mise en œuvre des obligations en matière de LCB-FT fait principalement appel aux compétences du département en charge de la conformité dans sa fonction de gestion de la sécurité financière. Avec l’introduction de l’approche basée sur le risque, l’intervention des spécialistes de la gestion des risques n’est pas seulement à envisager, elle est même à encourager. Cette orientation semble appelée à se renforcer dans les années à venir.
Dans cette perspective, les rapports entre compliance et gestion des risques peuvent évoluer tant dans le sens des changements à opérer sur les pratiques professionnelles de chaque profil métier et séparément, que dans celui d’une progressive redéfinition des rôles pouvant conduire à d’intenses interactions et une notable interopérabilité. À terme, une absorption de la compliance, au moins pour son volet sécurité financière, par la gestion des risques pourrait être envisagée.
Afin de se conformer, et même tirer parti de ce contexte nouveau, les banques devraient déployer plus d’efforts dans la satisfaction des exigences d’aujourd’hui. La réflexion sur l’avenir des fonctions compliance et gestion des risques se pose, donc, avec acuité.
Une telle démarche suppose d’étudier les récentes évolutions notées dans les deux métiers et à l’aune des nouvelles orientations en matière de LCB-FT avant de nous projeter sur les enjeux et défis d’un rapprochement plus significatif entre la compliance et la gestion des risques.
Les récentes évolutions dans les métiers de la gestion des risques et de la compliance
La compliance et la gestion des risques qui se sont d’abord développées séparément se retrouvent dans un contexte d’adaptation des banques à une réglementation croissante et plus exigeante pour la gestion des risques en matière de LCB-FT. Ces deux métiers voient leur champ d’action élargi ; ce qui n’est pas sans incidence sur leurs pratiques avec comme principal point de recoupement la prise en compte de divers types de risques.
I. La gestion des risques au sein des banques
Centre d’une constellation de métiers et de différentes logiques d’actions, les risques peuvent avoir plusieurs déclinaisons en fonction des profils et des domaines d’activité.
Une classification courante permet d’en distinguer deux principales catégories : d’une part, le risque non acceptable, mais parfois gérable dans une certaine mesure et, le risque acceptable et résiduel, d’autre part. Chez les gestionnaires de risque, un consensus sur deux attributs du risque semble également se dégager, mettant en avant une forme de risque basée sur les résultats futurs possibles et une autre qui se projette sur la probabilité d’une matérialisation du risque. Se pose ainsi avec acuité, la problématique de l’évaluation des risques dont la finalité est la gestion maîtrisée des risques.
Il existe une multitude de méthodes et d’outils de gestion du risque. Les plus connues sont celles de l’ISO et celles issues des travaux américains du COSO et COSO II tout comme les normes ISO 31000 : 2009 et ISO/CEI 31010.
Pour autant, dans ses fondamentaux, le principe de surveillance et de contrôle différencié en fonction du niveau de risque n’est pas une nouveauté dans les métiers de la banque en général. De plus, cette approche n’est pas limitée/confinée à la lutte anti blanchiment car, bien qu’étant une infraction sous-jacente au blanchiment, la corruption par exemple, est l’objet de nombre d’études et projets ayant abouti à des mesures de lutte intégrant la gestion des risques.
La classification des risques est également prise en compte dans le domaine de la lutte contre la corruption comme le montrent les dispositions spécifiques de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique appelée « Loi Sapin 2 »(art. 17) ou encore, celles du Foreign Corrupt Practices Act (FCPA) aux États-Unis.
Le métier de gestionnaire des risques
Les métiers de la filière Risque sont positionnés comme une activité de soutien aux activités bancaires ainsi qu’un outil de compétitivité. C’est ce qui en fait un point de rencontre de profils et de différentes pratiques professionnelles. Le management du risque est un métier transversal.
Elle précise également que le département en charge des risques a pour mission de recenser les risques financiers et opérationnels de la banque, de définir ou de valider des méthodes et des procédures d’analyse, de mesure, d’approbation et de suivi des risques pris. Bertrand K.
Nouvelles tendances dans la gestion des risques
Les nouveaux produits bancaires, comme la Fintech, les actifs virtuels, ou encore le mobile-banking, présentent des vulnérabilités pouvant aiguiser les appétits des criminels financiers friands d’une intégration et d’une justification de l’origine et la destination des produits de leurs crimes. Il s’y ajoute des éléments de contexte propices à divers types de fraude, comme présentement l’assouplissement de procédures en marchés publics pour faire face aux urgences de la lutte contre la Covid-19.
La mise en œuvre de cette Recommandation 1 a introduit une classification des risques de blanchiment et de financement du terrorisme, en fonction de la caractéristique des clients, de la nature des produits ou services proposés et, enfin, de la nature et des conditions des transactions proposées.
Pour y parvenir, les banques devraient relever le défi des procédures et outils spécialisés en l’absence de modèle spécifique à proprement parler. Le législateur ou les organismes éditeurs de lignes directrices comme le GAFI ont préféré laisser aux assujettis le soin de développer leur propre « approche » de cette nouvelle exigence dans la lutte contre la criminalité financière.
Dans cette démarche, il paraît intéressant de s’interroger sur la catégorie à laquelle devraient appartenir les risques liés à la sécurité financière afin de définir une stratégie adaptée. Le risque en matière de LCB-FT devient, par les nombreuses conséquences qu’il peut occasionner, un risque important au sein des banques. Pour le gérer, plusieurs métiers de la banque sont interpellés, même si pour certains, comme le Département des risques, il y a un existant éprouvé et codifié depuis des années avec des normes, une méthodologie et des outils. L’heure est peut-être venue de se projeter sur une nouvelle classification des familles de risque, à défaut de redéfinir la nomenclature des risques.
À quel niveau devrait-on situer l’approche basée sur le risque par rapport aux trois grandes familles de risque que sont le risque de marché, le risque de crédit et le risque opérationnel ?
Qu’en est-il du risque de non-conformité décomposé en plusieurs segments de risques à savoir : la fraude et les conflits d’intérêts, le non-respect des embargos, et celui de blanchiment de capitaux et le financement du terrorisme, etc. Évolue-t-on vers la codification d’un quatrième type ou devrait-on l’inclure dans les risques opérationnels pour une meilleure prise en compte des attentes des régulateurs ? Les risques opérationnels sont, au moins, liés à une inadéquation ou à une défaillance des procédures et des systèmes internes.
II. La compliance au sein des banques, un métier moins connu
La conformité, ou compliance, ne fait pas partie des métiers de la banque que l’on citerait facilement de mémoire. Elle se pose d’une certaine manière comme la résultante d’une formalisation de la déontologie, une sorte de « version institutionnalisée de la déontologie
Le métier de compliance officer
Introduit depuis environ deux décennies, le métier de Compliance Officer est en train de connaître quelques évolutions. Il tend à s’affranchir du cadre purement juridique si bien qu’aujourd’hui, la compliance n’est plus systématiquement affiliée au département juridique de la banque. Même si cette dynamique reste à conforter, notons que certains établissements financiers ont élevé la conformité à une fonction autonome au même titre que l’audit interne. Le profil de juriste reste toutefois très convoité par les services de conformité.
Dans l’organisation bancaire, le rôle de la conformité transparaît dans les procédures de contrôle interne mais son cœur de métier reste la gestion du risque de non-conformité. En cas de manquement, les conséquences sont néfastes non seulement en termes de sanctions (judiciaire, administrative) mais aussi en termes financiers par des pertes significatives, sans compter l’impact sur la réputation de l’institution. Bien que le risque de réputation soit difficilement évaluable monétairement, son impact est jugé par les experts comme étant réellement significatif
La conformité doit constamment réfléchir sur comment concilier son rôle au sein de l’institution avec les objectifs de résultat dans un environnement concurrentiel où les banques mettent l’accent sur la réduction des coûts et l’amélioration de l’efficacité. Dans ce contexte, il peut paraître ardu d’attribuer à des activités non productives, comme la lutte contre la criminalité financière, un rang élevé à l’échelle des priorités. Le responsable de la conformité devrait alors adopter une posture, non pas de gendarme, mais plutôt, celle de référent qui permette à chacun d’être conforme, d’éviter que le risque de non-conformité se réalise.
