Jusqu’à l’orée des années 2000, les fonctions de conformité étaient essentiellement focalisées sur la déontologie du personnel. Au cours des années 2000 à 2020, les chocs occasionnés par le krach boursier de 2001 puis par la crise des subprime1 de 2008, et l’émergence de nouvelles réglementations encadrant les activités de marché, en particulier les directives européennes concernant les marchés d’instruments financiers (MiFID) et d’abus de marché (MAD), ont considérablement augmenté les missions des fonctions de conformité. De même, le développement de la menace terroriste, puis le scandale des Panama Papers en 2015 ont motivé une série de directives liées à la lutte antiblanchiment et de lutte contre le financement du terrorisme (LCB-FT) renforçant encore davantage les exigences réglementaires sur ces thématiques. Le montant des sanctions pour les banques reconnues défaillantes dans la gestion de ces risques a connu en parallèle une très forte inflation.
C’est dans ce contexte que les modèles opérationnels de gestion des risques de non-conformité ont évolué vers une plus grande responsabilité des métiers, et qu’a émergé le modèle à trois lignes de défense qui s’est fortement répandu depuis.
La première ligne prend forme au sein des différentes lignes métier et implique à ce niveau des mesures de réduction et de contrôle du risque par des opérationnels de ces métiers. C’est cette première ligne qui est dorénavant détentrice de la responsabilité de la gestion des risques afférents à son activité.
La seconde ligne est constituée des fonctions risques et conformité. Selon les organisations, l’activité de contrôle est ventilée entre la seconde et la première ligne, avec souvent une prédominance pour cette dernière. La seconde ligne intervient quant à elle en support de la première toute en exerçant un contrôle de la bonne fin de la gestion du risque par la première ligne. La seconde ligne demeure généralement en charge de l’harmonisation du cadre normatif afférent à la gestion de ces différents risques. Enfin, la seconde ligne exerce aussi un rôle de reporting vers la direction générale des points clés sur les risques portés par les activités.
La troisième ligne repose sur l’audit interne et a pour mission la surveillance indépendante des deux premières lignes, ainsi que le reporting vers la direction générale et les régulateurs.
Enjeux et défis du modèle
Aujourd’hui, le modèle à trois lignes est largement répandu et prévaut dans la majorité des grands établissements, mais avec cependant des variations dans le partage des rôles et responsabilités entre les deux premières lignes.
Certaines limites relatives à ce modèle ainsi que des défis spécifiques sont apparus, en particulier :
– l’absence de consensus entre les régulateurs et le relatif manque de directives claires au niveau réglementaire offrent une souplesse dans la mise en œuvre du modèle, mais occasionnent également une incertitude pour les établissements financiers quant aux choix organisationnels appréciés des régulateurs ;
– l’organisation avec trois acteurs différents intervenant in fine sur le même process peut poser des problèmes de redondance des organisations, des tâches, ou encore du reporting, et nécessite la mise en place d’une bonne coordination entre les trois lignes ;
– un manque d’expertise quant aux activités des métiers souvent complexes à appréhender peut également se manifester sur les secondes et troisièmes lignes, quand il se manifeste plutôt sur l’expertise réglementaire sur la première ligne ;
– d’un point de vue outils et données, on observe souvent des difficultés dans l’exécution des missions des trois lignes liées à la dispersion des données nécessaires aux contrôles. Ces données sont souvent stockées dans différents systèmes organisés en silos. Elles sont fréquemment insuffisamment harmonisées au sein des systèmes d’information, en particulier dans les établissements dont les activités sont globalisées ;
– enfin, l’un des défis les plus difficiles réside dans l’identification des contrôles permettant de réduire de manière effective les risques et les différentes formes qu’ils peuvent revêtir (scénarios).
Perspectives d’optimisation
Face à ces nombreux défis, il apparaît nécessaire de rationaliser et d’améliorer les pratiques actuelles, tant d’un point de vue optimisation des coûts que d’efficacité opérationnelle. Quatre axes majeurs d’optimisation peuvent être considérés.
Le premier axe d’optimisation du modèle passe par la gouvernance. La mobilisation du comité de direction via le reporting des trois lignes et des points de suivi réguliers, ainsi que la revue régulière des missions, des rôles et des responsabilités de ces trois lignes s’imposent à ce niveau pour assurer l’optimisation du modèle déployé. Le comité de direction doit également définir une politique d’appétence au risque et l’appliquer lors du développement de nouvelles activités. Enfin, le comité de direction joue un rôle essentiel dans la promotion de la culture de conformité.
Le second axe d’optimisation est organisationnel. Le succès du modèle réside dans un corpus de politiques et procédures fixant des objectifs clairs pour chaque ligne et définissant les modalités de coordination et de collaboration des trois lignes.
Le troisième axe d’optimisation repose sur les ressources. Outre l’expérience et les compétences nécessaires pour pouvoir assurer une gestion des risques efficace, les rôles et responsabilités de chacun doivent être clairs et acceptés. Le recrutement d’anciens opérationnels est un gage de bonne connaissance des activités à contrôler, et permet également un partage d’expertise vertueux. Les politiques salariales doivent également être adaptées pour garantir la pérennité des ressources expertes.
Data et IA
Le quatrième axe d’optimisation repose sur les outils. Tout d’abord, les données de référence (« source unique ») doivent être identifiées par l’organisation, mises en qualité, et distribuées au sein des différents systèmes. Les trois lignes peuvent ainsi s’appuyer sur un ensemble de données fiables. L’ajout de nouvelles données susceptibles d’être utilisées pour effectuer les différents contrôles doit s’inscrire de manière inhérente dans la perspective d’une source unique de données. Plus globalement, l’intégration des différents outils de contrôle utilisés par la première et la seconde ligne peut permettre une optimisation des processus. Plus largement, l’intégration dans les processus métiers des points de contrôle, et l’accessibilité de ces points de contrôle aux trois lignes permettent de dégager les ressources de tâches à faible valeur ajoutée, au profit des tâches de contrôle à proprement parler.
Enfin, l’arrivée récente de l’intelligence artificielle générative (GenAI) crée de nouvelles opportunités d’optimisation de la conformité. Couplée à une bonne gestion des données, elle promet de pouvoir pré-effectuer des contrôles simples en langage naturel. La GenAI peut également faciliter l’identification des contrôles susceptibles de réduire les risques ainsi que les différents scénarios relatifs à chacun de ces risques. Elle permettra aussi de faciliter les analyses des contrôles, des cartographies de risques et les inspections, dans un contexte en perpétuelle évolution. La GenAI permet également d’analyser exhaustivement les différentes jurisprudences de sanctions et ainsi d’enrichir l’inventaire des scénarios de risques, qui est un facteur clé d’efficacité.
