Les directions de la conformité doivent repenser leurs dispositifs en termes de rationalisation et de répartition des rôles et responsabilités entre lignes de défense. Ce changement de paradigme permettra une gestion pérenne du risque lié à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB-FT) et inscrira la sécurité financière dans les bonnes pratiques de transformation digitale des établissements.
L’actualité touche souvent, directement ou indirectement, à la sécurité financière, particulièrement au niveau international : sanctions contre la Russie, surveillance des paiements liés au trade finance ou aux biens à double usage, généralisation des risques pays, etc. La surveillance des flux internationaux en devient de plus en plus exigeante. Les risques LCB-FT « locaux » sont aussi concernés : élargissement de la notion de PPE, financement du terrorisme de proximité, blanchiment lié à la fraude (fraude à la rénovation énergétique, abus de faiblesse, etc.)
De nouveaux acteurs impactent aussi le risque LCB-FT : l’émergence du marché des crypto-actifs et de nouveaux acteurs (PSP, EME, PSAN...) engendre de nouvelles modalités de vigilance permanente.
Par ailleurs, les attentes des régulateurs en matière d’efficacité opérationnelle nécessitent de renforcer, voire de repenser, les dispositifs de sécurité financière :
– l’exigence des dossiers KYC à jour, les remédiations nécessaires et le traitement des adverse media augmentent les sollicitations de la sécurité financière, au mieux « pour avis », souvent « pour validation » ;
– la gouvernance du risque SF devient un enjeu majeur pour les établissements, la refonte du QLB en 2024 nous l’a bien montré : des indicateurs de risque et de performance à piloter, des reportings et de l’information à produire à divers interlocuteurs, un « capacity planning » à piloter pour adapter au mieux la charge ;
– l’élargissement du périmètre de vigilance permanente et consolidée nécessite la prise en compte de la fraude, de la corruption et de la connaissance de tous les types de relations d’affaires (intermédiaires, correspondants bancaires, prestataires...).
– enfin, la création de l’AMLA pourrait influencer la supervision. Le régulateur européen exercerait un contrôle industrialisé des grands comptes, tandis que l ACPR renforcerait la surveillance des autres établissements.
Les effets de ces nouveaux enjeux se font déjà sentir dans les organisations en silos avec notamment une surcharge de travail empêchant le recul sur l’approche transversale par les risques ou bien des tâches de conformité ardues pour le réseau face au manque d’indications claires. Ainsi, l’augmentation croissante des effectifs de la sécurité financière pour une valeur ajoutée incertaine n’est pas une solution pérenne.
Rejoignant les recommandations de l’EBA et les priorités récemment énoncées par l’ACPR et l’AMF, une autre manière d’appréhender le risque SF peut être envisagée : en responsabilisant la première ligne de défense (les métiers), la seconde (la conformité) intervenant sur des analyses à valeur ajoutée et dans le pilotage du risque. Ce changement de paradigme ne sera efficient qu’à travers la rationalisation et l’industrialisation des dispositifs, afin de piloter le risque en premier lieu au travers de données et d’indicateurs.
Responsabiliser et accompagner
Les établissements assujettis font face à la double problématique de développer le portefeuille client tout en maîtrisant au mieux le risque LCB-FT, générant ainsi un cercle vicieux pour la sécurité financière. L’augmentation du nombre de clients affecte le risque global LCB-FT, générant à la fois plus de sollicitations de la SF sur des entrées en relation, une hausse de la vigilance permanente (plus de demandes du réseau sur des opérations a priori et des alertes a posteriori) et une augmentation de la charge de revue des dossiers KYC.
Or, la valeur ajoutée de la sécurité financière sur certains dossiers n’est pas toujours évidente. En effet, son rôle dans l’activité opérationnelle n’est pas de valider les opérations (hormis les cas exigés par la réglementation) mais de donner un avis sur des cas de doute émis par les métiers. Au fil du temps, cette dérive est l’une des causes majeures de son encombrement. La sécurité financière ne doit absolument plus se substituer au métier dans la prise des décisions courantes.
Ainsi, une répartition plus rationnelle des rôles et responsabilités, en accord avec les recommandations des régulateurs, pourrait être la suivante :
– le métier est responsable des risques que son activité occasionne. Il lui revient la charge de déployer son dispositif opérationnel permettant les vérifications, le traitement et la formulation du doute auprès de la SF ;
– la conformité a pour rôle d’édicter la norme, de conseiller les métiers sur son application, d’accompagner le réseau en confirmant ou infirmant des opérations et de contrôler a posteriori les opérations sous l’angle LCB-FT.
Rationaliser et industrialiser
Des règles claires et des processus industrialisés : voici les conditions pour que les métiers, devant être responsabilisés, intègrent au mieux le risque LCB-FT au quotidien. Cette rationalisation du dispositif de maîtrise du risque peut se caractériser suivant différents axes :
– objectiver les ouvertures de comptes (arbres de décision, scoring, workflow) sur la base de la politique d’acceptation des clients et la politique de risque édictées par la direction générale ;
– systématiser les échanges via des formulaires et outils de case management afin de produire de la donnée fiable qui aidera au pilotage par les indicateurs, à la production des reportings et, dans le futur, à l’utilisation par l’intelligence artificielle. De plus, le formulaire présente la vertu d’accompagner le réseau dans la formulation du doute afin d’éviter des allers-retours intempestifs ;
– automatiser les processus de remédiation qui peuvent être dupliqués à de nouveaux risques LCB-FT afin de centraliser les traitements et disposer d’une vision 360 du risque avec des vues différentes (vue client, facteur de risque, produit, pays...).
Ces objectifs présentent plusieurs avantages : le pilotage fiable du risque LCB-FT via les indicateurs, une connaissance client permettant la consolidation de la relation commerciale à travers une meilleure maîtrise du risque LCB-FT par le front office. Mais également l’industrialisation et la transformation digitale des processus visant à une meilleure gestion de la data SF et la capacité à intégrer de nouveaux risques.
En synthèse, la politique d’appétence aux risques LCB-FT établie par la DG sera mise en œuvre par la LOD1, accompagnée de la LOD2 (bonnes pratiques, adéquation au risque SF). Elles disposeront de data efficientes afin, d’une part, d’améliorer la réactivité (réduction du délai entre la détection et la conclusion) et la traçabilité et, d’autre part, de produire de l’information rapide, exhaustive et pertinente, gage de qualité en cas de contrôle. Finalement, il ne s’agira que d’une déclinaison interne des nouvelles méthodes de contrôle mises en œuvre par l’ACPR : aspirer et traiter la donnée via Lucia (lire pages 66-68, ndlr).
