Le contrôle de la conformité : les incontournables de la sécurité financière - Episode 2
Episode 2 : La supervision
I. Supervision des transactions
Le dispositif LCBFT déploie un certain nombre d’obligations pour la surveillance des clients et de leurs transactions (article R. 561-38 du CMF).
Système automatisé
Il s’agit de mettre en place un système automatisé pour la surveillance des opérations.
Celui-ci intègre différents scenarii qui couvrent les risques de non-conformité ; cet outil permet d’identifier les transactions anormales nécessitant une revue pour identifier un risque de blanchiment, de corruption ou de financement du terrorisme. Le contrôle couvre à la fois l’existence d’un outil en place et son paramétrage pour couvrir tous les risques identifiés à travers l’ensemble des flux. Ces risques sont ciblés par les scenarii implémentés et qui couvrent toutes les transactions. Autrement dit, le paramétrage de l’outil doit prendre en compte l’ensemble des comptes/clients dans le système d’information.
Les points de contrôle dans cette partie visent (i) les scenarii en place : ceux-ci couvrent-ils toutes les familles de risques préalablement identifiées ? Ces scenarii sont parfois des algorithmes qui font ressortir les comportements anormaux (modèles d’intelligence artificielle (IA), machine learning). La difficulté pour le contrôle est alors d’avoir la lecture de ces algorithmes en identifiant le risque couvert par l’alerte générée ; (ii) l’activation des scenarii et la génération des alertes ; (iii) les éventuelles exemptions de clients, partielles ou totales, de supervision, ce dernier point étant critique car il contrevient à la règle de supervision exigée en LCBFT.
Niveau des alertes
Le niveau des alertes générées par l’outil de supervision (volume des alertes vs nombre de transactions) fait également l’objet de contrôle, en notant que l’absence d’alertes générées est un indicateur de mauvais paramétrage de l’outil. Des seuils trop élevés fixés pour ces scenarii et à partir desquels les alertes sont générées peuvent réduire le nombre d’alertes et donc ne pas couvrir le risque.
Ainsi, le régulateur a estimé que des seuils trop élevés (compte tenu du segment de clients) ne sont pas pertinents par rapport à l’activité de ces clients (voir en annexe la décision de l’Autorité de contrôle prudentiel et de résolution (ACPR) de 2024 relative à la BRED).
Supervision des transactions
Le dispositif de supervision des transactions est également couvert par deux autres canaux de supervision des transactions : (i) les escalades d’alertes manuelles identifiées par le métier et transmises à la Conformité pour un examen renforcé (ces alertes internes intitulées UAR Unusual activity report) sont constatées par les opérationnels qui ont la relation avec le client/tiers ; par exemple un comportement anormal de la part d’un client peut être signalé à la Conformité afin de réaliser une investigation sur cette relation ; (ii) les alertes externes reçues du régulateur y compris les réquisitions judiciaires considérées comme des alertes externes.
Le contrôle va couvrir le dispositif de supervision des transactions avec ces trois canaux d’alertes (y compris les alertes automatiques générées par l’outil en place). Le contrôle effectué sur le canal des alertes manuelles remontées par le métier couvre aussi l’existence d’une procédure opérationnelle décrivant ce processus ainsi que son effectivité (application).
Traitement des alertes
Les alertes doivent être traitées dans le délai imparti. Un commentaire doit être renseigné pour expliquer le traitement à la lumière des éléments du KYC. Il a été considéré par l’ACPR qu’un commentaire « alerte cohérente » ou le choix d’un commentaire issu d’une liste déroulante n’est pas pertinent au regard de l’analyse requise.
Déclarations de soupçons
Enfin, le contrôle vérifie l’existence du processus en place pour effectuer les déclarations de soupçons (DS) : décision de faire une DS et respect du délai imparti. Le dispositif doit être formalisé dans une procédure dédiée. Le contrôle cible donc la nécessité d’un examen renforcé pour les transactions anormales qui ne sont pas clarifiées au premier niveau. Ensuite, si cet examen ne permet pas d’expliquer la transaction, une DS doit être effectuée. L’absence de DS alors que le doute sur la transaction n’a pas pu être levé est donc un manquement à l’obligation de déclaration à Tracfin.
II. Gel des avoirs et Sanctions financières internationales
Les mesures de gel des avoirs s’inscrivent dans le cadre de régimes de sanctions économiques ou financières internationales. C’est une des catégories de mesures prises dans le cadre du dispositif global des sanctions internationales.
Le contrôle du respect de cette mesure est exercé à travers le dispositif des sanctions économiques et financières ; il s’agit donc de s’assurer que les mesures de gel des avoirs sont mises en œuvre dans l’entreprise pour empêcher les personnes visées par ces mesures d’utiliser les fonds qu’elles détiennent.
S’agissant du dispositif Sanctions Financières Internationales, il permet la vérification des noms des tiers contre les listes de sanctions pour prévenir toute entrée en relation avec une personne sanctionnée. De même, les noms sont vérifiés tout au long de la relation contre ces mêmes listes. Ce dispositif nécessite la mise en place d’un outil automatisé pour le criblage/balayage des noms des clients ou tout autre tiers contre les listes de sanctions. Le criblage se fera avant l’entrée en relation et d’une manière périodique à chaque changement dans les listes de sanctions ou encore dans les données KY- du client/tiers.
Paramétrage de l’outil
Le paramétrage de l’outil automatique est donc important pour fixer le niveau/taux de similarité à partir duquel l’alerte (ou hit) est générée. Il s’agit de réaliser la vérification des noms des tiers (clients, fournisseurs, etc.) avec lesquels l’entreprise envisage d’entrer en relation contre les listes de sanctions.
L’outil doit être bien paramétré pour le filtrage : vérification des noms contre les listes de sanctions lors des transferts internationaux ou parfois domestiques. Ainsi, l’outil permettra de suspendre une opération de paiement lorsqu’un nom a généré un hit (alerte) contre la liste sanctions ; ce hit fera l’objet d’un examen avant de poursuivre ou non l’opération de paiement. De même, l’outil permet de faire le balayage des noms du portefeuille client/tout autre tiers qui sont enregistrés dans le système d’information de l’établissement contre les listes de sanctions.
Le contrôle s’assurera dans les deux cas du bon paramétrage de l’outil, du taux de similarité défini et de la génération d’alertes/hit. A titre d’exemple, un outil qui utilise une correspondance orthographique exacte (exact match) entre les listes et les noms clients est non pertinent car il ne pourra notamment pas identifier une personne désignée avec une orthographie différente mais une phonétique identique.
Listes de sanctions
Les listes de sanctions contre lesquelles les vérifications effectuées sont à définir pour couvrir les exigences réglementaires imposées à l’entreprise.
Pour les établissements bancaires ou encore les entreprises qui ont une activité internationale, les listes sont principalement celles des NU, de l’OFAC (SDN), de l’EU et du pays dans lequel la société est établie.
S’agissant des entités contrôlées par des personnes sous sanctions, leur identification est liée à l’identification des bénéficiaires effectifs lors de la collecte du KYC. Toutes ces personnes (entité morale et personnes physiques) doivent faire l’objet d’une vérification contre les listes de sanctions.
Des listes internes peuvent être ajoutées et le sont généralement. Elles rassemblent les tiers qui ont fait l’objet de clôture de compte pour des raisons de non-conformité et avec qui l’établissement ne souhaite pas rentrer à nouveau en relation ; elles peuvent également comprendre des tiers soupçonnés de faits de corruption, fraude, etc. Le contrôle va donc s’assurer des listes retenues (l’objet de ces listes), du niveau de similarité et des commentaires formalisés sur les alertes ou hits traités. Ainsi, comme déjà mentionné, un taux de similarité de 100% est considéré comme non pertinent. Un commentaire non argumenté est également un manquement retenu par les missions de contrôle. Enfin, à titre d’exemple, des noms identiques (homonymie entre le client et la personne sous sanction) peuvent être écartés si les dates de naissance et les nationalités sont différentes.
Criblage du portefeuille clients
Le contrôle examine la fréquence du criblage/balayage du portefeuille clients/tiers.
L’obligation est d’assurer un criblage dès l’entrée en relation et ensuite d’une manière périodique ; la fréquence étant basée sur les changements survenus aussi bien dans les listes de sanctions que dans le portefeuille clients. Le contrôle se poursuit pour s’assurer du processus en place permettant le blocage des comptes des personnes désignées (lorsque la mesure de gel des avoirs est requise) ; l’interdiction de tout transfert de fonds doit être techniquement réalisable et la décision doit être formellement rendue pour appliquer cette mesure (blocage dans l’outil) ; enfin, la notification aux autorités de toute action de gel doit être effectuée dans les délais impartis.
Identifier et prévenir
Un autre point important de contrôle est de mettre en place un dispositif pour identifier et prévenir tout contournement des sanctions financières. Cela doit donc s’accompagner à la fois d’une solution technique au niveau de l’outil ainsi que d’une sensibilisation/formation ciblée des collaborateurs sur les condamnations en présence d’une situation de contournement.
Aujourd’hui, des nouvelles règles sont en place pour condamner et sanctionner le contournement des sanctions européennes. Par exemple la dissimulation ou le transfert de fonds qui devaient être gelés, la dissimulation de la propriété véritable de biens, ou le fait de ne pas communiquer suffisamment d’informations, deviennent des infractions répréhensibles. Ces éléments sont donc à ajouter aux points de contrôle.
III. Contrôle permanent
Le dispositif de contrôle interne impose 3 niveaux de lignes de défense à travers le contrôle permanent et le contrôle périodique.
S’agissant du contrôle permanent, il est composé de deux niveaux avec un premier niveau qui contrôle les opérationnels ; un second niveau qui est celui de la Conformité, dont l’un des rôles est de s’assurer de la bonne exécution des contrôles du premier niveau. Les mesures de contrôle de second niveau doivent s’assurer de l’efficacité du dispositif de contrôle interne mis en place ; si la vérification se limite à la bonne exécution des contrôles de premier niveau alors cela ne répond pas à l’obligation de l’article R. 562-1 du CMF.
Plan annuel de contrôles
Les points examinés par les missions de contrôle ciblent d’abord la formalisation d’un plan annuel de contrôles (interne). Ce plan doit être formalisé à la lumière des risques identifiés dans la cartographie (risque résiduel). Il s’agit donc de s’assurer que le plan annuel de contrôles est bien exécuté et que des plans d’actions sont mis en place lorsque les contrôles réalisés font apparaitre des manquements ou des faiblesses.
Cartographie des risques
De même, la cartographie des risques doit être en place avec une mise à jour régulière ; les éléments constituant la cartographie des risques (méthodologie suivie et contenu) doivent être formalisés et le circuit clairement défini.
Le contrôle examine la cartographie des risques avec notamment les éléments du risque résiduel pour évaluer l’efficacité du dispositif de contrôle interne mis en place par l’entreprise.
Déclarations des incidents
Un autre point important est le processus de déclarations des incidents qui doit être en place et être accessible aux personnes en charge. Le suivi de ces incidents est également contrôlé et notamment les incidents relatifs à des risques de sécurité financière, qui doivent être suivis par la Conformité. Par ailleurs, les incidents déclarés tardivement sont également considérés comme des manquements par les missions de contrôle.
IV. Formation
Le dispositif Conformité - et plus particulièrement celui de la LCBFT - doit comprendre la mise en place d’un programme de sensibilisation et de formation continue des collaborateurs intégrant les sujets de la sécurité financière.
Contrôle du contenu de la formation
Les points de contrôle permettent d’assurer que les formations sont bien tenues avec une correspondance entre le contenu de la formation et les personnes formées. Ainsi, les sujets d’expertise de la conformité ont pour cible les collaborateurs les plus exposés. A titre d’exemple, les équipes métier KYC auront à suivre des formations de sécurité financière avec un contenu moins approfondi que les équipes Conformité, qui sont impliquées au quotidien en particulier sur le périmètre Sécurité Financière.
Formations adaptées
Pour les autres collaborateurs, des formations adaptées et couvrant les sujets de la conformité doivent être mises en place à travers de e-learnings ou/et formations en face à face. Cela doit également tenir compte de l’exposition des collaborateurs au risque. Le contrôle prend en compte le taux de réalisation des formations.
Rédacteur
Nathalie Sabek - Chargé de projet « Compliance transformation and Training » chez Arval Groupe / Intervenante pour le Certification Responsable Conformité / Compliance Officer
Sources réglementaires et jurisprudentielles :
Articles et lois
Articles L. 561-32, L. 561-4-1, L. 561-6, R. 561-38, L. 561-32, L. 561-4-1 du CMF.
Articles L. 561-5-1, R. 561-12 du CMF sur la connaissance de la relation.
Article L. 561-15, L. 561-23, L. 561-2, L. 561-23 du CMF sur les déclarations de soupçon.
Lignes directrices et décisions de la Commission des Sanctions ACPR
20240628_decision_bred.pdf (banque-france.fr)
https://acpr.banque-france.fr/sites/default/files/media/2023/05/26/20230526_decision_bmw_finance.pdf
20210616_lignes_directrices_gel_des_avoirs.pdf (banque-france.fr)
6ème paquet européen
AFA
Guide pratique avril 2022 « les contrôles comptables anticorruption en entreprise ».
https://www.agence-francaise-anticorruption.gouv.fr/files/files/AFA_Guide_ControleCompta_web.pdf