bandeau blog

Le contrôle de la conformité : les incontournables de la sécurité financière - Episode 1

Episode 1 : le périmètre

Comment une entreprise peut-elle se préparer à une mission de contrôle sur le dispositif Conformité ? Des contrôles internes ou externes (contrôle permanent, audit interne ou inspection générale pour les établissements de crédit, audit externe, ou mission de contrôle du régulateur), quels sont les points clés sur lesquels le contrôle est réalisé ? 

Ces contrôles sont plus ou moins étendus et doivent être adaptés suivant l’activité de l’entreprise ; par ailleurs, ils intègrent systématiquement les KPI (Key Performance Indicators) retenus par la direction générale pour la supervision du risque de non-conformité. 

Dans cette note, nous décrivons les points fondamentaux du dispositif Sécurité Financière des entreprises assujetties à la LCBFT (lutte contre le blanchiment et le financement du terrorisme) telles que les banques, les assurances, les jeux, les notaires, les avocats, etc. (article 561-2 du code monétaire et financier (CMF)).

Un tel dispositif comprend, en principe, les thématiques suivantes : le dispositif LCBFT, le respect des sanctions financières internationales et le programme anticorruption. Ce périmètre est parfois étendu à d’autres sujets comme la fraude, la protection des données personnelles avec le RGPD (Règlement Général sur la Protection des Données), la concurrence. Ces thèmes ne sont pas abordés dans cet article.

Les sujets de la conformité en matière de sécurité financière s’intègrent dans un cadre normé avec une gouvernance définie que chaque entreprise doit formaliser et superviser. 

L’objectif d’une telle démarche est d’anticiper les contrôles en s’assurant de l’effectivité du dispositif Sécurité Financière au moyen d’une « checklist » à préparer et à superviser. 

Nous vous proposons 3 épisodes successifs qui couvrent huit thèmes examinés sous l’angle de la Sécurité Financière : Gouvernance, Connaissance de la relation, Surveillance des transactions, Dispositif Sanctions Financières Internationales et gel des avoirs, Contrôle permanent, Formation, Dispositif Anticorruption, Qualité des données.

Nous utiliserons le terme contrôle pour désigner tout type de contrôle interne ou externe tel que mentionné ci-dessus.

I. Gouvernance

La gestion des risques de non-conformité doit être supervisée à travers une gouvernance clairement définie. 

1) Celle-ci est structurée, en fonction des organisations au sein des entreprises, avec tout d’abord, une comitologie dédiée. Des comités sont mis en place à la fois pour informer, faire du reporting et décider. Ainsi, des comités conformité sont tenus et rendent compte à la direction générale sur les sujets d’attention et les indicateurs clés décidés en amont. D’autres comités sont établis pour cascader et superviser les sujets suivant l’activité et l’organisation de l’entreprise.

Le contrôle vérifie l’existence de ces comités, qui en sont les membres permanents, à quelle fréquence le comité se réunit, la tenue et la formalisation des procès-verbaux. Il est donc important de veiller à la mise en place de cette comitologie.

2) Par ailleurs, les fiches postes des chargés de conformité (compliance officers) et de tous ceux impliqués dans les processus sécurité financière doivent être bien formalisées. Elles doivent définir les tâches et les responsabilités qui leur incombent. Il en va de même pour les fiches postes côté métier pour les personnes en charge de l’entrée en relation avec les vérifications imposées en matière de sécurité Financière (voir la section suivante sur la connaissance de la relation).

Le contrôle cible les fiches postes des compliance officers et ceux impliqués dans les processus sécurité financière. Il s’agit donc de contrôler les tâches et actions de chacun dans le processus global.

3) Le contrôle est également effectué sur le corps procédural qui doit formaliser les règles et mentionner les processus en place à appliquer.

Les procédures doivent donc couvrir l’ensemble des domaines d’activités et contenir la transposition des exigences réglementaires à l’entreprise. La mise à jour de celles-ci doit être assurée à travers la veille réglementaire. Enfin, les procédures doivent être formellement validées (en fonction des règles internes) et diffusées avec un accès donné à tous les collaborateurs.

Il est important de noter que dans les grands groupes internationaux assujettis à la réglementation LCBFT, ceux-ci doivent s’assurer également de la diffusion et de l’application des procédures dans les filiales du groupe aussi bien en France qu’à l’étranger.

II. Connaissance de la relation (Know Your Customer (KYC) ou autres tiers (KY-))

Les clients (KYC), les fournisseurs (KYS), les intermédiaires (KYI), les employés (KYE) et autres KY- nécessitent d’avoir un cadre clair et détaillé pour répondre aux exigences réglementaires.

1) Tout d’abord, la collecte des informations lors de l’entrée en relation (client, fournisseur, intermédiaire, autres) et aux dates de revue fixées en fonction de la sensibilité de la relation.

  • Plusieurs éléments sont requis : 

    • Enumérer en détail les informations à collecter suivant le type du tiers, client (segment particuliers, PME, corporate, etc.) ou autres ; les informations et documents à demander au tiers sont différents suivant le type de relation entretenue avec celui-ci. Ces différences sont à préciser dans les procédures internes. On précisera, par exemple, si une pièce d’identité échue de quelques jours ou celle qui viendra à échéance dans quelques jours peut être collectée ou non ; doit-on l’accepter pour le KYC et ouvrir le compte (article R. 561-5-1 du CMF) ?

    • Formaliser la nécessité d’identifier les Personnes Politiquement Exposées (PPE) avec un outil approprié dont le paramétrage est à vérifier (dès sa mise en place) pour éviter le risque de non-conformité : utilisation d’algorithmes de recherche pour tenir compte des variations orthographiques et des alias, seuil de similarité pour réduire les faux positifs (c.-à-d. les fausses alertes générées). De même, s’assurer que les listes PPE utilisées sont suffisamment détaillées, complètes et mises à jour régulièrement. Enfin, tenir un registre des PPE au sein de l’entreprise pour une mise à jour continue. Tous ces éléments font l’objet de contrôles lors des missions effectuées aussi bien par les équipes internes que par les contrôles externes. Ainsi, avoir le nom d’une PPE sans sa date de naissance n’est pas pertinent pour le traitement de l’alerte générée et pour permettre de confirmer son statut.

    • De plus, s’assurer de la tenue de logs d’activités, qui vont permettre l’enregistrement des activités de criblage et donc la production de la preuve auprès d’une mission de contrôle.

    • Enfin, le traitement de l’alerte générée par le screening des listes PPE est également un sujet de contrôle avec une attention particulière sur le commentaire saisi pour décider de l’alerte. 

Dans ce dernier cas, les contrôles sont effectués à la fois sur l’outil de screening des PPE, sur les listes en place et leurs mises à jour, sur la preuve du criblage et sur le traitement des alertes PPE.

2) Ensuite, il est nécessaire d’évaluer ces informations à la lumière du risque que peut représenter la relation. Ainsi, un système de scoring doit être mis en place pour évaluer la sensibilité des clients et de tout tiers. Il s’agit de déterminer le risque que représente le client/tiers pour l’entreprise. Ce scoring prend en compte les critères de risques retenus par la classification des risques (voir l’article L561-4-1 CMF).

Ainsi, l’évaluation prendra en compte des facteurs de risque relatifs au client (par exemple, le secteur d’activité qui est celui des crypto assets). Des facteurs de risque géographique : identifier le pays d’enregistrement, le pays d’activité, qui peut viser un pays classé très risqué par les organismes internationaux comme le GAFI ou pays sous sanctions comme la Corée du Nord. Enfin, des facteurs de risque relatifs aux produits, opérations et canaux de distribution (par exemple, l’entrée en relation à distance).

De ce fait, il est important de distinguer les tiers avec lesquels l’entreprise souhaite entrer en relation (client, fournisseur, intermédiaire), en adaptant le contenu des informations et documents à collecter. On peut intégrer dans cette partie des recherches ciblant des informations négatives qui ont pu être publiées sur le tiers en question. Cela peut être un article dans un journal ou sur les réseaux sociaux mentionnant des accusations de corruption par exemple. Ensuite, l’objet de la relation doit également être collecté et pris en compte dans l’évaluation. Le système de scoring en place (qui détermine la sensibilité que représente le tiers pour l’entreprise) est également contrôlé.

Enfin, l’analyse des risques va permettre de déterminer le niveau de risque de la relation : risque faible, risque standard ou risque élevé. Le contrôle examine en principe des dossiers clients ou autres tiers dans chaque catégorie de risque.

3) Enfin, le processus de décision de l’entrée en relation.

Celui-ci doit être formalisé notamment lorsque la vigilance est renforcée (entrée en relation d’une personne représentant un risque, comme une PPE). Pour les clients les plus risqués, on se réfère à la tenue d’un Comité d’acceptance client (CAC) ou au moins à la validation par la direction générale et la conformité. Ces éléments font l’objet d’un contrôle dans le processus d’entrée en relation des PPE (points systématiquement examinés en interne lors de l’exécution du plan annuel de contrôle mis en place dans l’entreprise). Ils sont également revus par les missions de contrôles.

 

Rédacteur

Nathalie Sabek​​ - Chargé de projet « Compliance transformation and Training » chez Arval Groupe / Intervenante pour le Certification Responsable Conformité / Compliance Officer

 

Sources réglementaires et jurisprudentielles :

Articles et lois

Articles L. 561-32, L. 561-4-1, L. 561-6, R. 561-38, L. 561-32, L. 561-4-1 du CMF.

Articles L. 561-5-1, R. 561-12 du CMF sur la connaissance de la relation.

Article L. 561-15, L. 561-23, L. 561-2, L. 561-23 du CMF sur les déclarations de soupçon.

Lignes directrices et décisions de la Commission des Sanctions ACPR

20240628_decision_bred.pdf (banque-france.fr)

https://acpr.banque-france.fr/sites/default/files/media/2023/05/26/20230526_decision_bmw_finance.pdf

https://acpr.banque-france.fr/sites/default/files/media/2022/12/07/20221207_decision_crcam_languedoc.pdf

https://acpr.banque-france.fr/sites/default/files/media/2022/05/11/20220404_lignes_directrices_revisees_relatives_identification_verification_connaissance.pdf

20210616_lignes_directrices_gel_des_avoirs.pdf (banque-france.fr)

6ème paquet européen

Nouvelles mesures de l’UE contre le blanchiment et le financement du terrorisme | Actualité | Parlement européen (europa.eu)

AFA

Guide pratique avril 2022 « les contrôles comptables anticorruption en entreprise ».

https://www.agence-francaise-anticorruption.gouv.fr/files/files/AFA_Guide_ControleCompta_web.pdf