Article co-écrit avec Alexandre Fenet-Garde, Associé Risk Advisory et Camille Augis, Manager Risk Advisory et Benjamin Laville, consultant Risk Advisory.

Avec le renforcement des exigences et des attentes en matière de Lutte Contre le Blanchiment et le Financement du Terrorisme (LCB-FT),  les fonctions Conformité centrales des Groupes assujettis sont confrontées à de forts enjeux concernant le pilotage consolidé de leur dispositif de LCB-FT.

Dans ce contexte, l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a publié en septembre 2019[1] le résultat de travaux de supervision et de contrôles ciblés sur des Groupes ayant des activités à l’international au travers de leurs succursales et / ou filiales. L’ACPR a souligné à cette occasion les efforts accomplis en la matière par les établissements du secteur bancaire et assurantiel qui démontrent une volonté d’agir et identifient des axes de renforcement du pilotage consolidé de leur dispositif LCB-FT. Plusieurs zones de fragilité et axes de progrès ont également été relevés.

Ces analyses ont débouché sur la publication en mars 2020[2] de lignes directrices relatives au pilotage consolidé du dispositif de LCB-FT des groupes qui présentent une analyse des obligations des entreprises mères ayant leur siège social en France. Près de trois ans après l’entrée en vigueur des dispositions ayant renforcé ces obligations de pilotage consolidé, les autorités s’attendent à ce que le dispositif présente un niveau de maturité approprié.

Des progrès qui doivent être poursuivis

L’ACPR souligne que, dans l’ensemble, le panel des établissements qu’elle a examiné s’est attaché à structurer, renforcer et documenter l’organisation de son dispositif LCB-FT à travers la nomination d’un Responsable LCB-FT Groupe. Ce responsable supervise le déploiement opérationnel, le suivi des actions en local et en central, et favorise le renforcement de la communication auprès des instances de gouvernance. Il s’appuie sur des relais locaux qui lui sont fonctionnellement, voire hiérarchiquement, rattachés et permettent de favoriser les échanges d’information intra-Groupe et de renforcer la déclinaison opérationnelle des normes LCB-FT en local.

Le cadre normatif au niveau central a lui aussi été le plus souvent renforcé au travers de la formalisation de politiques Groupe et procédures-cadres mais également via l’instauration et la diffusion d’une classification des risques Groupe.

Ces travaux de formalisation redessinent la structure organisationnelle et normative du dispositif LCB-FT des établissements bancaires et assurantiels.

Toutefois, l’ACPR pointe des insuffisances, notamment un manque d’implication des organes de surveillance dans la prise de décisions stratégiques en lien avec les sujets LCB-FT (acquisition d’entités, de clients, maintien ou cessation des relations d’affaires, etc.). Les Groupes ont certes formalisé et rendu davantage systématiques les remontées d’informations émanant des entités locales au travers de reportings et de rapports d’activités, mais le dispositif reste perfectible. La difficulté reste, pour les instances de gouvernance, de disposer d’une vision d’ensemble actualisée, fiable et présentant un niveau de granularité adapté à la bonne compréhension des risques et la prise de décisions.

Des pistes concrètes d’amélioration

Au-delà du renforcement des moyens humains au sein des fonctions Conformité, l’ACPR invite les Groupes à poursuivre l’amélioration du dispositif de pilotage consolidé LCB-FT.

Décliner les normes Groupe

La déclinaison locale des normes Groupe n’est pas systématiquement finalisée et l’on constate fréquemment un manque de cohérence entre les entités. Cette transposition des standards Groupe pourrait être améliorée par la transmission par le Groupe de consignes opérationnelles claires, précises, voire prescriptives, tout en laissant une flexibilité permettant l’intégration des spécificités locales éventuelles et l’adaptation du corpus aux activités (ex : modèle de classification des risques, référentiels de pays et activités à risque, etc.).

Par ailleurs, le recours à un outil de suivi et de validation de la déclinaison des normes Groupe est nécessaire pour identifier les potentiels obstacles à la mise en œuvre au niveau des filiales ou succursales étrangères, et remonter et appréhender au mieux les écarts entre le corpus normatif central et sa déclinaison en local.

Le pilotage des outils LCB-FT locaux

Lorsque les outils LCB-FT ne sont pas centralisés au niveau de la maison mère, le pilotage actif de ces outils passe par une plus grande implication des fonctions centrales sur ce sujet. Ces dernières  doivent tout d’abord s’assurer que les fonctionnalités et paramétrages locaux sont en ligne avec les exigences du Groupe (ex : règles de détection, seuils de génération des alertes, algorithmes, scénarii, etc.), tout en étant adaptés aux risques locaux.

Les fonctions de Conformité centrales doivent ensuite être associées aux projets d’évolution de ces outils LCB-FT locaux et être informées, voire consultées, pour les développements IT associés (priorisation, budget, calendrier, etc.), y compris en cas de recours à l’externalisation.

La fiabilisation des remontées d’informations vers la Conformité centrale et les instances de gouvernance Groupe constitue un enjeu majeur et critique. De même l’amélioration de la qualité des données alimentant les outils LCB-FT est clé. A ces fins, la réalisation dans toutes les entités d’une cartographie des données et leur insertion dans un dispositif de gouvernance ad hoc doit permettre de s’assurer de la présence des données importantes et de leur qualité.

Le dispositif d’échanges d’informations intragroupe

Le renforcement du dispositif d’échanges d’informations intra-Groupe est un des points de blocage notable, notamment lorsque la filiale ou succursale est soumise à des contraintes locales spécifiques en matière de confidentialité.

La fluidification des échanges entre le central et les entités locales passe par la mise en place d’un processus dédié, qui peut se traduire par l’intégration d’une clause au sein de la documentation contractuelle ou encore par l’organisation d’un accès strictement encadré aux données locales par les équipes Conformité du Groupe lorsque cela est nécessaire. Une certaine forme de partage peut par exemple être organisée entre les équipes Conformité locales des différentes entités via l’enrichissement des listes internes de criblage des bases clients.

Si malgré ces actions, les établissements restent confrontés à des dispositions réglementaires locales faisant obstacle à l’échange d’informations intragroupe, l’ACPR propose la mise en place de vigilances complémentaires spécifiques permettant de veiller à une meilleure cohérence de l’évaluation du risque intra-Groupe.

Le dispositif de contrôle interne

Le dispositif de contrôle interne des Groupes observés repose essentiellement sur l’activité de contrôle périodique, et insuffisamment sur les contrôles permanents.

La formalisation, par la fonction Conformité Groupe de procédures-cadres détaillant et fixant les modalités d’élaboration et d’exécution de plans de contrôles permanents (1er et 2nd niveaux) adaptés aux spécificités locales, permet une harmonisation des pratiques déployées par les filiales ou succursales. Les contrôles réalisés sont ainsi de meilleure qualité et couvrent de manière plus exhaustive et homogène les zones de risques LCB-FT identifiées à travers la cartographie ou la classification des risques. Une telle approche permet également à la fonction Conformité centrale de comparer les entités du Groupe entre elles et d’apprécier leurs expositions respectives aux risques LCB-FT.

La remontée systématique vers le Central des résultats de contrôles permanents locaux associés à leurs plans d’actions respectifs permet de renforcer la vision d’ensemble de l’état du dispositif LCB-FT et d’apprécier la pertinence et l’adéquation du dispositif de contrôle interne.

L’importance d’une vision d’ensemble

L’importance d’une implication suffisante des organes de surveillance dans le suivi des risques et la prise de décisions est rappelée.

Donner aux organes de surveillance une meilleure visibilité sur les dispositifs de chaque entité ne pourra se faire qu’en fiabilisant les remontées d’informations à travers un suivi rapproché de la déclinaison des normes Groupe en local, un pilotage actif des outils LCB-FT déployés, le renforcement du dispositif d’échanges d’informations intra-Groupe et l’instauration de dispositifs de contrôle interne adaptés aux activités et spécificités locales capitalisant davantage sur les résultats des contrôles permanents.

La Conformité centrale, en tant que tête de pont, doit se positionner dans une logique d’accompagnement au changement des entités qui composent le Groupe et superviser la déclinaison effective des normes et standards décidés en central.

La définition et l’instauration d’indicateurs de pilotage harmonisés au sein du Groupe apparaît comme un levier significatif pour accroître la visibilité qu’ont les équipes Conformité centrale et les instances de gouvernance de la performance et l’efficience des dispositifs LCB-FT. Au-delà de la vision consolidée, ces indicateurs doivent permettre d’assurer un pilotage rapproché et favorisent l’identification rapide des dysfonctionnements et le lancement sans délai d’actions d’amélioration du dispositif.

 

[1] https://acpr.banque-france.fr/sites/default/files/medias/documents/190924_bilan_controles_acpr_pilotage_lcb-ft_groupes_vf.pdf

[2] https://acpr.banque-france.fr/sites/default/files/media/2020/03/16/20200316_ld_pilotage_groupe_lcb-ft_vf.pdf