La fonction de conformité au sein des établissements de crédit et des entreprises d’investissement INTRODUCTION : UN ENVIRONNEMENT QUI APPELLE LE RENFORCEMENT DE LA FONCTION DE CONFORMITÉ AU SEIN DU DISPOSITIF DE CONTRÔLE INTERNE L’environnement dans lequel évoluent les banques les contraint ? maîtriser un nombre croissant de techniques et de réglementations et ? mettre en aeuvre une politique de maîtrise effet, on observe au cours des dernières – une diversification fait de s rigoureuse.
En or 11 Sni* to View rands groupes du rapprochements, de partenariats, d’acquisitions ; un enrichissement de l’offre de produits proposés aux différentes catégories de clients ; – un développement des opérations complexes.
Les opérations de financement structuré comme celles de titrisation pour compte de tiers faisant appel à des véhicules ad hoc se sont ainsi multipliées ; l’usage de nouveaux instruments sophistiqués s’est fortement développé au cours des dernières années , – une expansion géographique des implantations et des risques pris par les établissements , qu’ils encourent s’accroître et se diversifier dans des cadres légaux en évolution. Cette tendance implique une très rande vigilance sur la conformité de leurs opérations. ?tude du Rapport annuel de la Commission bancaire – 2003 164 Depuis quelques années, la plus grande fréquence des affaires imputables pour partie à un non-respect ou à une maitrise insuffisante de la législation ou de la réglementation ainsi que les coûts externes financiers et de réputation de ces événements imposent aux entreprises industrielles et commerciales, mais aussi aux banques et aux régulateurs, de réfléchir aux modalités de maîtrise de ces risques.
Dans ce contexte, une réflexion a été engagée au niveau international, otamment au sein du Comité de Bâle, afin, d’une part, de mieux appréhender, dans le calcul des exigences de fonds propres, les risques autres que les risques de crédit et de marché et, d’autre part, de formuler des propositions spécifiques quant aux modalités de contrôle du risque de non-conformité.
Le document consultatif du Comité de Bâle du 27 octobre 2003 sur la fonction de conformité dans les banques — Consultative Document on the Compliance Function in Banks — constitue une étape majeure de cette réflexion. En France, le principe du respect de la conformité a été inscrit, dès 1997, ans le règlement no 97-02 du Comité de la réglementation bancaire et financière relatif au contrôle interne. du cadre d’activité des PAGF 11 contexte de celle conduite au niveau international, sur le contenu précis et les grands principes de mise en oeuvre de la conformité. En particulier, du fait de l’Importance et de la spécificité du risque de non-conformité aux lois et règlements, celui-ci parait devoir être pris en charge par une fonction dédiée et, comme l’ensemble des risques encourus par les établissements de crédit et les entreprises d’investissement, être pleinement intégré dans le champ ‘exercice du contrôle interne.
Le contrôle interne s’exerce, au moyen de la définition de procédures, de mesures et de limites de positions, sur – les risques de nature économique, tels que le risque de crédit ou les risques de marché ; les risques opérationnels, définis par le Comité de Bâle et repris dans la réglementation française (cf. Pétude du présent Rapport consacree au risque opérationnel) ; – les risques d’ordre juridique, dont font partie les risques de litige et le risque de non-conformité aux lois, règlements et normes professionnelles.
La présente étude est consacrée spécifiquement au risque de onconformité. Elle examine les orientations possibles afin de mieux mesurer et contrôler les risques de non-respect de lois ou de réglementations et de limiter leur impact. Elle revient tout d’abord, au regard des travaux conduits notamment au sein du Comité de Bâle et d’exemples de réglementations PAGF30F11 du contrôle du risque de non-conformité.
Elle rappelle ensuite le socle réglementaire français à partir duquel le contrôle du risque de non-conformité peut d’ores et déjà s’exercer. Elle essaie enfin, au vu de ces éléments et dans la perspective de la poursuite d’un renforcement du contrôle nterne, de définir plusieurs pistes de réflexion quant aux modalités selon lesquelles le contrôle de ce type de risque pourrait s’organiser. 165 1. ETAT DES LIEUX EN MATIÈRE DE CONFORMITÉ 1 . . Le risque de non-conformité : un risque à définir Le risque de non-conformité est défini par le Comité de Bâle 1 comme un risque de sanction judiciaire, administrative ou disciplinaire, de perte financière, d’atteinte à la réputation, du fait de l’absence de respect des dispositions législatives et réglementaires, des normes et usages professionnels et déontologiques, propres aux activités des banques.
Selon ce document, ceci inclut notamment les dispositions relatives à la prévention du blanchiment et au financement du terrorisme, la conduite des activités bancaires et financières (y compris les conflits d’intérêts), la protection de la vie privée et des données, voire, selon l’approche définie par l’établissement luimême ou par le régulateur, la législation fiscale et le droit du travail Ainsi défini, le risque de non-conformité se distingue du risque juridique de PAGFd0F11 établissements au titre de leurs obligations contractuelles mais les conséquences dommageables du non-respect de règles relevant pour l’essentiel e l’ordre public. La définition de la conformité utilisée dans le cadre de cette étude reprendra dans les grandes lignes celle du Comité de Bâle.
La supervision bancaire s’intéresse naturellement plus spécifiquement au respect des spécifiques aux activités bancaires et financières. 1. 2. Les établissements de crédit ont d’ores et déjà pris des dispositions pour réduire le risque de non-conformité Les entreprises, notamment les banques, ont amélioré depuis plusieurs années leurs dispositifs de veille réglementaire afin d’approfondir la connaissance de la réglementation par leurs salariés et de formaliser davantage es procédures de contrôle de la conformité de leurs décisions à la réglementation ou aux lois. Comme le relève le Comité de Bâle, le risque de non-conformité fait désormais l’objet d’une gestion plus formalisée et identifiée de la part des établissements 2.
Ce constat rejoint l’appréciation qui peut être portée sur la situation des banques françaises en la matière. En effet, il ressort d’entretiens conduits avec les principaux établissements bancaires français que ceux-ci ont tous engagé, à des degrés divers, une réflexion quant aux modalités d’organisation d’un dispositif permettant de ‘assurer de la conformité de leurs activités à la ré lementation, à la loi, aux normes ou aux usages s 1 quasi-totalité des grands établissements se sont déjà dotés (ou sont en cours de désignation) d’un responsable de la conformité (le titre étant variable selon les établissements : responsable de la conformité ou « compliance officer », déontologue… ).
Les établissements de crédit français apparaissent cependant avoir des définitions hétérogènes de la conformité. Chez un certain nombre d’entre eux, le champ d’intervention du responsable désigné de la conformité ou de la compliance se imite à la supervision du dispositif de prévention du blanchiment et à la déontologie, notamment dans l’acception du règlement général de l’ex-CMF 1. Le responsable dispose alors d’un nombre relativement limité de personnes pour l’assister. Dans d’autres établissements, le responsable de la conformité est assisté d’équipes qui lui permettent d’avoir une vision (quasi) exhaustive des opérations du groupe.
La définition du risque de non-conformité est élargie au contrôle de conformité des opérations aux dispositions légis atives et réglementaires en vigueur, aux normes et usages professionnels et déontologiques insi qu’aux orientations de l’organe délibérant ou de Forgane exécutif. Cela se traduit notamment par la consultation systématique, pour chaque opération nouvelle Slgniflcative, d’un responsable du suivi du risque de non- conformité. Par ailleurs, les équipes présentes dans tous les métiers de l’établissement relaient le message du responsable de la conformité au rès des opérationnels. Plusieurs de ces 6 1 établissements ont élaboré des procédures précisant les modalités du suivi de ce risque, voire une charte de la conformité. Enfin, quelques établissements, plus avancés encore, ont d’ores t déj? construit un état spécifique au suivi du risque de non-conformité.
Ceci permet d’informer régulièrement les niveaux les plus élevés de l’établissement (organes exécutif et délibérant) du niveau de maitrise de ce risque ainsi que de tout événement significatif relevant de cette problématique. D’une manière générale, on observe une perception générale du risque de non conformité, même si les dispositifs mis en oeuvre sont encore parfois insuffisamment réfléchis et a fortiori développés. Cette évolution s’explique essentiellement par les événements survenus au cours des ernières années, rappelés ci-dessus. 1 CMB : Conseil des marchés financiers, désormais fusionné avec la COB (Commission des opérations de bourse) pour former l’AMF (Autorité des marchés financiers). Les établissements de crédit français ont commencé, sous l’impulsion notamment de la Commission bancaire, à mettre en oeuvre des disposltifs de vérification de la conformité, ils ont désigné des responsables internes, et certains ont mis en pl PAGF70F11 des réflexions internationales. À cet égard, le projet de Nouvel Accord sur les fonds propres (Bâle II) incite les établissements à améliorer es systèmes de mesure et de gestion des risques et à mieux appréhender l’ensemble des risques auxquels ils sont exposés. Ceci se traduit par la prise en compte dans les exigences de fonds propres non plus des seuls risques de crédit et de marché mais aussi des risques opérationnels.
Si l’on reprend la définition du risque opérationnel — risque de pertes résultant de carences ou de défaillances attribuables à des procédures, personnels et systèmes internes ou à des événements extérieurs, y compris le risque juridique mais à l’exclusion des risques stratégiques et d’atteinte à la éputation— formulée dans le texte du troisième document consultatif du Comité de Bâle d’avril 2003, on peut considérer que le risque de non-conformité en relève, à tout le mons en partie. Plusieurs groupes de travail internationaux ont, notamment dans la perspective de l’évolution du ratio de solvabilité, engagé une réflexion afin que les établissements aient une meilleure connaissance et une meilleure maîtrise de ce type de risques : d’abord plus spécifiquement pour les entreprises d’investissement (travaux conduits par le CESR. Committee of European Securlties Regulators 1) et lus récemment pour les établissements de crédit au sein du Comité de Bâle. 1. 3. 1.
LJne réflexion a d’abord été lus particulièrement conduite pour les entreprises d’inve PAGFEOFII CESR s’est efforcé, dans une étude 2 parue en avril 2002, de définir les principales caractéristiques de la fonction compliance. Il ressort de ce document que cette fonction doit notamment : – être indépendante des « opérationnels » ; – informer les dirigeants de l’entreprise d’investissement ainsi que les contrôleurs internes et externes des résultats de ces contrôles ; – adresser au régulateur un rapport sur les infractions ignificatives – s’assurer régulièrement de l’adéquation des politiques et des procédures à la réglementation des services d’investissement. 1 Comité européen des régulateurs de valeurs mobilières. « A European Regime of Investor Protection, The Harmonisation of Conduct of Business Rules » (Un régime européen pour la protection de Pinvestisseur – L’harmonisation de l’application des règles de métier). Le CESR a défini les principales caractéristiques de la fonctlon compliance pour les entreprises d’investissement. 168 1. 3. 2. Le Comité de Bâle a récemment fait part de ses propositions en la matière Des réflexions sont également menées sur ce thème au sein du Comité de Bâle. En matière de risque opérationnel, il a publié un document de travall « Sound Practices for the Management and Supervision of Operational Risk » (février 2003). Par ailleurs, il a entrepris des travaux spécifiques sur la conformité.
En effet, un groupe de tra la fonction de conformité été constitué ; ce groupe, auquel des représentants du Secrétariat général de la Commission bancaire ont activement participé, a publié en octobre 2003 un document consultatif 1 . Ce texte, qui a pour objet d’identifier les eilleures pratiques dans ce domaine et d’en favoriser la diffusion, énonce onze principes concernant la conformité. L’organe délibérant doit superviser la gestion du risque de non- conformité. II doit valider la stratégie de l’établissement. Il doit être informé au moins une fois par an de la politique de conformité et de ses modalités d’application. – L’organe exécutif doit définir une ligne d’action en matière de « compliance il doit s’assurer qu’elle est suivie et il doit en informer l’organe délibérant. L’organe exécutif doit organiser le contrôle du risque de non- conformité de anière permanente et efficace. – Le statut de cette fonction doit être formalisé dans une charte ou un document approuvé par l’organe délibérant, définissant son positionnement, ses compétences et son rattachement hiérarchique. Elle doit être indépendante des équipes opérationnelles. – Elle a pour objet d’identifier, d’évaluer et de suivre les risques de nonconformité encourus par l’établissement et de conseiller et de rendre compte l’organe exécutif sur ce sujet. – Le responsable de la fonction de conformité est en charge du suivi continu des activités liées à cette fonc eur bancaire doit être RGF