Les nouveaux défis de la Conformité: périmètre de la fonction cartographie des risques de non conformité

Les nouveaux défis de la Conformité: périmètre de la fonction cartographie des risques de non conformité Marie-Agnès NICOLET Regulation Partners Présidente fondatrice 35, Boulevard Berthier 75017 Paris marieagnes.nicolet@regulationpartners.com +33.6.58.84.77.40 / +33.1.46.22.65.34

Sommaire I Le périmètre de la fonction Conformité 1/Les 10 missions de la Conformité 2/Les apports de la Position AMF 2012-17 II Focus sur la cartographie des risques non-conformité 1/ Identifier les risques non-conformité 2/ Evaluer les risques non-conformité 3/intégrer les contrôles dans la démarche d évaluation des risques NC 4/ Exemples Conclusion : articulation de la cartographie des risques opérationnels et de non conformité 2

1/ Le périmètre de la fonction Conformité Les 10 missions 1. Assurer la veille règlementaire en collaboration avec la direction juridique 2. Etablir une cartographie des risques de nonconformité 3. Intervenir en matière de nouveaux produits et nouvelles activités 10. Assurer la fonction de responsable du contrôle des services d investissement. 9. Echanger avec les régulateurs 8. Effectuer des reporting 10 missions 7. Assurer le dispositif de lutte contre le blanchiment et contre le financement du terrorisme - LCB-FT 4. Veiller à la formation 5. Intervenir en matière de maîtrise d ouvrage des applicatifs compliance et contrôler la compliance des applicatifs métiers 6. Veiller à la Déontologie et prévenir les conflits d intérêt. Lutter contre la corruption. 3

1/ Le périmètre de la fonction Conformité : les 10 missions Les 10 missions 1. Assurer la veille règlementaire en collaboration avec la direction juridique collecter des éléments de veille règlementaire et juridique analyser la veille et son impact pour l activité diffuser l information auprès des collaborateurs donner son avis sur les projets de textes (participation aux groupes de place) 2. Etablir une cartographie des risques de non-conformité Établir la cartographie des risques de non-conformité en liaison avec la des cartographie des risques opérationnels 3. Intervenir en matière de nouveaux produits et nouvelles activités émettre un avis écrit sur les activités, opérations et produits nouveaux donner un avis sur les produits distribués à de nouvelles cibles de clientèle vérifier la documentation promotionnelle 4. Veiller à la formation s assurer de la formation des collaborateurs et de la Direction générale (formation conformité adaptée aux métiers) 5. Intervenir en matière de maîtrise d ouvrage des applicatifs compliance et contrôle des applicatifs métiers définir le paramétrage des outils (notamment LCB-FT, prévention des abus de marché) et suivre le développement de ces applicatifs spécifiques et leur adaptation aux besoins. s'assurer de la conformité des outils informatiques existants et des nouveaux outils destinés à gérer l activité. (calcul du TAEG, taux d usure, RDT ) 4

2/ Le périmètre de la fonction Conformité Les 10 missions 6. Veiller à la Déontologie et prévenir les conflits d intérêt et lutter contre la corruption établir le code de déontologie, mettre en place des procédures de prévention de la corruption gérer les conflits d intérêts 7. Assurer le dispositif de lutte contre le blanchiment et le financement du terrorisme - LCB-FT s'assurer de l adéquation du dispositif de LCB-FT par rapport à la règlementation. 8. Effectuer des reporting réaliser des reporting relatifs aux risques et aux contrôles de non-conformité présentés au Comité conformité, et en informer la Direction Générale, le Comité d audit et l organe délibérant. s assurer de l envoi dans les délais des reportings règlementaires à destination du régulateur 9. Echanger avec les régulateurs mettre en œuvre un dispositif efficace afin de respecter l ensemble des réglementations applicables s assurer du suivi des recommandations faites par le régulateur et de la mise en place effective de mesures correctrices, le cas échéant. 10. Assurer la fonction de responsable du contrôle des services d investissement. 5

1/ Le périmètre de la fonction Conformité Les apports de la position AMF 2012-17 pour tous les PSI : 1. Evaluation du risque de non-conformité 2. Obligation de contrôle 3. Obligation de déclaration 10. Examen par les autorités compétentes 4. Obligation de conseil 9. Externalisation 5. Efficacité / Moyens du RCCI 8. Regroupement avec d autres fonctions de contrôle interne et exemptions 7. Indépendance de la fonction 6. Permanence de la fonction 6

1/ Le périmètre de la fonction conformité Les apports de la position AMF 2012-17 pour tous les PSI : Etablir une cartographie des risques de non-conformité. L évaluation des risques doit également prendre en considération les résultats de l ensemble des activités de contrôle et des conclusions d audit interne ou externe pertinentes. La fonction de contrôle doit mettre en place un programme de contrôle fixant des priorités en fonction de la cartographie et garantissant un contrôle exhaustif. La fonction de conformité doit être impliquée dans la supervision des procédures de traitement des réclamations. 7

1/ Le périmètre de la fonction Conformité Les apports de la position AMF 2012-17 pour tous les PSI : Effectuer des reportings/ Des rapports écrits de conformité doivent être produits régulièrement et il doit y avoir une remontée de ces informations à la direction. Les rapports rédigés par la fonction conformité devraient comprendre : «une description de la mise en œuvre et de l efficacité du cadre général de contrôle des services et des activités d investissement ; une synthèse des principales conclusions de l examen des politiques et des procédures ; une synthèse des inspections sur place et des contrôles sur pièces effectués par la fonction de conformité, indiquant les manquements et les défaillances détectées dans l organisation et les procédures de conformité du PSI, ainsi que les mesures appropriées qui ont été prises consécutivement ; les risques détectés dans le périmètre des activités de contrôle de la fonction de conformité ; les modifications et l évolution des exigences réglementaires applicables pendant la période couverte par le rapport et les mesures qui ont été prises ou qui doivent l être pour garantir la conformité avec les nouvelles exigences ; les autres problèmes significatifs de conformité survenus depuis le dernier rapport; la correspondance importante avec les autorités compétentes». 8

Sommaire I Le périmètre de la fonction Conformité 1/Les 10 missions de la Conformité 2/Les apports de la Position AMF 2012-17 II Focus sur la cartographie des risques non-conformité 1/ Identifier les risques non-conformité 2/ Evaluer les risques non-conformité 3/ Intégrer les contrôles dans la démarche de cartographie des risques NC 4/ Exemples Conclusion : articulation de la cartographie des risques opérationnels et non conformité 9

2 / Focus sur la cartographie des risques nonconformité Rappel sur la démarche de cartographie des risques : La définition des plans d action (en cas d écart entre le dispositif de contrôle existant et cible) L identification des risques inhérents (avant contrôle) La cotation des risques à partir de la probabilité d occurrence et de l impact potentiel Le risque résiduel (ou risque net) sera qui se déduit de l évaluation du risque inhérent et des contrôles existants Le dispositif de contrôle cible (destiné à couvrir les risques identifiés) Le dispositif de contrôle et maîtrise des risques existants 10

2/ Focus sur la cartographie des risques de nonconformité Rappel sur la méthodologie Méthodologie de la cartographie des risques : Identification et évaluation des risques de non-conformité Mise en exergue, pour chaque activité de la banque, des réglementations, législations ainsi que des recommandations, qu il est nécessaire de suivre, le nonrespect de ces éléments engendrant un risque de non-conformité. Les nouveautés réglementaires nécessitent une mise à jour de la cartographie des risques de non-conformité régulière (différence avec les autres aspects de la cartographie des risques opérationnels qui sont réactualisés en général chaque année). Grille d impact 11

2/ Focus sur la cartographie des risques nonconformité Identifier les risques : utiliser la veille règlementaire Directives et règlements européens, et leurs dispositions d application (ESMA, EBA, EIOPA) Lois, décrets et arrêtés français Instructions, recommandations, positions, lignes directrices, etc. de l ACPR et de l AMF Recommandations d organismes internationaux Dans un groupe international, règlementations locales 12

2/ Focus sur la cartographie des risques nonconformité o Thèmes à couvrir selon les activités : Règlementation AMF pour les PSI Application de la DSP pour les prestataires de services de paiement. Pratiques commerciales : Crédit consommation droit au compte distribution de produits d assurance - traitement des réclamations contrôle des IOBSP (cf extrait du questionnaire sur les règles de protection de la clientèle - ACPR). 13

2/ Focus sur la cartographie des risques nonconformité Evaluer les risques : utilisation des sanctions Date Personnes morales Personnes physiques Entité concernée 26/02/2015 100 000 EUR + blâme CARDS OFF SA 24/02/2015 250 000 EUR + blâme Compagnie Nantaise d'assurances maritimes et terrestres 11/02/2015 300 000 EUR + blâme State bank of India 26/01/2015 100 000 EUR + avertissement Bank of Africa France 22/12/2014 20 000 EUR + blâme Société d exploitation OR ET CHANGE 19/12/2014 50 000 000 EUR+ blâme Allianz vie 31/10/2014 40 000 000 EUR+ blâme CNP Assurances 17/07/2014 10 000 EUR + interdiction d'exercice pendant 10 ans Président d'une société de courtage en assurance 14/04/2014 2 000 000 EUR + blâme Société Générale 07/04/2014 10 000 000 EUR + blâme CARDIF Assurance Vie 19/03/2014 100 000 EUR + blâme Arkeon Finance Montant (en EUR) Echelle de couleur [0-10 000[ [10 000-100 000[ [100 000-1 000 000[ 1 000 000 14 Interdiction d'exercice

2/ Focus sur la cartographie des risques nonconformité Evaluer les risques : utilisation des sanctions Date Personnes morales Personnes physiques Entité concernée 02/12/2013 1 000 000 EUR + blâme Banque Chaâbi du Maroc 25/11/2013 1 000 000 EUR + blâme Caisse d'epargne et de Prévoyance du Languedoc- Roussillon 03/07/2013 2 000 000 EUR + blâme Le Crédit Lyonnais 25/06/2013 10 000 000 EUR + blâme UBS (France) SA 18/06/2013 150 000 EUR + avertissement ARCA PATRIMOINE 01/03/2013 700 000 EUR + blâme Tunisan Foreign Bank 05/02/2013 70 000 EUR + blâme Auxiliaire Parisienne de Services Financiers 10/01/2013 500 000 EUR + blâme Banque Populaire Côte d'azur 12/12/2012 Interdiction d exercice pendant 10 25 000 EUR + interdiction Innocent Assurances (Cabinet de courtage) ans d exercice pendant 10 ans 12/12/2012 200 000 EUR + blâme Global Equities Compagnie Financière 27/11/2012 300 000 EUR + blâme Suspension des fonctions Bank Tejarat Paris (BTP) du DG pendant 3 mois 24/10/2012 500 000 EUR + avertissement Etablissement de crédit A 29/06/2012 200 000 EUR + blâme Banque Populaire des Alpes 16/12/2011 800 000 EUR + avertissement Etablissement de crédit A 15/07/2011 20 000 EUR + avertissement Groupement Français de Caution (GFC) 26/05/2011 Avertissement Etablissement de crédit A 28/02/2011 Avertissement + 10000 Universal Assurances EUR + Interdiction d'exercice 10/01/2011 150 000 EUR + blâme Caisse de Crédit Municipal de Toulon Montant (en EUR) [0-10 000[ [10 000-100 000[ [100 000-1 000 000[ 1 000 000 Echelle de couleur 15 Interdiction d'exercice

2/ Focus sur la cartographie des risques nonconformité Exemple : le droit au compte Evaluation du risque brut Evènements de risque E1 E2 E3 Description Les services bancaires de bases ne sont pas systématiquement fournis aux titulaires d un compte ouvert dans le cadre du droit au compte Erreurs dans la tarification appliquée sur les services offerts dans le cadre du droit au compte Non-conformité observées dans le cadre de la fermeture de comptes ouverts dans le cadre du droit au compte EVALUATION DU DMR PERTE UNITAIRE ANNUELLE ENCOURUE EN CAS DE SURVENANCE Montant des sanctions ACPR sur les défaillances observées sur la mise en œuvre opérationnelle des dispositions régissant le droit au compte: 2 000 000 EUR FRÉQUENCE BRUTE ANNUELLE 100% 16

2/ Focus sur la cartographie des risques nonconformité La procédure est pertinente : 100% Exemple : le droit au compte Procédures : Evaluation du risque net RISQUE BRUT : 2 000 000 EUR DISPOSITIF DE MAITRISE DES RISQUES Il existe une procédure listant la totalité des services bancaires de base à proposer dans le cadre du droit au compte Contrôle de 1 er niveau: La liste des services proposés pour tous les comptes ouverts dans le cadre du droit au compte est systématiquement vérifiée par rapport à la liste des services bancaires de base par le conseiller clientèle. Contrôle de 2nd niveau: EVALUATION DU DMR PERTINENCE DU DMR REALITE DU DMR Résultat du contrôle de 2 nd niveau: 50% des comptes ouverts dans le cadre du droit au comptes étaient en anomalie et ne proposaient pas les services bancaires de base PERTINENCE DU DMR REALITE DU DMR 100% 50% Sur un échantillon de comptes ouverts dans le cadre du droit au compte, le contrôle permanent de second niveau s assure qu il EVALUATION DU DMR existe une liste de vérification établie par le conseiller clientèle Mai au 2015 moment de l ouverture de compte 50% 17

2/ Focus sur la cartographie des risques nonconformité Exemple : Risque lié à la non application par l établissement du respect du décret n 2011-1871 lié à la formation des commerciaux Evènements de risque E1 E2 E3 Description Les services bancaires de bases ne sont pas systématiquement fournis aux titulaires d un compte ouvert dans le cadre du droit au compte Information précontractuelle non conforme Pas de suivi dans la formation des collaborateurs EVALUATION DU DMR PERTE UNITAIRE ANNUELLE ENCOURUE EN CAS DE SURVENANCE évaluation des sanctions sur l application des normes en matière de crédit à la consommation et déchéance des intérêts FRÉQUENCE BRUTE ANNUELLE 100% Avril 2015 18

La procédure est pertinente : 100% 2/ Les principales missions de la Fonction Conformité Exemple : Procédures : Avril 2015 Risque lié à la non application par l établissement du respect du décret n 2011-1871 lié à la formation des commerciaux RISQUE BRUT : À CHIFFRER DISPOSITIF DE MAITRISE DES RISQUES Il existe une procédure prévoyant de former les commerciaux à chaque modifications des textes législatifs et réglementaires Contrôle de 1 er niveau: EVALUATION DU DMR PERTINENCE DU DMR Les responsable commerciaux s assurent que leurs collaborateurs sont bien formés à chaque mise à jour des textes réglementaires et législatifs relatifs au crédit à la consommation. Contrôle de 2nd niveau: S assurer à l aide du support de formation et des feuilles d émargement que l ensemble des personnes concernées ont bien été formées en matière de crédit à la consommation. REALITE DU DMR Résultat du contrôle de 2 nd niveau: 50% au 1 er semestre 2012 des contrôles montrent qu aucune formation n a été réalisée à cette date alors que des évolutions législatives et réglementaires ont été apportées. PERTINENCE DU DMR REALITE DU DMR 100% 50% EVALUATION DU DMR 50% 19

Sommaire I Le périmètre de la fonction Conformité 1/Les 10 missions de la Conformité 2/Les apports de la Position AMF 2012-17 II Focus sur la cartographie des risques non-conformité 1/ Identifier les risques non-conformité : utiliser la veille règlementaire 2/ Evaluer les risques non-conformité : utilisation de sanctions 3/ Schéma relatif à la démarche de cartographie des risques 4/ Les exemples 5/ Conformité et crédit à la consommation Conclusion : articulation de la cartographie des risques opérationnels et non conformité 20

Conclusion : articulation de la cartographie des risques opérationnels et non conformité REPORTING Résultats des contrôles Key Risk Indicators Incidents opérationnels Evolutions règlementaires Réalisation des contrôles Recommandations d audit Nouveaux Produits / Activités Évaluation des DMR Risques Nets Plan de contrôle permanent ACTUALISATION Évaluation des risques bruts Dispositifs cible de contrôle Risques nets Plans d actions reportings 21

Conclusion : articulation de la cartographie des risques opérationnels et non conformité L une des 7 catégories de risque bâloises intègre des risques de non conformité :

Conclusion : articulation de la cartographie des risques opérationnels et non conformité Identification d une catégorie d évènement fortement exposée et génératrice de risques non-conformité : clients, produits et pratiques commerciales

Conclusion : articulation de la cartographie des risques opérationnels et non conformité

Articulation des cartographies de risques Catégories d'activité Domaines Gestion d'actif Gestion collective et Gestion sous mandat ²² Processus Evènements de risque Points de contrôle cible Evènements de risques couverts P1 P2 P3 Choix des investissements Transmission des informations Relation clientèle E1 E2 Erreurs dans la simulation des impacts sur le portefeuille réalisée par les outils pré-trade. Pertes suite à des erreurs de calcul des gérants (notamment sur les quantités de titres..) Contrôle de paramétrage des outils pré-trade * Contrôle au fil de l'eau de la cohérence des ordres passés par les gérants (en termes de quantités) par le back-office * Contrôle quotidien de l'exposition et des positions des fonds E1 E2 P4 P5 Relations avec le dépositaire OPCVM Mesure de performances E3 Non possibilité d'utiliser les outils de pré-trade suite à un dysfonctionnement des systèmes d'information Tests sur la continuité de l'exploitation en cas de dysfonctionnement des systèmes d'information E3 P6 P7 Valorisation des OPCVM Gestion des risques E4 Pertes des clients liées à une sous-performance des portefeuilles par rapports à l'indice de référence Contrôle de la performance des portefeuilles par le responsable de la gestion ainsi que par une entité distincte de la gestion E4 P8 Relations avec le régulateur E5 Sanctions règlementaires suite à une allocation de gestion non conforme au profil de risque du fonds. * Contrôle du système de limites en pré-trade. * Contrôle des ratios spécifiques par le middle office E5 Exemple de formalisation des événements de risque et des points de contrôle cible