Les nouveaux défis de la Conformité : cadre ... · Author: Lucas Bessière Created Date: 6/4/2015 4:46:35 PM

Copyright Regulation Partners

Marie-Agnès NICOLETRegulation PartnersPrésidente fondatrice35, Boulevard Berthier 75017 [email protected]+33.6.58.84.77.40 / +33.1.46.22.65.34

Les nouveaux défis de la Conformité:périmètre de la fonction

cartographie des risques de non conformité

Mai 2015

Copyright Regulation Partners 2Mai 2015 Copyright Regulation Partners

Sommaire

I – Le périmètre de la fonction Conformité

1/Les 10 missions de la Conformité

2/Les apports de la Position AMF 2012-17

II – Focus sur la cartographie des risques non-conformité

1/ Identifier les risques non-conformité

2/ Evaluer les risques non-conformité

3/intégrer les contrôles dans la démarche d’évaluation des risques NC

4/ Exemples

Conclusion : articulation de la cartographie des risques opérationnels et de nonconformité

Copyright Regulation Partners 3Mai 2015

2. Etablir une cartographiedes risques de non-conformité

8. Effectuer des reporting

7. Assurer le dispositif delutte contre le blanchimentet contre le financement duterrorisme - LCB-FT

4. Veiller à la formation10. Assurer la fonction de responsable du contrôle des services d’investissement.

1. Assurer la veillerèglementaire encollaboration avec ladirection juridique

3. Intervenir en matière denouveaux produits etnouvelles activités

9. Echanger avec les régulateurs

5. Intervenir en matière demaîtrise d’ouvrage desapplicatifs compliance etcontrôler la compliancedes applicatifs métiers

6. Veiller à la Déontologieet prévenir les conflitsd’intérêt. Lutter contre lacorruption.

10 missions

1/ Le périmètre de la fonction Conformité

Les 10 missions


1. Assurer la veille règlementaire en collaboration avec la direction juridique• collecter des éléments de veille règlementaire et juridique• analyser la veille et son impact pour l’activité• diffuser l’information auprès des collaborateurs• donner son avis sur les projets de textes (participation aux groupes de place)

2. Etablir une cartographie des risques de non-conformité• Établir la cartographie des risques de non-conformité en liaison avec la des cartographie des

risques opérationnels

3. Intervenir en matière de nouveaux produits et nouvelles activités• émettre un avis écrit sur les activités, opérations et produits nouveaux• donner un avis sur les produits distribués à de nouvelles cibles de clientèle• vérifier la documentation promotionnelle

4. Veiller à la formation• s’assurer de la formation des collaborateurs et de la Direction générale (formation conformité

adaptée aux métiers)

5. Intervenir en matière de maîtrise d’ouvrage des applicatifs compliance et contrôle desapplicatifs métiers

• définir le paramétrage des outils (notamment LCB-FT, prévention des abus de marché) et suivrele développement de ces applicatifs spécifiques et leur adaptation aux besoins.

• s'assurer de la conformité des outils informatiques existants et des nouveaux outils destinés àgérer l’activité. (calcul du TAEG, taux d’usure, RDT…)

1/ Le périmètre de la fonction Conformité : les 10 missions Les 10 missions


7. Assurer le dispositif de lutte contre le blanchiment et le financement du terrorisme -LCB-FT

• s'assurer de l’adéquation du dispositif de LCB-FT par rapport à la règlementation.

8. Effectuer des reporting• réaliser des reporting relatifs aux risques et aux contrôles de non-conformité présentés au

Comité conformité, et en informer la Direction Générale, le Comité d’audit et l’organedélibérant.

• s’assurer de l’envoi dans les délais des reportings règlementaires à destination du régulateur

9. Echanger avec les régulateurs• mettre en œuvre un dispositif efficace afin de respecter l’ensemble des réglementations

applicables• s’assurer du suivi des recommandations faites par le régulateur et de la mise en place effective

de mesures correctrices, le cas échéant.

10. Assurer la fonction de responsable du contrôle des services d’investissement.

6. Veiller à la Déontologie et prévenir les conflits d’intérêt et lutter contre la corruption• établir le code de déontologie, mettre en place des procédures de prévention de la corruption• gérer les conflits d’intérêts


Les 10 missions



Les apports de la position AMF 2012-17 pour tous les PSI :

1. Evaluation du risque denon-conformité

2. Obligation de contrôle

3. Obligation dedéclaration

4. Obligation de conseil

5. Efficacité / Moyens duRCCI

6. Permanence de lafonction

7. Indépendance de lafonction

8. Regroupement avec d’autres fonctions de contrôle interne et exemptions

9. Externalisation

10. Examen par les autorités compétentes


1/ Le périmètre de la fonction conformité


Etablir une cartographie des risques de non-conformité.

L’évaluation des risques doit également prendre en considération lesrésultats de l’ensemble des activités de contrôle et des conclusionsd’audit interne ou externe pertinentes.

La fonction de contrôle doit mettre en place un programme de contrôle fixant

des priorités en fonction de la cartographie et garantissant un contrôle

exhaustif.

La fonction de conformité doit être impliquée dans la supervision des

procédures de traitement des réclamations.




Effectuer des reportings/

Des rapports écrits de conformité doivent être produits régulièrement et il doit y avoirune remontée de ces informations à la direction. Les rapports rédigés par la fonctionconformité devraient comprendre :

• « une description de la mise en œuvre et de l’efficacité du cadre général de contrôle desservices et des activités d’investissement ;

• une synthèse des principales conclusions de l’examen des politiques et des procédures ;• une synthèse des inspections sur place et des contrôles sur pièces effectués par la

fonction de conformité, indiquant les manquements et les défaillances détectées dansl’organisation et les procédures de conformité du PSI, ainsi que les mesures appropriéesqui ont été prises consécutivement ;

• les risques détectés dans le périmètre des activités de contrôle de la fonction deconformité ;

• les modifications et l’évolution des exigences réglementaires applicables pendant lapériode couverte par le rapport et les mesures qui ont été prises ou qui doivent l’êtrepour garantir la conformité avec les nouvelles exigences ;

• les autres problèmes significatifs de conformité survenus depuis le dernier rapport;• la correspondance importante avec les autorités compétentes ».


Sommaire





1/ Identifier les risques non-conformité

2/ Evaluer les risques non-conformité

3/ Intégrer les contrôles dans la démarche de cartographie des risques NC

4/ Exemples

Conclusion : articulation de la cartographie des risques opérationnels et nonconformité


2 / Focus sur la cartographie des risques non-conformité

Rappel sur la démarche de cartographie des risques :

L’identification des risques inhérents (avant contrôle) La cotation des

risques à partir de la probabilité

d’occurrence et de l’impact potentiel

Le dispositif de contrôle cible (destiné à couvrir les risques identifiés)

Le dispositif de contrôle et maîtrise

des risques existants

Le risque résiduel (ou risque net) sera qui se

déduit de l’évaluation du risque inhérent et des

contrôles existants

La définition des plans d’action (en cas d’écart

entre le dispositif de contrôle existant et cible)


Méthodologie de la cartographie des risques : Identification et évaluation des risques denon-conformité

Mise en exergue, pour chaque activité de la banque, des réglementations,législations ainsi que des recommandations, qu’il est nécessaire de suivre, le non-respect de ces éléments engendrant un risque de non-conformité.

Les nouveautés réglementaires nécessitent une mise à jour de la cartographie desrisques de non-conformité régulière (différence avec les autres aspects de lacartographie des risques opérationnels qui sont réactualisés en général chaqueannée).

Grille d’impact

2/ Focus sur la cartographie des risques de non-conformité

Rappel sur la méthodologie


Identifier les risques : utiliser la veille règlementaire

Directives et règlements européens, et leursdispositions d’application (ESMA, EBA, EIOPA) Lois, décrets et arrêtés français Instructions, recommandations, positions, lignes directrices, etc. de l’ACPR et de l’AMF Recommandations d’organismes internationaux Dans un groupe international, règlementations locales

2/ Focus sur la cartographie des risques non-conformité



o Thèmes à couvrir selon les activités :

Règlementation AMF pour les PSI

Application de la DSP pour les prestataires de services de paiement.

Pratiques commerciales : Crédit consommation – droit au compte – distribution de produits

d’assurance - traitement des réclamations – contrôle des IOBSP… (cf extrait du questionnaire surles règles de protection de la clientèle - ACPR).



Montant (en EUR)Echelle de

couleur

[0 - 10 000[

[10 000 - 100 000[

[100 000 - 1 000 000[

≥1 000 000

Interdiction d'exercice

Date Personnes morales Personnes physiques Entité concernée

26/02/2015 100 000 EUR + blâme CARDS OFF SA

24/02/2015 250 000 EUR + blâme Compagnie Nantaise d'assurances maritimes et terrestres

11/02/2015 300 000 EUR + blâme State bank of India

26/01/2015 100 000 EUR + avertissement Bank of Africa France

22/12/2014 20 000 EUR + blâme Société d’exploitation OR ET CHANGE

19/12/2014 50 000 000 EUR+ blâme Allianz vie

31/10/2014 40 000 000 EUR+ blâme CNP Assurances

17/07/2014 10 000 EUR + interdiction d'exercice pendant 10 ans

Président d'une société de courtage en assurance

14/04/2014 2 000 000 EUR + blâme Société Générale

07/04/2014 10 000 000 EUR + blâme CARDIF Assurance Vie

19/03/2014 100 000 EUR + blâme Arkeon Finance

Evaluer les risques : utilisation des sanctions



Montant (en EUR)

Echelle de

couleur[0 - 10 000[

[10 000 - 100 000[

[100 000 - 1 000 000[

≥1 000 000

Interdiction d'exercice

Date Personnes morales Personnes physiques Entité concernée

02/12/2013 1 000 000 EUR + blâme Banque Chaâbi du Maroc

25/11/2013 1 000 000 EUR + blâme Caisse d'Epargne et de Prévoyance du Languedoc-Roussillon

03/07/2013 2 000 000 EUR + blâme Le Crédit Lyonnais

25/06/2013 10 000 000 EUR + blâme UBS (France) SA

18/06/2013 150 000 EUR + avertissement ARCA PATRIMOINE

01/03/2013 700 000 EUR + blâme Tunisan Foreign Bank

05/02/2013 70 000 EUR + blâme Auxiliaire Parisienne de Services Financiers

10/01/2013 500 000 EUR + blâme Banque Populaire Côte d'Azur

12/12/2012 Interdiction d‘exercice pendant 10 ans

25 000 EUR + interdiction d’exercice pendant 10 ans

Innocent Assurances (Cabinet de courtage)

12/12/2012 200 000 EUR + blâme Global Equities Compagnie Financière

27/11/2012 300 000 EUR + blâme Suspension des fonctions du DG pendant 3 mois

Bank Tejarat Paris (BTP)

24/10/2012 500 000 EUR + avertissement Etablissement de crédit A

29/06/2012 200 000 EUR + blâme Banque Populaire des Alpes

16/12/2011 800 000 EUR + avertissement Etablissement de crédit A

15/07/2011 20 000 EUR + avertissement Groupement Français de Caution (GFC)

26/05/2011 Avertissement Etablissement de crédit A

28/02/2011 Avertissement + 10000 EUR + Interdiction d'exercice

Universal Assurances

10/01/2011 150 000 EUR + blâme Caisse de Crédit Municipal de Toulon

Evaluer les risques : utilisation des sanctions


Exemple : le droit au compte

Evaluation du risque brut

EVALUATION DU DMR

PERTE UNITAIRE ANNUELLE ENCOURUE EN CAS DE SURVENANCE

FRÉQUENCE BRUTE ANNUELLE

Montant des sanctions ACPR sur les défaillances observées sur la mise en œuvre opérationnelle des dispositions régissant le droit au compte:

2 000 000 EUR

100%

Evènements de risque

Description

E1Les services bancaires de bases ne sont pas systématiquement fournis aux titulaires d’un compte ouvert dans le cadre du droit au compte

E2Erreurs dans la tarification appliquée sur les services offerts dans le cadre du droit au compte

E3Non-conformité observées dans le cadre de la fermeture de comptes ouverts dans le cadre du droit au compte



Exemple : le droit au compte

Evaluation du risque net

EVALUATION DU DMR

50%

RISQUE BRUT : 2 000 000 EUR

PERTINENCE DU DMR

REALITE DU DMR

100% 50%

EVALUATION DU DMR

PERTINENCE DU DMR

REALITE DU DMR

La p

rocé

du

re e

st

pe

rtin

en

te :

10

0%

Résultat du contrôle de 2nd

niveau:

50% des comptes ouverts dans le cadre du droit au comptes étaient en anomalie et ne proposaient pas les services bancaires de base

DISPOSITIF DE MAITRISE DES RISQUES

Procédures :

• Il existe une procédure listant la totalité des services bancaires de base à proposer dans le cadre du droit au compte

Contrôle de 1er niveau:

• La liste des services proposés pour tous les comptes ouverts dans le cadre du droit au compte est systématiquement vérifiée par rapport à la liste des services bancaires de base par le conseiller clientèle.

Contrôle de 2nd niveau:

• Sur un échantillon de comptes ouverts dans le cadre du droit au compte, le contrôle permanent de second niveau s’assure qu’il existe une liste de vérification établie par le conseiller clientèle au moment de l’ouverture de compte


Copyright Regulation Partners 18Avril 2015

Exemple :

Risque lié à la non application par l’établissement du respect du décretn°2011-1871 lié à la formation des commerciaux

EVALUATION DU DMR

PERTE UNITAIRE ANNUELLE ENCOURUE EN CAS DE SURVENANCE

FRÉQUENCE BRUTE ANNUELLE

évaluation des sanctions sur l’application des normes en matière de crédit à la consommation et déchéance des intérêts

100%

Evènements de risque

Description

E1Les services bancaires de bases ne sont pas systématiquement fournis aux titulaires d’un compte ouvert dans le cadre du droit au compte

E2 Information précontractuelle non conforme

E3 Pas de suivi dans la formation des collaborateurs


Copyright Regulation Partners 19Avril 2015

Exemple :

Risque lié à la non application par l’établissement du respect du décretn°2011-1871 lié à la formation des commerciaux

EVALUATION DU DMR

50%

RISQUE BRUT : À CHIFFRER

PERTINENCE DU DMR

REALITE DU DMR

100% 50%

EVALUATION DU DMR

PERTINENCE DU DMR

REALITE DU DMR

La p

rocé

du

re e

st

pe

rtin

en

te :

10

0%

Résultat du contrôle de 2nd

niveau:

50% au 1er semestre 2012 des contrôles montrent qu’aucune formation n’a été réalisée à cette date alors que des évolutions législatives et réglementaires ont été apportées.

DISPOSITIF DE MAITRISE DES RISQUES

Procédures :

• Il existe une procédure prévoyant de former les commerciaux à chaque modifications des textes législatifs et réglementaires Contrôle de 1er niveau:

• Les responsable commerciaux s’assurent que leurs collaborateurs sont bien formés à chaque mise à jour des textes réglementaires et législatifs relatifs au crédit à la consommation. Contrôle de 2nd niveau:

• S’assurer à l’aide du support de formation et des feuilles d’émargement que l’ensemble des personnes concernées ont bien été formées en matière de crédit à la consommation.

2/ Les principales missions de la Fonction Conformité


Sommaire





1/ Identifier les risques non-conformité : utiliser la veille règlementaire

2/ Evaluer les risques non-conformité : utilisation de sanctions

3/ Schéma relatif à la démarche de cartographie des risques

4/ Les exemples

5/ Conformité et crédit à la consommation

Conclusion : articulation de la cartographie des risques opérationnels et nonconformité


Conclusion : articulation de la cartographie des risques opérationnels et non conformité

Évaluation des risques bruts

Risques nets Plans d’actions reportings

Incidents opérationnels

Evolutions règlementaires

Recommandations d’audit

Résultats des contrôles

Key Risk Indicators

Réalisation des contrôles

REP

OR

TIN

G

AC

TU

AL

ISA

TIO

N

Plan de contrôle permanent

Évaluation des DMR

Risques Nets

Dispositifs cible de contrôle

Nouveaux Produits / Activités


L’une des 7 catégories de risque bâloises intègre des risques de non conformité :



Conclusion : articulation de la cartographie des risques opérationnels et non conformitéIdentification d’une catégorie d’évènement fortement exposée et génératrice de risques non-conformité : clients, produits et pratiques commerciales




Exemple de formalisation des événements

de risque et des points de contrôle cible

Articulation des cartographies de risques

Gestion d'actif

²²

P1

P2

P3 E2

P4

P5

P6

P7

P8

E2

E3

E4

E5

E1

E3Non possibilité d'utiliser les outils de pré-trade suite à un

dysfonctionnement des systèmes d'information

Contrôle de paramétrage des outils pré-trade

* Contrôle au fil de l'eau de la cohérence des ordres passés par les

gérants (en termes de quantités) par le back-office

* Contrôle quotidien de l'exposition et des positions des fonds

Tests sur la continuité de l'exploitation en cas de

dysfonctionnement des systèmes d'information

Contrôle de la performance des portefeuilles par le responsable

de la gestion ainsi que par une entité distincte de la gestion

* Contrôle du système de limites en pré-trade.

* Contrôle des ratios spécifiques par le middle office

Pertes des clients liées à une sous-performance des

portefeuilles par rapports à l'indice de référenceE4

E5Sanctions règlementaires suite à une allocation de gestion

non conforme au profil de risque du fonds.

Gestion collective et

Gestion sous mandat

Points de contrôle cibleEvènements de

risques couvertsEvènements de risque

Domaines

Processus

Transmiss ion des

informations

Relation cl ientèle

Relations avec le

dépos ita i re OPCVM

Mesure de performances

Valorisation des OPCVM

Gestion des risques

Relations avec le

régulateur

Choix des investissements

Catégories

d'activité

Erreurs dans la simulation des impacts sur le portefeuille

réalisée par les outils pré-trade.E1

Pertes suite à des erreurs de calcul des gérants (notamment

sur les quantités de titres..)

Documents

Les nouveaux défis de la Conformité : cadre ... · Author: Lucas Bessière Created Date: 6/4/2015 4:46:35 PM