Emmanuelle Henniaux (PwC) (Photo: Julien Becker)

Emmanuelle Henniaux (PwC)  (Photo: Julien Becker)

Si le développement du secteur financier a progressivement vu l’émergence d’un autre secteur complémentaire et de plus en plus régulé, celui des fournisseurs de services répondant à ses besoins, certaines limites ont été tracées par la Commission de surveillance du secteur financier (CSSF) pour interdire la sous-traitance de certaines fonctions jugées essentielles. C’est le cas pour la compliance, qui est dotée depuis septembre 2004 de sa circulaire ad hoc (04/155) et qui énonçait qu’une «externalisation à des tiers de la fonction compliance n’est pas admissible». «Il faut bien distinguer les fonctions de contrôle interne recouvrant l’audit interne, la compliance et le contrôle des risques des fonctions de support», déclare Emmanuelle Henniaux, associée chez PwC Luxembourg et spécialiste de la question. Les obligations relatives à la fonction compliance varient selon le statut de l’entité concernée. Les banques et entreprises d’investissement doivent ainsi disposer d’un employé en charge de cette question (tout comme un chief risk officer) selon le principe de proportionnalité qui impliquera pour les entités plus petites que le dirigeant puisse exercer cette fonction alors que les grandes structures iront jusqu’à constituer une équipe dédiée. «La fonction compliance est obligatoire dans les banques et entreprises d’investissement, mais elle n’est pas externalisable, ajoute Emmanuelle Henniaux. L’externalisation de la fonction de compliance étant exclue, la délégation des opérations qui y sont liées est effectuée avec parcimonie, principalement au sein d’un même groupe. Je pense d’ailleurs qu’une externalisation de la fonction ne serait pas bénéfique tant elle apporte une valeur ajoutée quant au respect des lois et de leur esprit par l’entité et donc à sa gouvernance.» Pas de recours à un tiers pour cette fonction au quotidien. Mais la CSSF a donc permis la «possibilité de recourir à l’expertise ou aux moyens techniques de tiers». On ne parle donc pas de marché de services en compliance, contrairement au créneau des PSF de support, mais bien d’une niche pour des missions d’aide ou de consultance. Avec des règles strictes. La CSSF indique à ce sujet que l’intervention de l’expert doit s’effectuer suivant un mandat écrit, «sous la dépendance du responsable de la fonction de contrôle interne dont relève le domaine contrôlé». «Nous pouvons dans notre cas intervenir, à condition que nous ne soyons pas l’auditeur de l’entité concernée, lors de certaines missions précises comme la mise à jour de procédures ou des questions techniques, ajoute Emmanuelle Henniaux. Notre intervention est soumise à l’approbation du conseil d’administration.»

En ligne directe avec le CA

Cette autorisation préalable reflète la volonté de l’organe de supervision d’éviter les confits d’intérêt. Ce principe s’applique aussi en interne, car la CSSF recommande de ne pas confier à un même membre de la direction autorisée «les fonctions de prise de risque et de contrôle indépendant de ces mêmes risques». Et le directeur qui sera amené à endosser la fonction de chief compliance officer (CCO) ne pourra – logiquement – assumer la responsabilité de l’audit interne. Les fonctions de contrôle interne voient même leur rôle renforcé via leur lien direct avec le conseil d’administration. La circulaire 12/552 entrée en vigueur en juillet 2013 et visant à mettre à jour les principes d’administration centrale, de gouvernance interne et de gestion des risques à la lumière des lignes directrices européennes indiquent que la «nomination et révocation des responsables des fonctions de contrôle interne sont approuvées par le conseil d’administration et justifiées par écrit à la CSSF». Plus largement, les dirigeants et responsables de la fonction compliance sont invités à développer une culture d’entreprise qui sensibilise aux risques encourus. Être attentif dans son travail quotidien et rester vigilant vis-à-vis des interlocuteurs sont deux principes que la CSSF promeut via ses textes, concernant une fonction dont l’importance est désormais spécifiée. «Depuis le 1er juillet 2013, les entités doivent disposer d’un chief compliance officer, ajoute l’associée de PwC. Il remplit des fonctions préventives comme le respect des règlements internes ou la consultation lors d’un nouveau produit. Il doit aussi mener des missions de reporting en rendant un rapport annuel envoyé, c’est une nouveauté de la circulaire 12/552, pour validation au conseil d’administration et information à la direction dans le cas des banques et entreprises d’investissement.»

Le CCO endossera également, le cas échéant, un rôle de policier interne en cas de suspicion autour d’une pratique frauduleuse comme le délit d’initié. «Il peut mener des investigations et dispose d’un accès permanent au conseil d’administration», ajoute Emmanuelle Henniaux. En adoptant progressivement des règles propres au contrôle et à la gouvernance internes depuis 1993, le Luxembourg a voulu se positionner favorablement au niveau européen. Une avance qui a permis à la fonction de compliance officer de gagner en maturité au fil des années. Son champ de compétences s’est, dans le même temps, précisé ou plutôt élargi à la lecture des textes de la CSSF. Les domaines qui lui incombent concernent ainsi «la protection des intérêts des clients et des investisseurs, la protection des données et le respect du secret professionnel (…), la prévention de l’utilisation du secteur financier par des tiers pour contourner leurs obligations réglementaires…» Sans compter les questions d’éthique et de déontologie. Ces missions, auxquelles s’ajoute l’organisation de formations internes pour sensibiliser les collaborateurs à ces problématiques, font donc apparaître un profil. «Les compliance officers sont généralement des profils plutôt expérimentés, note Emmanuelle Henniaux. Ils sont en quelque sorte les gardiens du temple et servent de référents à la direction de la société en cas de problème, mais aussi de questions relatives à l’application de normes réglementaires.»

Un regard externe si besoin

Ces professionnels, qui doivent exercer à temps plein leur métier dans des structures de taille critique, doivent rester connectés aux changements réglementaires constants. Un objectif moins évident pour les structures disposant de peu de ressources. D’où la possibilité de recourir aux règles et autres bonnes pratiques du groupe auquel appartient une institution. Sans toutefois lui déléguer la responsabilité finale. Une autre forme d’externalisation ou plutôt d’apport d’expérience externe est possible via la création de comités spécifiques dans différents domaines, dont celui de la compliance, «lorsque la nature, l’échelle et la complexité de l’établissement et de ses activités l’exigent, précise la CSSF. Ces comités comprennent des administrateurs qui ne font pas partie de la direction autorisée, ni du personnel de l’établissement. Ils peuvent également comprendre, au besoin, des experts externes, indépendants de l’établissement.»

L’ensemble des ressources complémentaires et autres canaux d’informations sont bienvenus à l’aune des changements réglementaires en cours, annoncés et futurs. La charte de l’ICMA (Association internationale des marchés de capitaux) signée avec l’ABBL en octobre 2012 est l’une des illustrations de la tendance actuelle exigeant plus de transparence et donc d’informations à fournir. «La charte ICMA fixe des obligations en termes de connaissance du client dont les raisons qui l’ont poussé à détenir un compte au Luxembourg, ce qui indique que la mouvance vers la transparence fiscale aura aussi des répercussions sur le métier de compliance officer, estime Emmanuelle Henniaux. Il en est de même dans le cas de MiFID II qui prévoit une classification révisée entre produits dits complexes et non complexes ainsi que des informations relatives aux clients de ces produits.»

Loin d’avoir été engendrée par défaut de prévoyance en matière de compliance, la crise financière a pourtant entraîné une revue de la chaîne de contrôle et de prévention inhérente aux acteurs du secteur financier, dont le maillon important de la compliance. Les changements réglementaires n’ont pas encore tous produit leurs effets et d’autres sont attendus, notamment dans le contexte de l’union bancaire. Mais aux côtés des normes tangibles, il semble que le chief compliance officer doivent en premier lieu se focaliser sur une notion qui l’est moins, mais qui continue d’influencer profondément les marchés: le risque de réputation.

«Le compliance officer révèle sa valeur ajoutée dans sa capacité à mesurer les risques inhérents à l’entité, dont celui de réputation, conclut Emmanuelle Henniaux. Le risque de réputation demeurant le plus important et le plus craint au sein du secteur financier, il importe de maintenir un lien étroit entre les fonctions de contrôle interne et le conseil d’administration.» Car si la compliance nécessite un coût et des investissements, elle doit permettre d’effectuer une économie non tangible sur l’image de l’institution.

Dispositions

Tous concernés

Si les banques et sociétés d’investissement évoluent selon les mêmes règles, d’autres acteurs disposent de obligations variées. Pour les PSF, les sociétés de gestion et les établissements de paiement et de monnaie électroniques, elles sont à géométrie variable, car soumises à d’autres circulaires. Si les PSF de support ne doivent pas remplir d’obligations particulières, les PSF spécialisés doivent non pas disposer d’un compliancer officer mais d’un «AML officer», chargé de faire respecter les règles antiblanchiment d’argent et de contrôler les risques encourus quant à l’acception de tel ou tel client. «Les sociétés de gestion qui effectuent uniquement de la gestion collective peuvent externaliser la fonction de compliance, par exemple auprès d’une entité mère ou de leur banque dépositaire, car la CSSF considère que le risque est moins élevé chez eux, ajoute Emmanuelle Henniaux. Les établissements de paiement et de monnaie électroniques disposent quant à eux de leur propre circulaire dont les principes sont similaires à la circulaire 12/552, sauf l’obligation d’être consultés en cas de lancement d’un nouveau produit et la remise d’un rapport annuel qui est transmis dans leur cas pour information au conseil d’administration.»

RÉGLEMENTATION

En substance

Via sa circulaire 12/552 publiée en décembre 2012 et applicable le 1er juillet 2013, la CSSF a voulu se positionner aux avant-postes des lignes directrices de l’Autorité bancaire européenne (EBA) dans le mode de gouvernance d’après crise invitant à la prudence accrue et à une uniformisation des processus de contrôle interne. Mais la circulaire rejoint aussi, d’un point de vue philosophique, la lourde tendance de la Place tendant vers une substance accrue des entités du secteur financier en précisant que les établissements disposent des dispositifs nécessaires aux différentes fonctions dont le contrôle interne, d’autant plus en cas de contrôle d’un groupe depuis Luxembourg. Loin des notions de boîte aux lettres ou sociétés-écrans, la gouvernance interne est, elle aussi, dotée de plus en plus de substance.