Réforme de la Loi bancaire et gouvernance : Des fonctions de contrôle indépendantes opérationnelles où la gestion du risque est cruciale (3)

Alain Deladrière
Après avoir exposé différents points importants concernant la Réforme de la Loi bancaire et le mémorandum de gouvernance que doivent établir les établissements de crédit en se référant au Manuel de gouvernance de la BNB comme les changements apportés aux Conseil d’administration, Comité de direction et Comités consultatifs, dans ce troisième article, Jean-Pierre Buyle se penche sur les fonctions de contrôle: compliance, gestion de risques et audit interne.
Risk&Compliance Platform Europe : La Loi bancaire a prévu trois fonctions de contrôle indépendantes opérationnelles. Quel est leur rôle ?
Jean-Pierre Buyle : « Pour compléter les différentes dispositions que nous avons évoquées jusqu’ici, cette Loi a prévu la fonction de conformité (compliance), la fonction de gestion des risques et la fonction d’audit interne. »
La fonction de conformité (le compliance ou responsable de la conformité)
Jean-Pierre Buyle : « Les responsables de la conformité (compliance) déjà évoqués doivent veiller au respect des règles d’intégrité et de conduite qui sont applicables à l’activité bancaire en matière de blanchiment d’argent, de terrorisme et de fiscalité pour éviter, par exemple, d’accueillir des clients qui rapatrient des fonds ayant une origine douteuse ou d’être complice parfois à son insu de la mise au point de mécanismes particuliers qui sont bannis depuis belle lurette.
Les incompatibilités de mandats sont d’autres règles à vérifier par le compliance
Le but de toutes ces fonctions de conformité est d’éviter que la banque ne subisse des conséquences négatives de comportements qui porteraient atteintes à sa réputation ou à sa crédibilité.Tout le secteur bancaire est basé sur la confiance. La crise financière a porté atteinte à la confiance et elle n’est pas encore tout à fait rétablie à l’égard du public mais également des autorités. Les autorités législatives, exécutives et judiciaires ont fait comprendre au secteur bancaire qu’il y avait des comportements répréhensibles qui étaient inacceptables.
Le compliance doit faire rapport au Conseil d’administration au moins une fois par an sans en référer au Comité de direction. Voilà un contre-pouvoir, un balancier de contrôle qui est intéressant. Le compliance officer doit être agréé par la FSMA; c’est une profession où l’on n’entre pas comme cela. C’est une des compétences que la FSMA a gardée au niveau des agréments. Elle a notamment l’agrément des conseillers en investissements des gestionnaires de fortune, des intermédiaires de crédit… Mais la plupart des agréments en matière bancaire a été déféré aujourd’hui à la Banque centrale européenne à Francfort en tout cas au niveau des banques elles-mêmes.
Quant au compliance officer, c’est aussi une volonté du législateur de partager les compétences. La FSMA étant compétente au niveau contrôle des marchés et des services, elle s’est vue attribuer cette compétence de l’octroi de l’agrément et du retrait de l’agrément et de vérifier les compétences professionnelles, la rigueur éthique de la personne concernée mais aussi de la mise à jour des compétences. »
Risk&Compliance Platform Europe : Des compliance ou compliance officers ?
Jean-Pierre Buyle : « Plus vous êtes une grande banque, plus vous avez à votre disposition une nécessaire ‘armée’ de compliances et une structuration de grades avec les chefs, sous-chefs et exécutants. La plupart des chefs ont des compétences universitaires, une grande partie seront des juristes,mais pas tous. On trouvera, par exemple des économistes. Et d’ailleurs c’est ce qui est intéressant aujourd’hui de voir avec le développement de cette profession. Ce n’est pas uniquement lié aux banques. Il y a d’autres secteurs d’activités qui sont concernés par les compliances comme le secteur de l’énergie, les cabinets d’avocats. Les grands cabinets d’avocats doivent au niveau des régles déontologiques comprendre également des compliance mais dont la seule fonction actuelle est de vérifier le respect interne de la législation anti-blanchiment et anti-terrorisme, voir si tout est en ordre au niveau des mesures organisationnelles sur l’identification du client, la vérification de l’identité du client, le devoir de vigilance, le devoir de formation du personnel, examiner si tout est au point pour permettre des déclarations de soupçons ou lorsqu’il y a des questions qui sont posées par la CTIF au sein de l’entreprise. »
Risk&Compliance Platform Europe : La compliance est une profession qui soulève aussi de nouvelles questions ?
Jean-Pierre Buyle : « En effet. C’est d’ailleurs une profession qui n’est pas touchée par la crise que du contraire. C’est un nouveau métier qui ouvre plein de perspectives, qui peut être exercé par du personnel en interne de la banque mais aussi où d’autres professions se posent la question de savoir si elles ne pourraient pas exercer ces compétences à temps partiel de l’extérieur. Je pense aux avocats, par exemple. La question s’est récemment posée de savoir si un avocat pouvait être détaché en entreprise pour être compliance. Avec une belle question qui se pose: puisque le compliance est lié par une obligation de dénonciation en cas d’infraction, est-ce compatible avec le secret professionnel de l’avocat? La même question s’est posée pour le juriste d’entreprise, qui est une autre profession réglementée par une loi de 2000 qui bénéficie de la confidentialité des avis des juristes d’entreprise donnés à sa direction. Est-ce que ces fonctions sont compatibles avec le compliance qui lui doit dénoncer? Est-ce que dénonciation/délation est compatible avec confidentialité pour les juristes d’entreprise ou le secret de l’avocat? C’est une vraie question qui fait l’objet d’un débat actuel. »
La fonction de gestion de risques
Jean-Pierre Buyle : « La deuxième fonction de contrôle est celle de la gestion des risques. L’objectif en l’occurrence est de veiller à ce que tous les risques significatifs soient détectés, mesurés, déclarés et que l’on essaie de prévoir des garde-fous pour limiter ces risques aux maximum et éviter la catastrophe.
Les trois fonctions de contrôle dont je parle sont attribuées à des personnes indépendantes, opérationnelles et qui vont être responsables de la gestion de ce risque. Le but aussi est de participer au développement d’une vraie stratégie en matière de risques, ce qui a peut-être fait défaut il y a quelques années. Il s’agit des risques financiers, juridiques, judiciaires. Parfois, il est plus facile de mesurer un risque de crédit qu’un risque judiciaire. Parce que pour le risque du crédit, vous savez quel est le montant maximum que vous avez octroyé à une entreprise. Vous pouvez limiter le plafond en principe de ce qui ne sera pas remboursé. Le risque judiciaire est beaucoup plus difficile à mesurer surtout lorsque vous êtes face à des multiplicités de procédures à l’occasion de mêmes faits : des procédures civiles, pénales, administratives ou de multiples procédures lancées dans différents pays parce que les banques sont aujourd’hui globales, internationales et exercent transfrontières. Les class actions sont aussi nouvelles. Elles étaient jusqu’il y a peu limitées aux Etats-Unis. Aujourd’hui, vous avez déjà des actions d’intérêt collectif et demain de réelles class actions avec des enjeux financiers qui sont réellement très importants. Là, il y a de vrais risques à mesurer, à anticiper et à prévenir. »
La fonction d’audit interne
Jean-Pierre Buyle : « La troisième fonction de contrôle est celle d’audit interne qui est chargée de fournir à la fois au Conseil d’administration et au Comité de direction une évaluation indépendante de l’efficience du contrôle interne, de la gestion des risques et du dispositif de la gouvernance de la banque. On voit donc que la Loi bancaire a voulu professionnaliser la gouvernance des entreprises bancaires et financières en privilégiant l’indépendance, la professionnalisation, la compétence et la disponibilité mais en créant aussi une succession de contrôles comme un peu un millefeuille, qui fait que chacun devient le contrôleur de l’autre pour espérer éviter une catastrophe au niveau des risques systémiques. »
(A suivre)
Jean-Pierre Buyle, Avocat, Partner Buyle Legal, ancien bâtonnier du Barreau de Bruxelles