Van Leeuwen Law Firm

Répartition claire des rôles entre la première, la deuxième et la troisième ligne de défense

Une répartition claire des rôles entre la première, la deuxième et la troisième ligne de défense constitue le point de départ d’une gouvernance efficace en matière de criminalité financière, car, sans discipline explicite des rôles, tout dispositif de maîtrise devient vulnérable aux doublons, aux lacunes d’exécution et aux différends relatifs à la responsabilité au moment où les risques se matérialisent. Dans le cadre de la Gestion intégrée des risques de criminalité financière, la première ligne porte la responsabilité principale de l’identification, de l’évaluation et de la maîtrise des risques de criminalité financière dans les opérations quotidiennes. Cela signifie que l’acceptation des clients, les revues périodiques, les signaux transactionnels, le filtrage des sanctions, la conception des produits, les choix de distribution, les exceptions opérationnelles et la prise de décision commerciale ne peuvent être considérés comme des activités purement techniques ou administratives. Ils constituent le premier niveau concret auquel les risques d’intégrité sont assumés, limités, acceptés ou escaladés. La première ligne doit donc disposer d’une conscience suffisante des risques, de pouvoirs clairs, de procédures applicables et d’un accès à une information adéquate. Sans ces conditions, l’appropriation des risques devient une attribution formelle dépourvue de signification substantielle.

La deuxième ligne remplit une fonction fondamentalement différente au sein de la Gestion intégrée des risques de criminalité financière. La conformité, le juridique, la gestion des risques et, le cas échéant, la fiscalité doivent élaborer le cadre normatif, interpréter la législation et la réglementation, traduire l’appétence au risque en exigences de politique interne, surveiller la qualité des contrôles et challenger de manière critique la première ligne. La deuxième ligne n’est donc ni un substitut d’exécution pour la business line, ni une fonction de surveillance passive à distance. Sa valeur ajoutée réside dans sa capacité à réunir la fixation de normes, la compréhension pratique et le challenge indépendant. Cela exige une autorité suffisante, une profondeur substantielle suffisante et un accès suffisant à la prise de décision. Lorsque la deuxième ligne intervient trop tard, fonctionne uniquement comme un guichet d’approbation ou ne dispose pas d’un mandat suffisant pour remettre en question les choix opérationnels, la gouvernance en matière de criminalité financière perd son effet correcteur. À l’inverse, une vulnérabilité apparaît également lorsque la deuxième ligne reprend des tâches d’exécution et affaiblit ainsi sa position indépendante. La frontière entre soutien, normalisation, challenge et exécution doit donc être préservée avec rigueur.

La troisième ligne a ensuite pour mission d’évaluer de manière indépendante si l’ensemble du dispositif de maîtrise de la criminalité financière est solide dans sa conception, son existence et son efficacité opérationnelle. L’audit interne ne doit pas seulement établir si des procédures existent, mais évaluer si la gouvernance est effectivement capable d’identifier, d’escalader et d’atténuer les risques pertinents en temps utile. Cela implique un mandat d’assurance plus large. La troisième ligne doit pouvoir apprécier si la première ligne remplit son rôle d’appropriation, si la deuxième ligne agit avec une efficacité suffisante dans la fixation des normes et l’exercice du challenge, et si la prise de décision au niveau de la gouvernance repose suffisamment sur des informations fiables. Dans un cadre correctement conçu de Gestion intégrée des risques de criminalité financière, il en résulte une relation dynamique entre les lignes : la première ligne agit et maîtrise, la deuxième ligne fixe les normes et challenge, et la troisième ligne teste de manière indépendante et met en lumière les déficiences structurelles. La force de ce modèle ne réside pas dans la description séparée de ces fonctions, mais dans la discipline avec laquelle les frontières, les dépendances et les interactions entre ces fonctions sont organisées.

Attribution claire de la propriété des risques, des contrôles et des escalades

L’attribution claire de la propriété des risques, des contrôles et des escalades est essentielle pour éviter que la maîtrise de la criminalité financière ne se dissolve dans une responsabilité collective dépourvue d’accountability concrète. Dans le cadre de la Gestion intégrée des risques de criminalité financière, il doit être clair, pour chaque risque matériel, qui détient le risque, qui exécute le contrôle pertinent, qui surveille son fonctionnement, qui évalue les exceptions, qui traite les escalades et qui, en dernier ressort, rend compte au niveau de la gouvernance. En l’absence d’une telle attribution, un vide de gouvernance apparaît, dans lequel les risques sont discutés mais ne sont pas effectivement appropriés. Cette situation est particulièrement problématique dans les domaines de la criminalité financière où les risques émergent le long d’une chaîne d’activités. Un risque de sanctions peut commencer lors de l’acceptation du client, se développer à travers les transactions, devenir visible dans le monitoring, être interprété juridiquement par la fonction juridique et finalement exiger une décision de gouvernance concernant la sortie de la relation, le blocage, le reporting ou la poursuite sous conditions. Lorsque la propriété dans cette chaîne n’a pas été explicitement organisée, des retards, des incohérences et des risques probatoires apparaissent.

La propriété des contrôles exige également davantage que la désignation d’un propriétaire de processus. Un propriétaire de contrôle doit être capable d’expliquer quel risque le contrôle atténue, pourquoi le contrôle est proportionné, à quel moment du processus il est exécuté, quelles données ou quelle documentation le soutiennent, quelles exceptions sont possibles, comment les écarts sont enregistrés et quand une escalade est requise. Dans le cadre de la Gestion intégrée des risques de criminalité financière, cette responsabilité doit être suffisamment concrète pour être testable. Un contrôle que personne ne peut défendre sur le fond est vulnérable du point de vue de la gouvernance, même lorsqu’il figure formellement dans une matrice. De même, les contrôles touchés par plusieurs fonctions ne sont pas automatiquement détenus par plusieurs fonctions. Une documentation explicite est nécessaire concernant la responsabilité principale, la responsabilité de soutien et le test indépendant. Ce n’est qu’ainsi qu’il peut être évité que les fonctions se renvoient la responsabilité lorsque des déficiences apparaissent, ou que des constats restent sans résolution parce que personne ne se sent propriétaire de la remédiation.

La propriété de l’escalade mérite une attention distincte, car les risques de criminalité financière ne deviennent souvent véritablement pertinents au niveau de la gouvernance que lorsque les signaux opérationnels, l’interprétation juridique et l’appétence au risque convergent. Un schéma transactionnel inhabituel, une structure de propriété complexe, un lien potentiel avec des sanctions ou un incident d’intégrité n’appellent pas toujours le même parcours. Certains signaux peuvent être traités dans les cadres opérationnels existants. D’autres exigent un challenge de la deuxième ligne, une évaluation juridique, une analyse fiscale, une décision du senior management ou l’implication du conseil d’administration et des administrateurs non exécutifs ou membres du conseil de surveillance. La gouvernance doit donc déterminer à l’avance quand l’escalade est obligatoire, qui l’initie, quelles informations doivent au minimum être disponibles, dans quel délai la décision doit être prise et comment cette décision doit être documentée. Dans la Gestion intégrée des risques de criminalité financière, l’escalade n’est pas le signe d’un échec opérationnel, mais une soupape de sécurité indispensable de gouvernance. Sans attribution claire de la propriété de l’escalade, celle-ci devient trop dépendante de la vigilance individuelle, de relations informelles ou d’une aversion au risque a posteriori.

Prévention des chevauchements, des lacunes et des transferts de responsabilité entre les lignes

La prévention des chevauchements, des lacunes et des transferts de responsabilité entre les lignes de défense se situe au cœur d’une gouvernance forte en matière de criminalité financière. À première vue, le chevauchement peut sembler moins problématique qu’une lacune, dès lors que plusieurs fonctions se préoccupent du même sujet. Dans la pratique, toutefois, le chevauchement peut entraîner des retards, des instructions contradictoires, une accountability affaiblie et une image confuse de l’identité de celui qui décide effectivement. Lorsque la business line, la conformité, la gestion des risques, le juridique et l’audit conduisent chacun leurs propres évaluations sans délimitation claire, le même sujet de criminalité financière peut être analysé à plusieurs reprises sans être résolu. La Gestion intégrée des risques de criminalité financière exige donc que l’implication parallèle de plusieurs fonctions ne soit organisée que lorsqu’elle répond à une finalité claire. L’intervention parallèle doit contribuer à une meilleure prise de décision, à un challenge plus incisif ou à une assurance plus forte, et non à une répétition institutionnelle.

Les lacunes sont tout aussi dommageables, mais souvent moins visibles. Elles apparaissent lorsque chaque ligne suppose qu’une autre ligne est responsable, ou lorsque la politique interne n’a pas été traduite en étapes opérationnelles exécutables. Une lacune peut exister dans les données clients, dans la logique de monitoring, dans la gestion des exceptions liées aux sanctions, dans la documentation de l’acceptation du risque, dans le suivi des constats d’audit ou dans le reporting de gouvernance. Le danger de ces lacunes réside dans le fait qu’elles ne deviennent visibles qu’au moment d’un incident, d’une demande du superviseur ou d’une revue d’audit. À ce stade, l’organisation doit non seulement traiter le risque sous-jacent, mais également expliquer pourquoi le processus de gouvernance n’a pas identifié la déficience plus tôt. La Gestion intégrée des risques de criminalité financière doit donc prévoir une identification systématique des angles morts entre les lignes. Cela suppose des revues périodiques des rôles, des évaluations de processus de bout en bout, une cartographie claire des contrôles et une culture dans laquelle l’incertitude relative à la propriété n’est pas tolérée.

Le transfert de responsabilité constitue la vulnérabilité de gouvernance la plus fondamentale, car il compromet l’intégrité de l’ensemble du modèle. Le modèle des trois lignes vise à organiser les responsabilités, non à les diluer. Lorsque la première ligne renvoie vers la conformité, que la conformité renvoie vers la business line, que le juridique invoque les limites d’interprétation et que l’audit identifie des problèmes après coup sans que la remédiation soit appropriée, un cadre défensif apparaît, dans lequel les risques de criminalité financière circulent au sein de l’organisation sans être traités efficacement. Une gouvernance forte rompt ce schéma en rendant l’accountability explicite. Les décisions doivent être traçables jusqu’aux fonctions et aux personnes disposant de l’autorité appropriée. Les constats doivent avoir un propriétaire, une échéance et une trajectoire de remédiation. Les acceptations de risque doivent être motivées sur le fond et assumées au niveau de la gouvernance. Dans la Gestion intégrée des risques de criminalité financière, la prévention du transfert de responsabilité n’est donc pas un sujet comportemental accessoire, mais une condition structurelle d’une maîtrise efficace.

Renforcement de la coopération entre la business line, la conformité, le juridique, la fiscalité et l’audit

La coopération entre la business line, la conformité, le juridique, la fiscalité et l’audit détermine dans une large mesure si la Gestion intégrée des risques de criminalité financière forme, dans la pratique, un cadre cohérent ou seulement une juxtaposition de perspectives spécialisées. Les risques de criminalité financière peuvent rarement être pleinement compris à partir d’une seule discipline. La business line voit le comportement des clients, le contexte commercial, les frictions opérationnelles et la faisabilité. La conformité voit l’application normative, les attentes des superviseurs et la qualité des contrôles. Le juridique voit les fondements juridiques, les pouvoirs, les limitations contractuelles, les obligations de déclaration et les risques de responsabilité. La fiscalité voit les risques d’intégrité fiscale, les questions de structuration, les obligations de transparence et les liens potentiels avec l’évitement, la fraude ou la planification agressive. L’audit voit la testabilité, les éléments probants et les déficiences structurelles dans la conception et l’efficacité opérationnelle. Lorsque ces perspectives fonctionnent séparément, une vision fragmentée du risque apparaît. Lorsqu’elles sont correctement reliées, un jugement plus riche et plus pertinent pour la gouvernance devient possible.

La coopération ne doit toutefois pas être confondue avec la dilution des rôles. Dans le cadre de la Gestion intégrée des risques de criminalité financière, chaque fonction doit préserver sa propre norme professionnelle. La business line ne doit pas attendre de la conformité qu’elle reprenne la responsabilité opérationnelle. La conformité ne doit pas participer à la prise de décision d’une manière qui affaiblirait sa fonction de challenge. Le juridique doit expliquer clairement les limites juridiques sans réduire la question plus large de gouvernance à la seule faisabilité juridique. La fiscalité doit relier les signaux de risque fiscal à une interprétation d’intégrité sans raisonner uniquement sous l’angle technique fiscal. L’audit doit rester indépendant tout en disposant d’une compréhension suffisante du fonctionnement réel des processus pour fournir une assurance pertinente. La coopération doit donc être organisée au moyen de structures de concertation fixes, d’un langage commun du risque, de mandats décisionnels clairs et d’exigences documentaires cohérentes. La fréquence des réunions n’est pas déterminante ; ce qui importe, c’est la qualité de l’interprétation commune et du suivi.

Dans un cadre de gouvernance correctement opérationnel, la coopération multidisciplinaire devient particulièrement visible dans les dossiers complexes ou transfrontaliers de criminalité financière. Il peut s’agir de clients disposant de structures internationales, de transactions présentant un risque potentiel de sanctions, de signaux de corruption, de questions d’intégrité fiscale, de relations de correspondent banking, de risques liés aux tiers ou d’incidents comportant des implications déclaratives. De tels dossiers exigent une coordination rapide et prudente, mais également une prise de décision nette. La Gestion intégrée des risques de criminalité financière doit donc prévoir des mécanismes permettant de réunir à temps les contributions spécialisées et de les traduire en une décision concrète : poursuivre, restreindre, mener une investigation renforcée, déclarer, bloquer, mettre fin à la relation ou escalader. La valeur de la coopération ne réside finalement pas dans le consensus en tant que tel, mais dans la qualité du jugement motivé. Une gouvernance forte permet à différentes fonctions de se challenger, de se compléter et de se renforcer sans que la prise de décision soit retardée ou que la responsabilité devienne floue.

Conception de la gouvernance autour de la prise de décision, de la transparence et de l’accountability

La gouvernance au sein de la Gestion intégrée des risques de criminalité financière doit être conçue principalement autour de la prise de décision, de la transparence et de l’accountability. Cela signifie que l’efficacité du cadre de gouvernance ne s’apprécie pas uniquement au regard de comités formels, de lignes de reporting ou de documents de politique interne, mais en se demandant si les décisions pertinentes en matière de criminalité financière sont prises en temps utile, de manière suffisamment informée, cohérente et défendable. La prise de décision est le point où convergent l’appétence au risque, la réglementation, la réalité opérationnelle et les intérêts commerciaux. Lorsque cette prise de décision est obscure, la maîtrise se déplace vers des schémas informels : des collaborateurs recherchent des certitudes auprès de contacts familiers, des dossiers sensibles sont différés, des exceptions sont insuffisamment documentées et l’escalade intervient sur la base d’un jugement personnel plutôt que de critères de gouvernance. Un cadre solide prévient cette dérive en définissant explicitement les points de décision.

La transparence est indispensable à cet égard. Le conseil d’administration, le senior management, les fonctions de contrôle et l’audit doivent pouvoir voir quels risques de criminalité financière existent, quelles décisions ont été prises, quelles exceptions ont été autorisées, quels constats restent ouverts et quelles tendances indiquent une détérioration ou une amélioration. La transparence ne signifie pas que chaque détail opérationnel doit être porté au niveau du conseil d’administration. Elle signifie que l’information est organisée de telle manière que chaque niveau dispose des informations nécessaires pour assumer sa responsabilité. Pour la première ligne, cela signifie une visibilité sur les risques clients, transactionnels et de processus. Pour la deuxième ligne, cela signifie une visibilité sur le respect des politiques, le fonctionnement des contrôles, les incidents, les exceptions et les sujets nécessitant un challenge. Pour la troisième ligne, cela signifie un accès à des éléments probants fiables et à des pistes de décision. Pour le conseil d’administration et les administrateurs non exécutifs ou membres du conseil de surveillance, cela signifie une visibilité sur les risques matériels, les déficiences structurelles, les acceptations de risque, les évolutions prudentielles et les choix stratégiques. La Gestion intégrée des risques de criminalité financière exige donc que l’information ne soit pas seulement collectée, mais traduite en compréhension pertinente pour la gouvernance.

L’accountability constitue ensuite l’élément de clôture d’une gouvernance forte. Sans accountability, la transparence peut même devenir contre-productive : les risques sont visibles, mais ne sont pas nécessairement appropriés. L’accountability exige de savoir clairement qui est responsable des décisions, qui est responsable de l’exécution, qui est responsable du monitoring, qui est responsable de la remédiation et qui rend compte du résultat au niveau de la gouvernance. Dans la maîtrise de la criminalité financière, cet aspect revêt une importance particulière, car les décisions sont souvent évaluées rétrospectivement par les superviseurs, les auditeurs, les autorités d’enforcement, les contreparties ou les parties prenantes publiques. Une organisation doit alors pouvoir démontrer qu’une décision n’a pas été arbitraire, défensive ou purement commerciale, mais qu’elle reposait sur un processus soigneux, une information adéquate, un challenge approprié et une évaluation explicite du risque. Dans la Gestion intégrée des risques de criminalité financière, l’accountability n’est donc pas seulement une norme interne de management, mais aussi une condition externe de défendabilité. Une gouvernance qui place la prise de décision, la transparence et l’accountability au centre rend visible qui savait quoi, quand l’information était connue, quelle évaluation a été réalisée et pourquoi la ligne de conduite retenue était proportionnée et défendable.

Définir clairement les circuits d’escalade et de décision pour les situations de routine et de crise

Les circuits d’escalade et de décision constituent, au sein de la Gestion intégrée des risques de criminalité financière, un mécanisme essentiel pour garantir que les signaux, incidents, exceptions et risques matériels soient évalués au niveau approprié. Un dispositif de criminalité financière peut comprendre des politiques détaillées, un monitoring avancé et des descriptions de contrôles étendues, mais, en l’absence de circuits d’escalade clairement définis, il demeure incertain de savoir à quel moment un constat opérationnel doit être élevé au rang de sujet de conformité, quand une interprétation juridique est nécessaire, quand l’expertise fiscale doit être mobilisée, quand le senior management doit décider et quand le conseil d’administration ou les administrateurs non exécutifs ou membres du conseil de surveillance doivent être mis en position d’intervenir. Dans la pratique, ce manque de clarté conduit à des retards, à des incohérences et à une prise de décision défensive. Les signaux restent alors trop longtemps dans l’opérationnel, sont juridiquement abstraits trop tôt, ou ne deviennent visibles au niveau de la gouvernance que lorsque la marge de remédiation s’est déjà réduite. Une gouvernance forte prévient cette situation en déterminant à l’avance quels types de sujets de criminalité financière peuvent être traités dans les lignes de processus ordinaires et quels signaux exigent une escalade formelle.

Pour les situations de routine, l’escalade ne doit pas être rendue inutilement lourde, mais elle doit être conçue avec une précision suffisante. Tout écart, toute alerte ou toute ambiguïté relative à un client ne nécessite pas une attention au niveau du conseil d’administration. En même temps, une série de signaux apparemment mineurs peut, ensemble, indiquer un risque matériel d’intégrité. La Gestion intégrée des risques de criminalité financière exige donc que les critères d’escalade ne soient pas fondés uniquement sur des catégories d’incidents, mais également sur la composante de risque, la récurrence, le profil du client, l’exposition géographique, le lien avec des sanctions, la valeur transactionnelle, les tiers impliqués, la sensibilité réputationnelle et la pertinence potentielle pour le superviseur. Une équipe opérationnelle doit pouvoir déterminer quand un dossier reste dans le processus standard, quand un challenge de la deuxième ligne est requis, quand une évaluation juridique ou fiscale est nécessaire, et quand une décision formelle accompagnée d’une acceptation documentée du risque devient requise. Cela suppose des arbres de décision clairs, mais aussi une marge pour le jugement professionnel. Un modèle d’escalade solide n’est pas mécanique ; il est normatif, fondé sur les risques et démontrablement relié à l’appétence au risque de l’organisation.

Pour les situations de crise, la gouvernance doit être encore plus précise, car les incidents de criminalité financière soumis à la pression du temps touchent souvent plusieurs dimensions simultanément. Une éventuelle alerte liée aux sanctions, un incident de fraude à grande échelle, un soupçon de corruption, une découverte fondée sur les données d’une défaillance systématique des contrôles, une demande du superviseur ou un dossier urgent sensible sur le plan médiatique exigent une organisation immédiate des rôles, des pouvoirs et de la prise de décision. Dans de telles circonstances, il ne doit pas être nécessaire de déterminer d’abord qui dirige la concertation de crise, quelles informations sont fiables, quelles obligations de déclaration peuvent s’appliquer, quelles restrictions relatives aux clients ou aux transactions sont nécessaires, et qui communique à l’externe. La Gestion intégrée des risques de criminalité financière exige donc des circuits de crise prédéfinis, comprenant le mandat décisionnel, les considérations relatives au secret professionnel et au privilège juridique, les exigences documentaires, les lignes de communication, l’implication du conseil d’administration et des administrateurs non exécutifs ou membres du conseil de surveillance, ainsi que l’alignement avec les processus plus larges de réponse aux incidents et de continuité d’activité. La qualité de la gouvernance de crise se mesure à la capacité de faire coexister rapidité et rigueur. Un circuit d’escalade et de décision clairement conçu permet d’agir rapidement sans perdre la défendabilité juridique, opérationnelle et gouvernance du processus décisionnel.

Superviser l’application cohérente des politiques et de l’appétence au risque

L’application cohérente des politiques et de l’appétence au risque constitue une exigence centrale au sein de la Gestion intégrée des risques de criminalité financière, car la maîtrise de la criminalité financière perd son autorité lorsque des situations comparables sont traitées différemment sans raison explicable. Les documents de politique interne et les déclarations d’appétence au risque ne prennent sens que lorsqu’ils se traduisent de manière visible dans l’acceptation des clients, les revues périodiques, le monitoring des transactions, le filtrage des sanctions, le suivi des incidents, la gouvernance des produits, la gestion des tiers et la prise de décision au niveau de la gouvernance. Dans de nombreuses organisations, il existe une distance considérable entre l’appétence au risque formelle et l’exécution quotidienne réelle. Un conseil d’administration peut formuler sur le papier une faible tolérance au risque de sanctions, tandis que les processus opérationnels autorisent des exceptions sans justification suffisante. Une organisation peut déclarer une tolérance zéro à l’égard des risques de corruption, tandis que la pression commerciale conduit à une évaluation insuffisamment critique des intermédiaires ou des structures de paiement complexes. La gouvernance doit réduire activement cette distance.

La cohérence ne signifie pas que chaque dossier doit être traité de manière identique. La Gestion intégrée des risques de criminalité financière exige une application fondée sur les risques, et une application fondée sur les risques suppose une différenciation. Un client à faible risque, un groupe international complexe, une personne politiquement exposée, une relation de correspondent banking, une structure fiduciaire et un client présentant une exposition accrue aux sanctions ne requièrent pas la même profondeur, la même intensité ni le même circuit décisionnel. La cohérence signifie que les différences de traitement peuvent être rattachées à des facteurs de risque pertinents, à des critères explicites de politique interne et à des appréciations défendables. Le cadre de gouvernance doit donc prévoir des mécanismes permettant d’enregistrer les écarts par rapport à la politique standard, de motiver les exceptions, d’approuver les acceptations de risque au niveau approprié et de tester périodiquement l’application pratique des politiques au regard de l’appétence au risque établie. En l’absence de tels mécanismes, l’arbitraire apparaît, et l’arbitraire dans la maîtrise de la criminalité financière est vulnérable sur les plans de la gouvernance, de la supervision et de la réputation.

La supervision de l’application cohérente exige une combinaison de first line ownership, de monitoring par la deuxième ligne et d’assurance par la troisième ligne. La première ligne doit disposer d’instructions claires, de formations, d’un soutien systémique et d’informations de gestion pour appliquer correctement les politiques au quotidien. La deuxième ligne doit pouvoir identifier les tendances, challenger les écarts, résoudre les divergences d’interprétation et rendre compte périodiquement de la mesure dans laquelle l’exécution s’aligne sur l’appétence au risque. La troisième ligne doit pouvoir évaluer de manière indépendante si la gouvernance autour de l’application des politiques est suffisamment robuste et si les informations de gestion donnent une image fiable du fonctionnement réel. La Gestion intégrée des risques de criminalité financière réunit ces fonctions dans un cadre dans lequel la politique n’est pas traitée comme un document normatif statique, mais comme un instrument de gouvernance qui doit être continuellement testé au regard de l’exécution, de l’évolution des risques et des attentes du superviseur. L’application cohérente exige ainsi une discipline dans la conception, l’exécution, le monitoring, la correction et l’accountability.

Ancrer les thèmes de criminalité financière au niveau du conseil d’administration et du conseil de surveillance

L’ancrage des thèmes de criminalité financière au niveau du conseil d’administration et du conseil de surveillance est nécessaire, car la maîtrise de la criminalité financière ne peut être réduite à une fonction opérationnelle ou spécialisée de conformité. Les risques touchent des questions fondamentales de stratégie, d’acceptation des clients, d’accès aux marchés, de choix de produits, de croissance internationale, de réputation, d’allocation du capital, d’investissements technologiques et de légitimité publique. Lorsque le conseil d’administration et les administrateurs non exécutifs ou membres du conseil de surveillance abordent la criminalité financière uniquement comme un dossier d’exécution, des choix matériels peuvent rester implicites. L’organisation peut alors poursuivre des activités qui ne correspondent plus à son appétence au risque, investir dans des contrôles sans priorisation claire, ou insuffisamment relier les signaux émanant de la conformité, de l’audit et de la supervision à des décisions stratégiques plus larges. La Gestion intégrée des risques de criminalité financière exige donc que le conseil d’administration et le conseil de surveillance ne soient pas seulement informés des incidents et des constats, mais soient structurellement mis en position de donner une orientation en matière d’appétence au risque, de priorités, de remédiation, d’investissements et d’accountability.

L’implication du conseil d’administration doit être substantielle et ne doit pas se limiter à des rapports périodiques accompagnés d’indicateurs génériques. Les rapports de criminalité financière destinés au conseil d’administration et au conseil de surveillance doivent fournir une visibilité sur les risques matériels, l’évolution des paysages de menace, la qualité des contrôles, les déficiences ouvertes, les escalades, les incidents, les signaux du superviseur, les écarts de politique interne, les segments de clientèle présentant une exposition accrue, l’efficacité des programmes de remédiation et les dilemmes stratégiques. La question n’est pas celle d’une information plus abondante, mais celle d’une meilleure information de gouvernance. Un conseil d’administration doit pouvoir apprécier si l’organisation voit les bons risques, si l’appétence au risque est effectivement appliquée, si la première ligne démontre une ownership suffisante, si la deuxième ligne dispose d’une autorité suffisante, si les constats d’audit font l’objet d’un suivi structurel, et si les investissements dans les systèmes, les personnes et les données sont proportionnés. Le conseil de surveillance doit, à son tour, pouvoir superviser la qualité de l’ensemble de ce cadre, poser des questions critiques et apprécier si les décisions de gouvernance sont prises avec suffisamment de rigueur et de défendabilité.

La Gestion intégrée des risques de criminalité financière exige également des connexions de gouvernance claires entre le niveau du conseil d’administration, le niveau du conseil de surveillance et les lignes de défense sous-jacentes. Cela signifie que les escalades vers le conseil d’administration et le conseil de surveillance ne doivent pas dépendre d’une sensibilité informelle ou de préférences personnelles. Le cadre de gouvernance doit déterminer quels thèmes de criminalité financière sont structurellement inscrits à l’ordre du jour, quels incidents exigent une attention immédiate, quelles acceptations de risque requièrent une approbation au niveau du conseil d’administration, quels rapports sont discutés au sein du risk committee, de l’audit committee ou du conseil dans sa formation plénière, et comment le suivi des décisions est contrôlé. Il importe également que le conseil d’administration et le conseil de surveillance développent une connaissance substantielle suffisante pour apprécier les sujets de criminalité financière non seulement de manière procédurale, mais aussi matérielle. L’ancrage des thèmes de criminalité financière au niveau du conseil d’administration et du conseil de surveillance confère à la Gestion intégrée des risques de criminalité financière autorité, direction et continuité. Sans cet ancrage, la maîtrise demeure trop dépendante de la capacité opérationnelle et de la force de persuasion des spécialistes.

Améliorer l’échange d’informations sur les risques, les incidents et les constats

Un échange efficace d’informations sur les risques, les incidents et les constats constitue une condition préalable à une gouvernance forte, car les risques de criminalité financière se manifestent souvent de manière dispersée dans différents processus, systèmes, juridictions et fonctions. Un dossier client peut contenir des signaux qui semblent opérationnellement explicables pour la business line, normativement pertinents pour la conformité, juridiquement significatifs pour le juridique, révélateurs d’une question d’intégrité fiscale pour la fiscalité et indicatifs d’une faiblesse structurelle de contrôle pour l’audit. Lorsque ces informations restent fragmentées, aucune image complète du risque n’émerge. La Gestion intégrée des risques de criminalité financière exige donc que les informations ne soient pas seulement partagées verticalement au sein de fonctions distinctes, mais également reliées horizontalement et au niveau de la gouvernance. La qualité de la gouvernance dépend dans une large mesure de la rapidité, de l’exhaustivité et de l’utilité avec lesquelles les informations pertinentes circulent entre la première ligne, la deuxième ligne, la troisième ligne et les organes décisionnels.

L’échange d’informations doit être soigneusement conçu. Trop peu d’informations crée des angles morts ; trop d’informations non filtrées crée du bruit, une surcharge et une apparence de transparence. La Gestion intégrée des risques de criminalité financière exige donc des critères clairs quant aux informations à partager, au moment du partage, à la fonction destinataire, au format utilisé et à la décision ou au suivi envisagé. Les notifications d’incidents doivent être suffisamment factuelles pour permettre un suivi. Les rapports de risque doivent rendre visibles les tendances et la matérialité. Les constats d’audit doivent être reliés aux propriétaires de contrôles, aux délais de remédiation et aux causes structurelles. Le monitoring de conformité ne doit pas seulement enregistrer des observations, mais aussi interpréter les ajustements de politique ou de processus nécessaires. Les analyses juridiques et fiscales doivent être traduites de manière à être utiles sur les plans opérationnel et de gouvernance sans perdre leur précision substantielle. Un bon échange d’informations exige donc une taxonomie commune, des définitions cohérentes, des données fiables, une attribution claire de l’ownership et des rythmes de reporting fixes.

Un point d’attention particulier concerne la rétroaction des constats vers l’amélioration des processus. Dans de nombreux environnements de criminalité financière, les incidents, alertes, constats d’audit et sujets de conformité sont enregistrés, mais ne sont pas utilisés de manière suffisamment systématique pour améliorer le cadre de contrôle. En conséquence, l’information reste réactive et propre à chaque dossier. La Gestion intégrée des risques de criminalité financière exige un cycle d’apprentissage dans lequel les signaux issus de l’exécution, du monitoring, de la gestion des incidents, de la supervision et de l’audit sont réunis et traduits en ajustements des politiques, des contrôles, de la formation, de la logique des systèmes, de la qualité des données ou de la gouvernance. Cette rétroaction fait de l’échange d’informations davantage qu’un simple reporting. Elle transforme l’information en information de pilotage de gouvernance. Un cadre de gouvernance fort garantit que l’information pertinente n’est pas seulement disponible, mais qu’elle conduit également à la prise de décision, à la priorisation et à un suivi démontrable.

La gouvernance comme couche de liaison du pilotage intégré de l’intégrité

Au sein de la Gestion intégrée des risques de criminalité financière, la gouvernance fonctionne comme la couche de liaison qui réunit les éléments distincts du pilotage de l’intégrité dans un cadre cohérent et opérationnel. Sans gouvernance, l’analyse des risques, les politiques, les contrôles, le monitoring, la gestion des incidents, l’audit, le reporting et l’interaction avec le superviseur demeurent des composantes séparées, avec leurs propres rythmes et logiques. Avec une gouvernance forte, ces composantes sont reliées par l’ownership, la prise de décision, l’escalade, l’échange d’informations et l’accountability. Cet aspect est particulièrement important dans le domaine de la criminalité financière, car les risques ne respectent pas les frontières organisationnelles internes. Un sujet lié aux sanctions peut affecter simultanément l’acceptation des clients, les flux de paiement, l’interprétation juridique, les données, la technologie, la formation, la gestion des tiers et la prise de décision au niveau du conseil d’administration. Un incident d’intégrité peut activer en même temps la conformité, le juridique, la fiscalité, l’audit, la communication et le senior management. La gouvernance détermine si ces sujets sont traités de manière fragmentée ou gérés comme un risque cohérent.

En tant que couche de liaison, la gouvernance doit offrir à la fois stabilité et capacité d’adaptation. La stabilité est nécessaire pour préciser qui est responsable de quoi, comment les décisions sont prises, quels circuits d’escalade s’appliquent et comment l’accountability est exercée. La capacité d’adaptation est nécessaire parce que les risques de criminalité financière, la réglementation, les attentes du superviseur, la technologie et les typologies criminelles évoluent continuellement. La Gestion intégrée des risques de criminalité financière exige donc un cadre de gouvernance qui soit non seulement clair sur le papier, mais également testé périodiquement au regard du fonctionnement réel. Les nouveaux risques, les segments de clientèle en évolution, l’expansion internationale, l’automatisation, la détection fondée sur les données, l’externalisation et les nouvelles réglementations peuvent mettre sous pression les relations de gouvernance existantes. Un cadre autrefois suffisamment clair peut, avec le temps, produire malgré tout des lacunes, des retards ou des incohérences. La gouvernance doit donc être entretenue comme un instrument actif de gouvernance, et non comme un exercice de conception ponctuel.

La fonction de liaison de la gouvernance s’exprime finalement dans la qualité du jugement au sein de l’organisation. La Gestion intégrée des risques de criminalité financière ne consiste pas uniquement à respecter des règles ou à exécuter des contrôles, mais à disposer de la capacité d’évaluer des risques complexes d’intégrité avec rigueur, en temps utile et de manière défendable. Une gouvernance forte garantit que les perspectives pertinentes se rejoignent, que l’information est fiable, que les décisions sont prises au niveau approprié, que les écarts sont documentés, que la remédiation est suivie et que le conseil d’administration et le conseil de surveillance conservent une visibilité sur les thèmes matériels. Il en résulte un cadre de maîtrise dans lequel les lignes de défense ne fonctionnent pas côte à côte comme des murs défensifs séparés, mais contribuent de manière intégrée à un seul mécanisme de contrôle de gouvernance. La gouvernance est donc la couche qui rend la Gestion intégrée des risques de criminalité financière gouvernable, la maintient testable et donne une orientation à un pilotage durable de l’intégrité.