Van Leeuwen Law Firm

Évaluer les contrôles au regard de leur efficacité, de leur faisabilité opérationnelle et de leur force probante

Un contrôle efficace doit faire davantage que couvrir une obligation formelle. Il doit intervenir de manière démontrable sur le risque pour lequel il a été conçu. En matière de maîtrise des risques de criminalité financière, cela signifie que le contrôle doit entretenir une relation identifiable avec le risque de blanchiment de capitaux, de financement du terrorisme, de violation de sanctions, de corruption, de fraude, de risques d’intégrité fiscale ou d’autres formes de criminalité financière et économique. Cette relation doit être concrète. Un contrôle de connaissance client doit, par exemple, contribuer à une identification fiable du client, à la compréhension des bénéficiaires effectifs ultimes, à la détermination de l’objet et de la nature envisagée de la relation, ainsi qu’à la reconnaissance d’indicateurs de risque accru. Un contrôle de surveillance des transactions doit être capable de détecter, de prioriser et de soumettre à évaluation les écarts pertinents. Un contrôle de filtrage sanctions doit, sur la base de données à jour, complètes et correctement calibrées, permettre une détection en temps utile et un suivi adéquat. En l’absence de ce lien substantiel entre risque, activité de contrôle, résultat et suivi, le contrôle demeure exposé à la critique selon laquelle il ne fonctionnerait que comme un exercice procédural.

La faisabilité opérationnelle constitue à cet égard un critère d’évaluation autonome. Un contrôle peut être conceptuellement logique, tout en échouant s’il ne correspond pas à la réalité opérationnelle dans laquelle il doit être appliqué. Cela concerne notamment les contrôles qui exigent trop d’étapes manuelles, dépendent de sources de données fragmentées, comportent des critères de décision imprécis, sont insuffisamment intégrés dans les flux de travail ou imposent une charge administrative telle que les collaborateurs tendent à adopter des comportements de simple cochage. Dans la gestion intégrée des risques de criminalité financière, la faisabilité opérationnelle ne doit pas être considérée comme une concession faite à la conformité, mais comme une condition de maîtrise durable des risques. Un contrôle qui n’est pas compréhensible, applicable et proportionné pour les fonctions concernées de première ligne, de deuxième ligne et de support sera, en pratique, exécuté de manière irrégulière, interprété différemment ou documenté de façon insuffisante. Il en résulte le risque qu’une conformité formelle soit présentée alors que la valeur protectrice réelle demeure limitée.

La force probante marque la différence entre conviction interne et défendabilité externe. Lorsqu’une organisation affirme qu’un contrôle fonctionne, cette affirmation doit pouvoir être étayée par des éléments probants cohérents, fiables et traçables. Ces éléments doivent montrer ce qui a été contrôlé, quand le contrôle a été réalisé, par qui, sur la base de quelles données, avec quel résultat, quelles exceptions ont été identifiées, quelles escalades ont eu lieu et quel suivi a été assuré. Dans les dossiers de criminalité financière, cette force probante est particulièrement importante, car les régulateurs et les auditeurs ne s’intéressent pas seulement à l’existence de politiques, mais également au fonctionnement démontrable des processus dans la durée. Un contrôle exécuté mais insuffisamment documenté demeure vulnérable. Un contrôle pour lequel une documentation existe, mais qui ne donne pas accès aux considérations de fond, demeure tout aussi vulnérable. L’efficacité, la faisabilité opérationnelle et la force probante doivent donc être évaluées simultanément, car un contrôle n’est convaincant que lorsqu’il traite le risque, fonctionne en pratique et demeure vérifiable a posteriori.

Ne pas se limiter à l’efficacité de conception, mais examiner également l’efficacité opérationnelle

L’efficacité de conception concerne la question de savoir si un contrôle, tel qu’il a été conçu, est approprié pour maîtriser le risque visé. Cette question demeure indispensable. Un contrôle mal conçu peut être exécuté avec une grande rigueur opérationnelle, sans pour autant atténuer adéquatement le risque si la fréquence de contrôle est mal choisie, si le périmètre est trop limité, si les critères de risque sont insuffisamment précis, si les sources de données utilisées sont incomplètes ou si les seuils d’escalade ne sont pas alignés sur l’appétence au risque de l’organisation. Dans le cadre de la gestion intégrée des risques de criminalité financière, l’efficacité de conception doit donc être appréciée à l’aune des typologies de risque spécifiques, de la nature du portefeuille clients, des produits et services, de l’exposition géographique, des canaux de distribution, des flux transactionnels et du degré de dépendance de l’organisation à l’égard des systèmes, des tiers ou du jugement manuel. Une conception de contrôle adoptée de manière générique à partir d’une politique, d’un modèle ou d’un standard de groupe, sans alignement sur le contexte de risque réel, fournit une assurance insuffisante.

L’efficacité opérationnelle va plus loin et interroge la capacité du contrôle à fonctionner en pratique comme prévu. Ce critère examine l’exécution effective. Le contrôle est-il réalisé dans les délais ? Toutes les populations pertinentes sont-elles couvertes ? Les exceptions sont-elles correctement identifiées ? Les alertes sont-elles évaluées sur le fond ou clôturées principalement de manière administrative ? Les escalades sont-elles suivies dans les délais convenus ? Les collaborateurs sont-ils suffisamment formés pour appliquer le contrôle ? Le contrôle est-il également exécuté lorsque les volumes augmentent, que les échéances approchent, que les systèmes ralentissent ou que la pression commerciale s’intensifie ? Ces questions sont souvent plus révélatrices que la conception du contrôle elle-même. Un contrôle peut être parfaitement conçu, mais structurellement fragilisé dans l’exécution par des contraintes de capacité, des instructions imprécises, une mauvaise qualité des données, une information de gestion insuffisante ou une culture dans laquelle les exceptions sont acceptées trop rapidement.

La force d’un contrôle dont le fonctionnement est démontrable réside dans la cohérence entre conception et exécution. L’efficacité de conception sans efficacité opérationnelle produit une maîtrise théorique. L’efficacité opérationnelle sans conception robuste produit une activité bien exécutée, mais potentiellement non pertinente. La gestion intégrée des risques de criminalité financière exige donc une évaluation intégrée dans laquelle le contrôle est suivi depuis la définition du risque jusqu’à sa conception, de la conception à l’exécution, de l’exécution aux éléments probants, puis des éléments probants à l’amélioration. Il convient également d’établir si les résultats des contrôles sont réellement utilisés pour la prise de décision. Lorsque les constats issus des revues clients, de la surveillance des transactions, du filtrage sanctions, de la détection de fraude ou de la due diligence des tiers ne conduisent pas à des ajustements des scores de risque, des escalades, des mesures client, des paramétrages systèmes ou des choix de politique interne, la valeur opérationnelle demeure limitée. Un contrôle ne fonctionne de manière convaincante que lorsque la conception, l’exécution, l’enregistrement et le suivi s’inscrivent démontrablement dans une continuité.

Vérifier si les contrôles atténuent effectivement le risque concerné

La vérification de l’atténuation du risque exige d’abord une détermination précise du risque que le contrôle est censé maîtriser. En pratique, cette précision fait souvent défaut. Les contrôles sont alors rattachés à de larges catégories de risque telles que « AML », « sanctions », « fraude » ou « ABC », sans qu’il soit clair quelle menace spécifique, quelle vulnérabilité ou quel facteur de risque est visé. Cela rend difficile l’évaluation de l’effet réel du contrôle. Une revue périodique client peut, par exemple, avoir pour objectif de mettre à jour des informations client obsolètes, d’identifier des facteurs de risque accru, de replacer des transactions inhabituelles dans leur contexte ou de réévaluer l’adéquation de la relation client. Chaque objectif requiert des critères différents, des éléments probants différents et des résultats différents. Un contrôle qui n’est pas relié à un scénario de risque clairement défini peut difficilement être testé de manière convaincante.

L’atténuation effective exige ensuite une compréhension du fonctionnement du contrôle par rapport au risque. Cela signifie qu’il faut établir non seulement qu’une activité de contrôle a eu lieu, mais également si le contrôle influence le profil de risque. Le contrôle a-t-il conduit à la détection d’écarts pertinents ? Les clients, transactions ou tiers à risque élevé ont-ils effectivement été identifiés ? Les faux positifs et les faux négatifs ont-ils été analysés ? A-t-il été établi si le contrôle opère de manière trop large, trop étroite, trop tardive ou trop superficielle ? Le contrôle est-il ajusté sur la base de typologies, d’incidents, de constats réglementaires, de résultats d’audit interne ou de schémas de menace changeants ? Dans la gestion intégrée des risques de criminalité financière, l’évaluation de l’atténuation du risque ne doit donc pas s’arrêter à la conformité du processus ; elle doit montrer si le contrôle réduit effectivement la probabilité ou l’impact des risques de criminalité financière.

Un élément important consiste à distinguer l’activité de l’effet. Des nombres élevés de revues clients achevées, d’alertes clôturées, de filtrages réalisés ou de listes de contrôle finalisées peuvent donner l’impression d’une maîtrise intensive, mais ils disent peu de choses s’il n’est pas clair que les risques pertinents ont été détectés et suivis. Un contrôle peut générer une production importante sans réduction significative du risque. À l’inverse, un contrôle précisément ciblé, avec un volume administratif limité, peut contribuer substantiellement à la maîtrise lorsqu’il traite les points critiques du risque. Le test doit donc porter sur la question de savoir si le contrôle apporte une contribution démontrable à la prévention, à la détection, à l’escalade, à la prise de décision ou à la remédiation. Ce n’est que lorsque cette contribution peut être étayée qu’une base crédible permet d’affirmer que le contrôle atténue effectivement le risque concerné.

Identifier les contrôles formellement présents mais substantiellement déficients

L’une des vulnérabilités les plus persistantes dans la maîtrise des risques de criminalité financière réside dans l’existence de contrôles qui sont formellement présents, mais substantiellement déficients. Cette situation se développe souvent progressivement. Un contrôle est introduit en réponse à une réglementation, à un constat d’audit, à un incident ou à un standard de groupe, mais il n’est ensuite pas suffisamment entretenu. L’organisation évolue, les produits se développent, les comportements clients changent, les systèmes sont adaptés, les données se dispersent entre plusieurs sources et les typologies de menace évoluent. Le contrôle demeure toutefois sur le papier et est inclus dans les rapports comme s’il continuait d’être efficace. Il en résulte une forme dangereuse de maîtrise apparente. Le dispositif de contrôle paraît complet, tandis que la protection réelle contre les risques de criminalité financière accuse un retard.

Les déficiences substantielles peuvent prendre différentes formes. Un contrôle peut intervenir trop tard dans le processus, ce qui signifie que les risques ne sont identifiés qu’après l’entrée en relation avec le client ou après l’exécution des transactions. Un contrôle peut dépendre de données incomplètes, obsolètes ou incohérentes. Un contrôle peut ne porter que sur l’évaluation initiale, alors que des risques pertinents apparaissent au cours du cycle de vie de la relation client. Un contrôle peut être formellement obligatoire, mais être exécuté en pratique par des collaborateurs ne disposant pas d’une expertise ou d’un mandat suffisants. Un contrôle peut générer des exceptions sans imposer de suivi robuste. Un contrôle peut également être formulé de manière si large que son application devient dépendante de l’interprétation individuelle, créant ainsi des incohérences entre équipes, pays, lignes d’activité ou entités.

L’identification de telles déficiences exige des tests critiques qui vont au-delà de la revue documentaire. Il convient d’examiner les dossiers, les journaux systèmes, les tests par échantillonnage, l’information de gestion, l’historique des escalades, les notes de décision, la traçabilité des données, les incidents, les exceptions, les réclamations, les constats d’audit et les communications avec les régulateurs. Ce n’est qu’alors qu’il devient visible si le contrôle fait effectivement, en pratique, ce qu’il prétend faire. La gestion intégrée des risques de criminalité financière exige la volonté de ne pas protéger les contrôles simplement parce qu’ils font historiquement partie du dispositif, mais de les évaluer au regard de leur pertinence actuelle et de leur contribution réelle. Lorsque la présence formelle n’est pas soutenue par un fonctionnement substantiel, la conclusion doit être claire : le contrôle doit être reconçu, renforcé, remplacé ou supprimé. Un contrôle qui produit principalement une assurance administrative peut détourner l’organisation des risques qui requièrent véritablement de l’attention.

Évaluer le fonctionnement des contrôles à travers les processus, les systèmes et les chaînes

Les risques de criminalité financière évoluent rarement à l’intérieur des limites d’un seul processus, d’un seul département ou d’un seul système. L’acceptation client, la revue client, la surveillance des transactions, le filtrage sanctions, la détection de fraude, l’approbation des produits, le traitement des paiements, la gestion des tiers, l’intégrité fiscale, la revue juridique, le monitoring conformité et l’assurance audit constituent ensemble une chaîne de maîtrise. Lorsque les contrôles sont évalués séparément, une image déformée peut apparaître. Chaque contrôle peut fonctionner raisonnablement bien au sein de son propre processus, tandis que l’ensemble du dispositif reste insuffisant en raison de problèmes de transfert, de défauts de qualité des données, d’une utilisation incohérente des scores de risque, de boucles de retour absentes ou d’une escalade insuffisante entre fonctions. La gestion intégrée des risques de criminalité financière exige donc une évaluation du fonctionnement des contrôles à travers les processus, les systèmes et les chaînes.

Cette perspective de chaîne révèle les endroits où l’information relative au risque se perd ou est insuffisamment utilisée. Un risque accru d’intégrité client identifié lors de l’onboarding doit, par exemple, se traduire dans l’intensité de surveillance, la fréquence des revues, la priorisation des alertes et l’information de gestion. Une alerte sanctions traitée peut être pertinente pour l’évaluation plus large du client ou du risque au niveau du groupe. Un schéma de fraude identifié dans l’activité de paiement peut justifier des ajustements de la segmentation client, des conditions produits ou des scénarios de surveillance des transactions. Un constat d’audit relatif à la qualité des données peut affecter plusieurs contrôles qui reposent sur les mêmes données sources. Lorsque ces connexions sont absentes, les contrôles demeurent des mesures isolées. Ils peuvent fonctionner dans leur propre domaine, mais ne contribuent pas suffisamment à une maîtrise cohérente des risques de criminalité financière.

L’évaluation du fonctionnement sur l’ensemble de la chaîne exige une attention particulière à l’intégration des systèmes, aux définitions des données, à la propriété des contrôles, aux points de transfert, aux critères d’escalade, aux droits de décision et aux éléments probants couvrant tout le cycle de vie du risque. Il faut établir si l’organisation est capable de reconstituer la manière dont un signal de risque est apparu, quels systèmes ont été impliqués, quels collaborateurs ou fonctions ont réalisé l’évaluation, quelles décisions ont été prises, quels écarts ont été acceptés et quel suivi a été effectué. Lorsque cette reconstitution n’est pas possible, la traçabilité fait défaut. Lorsque les signaux ne sont pas partagés entre processus, la cohérence fait défaut. Lorsque les contrôles dépendent de systèmes utilisant des définitions ou des standards de qualité des données différents, une vulnérabilité structurelle apparaît. Les contrôles dont le fonctionnement est démontrable exigent donc non seulement des mesures individuelles solides, mais aussi une chaîne dans laquelle l’information relative aux risques circule de manière fiable, les décisions sont prises de façon cohérente et le dossier probant résiste à l’examen dans son ensemble.

Attention à la proportionnalité entre la charge de contrôle et la réduction du risque

La proportionnalité constitue un critère essentiel dans l’évaluation des contrôles au sein de la gestion intégrée des risques de criminalité financière, car la maîtrise des risques ne peut jamais être dissociée du contexte opérationnel, commercial et organisationnel dans lequel elle doit fonctionner. Un contrôle qui, en théorie, vise un niveau maximal d’assurance peut, en pratique, créer des charges disproportionnées sans que la réduction supplémentaire du risque augmente dans la même mesure. Ce risque est particulièrement visible dans la maîtrise des risques de criminalité financière. En réponse à la pression des autorités de supervision, à des incidents, à des constats d’audit ou à l’évolution de la réglementation, les organisations développent souvent le réflexe d’étendre les contrôles, d’augmenter la fréquence des revues, d’ajouter des niveaux d’approbation, de renforcer les exigences documentaires ou de restreindre davantage les exceptions. Bien que de telles mesures puissent, à première vue, sembler prudentes, elles peuvent conduire à un environnement de contrôle dans lequel la capacité disponible est absorbée par des activités présentant une valeur limitée en matière de risque, tandis que des menaces significatives ne reçoivent pas l’attention nécessaire. La proportionnalité exige donc une appréciation pragmatique, juridiquement défendable et fondée sur les risques : quelle charge de contrôle est justifiée au regard de la nature, de l’ampleur, de la probabilité et de l’impact du risque de criminalité financière concerné ?

Cette appréciation exige davantage qu’une référence générale à une approche fondée sur les risques. Une organisation doit pouvoir expliquer pourquoi un certain niveau d’intensité de contrôle est approprié pour un groupe de clients, une ligne de produits, une juridiction, un flux transactionnel, un modèle de distribution ou un tiers spécifique. Une due diligence renforcée portant sur une structure sociétaire internationale complexe, caractérisée par des schémas de détention opaques, exige une profondeur différente de celle requise pour la revue périodique d’une relation avec un client particulier à faible risque. Le filtrage sanctions de flux de paiements exposés à des pays à risque élevé requiert des sensibilités différentes de celles applicables au filtrage d’une base statique de fournisseurs présentant une dispersion géographique limitée. Un contrôle de détection de fraude portant sur des transactions numériques en temps réel doit être configuré différemment d’un rapprochement périodique fondé sur des données disponibles uniquement après coup. La proportionnalité ne signifie donc pas moins de contrôle, mais un contrôle mieux ciblé. La question n’est pas de savoir quelle quantité d’efforts peut être rendue visible, mais quels efforts contribuent de manière démontrable à une meilleure maîtrise des risques.

Dans le même temps, la proportionnalité doit également être appréciée sous l’angle de la faisabilité et des effets comportementaux. Une charge de contrôle excessive peut conduire les collaborateurs à exécuter les contrôles de manière mécanique, à clôturer les alertes plus rapidement, à standardiser la documentation sans analyse substantielle, à éviter les escalades ou à accepter les exceptions de manière routinière afin de limiter les retards opérationnels. Ainsi, un contrôle destiné à renforcer l’assurance peut, en réalité, contribuer à une perte de discernement. La gestion intégrée des risques de criminalité financière requiert donc une évaluation périodique de la relation entre la charge de contrôle et la réduction du risque. Cette évaluation doit tenir compte des délais de traitement, de la capacité disponible, des taux d’erreur, de la qualité des alertes, des ratios d’escalade, de la qualité des dossiers, de l’impact client, des reprises de travaux, des exceptions ainsi que des constats issus du monitoring et de l’assurance. Un contrôle proportionné n’est pas le contrôle le plus léger, mais celui pour lequel il peut être démontré que la charge, la profondeur, la fréquence et la complexité sont raisonnablement proportionnées au risque maîtrisé.

Intégrer la mesurabilité, la documentation et la traçabilité

La mesurabilité est nécessaire pour éviter que le fonctionnement des contrôles reste dépendant d’impressions, d’hypothèses ou de déclarations générales de management. Dans le cadre de la gestion intégrée des risques de criminalité financière, un contrôle doit être conçu de manière à permettre l’établissement de ses performances, écarts, résultats et tendances. Cela suppose des critères prédéfinis : quelle population relève du périmètre du contrôle, quelle action doit être exécutée, quelles exigences de qualité s’appliquent, quels délais sont pertinents, quelles exceptions sont autorisées, quelles escalades doivent suivre et quels résultats indiquent un fonctionnement efficace. En l’absence de critères mesurables, il demeure difficile de déterminer si un contrôle est exécuté de manière cohérente et s’il contribue à la maîtrise du risque concerné. Un contrôle qui n’est pas mesurable peut tout au plus être décrit ; il ne peut pas être évalué de manière convaincante.

La documentation devient ensuite le support de cette mesurabilité. Dans la maîtrise des risques de criminalité financière, la documentation n’est pas une simple consignation administrative, mais une composante essentielle du contrôle lui-même. La documentation doit montrer quelles données ont été utilisées, quelles analyses ont été réalisées, quels signaux d’alerte ont été évalués, quels écarts ont été identifiés, quelles considérations ont fondé une décision et quel suivi a été effectué. Dans les dossiers d’intégrité client, cela signifie, par exemple, que la justification de la classification du risque, de l’évaluation des bénéficiaires effectifs ultimes, de l’analyse de l’origine des fonds, de l’évaluation de l’origine du patrimoine, du traitement d’une alerte sanctions ou de la clarification d’une transaction doit être clairement consignée. En matière de surveillance des transactions, cela signifie que la clôture d’une alerte ne peut pas consister en formules standard génériques, mais doit fournir un éclairage suffisant sur les raisons pour lesquelles un schéma est, ou n’est pas, inhabituel. En matière de filtrage sanctions, cela signifie que le traitement des faux positifs doit être traçable à partir de critères d’identification concrets et non d’hypothèses invérifiables.

La traçabilité relie la mesurabilité et la documentation à la défendabilité externe. Une organisation doit être en mesure de reconstituer a posteriori la manière dont un contrôle a fonctionné, depuis l’apparition du risque ou du signal jusqu’à la décision finale. Cette reconstitution ne doit pas dépendre de souvenirs personnels, d’explications informelles ou de fichiers épars situés en dehors du système d’enregistrement de référence. Elle doit reposer sur des données fiables, une consignation cohérente, des horodatages clairs, des fonctions responsables, des pistes d’approbation et une prise de décision traçable. La traçabilité revêt une importance particulière dans les enquêtes de supervision, les audits internes, les revues externes, les analyses d’incidents et la reddition de comptes au niveau du conseil d’administration. Lorsqu’il n’est pas possible d’établir ce qui s’est produit, qui a décidé et pourquoi une décision particulière était défendable, un problème probatoire apparaît, qui fragilise le fonctionnement substantiel du contrôle. La mesurabilité, la documentation et la traçabilité ne doivent donc pas être ajoutées aux contrôles après coup, mais intégrées au contrôle dès sa conception.

Établir si les contrôles continuent de fonctionner sous pression ou en cas de perturbation

Un contrôle qui ne fonctionne que dans des circonstances idéales offre une assurance limitée. La maîtrise des risques de criminalité financière est souvent mise à l’épreuve lorsque les processus sont soumis à une pression accrue : hausse des volumes d’alertes, mises à jour de listes de sanctions, migrations de systèmes, pénuries de personnel, paiements urgents, échéances commerciales, retards dans les revues clients, pics d’onboarding, incidents, problèmes de qualité des données, perturbations liées à l’externalisation ou changements réglementaires soudains. Dans de telles circonstances, il devient visible si un contrôle est structurellement robuste ou s’il dépend de capacités ponctuelles, de connaissances informelles, de corrections manuelles ou de la gestion des exceptions. La gestion intégrée des risques de criminalité financière exige donc que le fonctionnement des contrôles soit évalué non seulement dans des conditions opérationnelles ordinaires, mais aussi dans des situations où l’organisation est confrontée à une perturbation, à une urgence ou à une pression accrue.

Ce test est particulièrement important parce que les risques de criminalité financière s’intensifient souvent pendant les périodes de changement. Les nouveaux produits, nouveaux marchés, fusions, transformations informatiques, réorganisations, externalisations, automatisations, migrations de clients ou programmes de remédiation peuvent affaiblir les contrôles existants ou les rendre temporairement inefficaces. Un contrôle de filtrage sanctions peut, par exemple, devenir vulnérable lorsque des données client sont migrées et que des champs de données ne sont pas transférés correctement. Un contrôle de surveillance des transactions peut perdre en efficacité lorsque les scénarios ne sont pas ajustés à temps aux nouvelles caractéristiques des produits. Un processus de revue client peut accumuler des retards lorsque la capacité est réorientée vers des projets de remédiation. Un contrôle d’escalade peut ralentir lorsque les responsabilités changent ou que la gouvernance devient temporairement incertaine. La question n’est donc pas seulement de savoir si les contrôles fonctionnent en régime de fonctionnement normal, mais également s’ils résistent aux changements qui affectent la position de risque.

Établir la résilience sous pression exige des analyses de scénarios, des tests de résistance, des revues d’incidents, des analyses de retards, des mesures de qualité et l’évaluation des dispositifs de contingence. Cette évaluation doit tenir compte de signaux tels que l’allongement des délais de traitement, la baisse de qualité des dossiers, l’augmentation du nombre d’exceptions, la hausse des ratios de faux positifs, les escalades tardives, les contournements manuels, les indisponibilités de systèmes, les dérogations liées à la capacité et les écarts par rapport aux étapes standard du processus. Il faut également établir si des mesures compensatoires sont disponibles lorsque les contrôles primaires s’affaiblissent temporairement. Une organisation capable de démontrer que les contrôles critiques de criminalité financière continuent de fonctionner en situation de perturbation dispose d’une position nettement plus solide vis-à-vis du conseil d’administration, du régulateur et de la fonction d’audit qu’une organisation pouvant seulement démontrer que les contrôles ont été exécutés dans des circonstances normales. Le fonctionnement des contrôles ne devient réellement convaincant que lorsqu’il ne s’effondre pas dès que la pression apparaît.

Donner de la visibilité sur les lacunes de contrôle, les mesures compensatoires et les améliorations prioritaires

Des contrôles dont le fonctionnement est démontrable ne supposent pas que chaque risque ait été entièrement éliminé ni que chaque élément du dispositif fonctionne sans difficulté. Une approche crédible de la gestion intégrée des risques de criminalité financière reconnaît que des lacunes de contrôle peuvent exister et que toutes les déficiences n’ont pas la même gravité, la même urgence ou la même importance en matière de gouvernance. L’enjeu est que les lacunes soient identifiées en temps utile, analysées avec précision, priorisées de manière cohérente et assorties d’un suivi approprié. Une lacune de contrôle peut résulter de contrôles manquants, d’une conception inadéquate, d’une exécution défaillante, d’éléments probants faibles, de problèmes de qualité des données, de limitations systèmes, d’une propriété insuffisante, d’une escalade tardive ou d’un mauvais alignement entre processus. Sans visibilité systématique sur ces lacunes, le risque apparaît que l’organisation rende principalement compte de ce qui est présent, alors que ce qui manque substantiellement demeure insuffisamment visible.

Les mesures compensatoires jouent à cet égard un rôle important, mais elles doivent être évaluées de manière critique. En pratique, des revues manuelles temporaires, des échantillonnages supplémentaires, des approbations managériales additionnelles, une surveillance renforcée, des restrictions applicables aux activités clients ou des rapports temporaires sont fréquemment utilisés pour absorber les déficiences des contrôles primaires. De telles mesures peuvent être nécessaires et défendables, à condition qu’il soit clair quel risque spécifique elles atténuent temporairement, quel est leur périmètre, qui en est responsable, quelle date de fin ou quel point d’évaluation s’applique et à quoi ressemble la solution structurelle. Une mesure compensatoire ne doit pas évoluer vers une dépendance permanente sans évaluation formelle. Lorsque des contournements temporaires restent en place pendant une période prolongée, une nouvelle vulnérabilité apparaît souvent : l’organisation s’appuie sur des mesures qui n’ont pas été conçues pour une maîtrise durable, qui ne sont pas suffisamment extensibles et qui demeurent difficiles à tester.

L’amélioration prioritaire exige ensuite une hiérarchisation fondée sur le risque, l’impact et la faisabilité. Toutes les lacunes de contrôle ne justifient pas une remédiation immédiate de grande ampleur, mais les lacunes significatives dans des processus critiques requièrent une attention claire au niveau de la gouvernance. Cela suppose de tenir compte de la nature du risque de criminalité financière, de l’exposition de l’organisation, de la qualité des mesures compensatoires existantes, du degré d’urgence juridique ou prudentielle, de l’impact potentiel sur les clients, de la dépendance à l’égard de la technologie ou des données, ainsi que de la rapidité avec laquelle une amélioration peut être mise en œuvre de manière réaliste. Une bonne priorisation évite que les programmes d’amélioration ne s’enlisent dans de longues listes d’actions dépourvues de logique de risque claire. La gestion intégrée des risques de criminalité financière exige de la transparence : quelles lacunes existent, quels risques elles créent, quelle maîtrise temporaire a été mise en place, quelle amélioration structurelle est nécessaire et quelle prise de décision est requise pour imposer le progrès.

Le fonctionnement démontrable comme critère central de la maîtrise dans la gestion intégrée des risques de criminalité financière

Le fonctionnement démontrable constitue le critère décisif par lequel les contrôles de criminalité financière acquièrent leur signification. Une organisation peut adopter des politiques, publier des procédures, mettre en œuvre des systèmes, attribuer des rôles et produire des rapports, mais sans fonctionnement démontrable, la question de savoir si le risque concerné est effectivement maîtrisé demeure sans réponse. Dans le cadre de la gestion intégrée des risques de criminalité financière, le fonctionnement démontrable doit donc être considéré comme un critère central de la qualité de la maîtrise. Il s’agit de la capacité à montrer, au moyen d’informations concrètes, fiables et traçables, que les contrôles sont conçus de manière appropriée, exécutés de façon cohérente, qu’ils traitent les risques pertinents, identifient les exceptions en temps utile, imposent les escalades, soutiennent la prise de décision et conduisent à des améliorations lorsque des déficiences sont constatées.

Cette approche revêt également une importance en matière de gouvernance. Les conseils d’administration, la direction générale, les comités des risques et les fonctions de contrôle n’ont pas besoin d’une simple confirmation de l’existence des contrôles ; ils ont besoin de comprendre dans quelle mesure l’environnement de contrôle offre effectivement une protection contre les risques significatifs de criminalité financière. Cela requiert des rapports qui vont au-delà du nombre d’activités exécutées ou des pourcentages de traitement dans les délais. L’information de gestion doit fournir une visibilité sur la qualité des contrôles, les tendances de risque, les écarts, les causes profondes, les constats récurrents, les mesures compensatoires, les améliorations ouvertes et la mesure dans laquelle les contrôles contribuent à la réduction du risque. Ce n’est qu’à cette condition que la prise de décision peut s’appuyer sur une information substantielle de maîtrise, plutôt que sur des indicateurs de processus qui suggèrent une assurance mais dont la signification demeure limitée.

Le fonctionnement démontrable apporte en définitive une discipline à l’ensemble du système de gestion intégrée des risques de criminalité financière. Il impose une définition plus précise des risques, de meilleures conceptions de contrôles, des modèles d’exécution réalistes, une gouvernance des données plus robuste, une meilleure documentation, une propriété plus claire, une assurance mieux ciblée et une priorisation plus efficace des améliorations. Il rend visible quels contrôles contribuent véritablement à la maîtrise et lesquels produisent principalement de la complexité administrative. Il aide à éviter que les organisations soient évaluées à l’aune de la taille de leur dispositif de contrôle plutôt qu’à celle de la crédibilité de leur gestion des risques. Dans un domaine où les régulateurs, auditeurs et parties prenantes sociétales exigent de plus en plus des preuves de fonctionnement effectif, la gestion intégrée des risques de criminalité financière ne peut pas s’appuyer uniquement sur la présence, l’intention ou l’effort. Le critère déterminant est de savoir si les contrôles fonctionnent de manière démontrable, sont proportionnés au risque et résistent à l’examen critique de leur fonctionnement.