ResourcesPractical guidance and standards for financial crime compliance practitioners

Principes d'audit de l'efficacité d'un programme de gestion du risque de criminalité financière dans le cadre des facteurs de Wolfsberg

Le Groupe de Wolfsberg (le Groupe) a encouragé les institutions financières (FI 1) et les régulateurs à se concentrer sur les résultats efficaces de la gestion du risque de criminalité financière (FCRM) en utilisant les facteurs de Wolfsberg :

  1. Respecter les lois et réglementations relatives à la criminalité financière ;
  2. Mettre en place un ensemble de contrôles raisonnables et fondés sur les risques afin d'atténuer les risques d'utilisation d'une FI pour faciliter des activités illicites [^2];
  3. Fournir des informations hautement utiles aux agences gouvernementales compétentes [^3] dans des domaines prioritaires définis.

Le Groupe estime que l'audit interne (AI) peut aider les FI à lutter contre la criminalité financière en mesurant les résultats du programme FCRM à l'aide des facteurs de Wolfsberg. Il a élaboré les présents principes, dans le cadre d'un exercice conjoint entre les deuxième et troisième lignes de défense des banques membres, afin de fournir aux FI un cadre pour une telle évaluation.

L'AI, une fonction indépendante au sein d'une FI, constitue la troisième ligne de défense et devrait réaliser des audits indépendants [^4] de manière objective, approfondie et impartiale, conformément aux normes professionnelles (par exemple, celles de l'Institut des auditeurs internes). L'AI doit adopter une approche par les risques (RBA) qui s'appuie sur les lois et réglementations applicables et sur les risques identifiés dans l'évaluation des risques de la FI.

L'AI joue un rôle important dans l'évaluation de l'exhaustivité et de l'efficacité du programme FCRM, en validant que le programme est dynamique et qu'il couvre toutes les exigences réglementaires de façon exhaustive et documentée. L'AI devrait jouer un rôle important en confirmant que le programme FCRM d'une FI est axé sur les activités présentant un risque.

L'AI est chargé d'évaluer l'efficacité des contrôles (clés) des activités et des entités de la FI [^5] et peut se concentrer sur n'importe quel aspect de leurs opérations sans aucune restriction. En outre, l’AI devrait adopter une approche par les risques qui tienne compte des exigences internes et externes (par exemple, les réglementations locales peuvent comporter des exigences précises).

L'AI devrait évaluer l'efficacité du programme FCRM de la FI, notamment en s'assurant que les politiques et les procédures tiennent compte des règles, des réglementations, des meilleures pratiques et des orientations applicables afin de favoriser des opérations efficaces, des niveaux d'exposition au risque gérés de manière appropriée, ainsi que la pertinence et la viabilité du cadre de contrôle. L'AI devrait également évaluer le niveau de conscience des risques par la FI et fournir ses conclusions sur la conformité en s'appuyant sur sa méthodologie d'audit existante et sur les attentes en matière de pratiques professionnelles. Afin de remplir son mandat, l'AI devrait procéder à une évaluation périodique des risques [^6] afin de déterminer les priorités d'audit pour les plans d'audit annuels et/ou pluriannuels. Une fois les audits terminés, l'AI devrait émettre des conclusions conformément à sa méthodologie, qui devrait inclure un processus normalisé de signalement, de suivi et de remontée des déficiences de contrôle identifiées. Séparément, l'AI devrait valider les mesures correctives visant à remédier aux déficiences de contrôle et/ou à atténuer le risque identifié, y compris lorsque des questions ont été soulevées par des parties extérieures à l'AI (par exemple, des questions réglementaires ou des questions identifiées par l'intéressé).

L'AI peut s'appuyer sur ces principes pour compléter sa méthodologie d'audit existante, tout en conservant son rôle de fonction d'examen indépendante. Ce faisant, l'AI encouragera une gestion efficace des risques et contribuera à une gestion saine du programme FCRM de la FI. En outre, l'adhésion à ces principes renforcera l'efficacité du secteur en matière de détection, de prévention et de signalement de la criminalité financière.

Facteur 1 : Respecter les lois et règlements en matière de criminalité financière

Le respect des lois et règlements applicables est le fondement d'un programme FCRM sous la responsabilité de la direction de la FI et constitue le premier des facteurs de Wolfsberg. Par conséquent, l'activité d'AI devrait mettre l'accent sur les exigences normatives de la législation et de la réglementation.

Principe 1

En tant que principe de base, l'AI devrait évaluer si la FI peut démontrer que ses documents de gouvernance [^7] répondent aux exigences de toutes les lois et réglementations locales pertinentes et évaluer si la FI dispose d'un ensemble efficace de contrôles pour garantir le respect de ces exigences.

Les FI devraient établir et maintenir une base de référence pour la gestion des exigences légales relatives au FCRM . Il s'agit des exigences qui s'appliquent de la même manière à toutes les FI qui exercent des activités similaires ou qui opèrent dans la (les) même(s) juridiction(s).

Mesures

**1.1. La FI peut prouver que les lois et réglementations locales en matière de criminalité financière ont été prises en compte dans les documents de gouvernance de la FI. **

Il s'agit d'un exercice réalisé par la FI soit en interne, soit avec une expertise externalisée. Si une FI a décidé de créer une politique cohérente à l'échelle mondiale qui impose une norme plus élevée que celle requise par la loi ou la réglementation locale, la norme la plus élevée devrait être utilisée à moins qu'il n'y ait un conflit avec la loi ou les attentes réglementaires locales. Certaines juridictions peuvent avoir des normes plus ou moins strictes que la politique du groupe et l'AI doit être en mesure d'évaluer les contrôles de chaque entité sur la base des normes applicables à la juridiction ou à la fonction. Dans les cas où les exigences locales s'écartent des normes mondiales, il convient de mettre en œuvre un processus permettant d'identifier, de superviser et de suivre ces écarts.

**1.2. La FI peut prouver que les contrôles en lien avec les éléments des documents de gouvernance sont conçus et fonctionnent efficacement. **

Le principe de base est que la direction de la FI est responsable de la gestion des risques de criminalité financière en concevant et en mettant en œuvre des contrôles appropriés et durables, qui font ensuite l'objet d'une évaluation par l'AI. Les FI devraient être en mesure de démontrer que leur programme d'évaluation est lié aux exigences des lois et réglementations locales et qu'il répond aux exigences réglementaires de base.

**1.3. La FI peut démontrer qu'il existe un processus suffisamment encadré pour évaluer l'adéquation du programme de gestion des risques aux exigences réglementaires. **

L'exercice, mentionné au point 1.1, doit être actualisé périodiquement ou sur la base d'un déclenchement, par exemple pour intégrer des modifications réglementaires. Toute lacune réglementaire doit être identifiée et faire l'objet d'un plan d'action pour y remédier, et la mesure corrective doit permettre de combler entièrement la lacune identifiée. La supervision de ces processus doit être assurée par une gouvernance appropriée.

Facteur 2 : mise en place d'un ensemble de contrôles raisonnables et basés sur les risques

Une FI doit satisfaire aux exigences en matière de gestion des risques contenues dans les éléments prescriptifs de la législation et de la réglementation (principe 1), ainsi que dans les éléments fondés sur des principes de la législation et de la réglementation (principe 2). Une FI doit comprendre : (a) le risque de criminalité financière inhérent à sa stratégie commerciale et à son modèle opérationnel ; (b) les attentes de ses régulateurs ; et (c) son propre appétit pour le risque. Ce n'est qu'à partir de cette compréhension totale et d'une expertise suffisante des trois lignes de défense pour mettre en place et maintenir un programme FCRM efficace issu d’une approche par les risques, qu'une FI peut concevoir un ensemble raisonnable de contrôles basés sur les risques proportionnés aux risques auxquels elle est confrontée et qui lui permettent d'opérer dans le cadre de sa propre appétence pour le risque. De cette manière, l'institution financière réduit le risque que ses produits et services soient utilisés pour favoriser des activités criminelles, remplissant ainsi son rôle dans la protection de l'intégrité du système financier mondial. Il s'agit du deuxième des facteurs de Wolfsberg [^8].

Principe 2

L'AI devrait évaluer si la FI dispose d'un ensemble de contrôles bien conçus, raisonnables et basés sur les risques, puis évaluer l'efficacité des contrôles.

Le risque de criminalité financière et l'appétit au risque varient d'une FI à l'autre, ce qui a une incidence sur les processus et les contrôles mis en œuvre par une FI pour atténuer ces risques et opérer dans le cadre de son appétit au risque. La gestion du risque de criminalité financière est un domaine dynamique qui nécessite l'application continue de pratiques saines de gestion du risque, avec une hiérarchisation des ressources et un financement adéquat pour gérer le risque conformément à l'appétit aurisque. La FI doit disposer de suffisamment d'experts en la matière pour élaborer et mettre en œuvre un programme FCRM proactif, efficace et basé sur une approche par les risques.

Dans ce contexte, le concept "d'ensemble de contrôles" est censé englober le cadre de contrôle interne de l'IF en matière de gestion des risques financiers, quelle que soit sa définition interne, y compris des éléments tels que l'appétence pour le risque, la politique, les procédures, les processus et les contrôles, conçus pour atténuer le risque de criminalité financière.

Mesures

2.1 La FI peut prouver que son ensemble de contrôles est conçu pour fournir une couverture raisonnable et proportionnée aux risques identifiés dans sa documentation relative à l'évaluation des risques. [^9]

Il faut faire preuve de discernement pour déterminer comment appliquer la couverture des contrôles d'une manière raisonnable et proportionnée au risque présenté, et adapter cette couverture dans le cadre d'une gouvernance appropriée en réponse à l'évolution du paysage des menaces et à l'évolution des attentes réglementaires.

**2.2 La FI peut prouver que l'ensemble des contrôles est efficace. **

Avec la mesure 1.2, ces mesures reflètent l'évaluation standard des contrôles définis effectuée par l'AI. La mesure 1.2 démontre la conformité technique avec les éléments prescriptifs de la législation et de la réglementation, tandis que la mesure 2.2. démontre la conformité avec les éléments de la législation et de la réglementation fondés sur des principes. Bien qu'il ne soit pas obligatoire de faire correspondre les contrôles à chaque principe, une compréhension de la différence peut aider la FI à identifier les possibilités d'ajuster sa stratégie de contrôle au fil du temps.

2.3 La FI peut prouver que le processus de modification de son ensemble de contrôles est suffisamment encadré et que cet encadrement tient dûment compte du risque de criminalité financière.

Il est nécessaire de modifier l'ensemble des contrôles d'une FI pour suivre l'évolution des stratégies commerciales, des lois, des réglementations et des menaces liées à la criminalité financière. En outre, l'amélioration des contrôles peut être le résultat d'une évaluation continue des vulnérabilités des contrôles, y compris l'identification des contrôles inefficaces ou redondants. Les changements peuvent inclure l'extension et le lancement de nouvelles activités de contrôle (par exemple, celles associées à un nouveau produit), ou l'arrêt, la réduction ou la refonte d'activités de contrôle existantes (par exemple, celles qui sont redondantes ou qui font double emploi). L'AI examine et valide les changements de manière indépendante afin de s'assurer que les processus de gouvernance appropriés ont été suivis et de confirmer que la FI conserve un ensemble de contrôles raisonnables et basés sur une approche par les risques, en soulevant des questions le cas échéant. Dans le cadre de son évaluation de l'efficacité de l'ensemble des contrôles, l'AI devrait également saisir l'occasion de mettre en évidence les cas où les contrôles ne produisent pas les résultats escomptés en matière de gestion des risques ou ne sont tout simplement plus pertinents.

Facteur 3 : Fournir des informations hautement utiles

Le troisième facteur de Wolfsberg se concentre sur le rôle d'une IF dans le soutien apporté aux forces de l'ordre et aux agences gouvernementales concernées pour assurer la sécurité de leurs communautés grâce à la fourniture d'informations pertinentes. Il s'applique aux informations qu'une FI fournit par le biais de mécanismes de déclaration réglementaires, tels que la déclaration d'activités ou de transactions suspectes [^10], ainsi que de mécanismes de collaboration, tels que les partenariats de partage d'informations avec l'industrie soutenus par les pouvoirs publics (c'est-à-dire les partenariats public-privé (PPP)). L'accent est mis ici sur l'efficacité de la FI à fournir des informations utiles qui soutiennent les efforts des agences gouvernementales compétentes pour protéger les communautés contre les dommages. En d'autres termes, il s'agit de la qualité et de l'utilité des informations partagées plutôt que de l'existence des informations ou de la conformité purement technique.

Principe 3

Une FI peut choisir d'établir des indicateurs quantitatifs et/ou qualitatifs relatifs au partage d'informations hautement utiles avec les agences gouvernementales compétentes.

Les FI peuvent choisir de définir ce qu'elles considèrent comme des informations hautement utiles et faire preuve de discernement dans l'élaboration d'indicateurs pouvant être appliqués systématiquement à l'ensemble de leurs activités de partage d'informations et d'établissement de rapports. Il peut s'agir d'indicateurs quantitatifs et qualitatifs et, s'il est admis que ces indicateurs ne fourniront probablement pas une mesure absolue de l'utilité des informations fournies aux agences gouvernementales, on peut en déduire qu'ils sont indicatifs de l'efficacité du partage de l'information. Des difficultés inhérentes compréhensibles subsisteront en ce qui concerne l'obtention d'un retour d'information de la part des agences gouvernementales pour les rapports déposés. Les indicateurs de la FI, s'ils sont établis, peuvent fournir des informations qui permettent à l'AI et aux agences gouvernementales d'évaluer les efforts déployés par une institution pour satisfaire à ce Principe. Si une FI choisit d'élaborer ces indicateurs, les mesures suivantes peuvent contribuer à leur mise à jour et à leur utilisation.

Mesures

**3.1 La FI peut envisager d'élaborer un ensemble crédible et raisonnable d'indicateurs permettant d'évaluer sa performance en matière de fourniture d'informations hautement utiles aux agences gouvernementales compétentes dans des domaines prioritaires définis. ****[^11]

L'élaboration et la mise en œuvre de ces indicateurs seront nouvelles pour de nombreuses FI, leurs équipes d'audit interne et leurs autorités de réglementation, de sorte que l'évaluation initiale devra peut-être se concentrer sur l'effort de transformation nécessaire lui-même. Le secteur a la possibilité de poursuivre ses travaux afin d'identifier les meilleures pratiques et de promouvoir la cohérence, dans la mesure du possible, des indicateurs les plus pertinents.

**3.2 La FI peut prouver qu'elle collecte les indicateurs qu'elle s'est fixés. Les FI peuvent envisager d'établir des normes ou des lignes directrices internes pour la collecte de cette forme d'information de gestion. **

Si la FI a établi des normes et des lignes directrices internes, l'AI peut les utiliser pour évaluer si la FI collecte les informations conformément aux normes et aux lignes directrices. Cela permettra à la FI d'avoir des discussions avec ses régulateurs et ses services répressifs sur l'efficacité de cette composante du programme de gestion des risques financiers de la FI et sur l'équilibre des ressources appliquées à la réalisation de chacun des trois principes.

**3.3 La FI peut mettre en évidence le contrôle, par le biais d'une gouvernance formelle, de son auto-évaluation sur la fourniture d'informations hautement utiles aux agences gouvernementales compétentes. **

Par exemple, une FI pourrait inclure dans ses rapports existants et ses discussions avec le conseil d'administration, les points saillants de la manière dont la FI a fourni des informations utiles aux forces de l'ordre avec des exemples de la manière dont les informations ont contribué à l'intérêt social permettant de créer des communautés plus sûres. Cela pourrait permettre à une FI de comprendre l'impact qu'elle a dans cet important domaine de responsabilité dans lequel elle investit des ressources substantielles.

Conclusion

En définissant ce cadre et les principes associés, le Groupe estime que l'AI peut aider ses FI à lutter au mieux contre la criminalité financière en mesurant les résultats du programme FCRM à l'aide des facteurs de Wolfsberg. Ce faisant, l'IA ne se contentera pas de promouvoir un programme FCRM efficace au sein des FI, mais soutiendra également la manière dont les autorités de surveillance peuvent chercher à évaluer l'efficacité des entités qu'elles réglementent et du secteur dans son ensemble.

[^2]: L'ordre des facteurs deux et trois a été inversé par rapport à la déclaration d'efficacité du groupe de Wolfsberg de 2019[]. Cela permet de présenter de manière plus cohérente les facteurs tels qu'ils sont appliqués à un programme d'audit dans le présent document. [^3]: Le terme "agences gouvernementales" comprend les agences et autorités chargées de l'application de la loi et de la sécurité qui sont responsables de la protection de leurs communautés contre les préjudices identifiés dans le rapport de la FI. [^4]: Les fonctions d'AI peuvent entreprendre et exprimer les résultats de leur travail de différentes manières, notamment en publiant des rapports d'audit, en effectuant un contrôle continu, en soulevant des questions en temps réel, etc. [^5]: Les première et deuxième lignes de défense sont également chargées d'évaluer l'efficacité des contrôles. [^6]: La norme de l'industrie est au moins annuelle, conformément à la norme 2010.A1 des Normes internationales pour la pratique professionnelle de l'audit interne publiées par l'Institut des auditeurs internes. [^7]: L'expression "documents de gouvernance" comprend au minimum les politiques et les procédures ; d'autres documents dépendront de la manière dont chaque IF a établi ses exigences en matière de documentation de gouvernance au sens large ; il peut s'agir de normes, de lignes directrices, d'instructions opérationnelles, de guides d'utilisation technique, etc. [^8]:Voir note de bas de page 2. [^9]: Cette mesure est le pendant de la mesure 1.1 ci-dessus, qui était axée sur les exigences normatives de la législation et de la réglementation et qui intègre les exigences de la FI fondées sur le jugement (par exemple, l'interprétation de ce que signifie "un ensemble raisonnable de contrôles", la définition d'une "appétence pour le risque", l'interprétation des "attentes réglementaires" et la définition de ce qui constitue une "activité suspecte"). [^10]: Il convient de noter que l'efficacité du soutien d'une IF aux objectifs de sécurité nationale et de politique étrangère peut être démontrée par l'absence de rapports aux agences gouvernementales concernées, par exemple l'absence d'interdictions en aval, de citations à comparaître ou de blocages d'actifs. [^11]: Pour plus d'informations sur la manière d'évaluer les risques dans les domaines prioritaires définis, voir la déclaration du groupe de Wolfsberg sur la démonstration de l'efficacité.

Footnotes

  1. Le terme "FI", tel qu'il est utilisé dans les principes et mesures, désigne les première et deuxième lignes de défense, par opposition à la fonction d'audit interne.

Back to Effectiveness