Le contrôle de conformité ne se résume pas à cocher des cases lors d’un audit annuel. Les fonctions compliance opèrent selon des typologies de contrôle distinctes, chacune répondant à un objectif précis dans la cartographie des risques de l’entreprise.
Contrôle permanent versus contrôle périodique : deux logiques de détection
Le contrôle permanent s’exécute en continu, intégré aux processus opérationnels. Il repose sur des règles automatisées, des seuils d’alerte et des workflows de validation qui tournent sans interruption. Filtrage des transactions en temps réel, vérification KYC à l’entrée en relation, contrôle de cohérence sur les données clients : ces dispositifs constituent la première ligne de défense.
A découvrir également : Norme de la sécurité : une analyse détaillée
Le contrôle périodique intervient à une fréquence définie (trimestrielle, semestrielle, annuelle). Il prend la forme d’audits thématiques pilotés par la conformité ou par un auditeur interne. Son rôle est de tester l’efficacité du dispositif permanent, pas de le remplacer.
Confondre les deux revient à laisser des angles morts. Un contrôle permanent défaillant ne sera pas rattrapé par un audit annuel : les irrégularités auront produit leurs effets bien avant la campagne de vérification.
A découvrir également : Contrat optimal : détermination du meilleur type
Ce que couvre chaque niveau
- Le contrôle permanent traite le flux courant : conformité des opérations, respect des procédures internes, détection des anomalies transactionnelles en LCB-FT
- Le contrôle périodique évalue le dispositif lui-même : adéquation des procédures aux risques identifiés, qualité de la documentation, taux de traitement des alertes
- Le contrôle sur place, déclenché ponctuellement, vérifie la réalité opérationnelle d’un processus dans une entité, une filiale ou un département spécifique
Contrôle KYC et diligence sur les tiers : le socle réglementaire
La vérification d’identité et la diligence raisonnable sur les tiers ne sont pas un type de contrôle parmi d’autres. Elles conditionnent l’accès au marché pour toute entreprise soumise aux obligations LCB-FT, et plus largement pour les secteurs régulés (banque, assurance, immobilier, jeux).
Le KYC distingue trois niveaux de diligence : simplifiée, standard et renforcée. Le niveau appliqué dépend du profil de risque du client, pas d’un choix discrétionnaire de l’opérateur. Un client politiquement exposé ou domicilié dans une juridiction à risque déclenche automatiquement une diligence renforcée.
Nous observons que la principale source de non-conformité dans ce domaine n’est pas l’absence de procédure, mais le défaut de mise à jour. Un dossier KYC constitué à l’entrée en relation et jamais révisé perd toute valeur probante en cas de contrôle du régulateur.
Évaluation des tiers au-delà du KYC
Le périmètre s’étend aux fournisseurs, sous-traitants et partenaires. La conformité évalue leur exposition aux risques de corruption (loi Sapin II), de sanctions internationales et, depuis les textes récents sur le devoir de vigilance, aux risques environnementaux et sociaux. L’évaluation des tiers combine questionnaires déclaratifs, vérification documentaire et screening automatisé contre les listes de sanctions.
Contrôle sur pièces et contrôle sur place : méthodes d’investigation
Le contrôle sur pièces analyse la documentation à distance. Il porte sur les dossiers clients, les rapports d’activité, les registres de traitement des alertes, les preuves de formation du personnel. C’est la méthode la plus fréquente en conformité interne parce qu’elle mobilise peu de ressources et couvre un volume large.
Le contrôle sur place implique un déplacement physique (ou une connexion directe aux systèmes d’une entité). Il sert à vérifier que les procédures décrites dans les documents sont réellement appliquées. Un écart entre procédure écrite et pratique terrain constitue une non-conformité, même si le résultat opérationnel est correct.
Les régulateurs comme l’AMF ou l’ACPR utilisent les deux méthodes de façon complémentaire. En interne, nous recommandons de planifier au moins un contrôle sur place par cycle pour chaque processus critique, le contrôle sur pièces seul ne détectant pas les contournements de procédure.
Surveillance continue des risques : vers le monitoring en temps réel
La tendance documentée depuis quelques années est le passage d’une conformité réactive (on contrôle après coup) à une surveillance continue alimentée par des outils d’analyse automatisée. Le filtrage LCB-FT en temps réel en est l’exemple le plus mature, mais le monitoring s’étend désormais à la cybersécurité, à la protection des données personnelles et à la conformité ESG.
L’enjeu technique réside dans la gestion des faux positifs. Un système de surveillance trop sensible génère un volume d’alertes que les équipes conformité ne peuvent pas traiter dans des délais raisonnables. Le calibrage des seuils d’alerte devient alors un contrôle en soi : un seuil mal paramétré crée autant de risques qu’une absence de surveillance.
Articulation avec la cartographie des risques
Le monitoring continu ne fonctionne que s’il est adossé à une cartographie des risques actualisée. C’est la cartographie qui détermine quels indicateurs surveiller, à quelle fréquence réévaluer les seuils et quels événements déclenchent une revue manuelle. Sans cette articulation, l’outil produit des données, pas de la conformité.
Le choix du type de contrôle ne relève pas d’une préférence méthodologique. Il découle directement du risque identifié, de l’obligation réglementaire applicable et des ressources disponibles. Une organisation qui ne maîtrise pas cette grille de lecture finit par multiplier les contrôles redondants sur les zones à faible risque tout en sous-investissant sur les expositions réelles.
