| Mensuel : | Edition de juin 2008 |
| Rubrique : | Informatique bancaire |
| Titre : | CRP Henri Tudor, projet INNOFinance Développement d’un modèle de référence pour l’évaluation du processus KYC/AML et du contrôle interne y relatif |
| Article : | Le projet INNOFinance constitue l’élargissement et l’approfondissement de premiers travaux menés en partenariat avec la Commission de Surveillance du Secteur Financier (CSSF) sur l'évaluation de la Gestion des Risques Opérationnels. INNOFinance a pour ambition de contribuer à la stratégie de promotion de la place financière en mettant à disposition des outils de gouvernance des services qui permettent de démontrer la qualité et la maîtrise d’activités essentielles au secteur financier luxembourgeois. Concrètement, à la suite de diverses consultations auprès d’associations professionnelles telles que l’Association Luxembourgeoise des Compliance Officers du Secteur Financier (ALCO), l’Institut des Auditeurs Internes (IIA) Luxembourg et l’Institut des Réviseurs d’Entreprise (IRE), le Centre de Recherche Public Henri Tudor a obtenu une large confirmation de l’intérêt de disposer de modèles de référence pour l’évaluation de certains processus critiques et du contrôle interne y relatif. Parmi diverses options possibles pour le développement de tels modèles, le processus KYC/AML a été retenu comme "proof of concept" en raison notamment de la multiplicité des acteurs impliqués dans ce processus et/ou intéressés à son évaluation ainsi que de la disponibilité de diverses bonnes pratiques et recommandations permettant d’alimenter ces modèles (FATF guidances, Wolfsberg Statement, ABBL-ALFI-ALCO Practices and Recommendations aimed at reducing the risk of money laundering and terrorist financing in the Luxembourg Fund Industry,…). Construits avec des professionnels du secteur financier, ces modèles fournissent une vision commune des processus métiers et de leurs objectifs, vision suffisamment précise et structurée pour être la pierre angulaire entre ce que les collaborateurs doivent accomplir et ce que la direction doit piloter. Ces modèles permettent également aux institutions financières et aux auditeurs d’identifier les risques et les contrôles, d’analyser l'impact des réglementations sur les processus et d’évaluer, pour un processus spécifique, le degré d’assurance fourni par le contrôle interne. De manière logique, l’approche retenue pour le développement des modèles d'évaluation est de type collaboratif. Un "Working Group" constitué de différents auditeurs internes, compliance officers, cabinets de conseil et ingénieurs du CRP Henri Tudor a été lancé en avril 2008. Il développe actuellement deux modèles d'évaluation du processus KYC/AML: le premier concerne le retail/private banking, le second, l’administration des fonds. Après une série de tests de validation avec les acteurs concernés et présentation des résultats aux associations, ces modèles devraient constituer des référentiels communs permettant de démontrer le niveau de maîtrise du processus KYC/AML et de faciliter la coopération entre auditeurs internes, compliance officers, auditeurs externes et superviseur du secteur financier. A moyen terme, les différents modèles développés dans le cadre du projet INNOFinance devraient également constituer des outils de benchmark de premier plan pour les acteurs du secteur financier. Intérêt des modèles et perspectives Sans présager des résultats des tests de validation, les retours obtenus à ce jour sur les modèles mettent en évidence un intérêt certain pour le reporting proposé par la méthodologie d’évaluation. Ce reporting se matérialise notamment par le "Profil de Processus" qui permet de synthétiser les constats des auditeurs d’une manière harmonisée et structurée, offrant ainsi une information appropriée pour l’analyse et la comparaison. Ce type de reporting s’inscrit dans les conclusions de différentes études dédiées à l’évolution de la fonction d’audit interne qui mettent en exergue le besoin de disposer de méthodologies et d’outils permettant à l’auditeur interne de communiquer les résultats de ses missions de manière plus synthétique, d’accroître la collaboration avec les autres fonctions "d’assurance" de l’entité et de prendre en compte les résultats des travaux de ces autres fonctions. En parallèle aux activités menées dans le "Working Group", le CRP Henri Tudor a également entrepris une analyse spécifique afin de s’assurer que les référentiels développés sont compatibles avec d’autres normes professionnelles telles que la norme ISAE 3000 "Missions d’assurance autres que des audits d’informations financières historiques" utilisée par les auditeurs externes dans le cadre de l’établissement des comptes-rendus analytiques de révision des banques, des entreprises d’investissement et des OPC. La première étape d’analyse a permis d’identifier divers éléments de convergence et de complémentarité entre la norme ISAE 3000 (en ce compris l’International Framework For Assurance Engagements) et la norme ISO/IEC 15504, notamment sur les notions de "subject matter", "suitable criteria", "planning and performing the engagement", "obtaining evidence" et d’"assurance report". Dans les prochaines semaines, afin d’accélérer la diffusion et la reconnaissance des deux modèles d’évaluation KYC/AML, le groupe de travail s’ouvrira à de nouveaux partenaires, désireux de contribuer à la revue ou à la validation des modèles. Les personnes souhaitant intégrer le groupe de travail ou obtenir des informations complémentaires peuvent contacter les auteurs de l’article ou consulter le site www.innofinance.net. Développement des modèles d’évaluation du processus KYC/AML Les modèles d’évaluation du processus KYC/AML sont établis selon la norme ISO/IEC 15504 (standard pour l’évaluation des processus) qui fournit un cadre de référence permettant de structurer, de décrire et d'examiner la maîtrise des processus en déterminant le niveau de maturité auquel ils se situent. Cette norme permet en outre d'intégrer les bonnes pratiques et recommandations métiers existantes ainsi que d’assurer la traçabilité avec les exigences issues du cadre réglementaire (Circulaires CSSF 05/211, …). Le cadre de référence de la norme ISO/IEC 15504 possède deux dimensions, complémentaires l’une de l’autre. Dimension "processus" La dimension "processus" s’attache à la structuration et la description des processus. La carte reprise ci-dessous illustre cette dimension "processus" en détaillant le groupe de processus qu’un fonds peut utiliser pour gérer l’ensemble des exigences relatives au KYC/AML. Elle structure le KYC/AML en divers processus alignés sur les thématiques de "Risk Assessment", "Know Your Customer/Know Your Intermediary", "Customer ongoing Follow-up" et "Authorities Cooperation and Information". Chaque processus est ensuite décrit en termes de finalité et de résultats attendus. La finalité décrit l'objectif global que le processus doit atteindre, alors que les résultats attendus (objectifs) sont les éléments observables permettant d’apprécier la réalisation de la finalité du processus. GRAPHIQUE VOIR JOURNAL Dimension "maturité" La dimension "maturité" concerne l’évaluation de la maîtrise du processus. Cette dimension comporte deux éléments fondamentaux: les niveaux de maturité et l’échelle de mesure. Les niveaux de maturité proposés par la norme sont basés sur des concepts génériques d’organisation, de qualité et de contrôle. L’ensemble des niveaux de maturité forme un cadre logique qui caractérise la maîtrise d’un processus. En se focalisant sur l’aspect contrôle dans les différents niveaux, la maturité représente le degré d’assurance qu’un processus atteigne ses objectifs. Ce cadre permet d’organiser les contrôles de façon précise sous une structure pré-définie standardisée. L’échelle de mesure définie dans la norme permet d’évaluer le degré d’atteinte des objectifs du processus et des contrôles y relatifs. Chaque processus est détaillé dans une matrice telle que présentée ci-dessus. Les niveaux de maturité sont en réalité divisés en deux attributs, eux-mêmes subdivisés en indicateurs qui permettent une allocation précise et cohérente des contrôles. La matrice comprend également les références aux articles des circulaires CSSF placées en regard de l’objectif et du niveau de maturité concernés. Cette structure permet de disposer d’une vue consolidée des contrôles par processus/objectif, facilitant par la suite l’agrégation des résultats des évaluations ainsi que le reporting vers la direction ou les comités d’audit. Comme précisé dans la section 2, cette dernière caractéristique, si avérée lors des tests de validation, pourrait constituer un des éléments clés des modèles. GRAPHIQUE 2 VOIR JOURNAL Olivier de Colnet, Unité Scientifique et Technologique “Engineering and Management of ICT Processes and Services”, CRP Henri Tudor. (olivier.decolnet@tudor.lu) André Rifaut, Unité Scientifique et Technologique “Engineering and Management of ICT Processes and Services”, CRP Henri Tudor. (andre.rifaut@tudor.lu) www.innofinance.net |
Retour début de page