Dans notre dernière newsletter, nous avons brièvement mentionné l’attention portée par l’AMF à l’externalisation des contrôles internes par une société de gestion de portefeuille (« SGP »), qui résulte des préoccupations de l’AMF quant au fait qu’elles ne conservent pas suffisamment de contrôle. Ceci a été souligné dans le rapport du contrôle SPOT de l’AMF 2020 (AMF SPOT).

À noter que suite à la modification de la position AMF DOC 2014-06 (Guide relatif à l’organisation des dispositifs de gestion des risques, de conformité et de contrôle au sein des sociétés de gestion de portefeuille) effective à compter du 21 mars 2022, le marché est désormais prêt pour de nouveaux changements concernant les dispositions relatives à l’externalisation des contrôles de conformité applicables à compter du 3¹ mars 2023.

Les changements concernent en particulier :

• Le modèle d’organisation du dispositif de contrôle permanent (cf. 3.4 de la position AMF DOC 2014-06) ;
• La séparation des contrôles de niveau 2 (permanents) et 3 (périodiques) (cf. 3.5 de la position AMF DOC 2014-06) ;
• La sélection et le suivi des prestataires externes (cf. 3.6 de la position AMF DOC 2014-06).

Quel est le rôle de la fonction de conformité ?

En examinant les différentes parties, nous essaierons d’établir ici comment tout cela s’articule. Tout d’abord, le rôle du responsable de la conformité et du contrôle interne est de contrôler la mise en œuvre des mesures correctives qu’il recommande et d’informer la direction générale, par le biais des rapports de conformité, des mesures prises.

En fonction de la taille de la SGP, cela peut se faire dans le cadre du comité de contrôle interne et de conformité.

Bien que les cadres supérieurs puissent externaliser leurs fonctions de conformité et de contrôle interne, ils en restent pleinement responsables (c’est-à-dire le concept de RCCI Dirigeant).

L’AMF dans la section 3.6 de la Position 2014-06 énonce la nécessité d’un « système numérique permettant à la SGP de suivre à tout moment l’avancement du plan de contrôle et d’avoir accès à l’ensemble des rapports soumis à sa direction générale et aux éléments analysés afin d’évaluer la qualité du système de contrôle ».

L’accès aux données de conformité en temps réel est donc crucial pour rester en conformité et pour que les cadres supérieurs puissent démontrer leur propre « maîtrise » de l’infrastructure de conformité fournie par le prestataire de services externalisé. Si les données ne sont pas partagées en temps réel, les SGP s’exposent à de graves risques de violation de la conformité qui, s’ils ne sont pas corrigés, peuvent entraîner des dommages irréversibles. Les dirigeants doivent garder à l’esprit que les prestataires de services, quelle que soit leur rigueur, ne pourront pas détecter tous les risques de non-conformité car ils sont des tiers non intégrés à l’activité de la SGP. C’est ce que souligne l’AMF. Par conséquent, les outils de conformité permettant à la fois à l’équipe interne et à la fonction externalisée d’accéder instantanément aux données deviennent indispensables.

Quand l’externalisation devient-elle appropriée pour une SGP ?

Dans la plupart des cas, les SGP externalisent les fonctions de conformité et de contrôle interne lorsqu’elles ne disposent pas raisonnablement des ressources financières pour recruter une personne à temps plein pour ce rôle, mais aussi lorsqu’une personne chargée de la conformité exerce également des fonctions de gestion financière, des fonctions commerciales ou d’autres activités susceptibles de générer des conflits d’intérêts.

Lors de sa publication, l’AMF SPOT a identifié les problèmes suivants, qu’il est intéressant de noter (cette liste n’est pas exhaustive) :

• « Le profil de la consultante chargée d’effectuer les contrôles permanents de second niveau est junior. Au moment de son embauche par le prestataire, elle n’avait que huit mois d’expérience dans les activités liées à la réglementation de la gestion d’actifs » ;

• « Le nombre de jours alloués en pratique au contrôle périodique ne correspond pas à ce qui est mentionné ni dans le programme d’opérations ni dans le rapport « FRA-RAC » » ;

• « La distinction entre contrôle permanent et contrôle périodique n’est pas très claire, voire artificielle. Il a été constaté que les diligences de contrôle périodique ne concernaient pas les travaux de contrôle effectués dans le cadre du contrôle de second niveau. En particulier, les inspections ont mis en évidence la très mauvaise pratique consistant à ne pas affecter des ressources humaines strictement différentes au contrôle permanent et au contrôle périodique dans une même entreprise en charge de la sous-traitance » ;

• « Il est constaté que les SGP ne disposent pas de procédures suffisamment précises et opérationnelles concernant la conduite du contrôle ».

Compte tenu de ce qui précède, l’AMF a introduit dans sa Position 2014-06 un principe de proportionnalité en ce qui concerne les fonctions de contrôle de second niveau. Le principe de proportionnalité implique que la SGP prenne en compte les éléments suivants pour calculer le budget alloué au contrôle permanent externalisé :

• La taille (mesurée, dans le cadre de la gestion d’actifs, par le montant des actifs sous gestion évalués en termes de capital déployé et non en termes de capital employé et incluant l’effet de levier) des activités de gestion et des autres activités ou services exercés par la SGP ;
• La diversité et la complexité des activités de gestion et des autres activités ou services exercés par la SGP ;
• Les instruments utilisés dans le cadre de son programme d’opérations et la complexité des stratégies mises en œuvre ; et
• Les types de clients visés par la SGP (clients professionnels ou assimilés, clients de détail, contreparties éligibles).

L’AMF a également ajouté quelques exemples pour mieux guider les SGP :

• Les SGP dont le total des actifs sous gestion (collective et discrétionnaire) est inférieur à 200 millions d’euros doivent disposer d’un budget annuel d’au moins 18 jours-hommes pour l’externalisation de la surveillance de deuxième niveau (à l’exclusion de toute autre fonction de soutien) ;
• Les SGP qui s’adressent à une clientèle non professionnelle dont les actifs sont compris entre 200 millions et 500 millions d’euros, et ceux qui s’adressent exclusivement à une clientèle professionnelle ou assimilée dont les actifs sont compris entre 200 millions et 1 milliard d’euros, déterminent leur budget conformément au tableau fourni par l’AMF (cf. section 3.4 de la position 2014-06) pour le calcul des jours-hommes.
• La SGP sera considérée comme disposant des ressources économiques nécessaires pour affecter un membre du personnel (salarié, mandataire social ou personnel mis à disposition par son groupe) au suivi de second niveau pour au moins la moitié de son temps, dès lors que ses actifs sous gestion (gestion collective et gestion discrétionnaire) dépassent 1 milliard d’euros pour les SGP dont la clientèle est composée exclusivement de clients professionnels ou assimilés, et 500 millions d’euros si cette clientèle est composée de clients de détail. Ce membre du personnel peut également être amené à exercer des fonctions d’assistance et de conseil qui ne sont pas prises en compte dans le calcul de ces seuils. Il peut également exercer certaines activités non opérationnelles telles que la gestion des risques ou le suivi administratif, pour autant que ces activités soient examinées par une fonction d’audit interne externe.

Il est recommandé aux SGP de prendre en compte les conseils ci-dessus et de commencer à mettre en place une infrastructure résiliente afin d’éviter les violations dans un avenir proche. Bien que l’AMF laisse le temps de se concentrer sur la conformité dans son ensemble et ne considère pas l’aide des logiciels de conformité, il est clair qu’ils sont favorables aux logiciels de conformité, comme nous l’avons rapporté.

Leo, le logiciel de conformité tout-en-un, peut vous aider à répondre aux recommandations de l’AMF. En intégrant un plan de contrôle numérique, un deuxième ou un troisième niveau de contrôle automatisé sur une plateforme numérique, il vous permet de suivre en temps réel les risques potentiels et les recommandations, de savoir qui est responsable de leur traitement et quand les mesures correctives sont planifiées.

Pour plus d’informations, n’hésitez pas à nous contacter en cliquant sur le lien ci-dessous.