Étiquettes
AML, argent, banque, bénéficiaire, Big Data, black list, blanchiment d'argent, blanchiment de capitaux, capitaux, CEA, ciblage, coûts, détection, defense, directive, ERMES, Europe, finance, FT, gestion, gestion de l'information, information, KYC, LCB, LCB-FT, lutte contre le blanchiment de capitaux, machine learning, modélisation, opérationnel, outil, prévention, profil, profilage, recherche, risque opérationnel, sécurité, Smart Data, TRACFIN
Je ne ferai pas une description détaillée des outils, ou des moyens, à la disposition des banques, établissements financiers et assimilés, à propos de leur obligation de participer à la lutte contre le blanchiment d’argent. Il ne sera précisé que les très grandes lignes.
Initialement, soit lors de la création de l’organisme TRACFIN et de l’apparition des premiers textes nationaux régissant le principe de blanchiment d’argent (9 mai 1990), il s’agissait pour les banques et établissements financiers d’une simple surveillance. Cette surveillance se pratiquait à l’aide d’outils basiques de détection d’opérations anormales selon des critères et paramètres définis par les établissements eux-mêmes.
Une deuxième étape est survenue lors de l’inscription dans les textes réglementaires du principe de connaissance du client plus connu sous le sigle anglo-saxon « KYC » (Know Your Customer »). Nous glissions d’un état de pure détection vers un seuil de gestion du risque (incluant le risque client). Nous sommes encore dans une phase dite « a posteriori« . La plupart du temps l’opération contrevenante est décelée lors de son traitement, sauf dans des cas de détection préventive par un chargé de compte.
Des paramètres de surveillance indépendants et complémentaires à la fois sont mis en place :
- Seuils d’alerte définis par nature de transaction et/ou montant, selon la destination et la provenance des opérations…
- Filtrage automatique des opérations traitées et des tiers (parties prenantes à l’opération) selon les listes officielles (embargo, pays sous sanctions, PPE, personnes et organismes « blacklistés »…).
- Balayage (scan) de l’ensemble des données relatives au client et à ses comptes suivi de comparaison avec ses historiques (recherches par analyses transactionnelles grâce à l’utilisation d’un progiciel d’analyse comportementale).
- Système de notation des clients et de leurs historiques.
- Edition virtuelle et/ou papier d’états d’analyse de suspects potentiels (listes de surveillance…).
- Incorporation des résultats d’analyse, indication de l’établissement d’une déclaration de soupçon à TRACFIN ou non, gestion de la déclaration (possibilité de télédéclaration à l’aide de l’outil ERMES).
- Application des méthodologies d’archivage et de conservation.
- Comptes-rendus et états de gestion du fonctionnement de l’application.
Le recours à des outils informatiques adaptés et performants s’impose en raison des volumétries des opérations traitées et des bases clients.
Le profilage (scan des opérations clients), ainsi que l’apparition de la 4ème directive LCB-FT (2015) instituant l’obligation de connaissance du ou des bénéficiaires effectifs d’une opération, contraints à définir et à paramétrer des scénarios (LCB) propres à chaque entité. Ceci afin de déterminer les comportements suspects.
Même si les éditeurs de solutions LCB proposent des packages de critères standards ou de scénarios servant de base au paramétrage, les spécificités de chacune des entités doivent être prises en compte. Les choix et critères de paramétrage, initiaux ou ultérieurs, sont validés par l’organe exécutif, documentés et archivés afin de permettre à l’entité d’expliciter et de justifier, à tout moment, ses choix aux autorités de tutelle.
“ L’AIDE D’UN PROGICIEL (SOLUTION) SPECIFIQUE NE PROTEGE PAS ENTIEREMENT DU RISQUE DE BLANCHIMENT DE CAPITAUX (RISQUE LCB)”
Les choix et critères de paramétrages validés par l’organe exécutif peuvent s’avérer contre-productif en termes de gestion du risque LCB. Il doit être trouvé un juste équilibre entre une conformité extrême et une simple gestion de non-conformité.
Dans ces deux cas, outre le fait de ne pas être correctement protégé, nous ajoutons au risque LCB des risques opérationnels, mais également des surcoûts aux coûts du risque et du contrôle. Les principaux inconvénients sont :
- Trop de signalements (paramétrages et ciblages mal définis), ce qui « tue » le contrôle des analystes.
- Travail exécuté de manière « routinière », selon le mode organisationnel en place, ce qui entraîne une certaine lassitude comportementale et un manque de visibilité globale. Le même commentaire peut éventuellement s’appliquer aux collaborateurs anciens dans cette fonction en raison du manque d’évolution possible au sein d’une telle filière. Et ce, malgré une forte expérience acquise.
- Techniciens ou contrôleurs « techniques » n’étant pas forcément aptes à dialoguer avec les managements opérationnels et commerciaux.
- Absence de régularité (ou de continuité) dans les sensibilisations et les formations, faute de disponibilité du personnel attaché à cette mission.
- …
“ DE LA DETECTION AVANCEE A LA GESTION PLUS « INTELLIGENTE »
DU RISQUE LCB”
Le CEA est un organisme public de recherche, qui intervient dans quatre domaines : la défense et la sécurité, les énergies nucléaire et renouvelables, la recherche technologique pour l’industrie et la recherche fondamentale (sciences de la matière et sciences de la vie) (∗).
L’apport en termes de sciences technologiques, d’expérience de sécurité d’un tel organisme et l’expression de la connaissance terrain, tout comme celle des besoins, d’une entité bancaire et financière ne peut que déboucher sur une ou des innovations intéressantes et, surtout, pratiques.
Les diverses opportunités et innovations qui s’offrent à nous peuvent améliorer notre gestion du risque LCB :
- L’intelligence artificielle pour l’élaboration de scénarios et la détection d’opérations suspectes. Dans ce cas, nous parlons aussi de machine learning et nous devons répondre à certaines questions en fonction de notre « organisation » : l’apprentissage automatique peut-il aider à prévenir de tels risques ? Quels sont les progrès réalisés sur ce front et comment s’intègrent-ils à la vue d’ensemble ? Quels sont les obstacles et quelles peuvent être les répercussions de son adoption ?
- Le big data, mais préférons le smart data (∗∗), pour l’exécution d’analyse prédictive.
Dans le cadre d’une gestion préventive (a priori) des risques, l’utilisation des Smart Data (∗∗) est plutôt envisageable, par exempte, dans le cadre de la lutte contre la fraude, lors de la modélisation de scénarios de PCA….
(∗) Les termes de la définition du CEA mis en gras sont de mon fait.
(∗∗) Le Smart Data est un concept différent du Big Data, reposant principalement sur l’analyse de données en temps réel.
Le Crédit Agricole Ile-de-France travaille avec le CEA sur des algorithmes de détection automatique des opérations à déclarer auprès de TRACFIN.
Source : Challenges n° 556 du 8 mars 2018 rubrique « Confidentiel »
A consulter également :
Blanchiment : Tracfin appelle les fintech à se mobiliser
Barclays paye plus de 100 M€ d’amende pour défaut de surveillance