Le Brexit est aujourd’hui sur le point d’impacter fortement les échanges entre le Royaume-Uni et ses partenaires internationaux. Un aspect de ce changement est celui des listes de sanctions, en raison de la sortie du Royaume-Uni du cadre du Withdrawal Act 2018, l’accord européen sur les échanges internationaux pour les pays membres de l’UE, et de l’adoption d’un nouveau cadre de sanctions internationales, principalement basé sur l’Anti-Money Laundering Act 2018, son pendant américain.

Selon l’issue du vote sur l’accord de sortie de l’UE du Royaume-Uni, et un potentiel No Deal effectif au 29 mars 2019, les règles à appliquer en termes de listes de sanctions entreront en vigueur à différentes dates.

Les institutions financières, étant par nature visées par les règles en matière de réglementation des échanges internationaux, doivent donc se tenir prêtes à appliquer au plus tôt le 29 mars 2019 un nouveau cadre de sanctions internationales.

Le périmètre des institutions concernées par ce changement sont non seulement les institutions financières originaires du Royaume-Uni mais également les bureaux britanniques d’institutions étrangères.

Afin d’aider ces organisations à se préparer, le gouvernement Britannique a mis à disposition de celles-ci des orientations pour les aider à anticiper leur dispositif de conformité vis-à-vis des politiques de sanctions internationales, dans l’éventualité d’un Hard Brexit.

Description du nouveau cadre en termes de politiques de sanctions (cf. gov.uk/)

Dans le cas d’un Hard Brexit, les acteurs économiques britanniques sortiraient instantanément du cadre de sanctions fixée par l’Union Européenne. Ils seraient alors soumis au cadre de sanctions fixé par les Nations Unies.

Afin que les régulateurs Britanniques soient en capacité d’imposer des sanctions immédiatement, un nouveau dispositif de sanctions internationales doit entrer en vigueur d’ici le 29 mars 2019. Cette régulation se baserait sur le « Sanctions and Anti-Money Laundering Act 2018 ».

Cependant, et afin de ne pas créer de failles dans son dispositif de protection, le gouvernement prévoit, si certains aspects n’étaient pas encore tranchés par le Parlement, de conserver les mesures de sanctions internationales prévues par le Withdrawal Act de 2018, la régulation européenne en vigueur.

En complément du cadre fixé sur la base de la régulation américaine, différentes dispositions seront prises par le gouvernement Britannique, y compris des dispositions mutualisées avec l’Union Européenne et d’autres partenaires internationaux sur les intérêts communs.

Ces orientations permettent aux institutions britanniques de comprendre la cible réglementaire à laquelle elles seront soumises.

Cependant, qu’en est-il des actions concrètes à mettre en œuvre dans un contexte d’incertitude sur l’entrée en vigueur d’un Soft ou d’un Hard Brexit ?

Fiabiliser le processus de gestion des listes en cas d’évènement de type « Hard Brexit »

Dans le cadre du Brexit, les listes de sanctions seront amenées à être entièrement actualisées, le point de suspens étant pour l’instant la date à laquelle celles-ci devront l’être.

Notre approche ici consiste à considérer les étapes du processus de gestion des listes de sanctions pour interpréter les actions à mener de bout-en-bout pour les institutions concernées, ainsi que le rôle que devraient tenir les sociétés de conseil pour aider ces institutions à s’adapter à cette circonstance, afin de leur éviter des sanctions réglementaires immédiates, telles qu’elles seraient imposées si une de celles-ci ne parvenait pas à atteindre la cible imposée.

Cette approche bout en bout permet d’observer sous un angle exhaustif les impacts du Brexit et de l’incertitude sur sa date d’effet sur les institutions financières concernées.

Le processus de gestion des listes peut être schématisé en 4 étapes successives, ayant pour but de garantir l’exhaustivité, la précision et l’actualisation régulière des listes de sanctions.

  • Gouvernance des listes : définir clairement les rôles et responsabilités

Les listes locales représentent un fort risque car le cadre de travail global de Sécurité Financière des grands groupes est organisé de manière à satisfaire les exigences des régulateurs Américains et Européens. Le danger d’oublier les contraintes locales est réel sur les bureaux britanniques des sièges sociaux d’institutions étrangères. Les rôles et responsabilités doivent être définis clairement pour éviter les échecs de gouvernance entraînant des incidents de gestion des listes.

Dans un contexte de forte incertitude, une institution financière peut faire appel à une société de conseil pour mettre en place sa gouvernance cible. Celle-ci a pour objectif de prendre en compte la gestion des nouvelles listes. Une telle prestation devrait être pensée de manière à faire remonter du terrain les informations nécessaires aux équipes centrales pour construire la configuration d’outils adéquate.

Pour accomplir sa mission, l’équipe locale est en charge : d’identifier les listes locales à créer, les évolutions dans les listes locales. A l’issue du processus, ces équipes seront aussi en charge de mettre en place les mises à jour de listes et les contrôles. Pour finir sur ce point, il est important de noter que la gouvernance est un point essentiel qui focalise l’attention des régulateurs dans le cadre de contrôles.

  • Sourcing des listes : repositionner les exigences vis-à-vis des prestataires externes

Une institution financière peut reposer sur des fournisseurs externes pour satisfaire aux exigences des régulateurs en termes de qualité et d’exhaustivité de ses listes. Un des enjeux du processus de gestion des listes étant d’être à même de construire un service central pour l’ensemble des unités et implantations des institutions, il est important de s’assurer dans le cadre du Brexit que les KPIs pilotant le niveau de qualité de service de ces fournisseurs couvrent les listes Groupe et les listes locales. De plus, il est nécessaire de considérer l’importance des volumes (et la complexité) des données des fournisseurs qui seront manipulées par les systèmes existants dans les listes à l’issu du Brexit.

Toutefois, avoir recours à un fournisseur externe ne signifie pas pour l’institution financière qu’elle n’est pas responsable du contenu des listes utilisées. Par conséquent, des méthodologies de contrôle doivent être élaborées pour assurer qu’elle est en mesure de comprendre et de challenger les listes des fournisseurs. Elle doit s’informer en amont auprès de ses fournisseurs pour connaître les mises à jour prévues par ces fournisseurs dans le cadre de la transition du Brexit, notamment sur la date d’actualisation en cas de Hard Brexit.

Afin de mettre en place et gérer la relation avec un fournisseur de listes, un prestataire en conseil devrait proposer des prestations d’audits du cadre procédural pour les listes internes, de définition de KPIs pour le monitoring des fournisseurs, et une prestation de définition et d’implémentation du plan de contrôle des listes.

  • Répertoire des listes : enjeux de la restructuration du répertoire et de la mise à jour des listes

L’ensemble des listes fournies doivent être centralisées dans un répertoire faisant office de « Golden source » pour tout le Groupe. Ce répertoire doit couvrir les listes globales et locales et être mis à jour constamment avec les dernières versions des listes. La transition vers un répertoire de listes en version « Soft Brexit » (reprise de l’existant) ou en version « Hard Brexit » (nouvelles listes) doit être opérationnelle afin d’opérer une mise à jour instantanée le cas échéant.

Un prestataire en conseil devrait apporter de la valeur au client en proposant la mise en place d’une gouvernance des listes, et, au niveau du processus, en définissant avec le client un modèle opérationnel pour la mise à jour et l’implémentation des nouvelles listes.

L’allocation des responsabilités entre les équipes centrales, fournissant des services globaux pour le Groupe, et les équipes locales, responsables des configurations locales eu égard des exigences réglementaires, est un des points d’attention des plus importants soulevés par les auditeurs.

La responsabilité entre les organes de gouvernance des listes doit être clairement organisée dans le sens où ils partagent un outil commun et un processus commun de mise à jour des listes. Une priorisation des règles d’implémentation partagée par les deux domaines est un facteur clé de succès pour l’efficacité du processus. Les délais de livraison doivent être définis et partagés avec toutes les équipes impliquées dans le processus de bout en bout (couvrant les taches IT et Conformité). Un audit resserré sera à mettre en place autour du processus de mise à jour de ce répertoire.

  • Intégration aval : enjeux de la diffusion du répertoire et des processus automatisés

Pour finir, l’implémentation de nouvelles listes dans le cadre du Brexit a un impact sur l’intégration en aval du répertoire des listes mises à jour.

En considérant la variété des acteurs et des parties prenantes impliquées dans le processus de gestion de listes de bout en bout, des erreurs dans la chaîne peuvent avoir lieu à chaque point de contact entre les équipes locales et centrales, les équipes IT et Compliance, ou les interfaces entre les outils locaux et centraux.

Il est indispensable de concevoir et formaliser un processus qui soit partagé entre toutes les équipes impliquées pour assurer une pérennité et limiter le risque opérationnel.

Une prestation de conseil, dans le cadre du monitoring du volumes d’alertes et de la mise à jour de listes, ou d’implémentation d’un cadre de contrôle sur la cohérence des listes avec le répertoire, devrait être pensée de manière à assurer que les exigences des régulateurs locaux sont satisfaites et d’un niveau d’actualisation suffisant des parties prenantes locales.