Société Générale Corporate and Investment Banking

processus. L’objectif est d’étudier en détail les raisons et les conséquences de cette anomalie afin d’y remédier au plus vite.

Fleet Management : gestion de la flotte – ce terme désigne l’entité du groupe dédiée à la gestion des flottes automobiles.

Front office : représente l\’interface de la banque avec le marché. Le Front Office centralise et traite tous les besoins de la banque et de ses clients en terme de couverture et financement (investissement, gestion de position, trading, arbitrage, etc.)

High level review : dans le contexte de la mission de révision des processus, un high level review est basé sur la revue du processus sur un niveau opérationnel grâce à des missions de supervision réalisées sur le terrain avec les personnes concernées.

IT Monitoring : représente toutes les activités de surveillance des applications IT et le reporting des incidents inhérents aux opérations effectuées sur ces outils.

Middle Office : très proche du Front Office, le Middle Office assure la validation et l’ajout d’informations nécessaires (e.g. instructions de paiements) à l’exécution des opérations négociées.

Risque opérationnel : les risques opérationnels correspondent au risque de perte ou de sanctions du fait de défaillances des procédures et systèmes internes, d’erreurs humaines ou d’événements extérieurs.

Run the bank : est une approche qui fait référence aux sujets traités régulièrement au sein d’une banque et qui sont nécessaires au maintien de son activité (e.g. les comités de nouveaux produits, les recommandations d’audit, la veille réglementaire, etc.).

Service unit : au sein d’une banque, les service units représentent les départements jouant le rôle de support aux Business units. On y retrouve, entre autres, les départements d’audit et de conformité, les unités de supports et les équipes de risk management.

Nexus : dans le contexte financier, une personne US Nexus est une personne qui a un lien quelconque avec les États-Unis (avoir une green card, séjours réguliers aux États-Unis…)

Walk-through : est une opération de supervision qui permet de comprendre toutes les étapes d’une procédure ou d’une tâche.

Steering committee : ou comité de pilotage, il représente le groupe de personnes désignées pour superviser le bon déroulement d’un projet au sein d’une institution.

Monitoring : désigne l’action de surveillance ou de supervision d’un dispositif ou d’un outil.

Senior management : executive management ou encore top management, désigne un groupe d’individus au plus haut niveau hiérarchique d’une organisation et qui ont pour responsabilité de superviser toutes les activités de cette organisation.

Processus : signifie la procédure ou la façon d’effectuer une activité. Dans ce document, le mot processus va être utilisé pour désigner les processus opérationnels de la banque.

Reporting : Nous utiliserons le terme reporting pour désigner le fait de remonter l’information au senior management ou dans les différents comités qui seront abordés.

Virement SEPA : ou ‘Single Euro Payment Area’, permet de transférer de l\’argent d\’un compte bancaire vers un autre compte. Il est harmonisé au niveau européen et permet de
payer en euros dans l\’Union européenne ainsi qu\’en Islande, en Norvège, au Liechtenstein, en Suisse, à Monaco et à Saint-Marin.

SWIFT : SWIFT (Society for Worldwide Interbank Financial Telecommunications) est un réseau possédé par les banques qui sert aux échanges interbancaires mondiaux qui a su s\’imposer comme un standard dans différents systèmes de règlement. C’est un outil de transmission d’ordres de paiement via une messagerie électronique que tous les participants utilisent tout au long de la journée pour effectuer tous leurs mouvements de titres et d’espèce.

Code SWIFT : aussi appelé code BIC, constitue le code attribué à chaque adhérents au réseau SWIFT. C’est grâce à ce code que les messages sont routés de l’émetteur vers le destinataire

Message de Paiement SWIFT ou MT pour Message type : sont les différents messages que les contreparties s’échangent afin d’effectuer leurs opérations. Les messages les plus utilisés sont listés dans le tableau ci-dessous :

Catégorie de message Description
MT1xx Virements clients et Chèques
MT2xx Virements entre institutions financières
MT3xx Opérations de change, opérations monétaires et produits derivés
MT4xx Encaissements et Lettres de crédit
MT5xx Marchés des titres
MT6xx Marchés des métaux précieux
MT7xx Crédits documentaires et Garanties
MT8xx Chèques de voyage
MT9xx Gestion de trésorerie et Restitutions clients
MTn9x Groupe de Messages communs à toutes les catégories
MT0xx Messages système FIN

Le réseau SWIFT et les messages SWIFT

NPC : New product committee – Les comités de nouveaux produits sont tenus par les départements de conformité et de risque d’une institution financière avant que le produit puisse être échangé sur le marché. L’idée est de superviser le risque relatif à ce produit.

E-Learning : formations en ligne.

FC : Financial Crime

AML : Anti-Money Laundering

KYC : Know your Costumer

CFT : Counter Terrorism Financing

VUE D’ENSEMBLE

La criminalité financière, ou le “Financial Crime”, est devenue un sujet majeur pour le management des grandes institutions financières. Notamment suite à la crise financière mondiale de 2007-2008 et la crise de la dette souveraine en 2010. Ces événements ont révélé le rôle vital des banques dans le financement de l’économie, et la nécessité d’un réel encadrement de leurs pratiques, afin de protéger leurs clients et leurs organisation, et d’assurer le bon fonctionnement du système économique.

Depuis la crise des Subprimes survenue en 2007, la sphère financière mondiale assiste à une pression accrue et sans précédent de la part des régulateurs quant aux pratiques des grands établissements financiers. Les instances de la régulation se montrent intransigeants face aux manquement de ces institutions, en leur imposant des pénalités records. La multiplication des reformes et des textes réglementaires témoignent du sérieux des régulateurs, et les pénalités imposées ne font que confirmer le besoin d’encadrement.
À savoir, le groupe français BNP Paribas a écopé d’une amende record de 8,9 milliards de dollars en 2014 suite à son implication dans des opérations avec plusieurs entités originaires de pays sous embargo international, notamment l’Iran, Cuba et le Soudan.

Par ailleurs, la part du budget qui est dédiée par les grandes banques à la lutte contre le crime financier ne cesse d’augmenter. Plusieurs banques sont entrain de revoir leur stratégies de mitigation du risque criminel pour se prémunir contre de potentielles défaillances. Afin de mieux répondre aux exigences réglementaires, les institutions financières et plus particulièrement les banques d’affaires et d’investissement, multiplient leurs efforts, en veillant de près au bon fonctionnement de leur processus opérationnels.

En outre, la sophistication des systèmes de paiements électroniques instantanés (Réseau SWIFT, Virements SEPA, etc.) ont participé à l’épanouissement un milieu plus propice au développement de la cybercriminalité. De nouveaux dispositifs capables de localiser ces zones de risque sont nécessaires, car les nouveaux types de cyber crimes ne peuvent être détectés par les anciennes méthodes conventionnelles.

Le traitement en temps réel des données, le développement de nouvelles applications IT, l’amélioration des stratégies de revue, l’intégration des listes de sanctions internationales, le filtrage des bases de tiers, le montage des veilles réglementaires : tous ces éléments représentent des défis majeurs pour les banques et doivent être appréhendés très rapidement au regard du risque qu’ils comportent.

Dans ce document, nous allons voir comment les banques d’affaires et d’investissement, et plus particulièrement le groupe Société Générale fait face à ces menaces et quels sont les moyens mis en place pour les appréhender.

Le tableau ci-dessous regroupe les principales sanctions imposées aux grandes institutions financières qui ont violé les lois imposées par l’OFAC depuis 2010 :

Figure 1 : https://risk.thomsonreuters.com/en/resources/infographic/fines-banks-breached-us-sanctions.html

1. Introduction

1.1. La banque de financement et d’investissement

1.1.1. Définition

Une banque de financement et d’investissement (BFI) est une division de la banque qui est spécialisée dans plusieurs activités. À la différence des banques de dépôts, qui sont spécialisées dans des services destinés aux particuliers. Les banques de financement et d’investissement sont tournées vers des services adaptés aux besoins des entreprises et des clients institutionnels. On retrouve aussi les banques privées qui travaillent avec les particuliers fortunés, ou les entités d’asset management.

Le sigle “CIB” – Corporate and Investment Banking – est utilisé par les banques pour désigner leurs divisions BFI. Il est judicieux de préciser que cette division de la banque est scindée en deux grands volets. On retrouve le volet Corporate Banking qui gère les activités de Finance d’Entreprise (Corporate Finance) et le volet Investment Banking qui regroupe les activités de marchés.

1.1.2. Principaux acteurs
Il existe une multitude de banques d’investissement dans le monde. Les États-unis reste le pays dominant dans ce secteur malgré les différentes crises survenues dans ce pays.
Le graphique ci-dessous regroupe les dix plus grandes divisions BFI au monde par chiffre d’affaire généré en 2017 :

Figure 2 : https://www.statista.com/statistics/371143/leading-global-investment-banks-by-revenue/

1.2. Financial Crime

La criminalité financière représente un fléau majeur dans la sphère financière mondiale depuis plusieurs années. Le développement des nouveaux systèmes de paiements électroniques et la dominance de la technologie dans les processus internes des établissements bancaires ont créé un milieu propice à la cybercriminalité. Les autorités financières sont constamment en train de chercher à mettre en place de nouveaux dispositifs de prévention pour remédier à ces nouvelles menaces.
Les banques sont particulièrement concernées par ces évolutions réglementaires, d’où leurs multiples efforts de transformation et de mitigation du risque dans le but d’appréhender le risque de non-conformité auquel elles sont constamment confronté.

1.2.1. Définition

Les termes “Crime financier”, “Criminalité financière” ou bien “Financial Crime” regroupent tous les crimes à motif économique qui menacent le développement des économies et leurs stabilités. Dans la sphère financière, on retrouve plusieurs types de crimes financiers. Parmi les plus connus on retrouve le blanchiment d’argent, le financement du terrorisme et la corruption. Le schéma ci-dessus reprend les huit grandes catégories :
Figure 3 : https://www.pwc.lu/en/financial-crime.html

1.2.2. Sanctions financières internationales
Afin de restreindre tout ou une partie des activités avec certains pays, des régimes ou même des personnes. Les autorités de règlementation d’un pays, peuvent émettre des sanctions financières à l’égard de certaines institutions afin de leur interdire l’accès à leur système financier. La Direction Générale du Trésor considère les sanctions économiques et financières comme un instrument de politique étrangère.

Parmi les entités de réglementation, on retrouve les instances suivantes :
 Le Conseil de sécurité des Nations Unies (UNSC).
 Aux États-unis : la U.S. Securities and Exchange Commission (SEC) ; l’Office of Foreign Assets Control (OFAC) rattaché au Département du Trésor Américain ; le Bureau de l’Industrie et de la Sécurité (BIS) rattaché au Département du Commerce Américain ; le Département d’État des États-Unis (DoS) ou le ministère des Affaires Étrangères des États-Unis chargé des relations internationales ; le Financial Crimes Enforcement Network (FinCEN) rattaché au département du Trésor américain et joue un rôle de superviseur des transactions financières.
 En Europe on retrouve : la Commission Européenne ; l’Autorité Bancaire Européenne (ABE) ; l’Autorité Européenne des Marchés financiers (ESMA)
 En France on retrouve : l’autorité du Contrôle Prudentiel et de Résolution (ACPR) ; l’Autorité des Marchés Financiers (AMF) ; la Direction Générale du Trésor (DG Trésor)
 Les autorités compétentes locales de chaque pays.

La lutte contre le blanchiment d’argent, le financement du terrorisme, le grand banditisme, le respect de la démocratie, la promotion des droits de l’Homme, la résolution des conflits et la lutte contre la cybercriminalité sont tous des sujets prioritaires et doivent être appréhendés pour assurer la bonne santé du système financier. Par ailleurs, les sanctions financières peuvent être considérées comme un moyen idéal de lutte contre ces fléaux. On peut s’appuyer sur l’exemple des sanctions américaines infligées par le Trésor américain à l’encontre de la Russie suite à l’intervention de l’armée russe en Ukraine en 2014.
Ci-dessous, une représentation des régimes de sanctions internationales en 2016 :

Figure 4 : https://www.cfr.org/backgrounder/what-are-economic-sanctions

Par ailleurs, tout état souverain a le droit d’obliger les institutions ou les personnes exerçant une activité lucrative sur son territoire de respecter les lois préétablies sur ce dernier. Les entités doivent être conformes aux lois applicables dans le pays où elles exercent leurs activités. Ici, l’expression “exercer une activité” est employée au sens large et prend en compte tout activité lucrative. Il faut souligner que l’utilisation d’une monnaie étrangère dans un pays quelconque, est considérée comme le fait d’exercer une activité dans le pays de la monnaie utilisée. Dans ce cadre-là, les entités de régulation américaines, considèrent que tous les dollars utilisés pour effectuer une transaction vont transiter par la réserve fédérale de New York à un certain moment et jugent que cela est suffisant pour conclure que la transaction en dollars, même si elle est effectuée dans un autre pays, devra être conforme aux réglementations américaines. De ce fait, les entités impliquées dans des transactions libellées en dollars doivent faire attention à tout élément pouvant engendrer un U.S. Nexus*.

1.3. Les institutions financières et la prévention du crime financier
Les institutions financières permettent à leurs contreparties d’accéder aux marchés financiers de différents pays. Or, les instances de régulation propres à chaque pays imposent à ces instituions de mettre en place des dispositifs dédiées à la prévention du crime financer. Ceci peut prendre la forme d’une nouvelle application IT, d’un nouveau département de mise en conformité ou de conduire des missions d’audit externe, etc.. En cas de violation des règles imposées par le régulateur, les établissements concernés feront face à des sanctions sévères sous formes d’amendes le plus souvent.

Par ailleurs, il faut noter que toutes les grandes banques ont un département de conformité, responsable de la bonne compréhension des demandes des régulateurs et qui a pour rôle principal de les appliquer aux procédures internes de la banque. Ce département doit aussi donner des lignes directrices à toute la banque en termes d’organisation et de procédures à respecter.

1.3.1. Le modèle des “Trois lignes de défense”

Afin d’assurer un robuste dispositif de supervision contre les sanctions réglementaires, les institutions financières ont commencé à adopter un modèle de contrôle dit de “trois ligne de défense”. Ce modèle a été exigé par les régulateurs européens suite aux recommandations du comité de Bâle. La majorité des grands établissements financiers doivent donc le concevoir et le faire valider par les instances de régulation avant de le mettre en activité. Le schéma ci-dessous reprend les composantes de chaque ligne de défense :

Figure 5 : https://www.theiia.org/3-lines-defense

Dans cette partie nous allons voir brièvement le rôle de chaque ligne de défense. Les terminologies utilisées peuvent varier d’une entité à une autre, mais le contenu reste généralement identique :

– Dans le contrôle de premier niveau ou “La première ligne de défense”, on retrouve les fonctions et les collaborateurs dit “opérationnels”. Ils ont pour mission principale de gérer, planifier et contrôler les opérations courantes et les processus des activités. En d’autres termes, cette ligne de défense doit être capable de détecter les risques et de les remonter à la seconde ligne de défense. Elle revoit tous les volets de la gestion des processus (respect des procédures, le bon fonctionnement des systèmes, le suivi de la formation des collaborateurs, etc…) et les contrôles mis en place suite aux directives hiérarchiques. Par ailleurs, c’est du ressort du top management de valider les contrôles de premier niveau (nouvelles formations, mises à jour des procédures, suivi des incidents, exploitation des événements remontés à la seconde et troisième ligne de défense).

– Dans la seconde ligne de défense on retrouve les spécialistes du risque et de la mise en conformité. Leur tâche est de mesurer et superviser les risques remontés par la première ligne de défense et de surveiller cette dernière tout en proposant des axes d’amélioration. Au sein de cette ligne, on retrouve notamment les départements de Conformité et Risques. Leurs rôles étant de produire des méthodes et des procédures d’évaluation de risque en veillant à bien interpréter les consignes du top management.

– Au sein de la troisième ligne de défense, on retrouve la fonction d’audit interne. Elle procure une assurance aux organes du top management en leur décrivant la capacité de la banque à maitriser et gérer les processus opérationnels mis en place. Elle veille à évaluer tous les dispositifs de contrôle au sein de l’établissement et supervise les deux premières lignes de défense. Son rôle est aussi de superviser les contrôles en conduisant des missions d’audit interne au sein de l’établissement dans le but de proposer des recommandations à la fin de chaque mission pour améliorer l’efficacité des processus.

– La quatrième ligne de défense est représentée par les équipes d’audit externe. En effet, les institutions financières sont obligées par les régulateurs à conduire des missions d’audit en faisant appel à des entités externes. Ces missions sont généralement conduites par des cabinets d’audits spécialisés.

– La cinquième ligne de défense correspond aux instances de régulation qui sont généralement des entités indépendantes, qui surveillent et supervisent les grands établissements financiers.

2. Société Générale

2.1. Présentation
Le groupe “Société Générale” est une institution financière française créée en 1864 par un groupe d’entreprises spécialisées dans l’industrie et la finance. Elle compte plus de 150 000 collaborateurs à travers le monde et est implantée dans 76 pays. Elle est dirigée actuellement par Mr. Fréderic Oudéa. La SocGen fait partie du top 3 des banques françaises aux cotés du Crédit Agricole et BNP Paribas. Elle se considère comme une banque transversale grâce à la diversité des services proposés par ses différentes divisions. Nous verrons dans la partie suivante tous les secteurs d’activités des différentes divisions de la Société Générale.

2.2. Secteurs d’activité
Le modèle suivi par la Société Générale repose sur la diversité des métiers et les services proposés à leurs clients particuliers et professionnels. On retrouve plusieurs métiers sur lesquels la SG est positionnée. Dans cette partie nous allons voir les huit divisions de la banque Société Générale.

2.2.1. La banque de détail en France

Riche de ses trois enseignes complémentaires, la banque de détail de la Société Générale est composée de près de 33 200 collaborateurs avec plus de 2 900 agences dans l’hexagone. Cette division de la banque propose une multitude de services adaptés aux besoins de ses clients particuliers comme professionnels.
Elle regroupe trois entités indépendantes :
1 – Société Générale
2- Boursorama : principal acteur des banques en ligne en France
3- Crédit du Nord : regroupe toutes les banques régionales de la Société Générale

2.2.2. La banque de détail à l’internationale

La banque de détail de la Société Générale est très présente à l’international. Son réseau bancaire contribue au développement des différentes économies des régions dans lesquelles elle est présente. On retrouve l’entité Société Générale dans plusieurs zones géographiques notamment en Europe, en Afrique et aux États-Unis. Elle accompagne les entrepreneurs comme les particuliers en leur proposant des solutions d’accès au financement généralement sous forme de crédit à la consommation.

2.2.3. Les services financiers

L’expertise du groupe s’étend sur plusieurs secteurs. Son offre inclut le secteur des assurances avec Société Générale Insurance couvrant tous les métiers de la banque de détail et privée en France comme à l’international. La location longue durée et le Fleet Management grâce à ALD Automotive, une enseigne spécialisée dans la gestion de flottes automobiles pour les entreprises. Le groupe se positionne aussi sur le secteur de financement et de ventes de biens d’équipements professionnels grâce à Société Générale Equipment Finance.

2.2.4. La banque de financement et d’Investissement

La division “banque de financement et d’investissement” SGCIB est présente sur les principales places financières mondiales notamment en Europe, aux États-Unis et en Asie-Pacifique. Elle est implantée dans plus de 40 pays. La BFI du groupe propose ses services à une clientèle constituée d’institutions financières, d’entreprises et des acteurs du secteur public. Elle est spécialisée dans trois grandes activités dont la banque d’investissement, la finance d’entreprise et les activités de marché. Elle accompagne ses clients en leurs proposant des solutions d’investissement, de financements structurés, de consulting stratégique et de levée de capitaux. Elle offre aussi un accès aux marchés financiers grâce à ses franchises « Fixed Income » et « Dérivés ».

2.2.5. Banque privée

Société Générale Private Banking est la division spécialisée dans la gestion de fortune. Elle propose un large éventail de services sur mesure à sa clientèle fortunée, grâce à son expertise en ingénierie financière et patrimoniale et plus particulièrement en gestion de portefeuille.
Elle compte plus de 2 500 collaborateurs et gère 118 milliards d’euros en 2017. SG Private Banking est implantée dans 11 pays.

2.2.6. Gestion d’actifs

Grace à sa filiale Lyxor Asset Management, la SG propose une multitude de solutions et de services en investissement et en conseil dans un large spectre d’actifs. Lyxor est détenue à 100% par la société générale et est considéré comme un grand expert de l’investissement avec ses 132 milliards d’euros d’actifs sous gestion.

2.2.7. Métiers titres

La division Société Générale Securities Services est entièrement consacrée aux métiers des titres. Elle propose un large gamme de services de conservation. SGSS est composée de 4 000 collaborateurs et administre un actif de 636 milliards d’euros en Juin 2018.
Elle est considérée comme un spécialiste de service multi-actifs, disposant d’une clientèle variée, allant des investisseurs institutionnels et asset managers aux banques et courtiers.

2.2.8. SG Consulting

SG Consulting est le cabinet de conseil interne de la Société Générale. Il a été créée vers la fin des années 90. SG Consulting est composé d’une centaine de collaborateurs dont la moitié provient du groupe lui-même, alors que l’autre moitié est composée de consultants provenant de cabinets externes. Cette division accompagne toutes les lignes métiers du groupe dans leur développement stratégique et projets de transformation en France comme à l’international.

L’expertise de SG Consulting est orientée vers des sujets de nature technico-fonctionnelle. Elle intervient par exemple dans l’optimisation de la performance de l’entreprise (amélioration de processus, de structures et de productivité), le management des grands projets et le conseil en organisation.

Le cabinet peut également proposer ses services à des entités externes ou partenaires du Groupe.

2.3. Société Générale Corporate and Investment Banking
SGCIB représente la banque d’investissement et de financement du groupe Société Generale, elle est constituée de plusieurs divisions.

Dans cette partie, nous aborderons chacune de ses divisions un peu plus en détail afin de comprendre ce que fait la BFI de la Société Générale.

2.3.1. Global Markets

Au sein de SGCIB, la branche Global Markets est une plate-forme d’investissement et de gestion de risque qui propose ses services à plusieurs entités parmi lesquelles on peut citer, les fonds de pension, les banques privées, les compagnies assurances et les hedge funds. Elle regroupe plus de 2 800 professionnels à l’échelle mondiale.

Au sein de Global Markets, on retrouve la branche Cross-Asset Research. Cette branche est dédiée à l’analyse de l’impact des événements majeurs sur les différentes classes d’actifs. On y évalue les liens entre les différentes classes d’actifs, tout en effectuant une analyse stratégique sur la base d’informations collectées, afin de donner une meilleure vision aux investisseurs.

Ensuite on retrouve Electronic Services – SG Markets, la plateforme électronique de SGCIB accessible aux différents clients pour effectuer leurs opérations en temps réel. elle couvre toutes les étapes allant du pré-trade, l’exécution et au post-trade.

Enfin, on a la branche Investment and Risk Management solutions qui propose des produits et des solutions couvrant plusieurs classes d’actifs (matières premières, change, etc.).

2.3.2. Global Financing

Le pôle Global Finance est spécialisé dans la levée de capitaux, les financements structurés et le Hedging (couverture contre le risque).
2.2.3. Investment banking

Au sein de SGCIB, on a la branche Investment Banking qui propose une offre divisée en trois parties. On a tout d’abord l’offre d’expertise en opérations de fusions et acquisitions. Ensuite l’Equity Capital Market qui permet aux entreprises de couvrir leurs besoins de financement en fonds propres au travers du marché des actions et principalement via les opérations d’introduction en bourse (IPO) et d’augmentations de capital. Ce marché de capitaux propres s’adresse uniquement aux entités cotées en bourse ou bien souhaitant le devenir. Par ailleurs, on retrouve aussi le métier du Debt Capital Market qui lui, diffère de l’ECM car il couvre les besoins de financement des entreprises par émission de dette, qui peut prendre plusieurs formes mais la principale étant l’émission d’obligations. La clientèle visée par ce métier est plus large que l’ECM, on retrouve notamment les états, les fonds souverains et les clients institutionnels.
Le schéma ci-dessous résume les trois offres de la branche Investment Banking :

Figure 6 : https://cib.societegenerale.com/en/our-offering/investment-banking/

2.3.4. Sustainable and positive impact Finance

Cette branche du groupe est dédiée au support de toutes les activités financières à effet positif et favorable au développement économique et durable. Il est à noter que Société Générale a été parmi les premières banques à promouvoir le concept de la finance à impact positif et fait partie de l’initiative financière du Programme des Nations unies pour l’environnement (UNEP FI). Le schéma ci-dessous représente les trois catégories d’initiatives où la Société Générale est impliquée :

Figure 7 : https://cib.societegenerale.com/en/our-offering/sustainable-and-positive-impact-finance/

3. La mission

3.1. Les caractéristiques de la mission

Fin 2017 et suite aux demandes des régulateurs, un nouveau projet a été lancé au sein de la banque d’investissement du Groupe Société Générale (SGCIB). Il a pour but de superviser et revoir la structure de la première ligne de défense, afin d’améliorer la résistance de la banque aux risques règlementaires auxquels elle est constamment confrontée, et plus particulièrement au niveau opérationnel.

Ce projet a pris une envergure transversale (Front to Back), du fait de l’interconnexion entre le back office, le middle et le front ainsi que les différentes lignes de défense. Le périmètre recouvre toutes les entités SGCIB en France comme à l’international. Et les résultats attendus du projet sont l’amélioration des processus existants et le renforcement de la supervision réglementaire au sein du Groupe.

Il est important de préciser qu’une supervision similaire a été lancée récemment dans les plus grandes banques américaines, notamment chez Goldman Sachs, JP Morgan Chase et Meryll Lynch. La Société Générale est la première banque européenne à mettre en place cette cellule de supervision, considérée comme étant un élément vital pour la santé financière des banques d’investissement au regard des nouveaux enjeux liés à la criminalité financière.

Cependant, la mise en place d’un tel projet requiert un grand travail collaboratif entre les départements de la Banque. Parfois, on peut même avoir recours à des entités externes pour réaliser ce type de missions. Notamment les grands cabinets de conseil spécialisés sur des sujets similaires.

Lors de ma mission, j’ai eu l’occasion de participer à la définition de la Review Strategy du projet (stratégie de revue) et j’ai conduit personnellement certaines parties de cette revue, en remontant les anomalies et les constatations au Top Management de la Banque à travers les comités auxquels nous prenons part. Aussi, pendant mon stage, j’ai pu élaborer des supports de présentation adressés directement au Senior Management de toute la banque d’investissement concernant l’avancement du projet de supervision, dans sa globalité, et des sujets mensuels sur lesquels on était amenés à travailler.

3.2. L’organisation actuelle du Groupe SG

L’organisation du groupe SG est divisée en deux grands volets. On retrouve le volet Business Unit et qui est composé de 17 Business Units (Lignes business ou régions) et le volet Service Unit composé de 10 Service Units (Fonctions support ou contrôle).

J’ai été intégré au sein de la Service Unit GBS – Global Businesses and Services – qui est la principale “Support Unit” de la SGCIB. Elle regroupe toutes les activités du front, middle et back office et contient une dizaine de départements.

Au sein du département Regulatory Oversight and Cyber Security (ROCS), j’ai été rattaché en tant qu’analyste, à l’équipe Risk Management Framework (RMF) qui est responsable de la supervision et de la gestion du risque réglementaire.

3.3. Définition du périmètre et des premières étapes de l’approche

La criminalité financière est un sujet très large. Il est donc nécessaire de délimiter les bornes du projet et les lignes directrices de la ‘Review Strategy’ pour une approche pertinente. Afin d’aborder au mieux cette revue, on a choisi de procéder en plusieurs phases et en adoptant une différente approche dans chacune de ces phases.

Le senior Management a pris sa décision pour commencer la revue par le processus actuel de mitigation de risque « Embargos et Sanctions » au niveau de la première ligne de défense, en considérant en premier lieu la réduction du risque de réputation qui menace le groupe. Ensuite, le second thème étudié a été la lutte anti-blanchiment. Le reste des sujets sera défini quand les deux premiers seront adressés.

Au sein de la SG, on a choisi d’adopter deux grandes approches, pour désigner les sujets récurrents (day-to-day activities) qui sont labélisés RTB – Run The Bank – et les sujets de nature structurelle qui prennent plus de temps à mettre en place, labélisés CTB – Change The Bank -.

Le rôle de notre équipe a été d’agir tel une “tour de contrôle” au niveau de la première ligne de défense afin de superviser ces deux approches :

– Run the Bank : cette approche s’appuie sur la supervision des thématiques mensuelles et les états de production, elle évalue le risque associé à chaque sujet et veille à ce que cela soit remonté au Senior Management.

– Change the Bank : cette approche effectue un suivi de l’avancement des projets déjà lancés et définit les priorités et les stratégies à mettre en place. On peut dire que c’est une approche structurelle. Elle va, par exemple, suivre le processus d’intégration d’une application qui va prendre plusieurs mois à être opérationnelle.

3.4. L’objectif de la revue
Le schéma ci-dessus a été présenté au senior management dans l’un des – steering committees – qu’on organise tous les mois.

Les cinq thèmes de la revue ont pour objectif de répondre à la question centrale dans le schéma et de prévoir les composantes clés sur lesquelles va s’appuyer la revue.

– Process : La révision de cette partie nous permet de mieux comprendre comment fonctionne les processus. Ensuite, une analyse des écarts va être effectuée pour évaluer l’état des processus actuels et celui des processus cibles. Nous désignerons ensuite les fonctions qui doivent être améliorées. Enfin, le nouveau processus, censé être plus sécurisé, est mis en place.

– Data Management : la supervision de la gestion de données est un élément important dans ce schéma. Afin de bien effectuer cette tâche, la revue va veiller sur le bon contrôle des applications IT, de leurs systèmes d’alimentation (feeding system) et du target operating model (model opérationnel souhaité). Ensuite, une évaluation des risques potentiels est effectuée afin d’améliorer le processus de mitigation de risque.

– Controls : Les contrôles permanents existent au sein de plusieurs processus dans la Banque. En plus de l’évaluation des résultats des contrôles effectués, notre revue va évaluer la pertinence des contrôles en lien avec des sujets “Financial Crime” et les procédures suivies pour les effectuer. En conduisant cette revue, on peut être amené à trouver des processus qui ne sont pas évalués, et on doit dans ce cas, définir un nouveau contrôle. Par ailleurs, on peut rencontrer certains processus qui ont été modifiés au cours du temps, il est nécessaire de les adapter aux nouveaux processus

– Reporting : Le reporting permet le traitement des données afin de produire des KPI (Key performance indicators – Indicateurs clés de performance). Notre travail recouvre la revue de la procédure de reporting, la définition de nouveaux indicateurs et l’amélioration des indicateurs déjà existants.

– Training : Le “e-learning” et les formations proposées par la Conformité, constituent des éléments essentiels pour les collaborateurs. Ils leur permettent de visualiser les risques auxquels ils peuvent être confrontés. Dans notre revue, on s’est focalisé uniquement sur les formations en lien direct avec les sujets Financial Crime. Par ailleurs, les formations déjà mises en place, vont être revues en étudiant leur contenu et la population affectée. De nouvelles formations obligatoires peuvent être implémentés si cela est jugé nécessaire.

3.5. Review Strategy – La stratégie de revue
La stratégie a été présentée par notre équipe lors du second Steering Committee. C’est notamment grâce à la bonne définition de cette stratégie que le projet a commencé de prendre forme car le problème et la stratégie ont été plus clairs qu’au début. Le schéma présenté ci-dessous résume les grandes lignes de la stratégie :

3.5.1. Phase 1
Pendant la première phase, la tâche est de définir la gouvernance du projet. Cela inclut la définition des ‘stakeholders’ (les parties prenantes) et des contributeurs du projet. Il ne faut pas oublier que les collaborateurs travaillent sur d’autres sujets en parallèle. il est donc essentiel d’inclure les bonnes personnes dans la liste des contributeurs et de bien clarifier ce qu’on attend de chaque personne.

Le Management a été clair sur le fait que toutes les business lines de la banque d’investissement du Groupe, outre la service unit GBS et ses départements, vont participer au projet avec un sponsor et un coordinateur. En parallèle, au vue du périmètre international couvert, une nomination de représentants de chaque région sera aussi demandée.

Lessons learned :
Il est judicieux d’avoir une gouvernance très bien définie pour réaliser un projet.
La définition des parties prenantes et des responsabilités de chaque contributeurs sont des éléments vitaux pour une approche efficace.
La clarté des taches attribuées à chaque participant évite de travailler en doublon et permet un gain de temps considérable.

3.5.2. Phase 2

La deuxième phase est la phase de revue. En première partie de cette phase, le plus dur est de définir le périmètre sur lequel on va travailler. La revue du dispositif de prévention du risque de non-conformité sur la BFI du groupe reste une tache assez claire, néanmoins un travail de priorisation est nécessaire. Dans ce cadre-là, la phase de délimitation du périmètre revient à l’identification des procédures qui doivent être révisées et la priorisation des sujets en se basant sur le risque potentiel identifié.

Une fois le risque identifié et classifié, la seconde étape est de conduire un High level review. Cette étape est dédiée à la revue du processus au niveau opérationnel grâce à des ‘walk-throughs’ qui doivent être réalisés sur le terrain.

A cet effet, j’ai eu l’occasion de conduire des ‘walk-throughs’ sur plusieurs procédures en accompagnant des opérationnels sur le terrain pendant qu’ils effectuent leurs tâches. Il faut préciser aussi que pendant un tel exercice, qui est basé sur une analyse du risque, il ne faut pas négliger les cas exceptionnels car on ne regarde pas que les ‘day-to-day cases’ (cas habituels) qui ne représentent généralement que très peu de risque.

Par ailleurs, afin de conduire un High Level Review, on procède en deux étapes :
Tout d’abord, une analyse et une prise de recul sont nécessaires pour comprendre ce que fait la Business unit et/ou le département avec qui on travaille : cette étape est dédiée à la compréhension de l’organisation à tous les niveaux.
Au niveau de l’ “Unit” :
– Quelles sont les principales procédures couvertes par cette unité ?
– Quels sont les personnages clés et les parties prenantes qu’on doit contacter ?
– Quels sont leurs rôles ?
Au niveau du “Process\” :
Une fois la première étape effectuée, il faut aller sur le terrain avec les équipes désignées pour comprendre leurs tâches.
– Quels sont les personnes et les départements impliqués dans la tache ?
– Quel est le périmètre couvert ?
– Quels sont les principaux contributeurs ?
– Quelles sont les principales tâches ?
– Quelles sont les principales applications IT utilisées pour effectuer ces tâches ?

Durant ma mission au sein de la Société Générale, j’ai pu conduire plusieurs ‘high level reviews’ et certains ‘deep dive reviews’ qui ont porté sur les opérations de paiement et sur les référentiels des tierces parties. Ceci m’a permis de prendre du recul et d’avoir une vision plus claire sur le fonctionnement interne d’une banque d’investissement.

Toutefois, pendant la conduite des high level reviews, il est très commun de tomber sur des procédures ou certains problèmes représentant un risque conséquent. Et c’est pour cette raison qu’un deep dive review devient nécessaire. L’objectif final étant d’effectuer une large opération de couverture du risque identifié.

Lessons learned :
Afin de conduire au mieux sa revue, il est toujours plus efficace d’appeler directement la personne concernée au lieu de se contenter d’un mail.
Il faut toujours être préparé et avoir compris son sujet avant d’initier un tel suivi. Le temps des collaborateurs doit être pris en compte
Les meetings doivent être préparés à l’avance, il est nécessaire aussi de préparer un agenda et des questions.
Après chaque réunion, rédiger les minutes et les faire valider par les participants est toujours important, et c’est une preuve qu’on a bien compris ce qu’a été dit lors de la réunion.
Toujours bien faire attention aux détails.
Quand on interview une personne, il est conseillé de bien clarifier ses intentions
Ne pas hésiter à pousser le raisonnement quand on n’est pas convaincu de la réponse donnée pour avoir une explication claire.
Quand on dit qu’on a compris quelque chose, il est nécessaire d’être capable de l’expliquer de manière pédagogique avec des mots simples sans utiliser des mots techniques.

3.5.3. Phase 3 :

Quand les ‘high level’ et les ‘deep dive\’ reviews sont conclus, nous avions la tache de rédiger les walk-throughs mémos. Ces documents sont considérés comme des éléments clés qui décrivent les processus, évaluent les risques potentiels et reprennent toutes nos observations. Il est important de prendre le soin d’attacher à chaque memo les procédures opérationnelles ainsi que les preuves qui ont mené à ces observations.
On a pu développer un modèle – roadmap – guidant la conduite des walk-throughs afin de nous organiser pour accomplir au mieux cette tâche :

Le processus : il faut qu’on comprenne le processus en amont et en aval.
– L’organisation : les rôles et les responsabilités au sein du processus
– Les procédures
– les tâches et comment les mener (des captures d’écran des applications et des référentiels sont souvent demandés à l’opérationnel à la fin des walk-throughs)
– Les cas spéciaux doivent être pris en compte
Le reporting :
– Ce qu’on rapporte ?
– De la part de qui ?
– Sous quel format ?
– Qui reçoit le document et qui fait l’analyse ?
L’escalation root :
– En cas d’anomalie pour laquelle l’analyste ne trouve pas de réponse. à qui doit il faire remonter le sujet ?
– Sous quel format ?
– Est ce que l’analyste garde bien une trace des réponses reçues ?
Les contrôles :
– Est ce que le processus est surveillé ? est-il régulièrement évalué ? Si oui, comment ?
– Identifier les contrôles existants et le périmètre couvert par chaque contrôle
– Comprendre comment les contrôles sont effectués et par qui ?

Une fois les documents prêts, une analyse des écarts est effectuée entre les procédures actuelles et le ‘target operaitng model’. Le modèle opérationnel souhaité est généralement fourni par le département de la conformité. Une fois les analyses d’écarts effectuées, l’étape suivante est de faire remonter le sujet et de concevoir un plan de remédiation qui va fournir les lignes directrices à suivre pour arriver aux objectifs fixés.

Le plan de remédiation prend en considération les contrôles en place pour évaluer les procédures, les routes d’escalade des anomalies, les reportings et les formations obligatoires en place.

Le plan de remédiation conçu par la conformité doit ensuite être validé par le senior management. Une fois que le plan a été validé par le senior management, on passe à l’implémentation. Pour cela, un changement dans les processus opérationnels internes devient nécessaire ainsi qu’une re-formartion des équipes afin qu’elles puissent respecter les nouvelles procédures mises en place.

Lessons learned :
Quand on rédige un mémo, il est obligatoire d’avoir une preuve afin de justifier les observations avancées.
Lors d’un projet, un format précis doit être respecté pour la rédaction des mémo afin de garder une cohérence.
Ne pas hésiter à demander la validation des personnes rencontrées afin de s’assurer qu’on a bien compris le sujet et que les faits reportés sont corrects.

3.5.4. Phase 4 :

Quand on arrive à ce stade, les processus opérationnels, les contrôles, les reportings et les procédures d’escalade sont effectifs et appliqués. En théorie, les collaborateurs agissent selon le contenu du target operating model. Néanmoins, pour que le senior management soit capable de superviser l’activité au jour le jour, la première étape de la phase 4 est de définir les KPIs ( indicateur clés de performance ) et les KRI ( indicateurs clés du risque ). Or, ces deux éléments sont à définir grâce à un effort conjoint de la part du management et des opérationnels.

Dès que les indicateurs clés sont définis, il est temps de les implémenter. La phase d’implémentation comprend la conception d’une procédure formelle qui explique comment obtenir ces indicateurs en partant des activités journalières des collaborateurs, la fréquence de cette conception, et le collaborateurs chargé d’extraire et de traiter les données nécessaires. Afin de mieux illustrer cela et d’expliquer ce qu’est un KPI, on peut faire une analogie avec le sport. Pour une équipe de football, par exemple, le nombre de but marqués lors d’une saison peut être considéré comme un potentiel KPI et pour que celui-ci soit considéré comme un KPI, il faut qu’il y ait quelqu’un à chaque match pour compter le nombre de buts et l’enregistrer. A la fin de la saison, la personne responsable doit partager ses résultats avec le management.
Ensuite, La dernière étape est de surveiller les KPIs et les KRIs afin d’être capable de les comparer avec les statistiques précédentes. Dans cette optique, il est aussi judicieux de surveiller si le plan de remédiation a bien été respecté. Afin de donner un exemple simple, on peut reprendre celui de l’équipe de foot. Une fois la première saison terminée, il est pertinent de comparer les résultats et voir si l’équipe a été capable de marquer plus de but qu’auparavant. Si tel est le cas, on peut dire que le plan de remédiation fonctionne. Sinon, le management devra identifier le soucis et lancer des mesures correctives.

3.6. Les comités
3.6.1. The steering committees :
Les comités de Steering* sont tenus régulièrement – à fréquence mensuelle – et ont pour principal but d’informer le senior management de l’avancement des projets. Si on utilise des termes propre à la SG, les SteerCo se concentrent sur les sujets Change the Bank qui sont des sujets de nature structurelle et qui prennent du temps à être finalisés comme indiqué plus haut dans le rapport. Néanmoins, ils ne se limitent pas au statut actuel du projet, ou les points d’attention à remonter, mais ils contiennent aussi les éléments nécessaires pour établir les stratégies, les prochaines étapes et les propositions de planning.

Lessons learned
Quand on travaille sur un projet, il est très important d’avoir des compétences de project management.
Définir le budget nécessaire, la main d’œuvre, la priorisation et le planning prend beaucoup de temps et de stratégie. Pour être un bon project manager, cela requiert beaucoup de temps et nécessite une bonne stratégie.

3.6.2. The GBS Operational Financial Crime Committee

Le GBS OFCC a été tenu pour la première fois en Mars 2018, il est complètement dédié aux sujets RTB (Run the Bank). Par ailleurs, dans ce comité, la présentation est focalisée sur l’état de la production mensuelle.
Au sein de ce comité, j’ai été responsable de la préparation des supports. Ce travail m’a permis d’être toujours au courant des évolutions sur les sujets RTB. J’ai pu directement travailler avec mon manager, non seulement au sujet du format mais aussi pour définir le contenu des slides. Cela m’a permis de mettre en pratique ce que j’ai pu apprendre en project management. Aussi, j’ai eu la tâche de traiter les données brutes qu’on reçoit de la part des contributeurs afin de pouvoir l’inclure dans le comité.

Par ailleurs, notre équipe a accueilli un nouveau consultant externe à qui j’ai expliqué comment on traite les données qu’on reçoit et comment on conçoit les slides. Ceci m’a permis de développer une méthode de travail plus structurée. Aussi, j’ai produit des modèles standards d’opération (Standard Operating Model – MOS) pour le traitement des données et la conception des slides avec la supervision des équipes de lean management du Groupe. Ces modèles décrivait en détail la méthode qu’on suivait pour arriver à la version finale des supports. Le but était de permettre à toute nouvelle personne arrivant dans l’équipe de pouvoir facilement reproduire les mêmes données.

Lessons learned :
Produire des documents qui vont être revus par le senior management ne relève pas du normal. Il faut être très clair dans son expression et pouvoir présenter l’information avec des mots simples et évaluer le risque associé.
Prendre en considération le niveau de risque de chaque sujet et s’attarder sur les sujets les plus risqués au contraire des sujets les moins risqués.
Les MOS sont très importants quand on travaille sur des sujets très larges, car ils permettent aux nouvelles personnes intégrant l’équipe de facilement reproduire les documents.

4. L’environnement de travail
4.1. L’équipe
L’équipe dans laquelle j’ai été intégré se composait au début de ma manager, un autre stagiaire et moi. J’ai eu l’opportunité d’accompagner ma manager dans ses réunions et de comprendre rapidement la finalité de la mission sur laquelle on travaillait, de faire la connaissance des personnes impliquées et des prochaines étapes à suivre.

J’ai réussi à très bien m’entendre avec ma manager dès mon arrivée dans l’équipe. D’ailleurs, malgré le fait qu’elle a une grande expérience et de grandes responsabilités, elle traite tous les analystes et consultants à parts égales. Un tel management des différentes équipes permet plus d’interaction et instaure un environnement de confiance plus propice à l’épanouissement professionnel des juniors.

Après trois mois de stage, un nouveau consultant a intégré notre équipe. J’ai eu pour directive de faciliter son intégration en lui expliquant ce qu’on faisait et comment on le faisait. Cela m’a énormément aidé à développer mes compétences de travail d’équipe. Je lui ai présenté notre mission ainsi que les différents sujets actuels et les priorités qu’on avait défini.

Il faut noter aussi que notre manager était positionnée sur d’autres projets avec d’autres équipes. Sa deuxième équipe comprenait un interne et un autre consultant. La relation entre les deux équipes était très appréciable et tout le monde s’entendait très bien tout en travaillant sérieusement. On prenait régulièrement nos pauses cafés et déjeuners ensemble afin d’échanger sur d’autres sujets que le travail.

En outre, pendant ces 6 mois de stage, on a eu l’occasion d’échanger à trois occasions avec ma manager sur les aspects qu’on trouvait positifs et les axes d’amélioration individuels et au sein de l’équipe. Ces échanges ont été très bénéfiques pour le bon déroulement de mon stage car je pouvais poser toutes mes questions et faire part de mon avis quant aux aspects à améliorer. On prenait le temps aussi de discuter à propos de notre relation manager-stagiaire et du fonctionnement au sein de l’équipe.

4.2. Expérience

Je suis persuadé que mon expérience en tant que stagiaire au sein du groupe SG a été très importante pour ma future carrière professionnelle. Après avoir conduit plusieurs revues sur un large périmètre, je dispose à ce moment d’une meilleure compréhension et d’une vision plus globale sur le fonctionnement des banques et plus particulièrement des banques d’affaires et d’investissement.

Ma manager m’a permis de monter en compétence en me faisant part des grandes lignes directrices et en me confiant plusieurs responsabilités, ce qui m’a permis de gagner en autonomie. J’ai été positionné sur plusieurs phases de projets qu’on ne dévoilait pas aux stagiaires généralement ce qui a eu pour effet d’accélérer mon processus d’apprentissage. J’ai appris à conduire une investigation avec toute la rigueur et l’organisation que cela incombe.

Par ailleurs, le fait de travailler avec plusieurs personnes sur un projet m’a permis de développer mes compétences interpersonnelles. Cela me permet aujourd\’hui de mieux exprimer mes idées et de bien présenter mon travail.

Participer à des réunions et des comités, rédiger des minutes et des ‘walkthrough mémos’, ainsi que l’énorme volume d’e-mail nécessaire à la collaboration, les captures d’écrans, les procédures, tout cela m’a permis de comprendre le rôle que peut avoir une bonne organisation au sein d’une banque. En suivant cette rigueur, on était toujours assuré d’avoir les preuves concernant les propos qu’on avançait en cas d’éventuelle inspection.

RÉFÉRENCES

 Société Générale
https://cib.societegenerale.com/en/who-are/
https://cib.societegenerale.com/en/our-offering/
https://cib.societegenerale.com/en/our-offering/investment-banking/

https://www.societegenerale.com/sites/default/files/documents/Pilier%20III/2016/FR_Pilier%203_16-03-2016.pdf

 PwC
https://www.pwc.lu/en/financial-crime.html
 Thomsonreuters
https://risk.thomsonreuters.com/en.html
 Statista
https://www.statista.com/statistics/371143/leading-global-investment-banks-by-revenue/

 CFR – Council of Foreing Relations
https://www.cfr.org/backgrounder/what-are-economic-sanctions
 ComplyAdvantage

What is Financial Crime

 International Compliance Association
https://www.int-comp.org/careers/a-career-in-financial-crime-prevention/what-is-financial-crime/
 The institute of internal auditors
https://www.theiia.org/3-lines-defense
 Le jeudi
http://jeudi.lu/trois-lignes-de-defense-eclairage/
 Usine digitale
https://www.usine-digitale.fr/cybersecurite/

 Les clés de la banque

https://www.lesclesdelabanque.com/web/Cdb/Particuliers/Content.nsf/DocumentsByIDWeb/6WEHER?OpenDocument

 Banque info

http://www.banque-info.com/lexique-bancaire/s/swift

 Comprendre les paiements
http://www.comprendrelespaiements.com/le-reseau-swift-et-les-messages-swift/