L’Autorité Bancaire Européenne (ABE) avait émis pour consultation, en juillet 2021, des guidelines sur les politiques et procédures relatives à la gestion de la conformité et sur le rôle et les responsabilités du responsable de la conformité en matière de LCB/FT[1].

Ce document est intéressant car il est assez précis sur ce qui est attendu ; par ailleurs, la fonction de conformité en lien avec le sujet de la LCB-FT est au cœur du dispositif de pilotage par rapport aux enjeux.

Dans le cadre de la directive (UE) 2015/849 du Parlement européen et du Conseil du 20 mai 2015 relative à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme (BC-FT), il était précisé qu’un responsable de la conformité en matière de LCB-FT doit être nommé au niveau de la direction[2]. Il est alors important de comprendre ce qui est attendu de ce rôle.

Nous proposons ci-après un extrait des principaux éléments de cette consultation qui décrit en partie les attendus de la fiche de poste du responsable LCB-FT.

1.1.   Les objectifs de cette consultation

Les objectifs sont :

• D’harmoniser la fonction pour la rendre efficace chez tous les acteurs du secteur financier et faciliter la compréhension commune des enjeux ;
• Définir clairement les attentes quant au rôle, aux tâches et aux responsabilités du responsable de la conformité en matière de LCB-FT et de l’organe de direction.

1.2.   Les principaux éléments de ce guide

Les notions-clés de ce guide portent sur les enjeux :

• De définition des rôles et responsabilités en matière de supervision et de mise en œuvre des dispositifs (proportionnés au profil de risque de l’établissement) ;
• D’adéquation des ressources tant humaines que techniques (incluant les enjeux de compétence) ;
• De pertinence des circuits d’information et de communication afin de s’assurer que les incidents significatifs seront remontés à l’organe de direction, suivis et traités ;
• De contenu des reportings (notamment le rapport d’activité du responsable LCB-FT).

2.   Rôle et responsabilités de l’organe de direction et top management dans le cadre de la LCB-FT

Les guidelines précisent les attendus par rapport aux personnes en charge de ces thématiques au sein de l’organe de direction :

• Identifier un membre de l’organe de direction responsable de la LCB-FT[3];
• S’assurer que l’ensemble de l’organe de direction, lorsqu’il existe, est conscient de l’impact des risques de BC-FT sur le profil de risque de l’entreprise ;
• Être informé des résultats de l’évaluation des risques de BC-FT à l’échelle de l’entreprise ;
• Superviser la mise en œuvre et l’adéquation des politiques et procédures en matière de LCB-FT et prendre les mesures appropriées pour s’assurer que des mesures correctives sont prises le cas échéant ;
• Examiner au moins une fois par an le rapport d’activité du responsable de la conformité en matière de LCB-FT (voire plus selon les risques)
• Evaluer l’adéquation des ressources humaines et techniques allouées au responsable de la conformité en matière de LCB-FT ;
  • D’un point de vue quantitatif et qualitatif (compétence) ;
  • D’un point de vue informationnel (qualité du circuit d’information et de communication).

Sur les rôles et responsabilité du responsable au niveau de l’organe de direction, ce dernier doit :

• S’assurer que l’ensemble de l’organe de direction, lorsqu’il existe, est conscient de l’impact des risques LCB-FT sur le profil de risque de l’entreprise ; notamment s’assurer que :
  • Les politiques, procédures et mesures de contrôle interne en matière de LCB-FT sont adéquates et proportionnées ;
  • L’organe de direction a assumé la responsabilité de mettre en œuvre les politiques, procédures et mesures de contrôle interne en matière de LCB-FT ;
  • L’organe de direction dispose des informations significatives sur le risque en temps opportun, ainsi que des échanges d’information avec les autorités de supervision et la Cellule de Renseignement financier (CRF[4]) ;
  • Les recommandations faites à l’organe de direction et approuvées par celui-ci font l’objet de mesures de mise en œuvre appropriées.

3.   Rôle et responsabilités du responsable de la conformité en matière de LCB-FT

3.1.   Le positionnement de la fonction

Indépendance de la fonction.

Possibilité de ne pas nommer de responsable LCB-FT sous certaines conditions.

Rôle à temps plein ou non (selon le principe de proportionnalité) :

• Fonction des enjeux ;
• Point d’attention sur les possibles conflits d’intérêts (si exercice d’autres fonctions) ;
• Localisation du responsable de la conformité en matière de LCB-FT (normalement dans le pays d’établissement de l’établissement sauf exception[5]).

3.2.   Les principales taches du responsable LCB-FT

3.2.1.    Les enjeux de l’approche par les risques

Développer l’approche par les risques :

• On se référera au document de l’ABE sur les facteurs de risque à prendre en compte : EBA/GL/2021/02

3.2.2.    Le rôle vis à vis du cadre procédural

S’assurer de l’adéquation des politiques et procédures et de leur mise en œuvre effective.

Et assurer une surveillance continue de la mise en œuvre des mesures, politiques, contrôles et procédures.

3.2.3.    Les enjeux de l’entrée en relation

Suivi de la relation client :

• Notamment rôle consultatif avant la décision finale dans le cadre de nouveaux clients à risque élevé ou la reclassification des clients existants dans la catégorie de risque élevé.

3.2.4.    La surveillance du dispositif

En charge du suivi permanent de la mise en œuvre des mesures, politiques, contrôles et procédures adoptés pour garantir le respect par l’établissement de ses obligations en matière de LBC/FT.

• Efficacité des contrôles LBC/FT appliqués par les lignes d’activité et les unités internes.
• Veille à ce que le cadre de LBC/FT soit évalué périodiquement et mis à jour si nécessaire et, en tout état de cause, lorsque des lacunes sont détectées, que de nouveaux risques apparaissent ou que le cadre juridique ou réglementaire a changé.
• la communication avec l’organe de direction :

Communication autant que nécessaire avec l’organe de direction (notamment la personne en charge des sujets LCB-FT) et produire a minima un rapport d’activité proportionné à l’échelle et à la nature des activités de l’établissement dont nous présentons les principaux éléments :

• Sur l’évaluation des risques de BC-FT :
  • Une déclaration explicite indiquant si l’évaluation du risque de BC-FT à l’échelle de l’entreprise ou une révision de celle-ci[6] a été exigée par l’autorité compétente pour l’année de déclaration.
  • Un résumé des principales conclusions de l’évaluation des risques visée à l’article 8, paragraphe 1, de la directive (UE) 2015/849, lorsqu’une telle mise à jour a été effectuée au cours de l’année écoulée ;
  • Une description de tout changement lié à la méthode utilisée par l’établissement pour évaluer le profil de risque du client individuel de la relation d’affaires en précisant dans quelle mesure elle est alignée sur l’évaluation du risque de blanchiment d’argent et de financement du terrorisme à l’échelle de l’établissement ;
  • La répartition des clients par catégorie de risque et par date d’entrée en relation, données issues des rapports remontés des métiers, y compris le nombre de dossiers non mises à jour.
  • Un aperçu structuré du travail effectué par le responsable de la conformité en matière de LCB-FT au cours de l’année écoulée, y compris des informations et des données statistiques sur :
    • La nature, le nombre et le montant des transactions inhabituelles détectées ;
    • La nature, le nombre et le montant des transactions inhabituelles effectivement analysées ;
    • La nature, le nombre et le montant des déclarations de transactions ou d’activité suspectes à la CRF (selon les pays où la transaction a eu lieu).
    • Les informations agrégées sur les relations avec la clientèle qui ont été abandonnes-clôturées en raison de préoccupations en matière de LCB-FT.
      • Nombre de demandes d’information reçues de la CRF ;
      • Nombre de requêtes judiciaires reçues ;
      • Nombre d’ordonnances exigeant le report de l’exécution d’une transaction ;
      • Nombre de réponses fournies à la CRF et décisions prises à l’égard de ces clients, c’est-à-dire si la relation d’affaires avec ces clients a été bloquée, suspendue, résiliée, etc.
    • Résumé des données statistiques ou des principaux indicateurs de risque relatifs aux risques de LCB-FT, afin de donner une image précise des risques de LCB-FT auxquels l’opérateur du secteur financier est exposé par le biais de ses clients, pays ou zones géographiques, de produits, de services, de transactions ou de canaux de distribution, en tenant compte des lignes directrices révisées de l’ABE sur les facteurs de risque de blanchiment et de financement du terrorisme.
  • Sur les politiques et procédures:
    • Informations synthétiques sur les mesures importantes prises et les procédures adoptées au cours de l’année, y compris le suivi des recommandations, des dysfonctionnements et des irrégularités identifiés dans le passé ainsi que des nouveaux problèmes, et irrégularités et les mesures proposées.
  • Sur les contrôles réalisés:
    • La nature et le nombre des actions de contrôle de la conformité entreprises pour évaluer l’application des politiques, contrôles et procédures de LCB-FT de l’établissement ;
    • L’adéquation des outils de surveillance utilisés par l’établissement en matière de LCB-FT.
  • Sur les actions de sensibilisation et de formation :
    • La nature et le montant des activités de formation en matière de LCB-FT, réalisées, planifiées, non finalisées, ainsi que le personnel concerné par ces activités de formation ;
    • Le plan de formation pour l’année prochaine pour évaluer l’adéquation de la formation et de l’enseignement dispensés :
      • Nombre d’heures de formation par type d’employés et par type de département/fonction et pourcentage d’employés ayant suivi la formation ;
      • Date de la participation à un séminaire, titre et durée du séminaire et modalité de diffusion (c’est-à-dire e-learning, en ligne et en face à face) ainsi que le nom des formateurs ;
      • Si la conférence/séminaire a été préparée au sein du secteur financier ou proposé par une organisation ou des consultants externes ; et
      • Des informations résumées sur le programme/contenu des conférences/séminaires.
    • Une description de toute autre mesure adoptée par le responsable de la conformité en matière de LCB-FT ;
    • Toute autre information utile sur le fonctionnement de la fonction de responsable de la conformité en matière de LCB-FT et sur les mesures de prévention du LCB-FT que le responsable de la conformité en matière de LCB-FT considère comme pouvant être intéressante à porter à l’attention de l’organe de direction ;
    • Plan d’activités du responsable de la conformité en matière de LCB-FT pour l’année suivante ;
    • Activités de surveillance externe, y compris les communications à destination de l’établissement, menées par l’autorité compétente, les rapports soumis à l’organe de direction et les rapports de contrôle, les sanctions imposées, ainsi que la manière dont l’établissement s’est acquitté de ses obligations.
      • L’état d’avancement des mesures correctives, sans préjudice de tout autre rapport périodique qui pourrait être exigé en cas d’activité de surveillance ou de mesures correctives.

3.2.5.    Concernant les déclarations d’opérations douteuses[7] :

• S’assurer que les autres membres du personnel dont l’assistance est sollicitée pour l’exercice de cette fonction ont les compétences, les connaissances et l’aptitude nécessaires pour aider à cette tâche ;
• Prendre en compte la sensibilité et de la confidentialité des informations susceptibles d’être divulguées et des obligations de non-divulgation ;
• S’assurer de la pertinence et respect du formalisme lors du processus déclaratif.

3.2.6.    Formation et sensibilisation du personnel[8] :

• Rôle d’information du personnel sur les risques de LCB-FT auxquels l’établissement est exposé, en tenant compte du contexte national et international dans lequel il opère, ainsi que des raisons pour lesquelles il est important de réduire ces risques de LCB-FT.
  • Formation adaptée permettant d’informer sur les méthodes, tendances et typologies de blanchiment et de financement du terrorisme, ainsi que de l’approche basée sur le risque.
• Intégration des sous-traitants à qui des fonctions ont été sous-traitées ;
• Rôle d’identification de la formation spécifique nécessaire en fonction des éléments suivants :
  • Les personnes travaillant dans le cadre de la fonction de conformité sous la responsabilité du responsable de la conformité en matière de LCB-FT :
    • La formation doit être approfondie et adaptée aux besoins de l’entreprise.
  • Les personnes en contact avec les clients ou chargées d’effectuer leurs transactions (employés, agents et distributeurs) :
    • La formation doit leur permettre de détecter efficacement les transactions inhabituelles et d’alerter le responsable de LCB-FT dans les meilleurs délais, conformément aux procédures internes.
  • Les personnes chargées de développer des procédures ou des logiciels ou autres outils applicables aux activités qui sont, même indirectement, sensibles au risque de LCB-FT :
    • La formation devrait leur permettre d’intégrer de manière adéquate la problématique LCB-FT.
  • Modalité de réalisation des formations :
    • Ateliers ou des séminaires de formation appropriés tenant compte des tâches effectuées par les personnes concernées et de leur exposition aux risques de blanchiment et de financement du terrorisme. Pour
    • Rôle de mise en œuvre du plan annuel de formation en lien avec le département des ressources humaines.
      • Ce plan annuel de formation et de sensibilisation, ainsi que sa réalisation, doit faire l’objet d’une documentation écrite et être mentionné dans le rapport d’activité adressé à l’organe de direction
    • Les employés concernés doivent être :
      • Sensibilisés aux risques de LCB-FT, selon les spécificités de l’établissement.
      • Informés de l’identité et des responsabilités du membre de l’organe de direction chargé de la lutte contre le blanchiment d’argent ;
      • Formés aux procédures internes et à la manière de reconnaître et de traiter les transactions ou les activités potentielles de LCB-FT ;
      • Destinataires des informations sur les indicateurs d’activité inhabituelle, les tendances et les typologies quant à la manière dont les services et les produits fournis sont utilisés ; rôle également des études de cas.
    • Détermination d’indicateurs d’évaluation pour vérifier l’efficacité des formations dispensées.
    • Cas des formations dispensées à l’étranger :
    • S’assurer de la conformité des formations aux règles légales et réglementaires applicables ainsi qu’à la typologie des activités.
    • Cas de la sous-traitance
      • Le responsable de la conformité LCB-FT doit s’assurer (et documenter dans le rapport d’activité) :
        • Que le sous-traitant a les connaissances requises en matière de LCB-FT pour garantir la qualité de la formation à dispenser ;
        • Que les conditions de gestion de la sous-traitance sont fixées et respectées, et ;
        • Que le contenu de cette formation est adapté aux spécificités de l’établissement.

4.   Les relations entre le responsable LCB-FT et les autres fonctions

Lorsque la fonction de conformité en matière de LCB-FT est différente de la fonction de conformité, bien préciser les rôles et responsabilités.

La Fonction audit interne[9] ne devrait pas être associée à la fonction de conformité en matière de LCB-FT :

• La fonction d’audit examine et évalue l’adéquation et l’efficacité de la gouvernance, des politiques, des contrôles et des procédures adoptées en matière de LCB-FT :
  • Identifie les éventuelles faiblesses ou insuffisances, et formule des recommandations concernant ces politiques, contrôles et procédures et leur application.

Fonction Gestion des risques :

• Doit être informée de tout élément lui permettant d’apprécier le niveau de risque (idem pour le comité des risques).

Externalisation des fonctions opérationnelles au sein du périmètre du responsable de la conformité en matière de LCB-FT[10] :

• Pas de délégation de responsabilité !
  • Annexe sur les fonctions qui ne peuvent pas être externalisées.
• Respect des conditions suivantes en cas d’externalisation :
  • Analyse ex-ante des enjeux de l’externalisation (notamment d’un point de vue technologique) et dispositif de maîtrise des risques
  • Justification de la décision d’externaliser au regard notamment du principe de proportionnalité
  • Rôle du responsable LCB-FT vis-à-vis de l’externalisation :
    • Surveillance des activités externalisées ;
    • Contrôle des activités externalisées ;
    • Droit d’accès aux bases de données clients liées à l’externalisation ;
    • Reporting à l’organe exécutif sur l’externalisation.
  • Un contrat précis et respectant les règles de conformité.
• Externalisation au sein d’un Groupe :
  • Points d’attention sur les enjeux de conflits d’intérêts :
    • Faire matrice des responsabilités des entités et les liens avec l’externalisation.
  • Renforcement de la surveillance dans le cas d’externalisation dans des pays tiers.

5.   Le rôle du responsable LCB-FT dans le cas d’un groupe[11]

Dans le cas d’un groupe[12], il est important de s’assurer de :

• La qualité du circuit d’information et de communication ;
• L’établissement d’une cartographie des risques LCB-FT pour chaque entité adaptée aux enjeux ;
• Dans le cas d’un rapport d’enquête au niveau local, la vérification de la mise en œuvre des mesures correctrices ;
• L’identification des sources de conflits d’intérêts au niveau d’un Groupe afin de s’assurer que cela ne génère pas de conflits d’intérêts ;
• L’intégration des enjeux spécifiques dans le rapport d’activité du responsable LCB-FT au niveau du Groupe :
  • Statistiques consolidées au niveau du groupe, notamment sur l’exposition au risque et les activités douteuses par lignes d’activité, zones géographiques et canaux de distribution ;
  • Tendances sectorielles des risques LCB-FT dans les filiales et les succursales, éventuellement sur la base de l’évaluation nationale des risques et d’autres sources d’information.
  • Le suivi des risques survenus dans une filiale ou une succursale, dès que possible ;
  • L’analyse de l’impact sur la conformité LCB-FT du groupe de certains risques s’ils ne sont pas atténués au niveau des filiales ou des succursales.
  • Le nombre d’examens et les faiblesses significatives identifiés dans la politique et les procédures de LCB-FT de l’opérateur du secteur financier, le nombre d’examens effectués.
  • Des informations sur le pilotage et la surveillance des filiales et des succursales, avec une attention particulière à celles situées dans des pays à risque élevé.
• L’établissement d’un lien hiérarchique direct entre le responsable de la conformité en matière de LCB-FT d’une filiale ou d’une succursale et le responsable de la conformité en matière de LCB-FT du groupe.

6.   Revue de la fonction du responsable LCB-FT par les autorités de supervision

Dans le cadre de l’approche fondée sur le risque, conformément aux lignes directrices révisées de l’ABE en la matière, l’autorité compétente doit examiner les mesures prises par un établissement pour garantir, dans le cadre de l’évaluation du risque de non-conformité en matière de LCB-FT, que le responsable satisfait aux conditions relatives à :

• L’intégrité ;
• L’expertise et ;
• La connaissance du cadre légal et réglementaire LCB-FT, soit lors de sa nomination, soit à un stade ultérieur.

7.   Conclusion

Les guidelines se suivent et confortent l’importance de bien structurer le dispositif et l’organisation liés à la maîtrise des enjeux de LCB-FT. Il y a bien évidemment un enjeu de responsabilité des instances de gouvernance qui s’appuieront de plus en plus sur un responsable LCB-FT qui joue un rôle central dans ce dispositif.

Ces dispositifs se doivent bien sûr d’être adaptés aux risques et proportionnés aux enjeux. Il n’en reste pas moins que, quel que soit la structure de l’acteur financier, le sujet doit dorénavant être systématiquement intégré dans les enjeux business.

Références

Les principales lignes directrices ABE sur LCB-FT depuis 2019

• Guidelines on the characteristics of a risk‐based approach to anti‐money laundering and terrorist financing supervision, and the steps to be taken when conducting supervision on a risk‐sensitive basis under Article 48(10) of Directive (EU) 2015/849 (amending the Joint Guidelines ESAs 2016 72) (dec. 2021)
• « The ML/TF Risk Factors Guidelines » under Articles 17 and 18(4) of Directive (EU) 2015/849 : EBA/GL/2021/02.
• EBA Guidelines on internal governance under Directive 2013/36/EU : EBA/GL/2021/05.
• Joint EBA and ESMA Guidelines on the assessment of the suitability of members of the management body and key function holders : ESMA35-36-2319 EBA/GL/2021/06.
• EBA Guidelines on policies and procedures in relation to compliance management and the role and responsibilities of the AML/CFT Compliance Officer under Article 8 and Chapter VI of Directive (EU) 2015/849 : EBA/CP/2021/31.
• EBA Guidelines on outsourcing arrangements : EBA/GL/2019/02.
• EBA Guidelines on ICT and security risk management : EBA/GL/2019/04.

À noter également sur site ACPR

• Mise en œuvre des orientations de l’Autorité bancaire européenne (EBA/GL/2021/02) abrogeant et remplaçant les orientations sur les facteurs de risque de blanchiment de capitaux et de financement du terrorisme
  • https://acpr.banque-france.fr/contenu-de-tableau/mise-en-oeuvre-des-orientations-de-lautorite-bancaire-europeenne-ebagl202102-abrogeant-et-remplacant

Autres documents sur le sujet

• European Commission’s Report on the assessment of recent alleged money laundering cases involving EU credit institutions, COM(2019) 373 final.
  • https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:52019DC0373
• EBA/RTS/2021/16-20 December 2021- on draft regulatory technical standards under Article 9a (1) and (3) of Regulation (EU) No 1093/2010 setting up an AML/CFT central database and specifying the materiality of weaknesses, the type of information collected, the practical implementation of the information collection and the analysis and dissemination of the information contained therein.

Les principales lignes directrices ACPR sur LCB-FT depuis 2019

• Lignes directrices relatives au pilotage consolidé du dispositif de LCB-FT des groupes – Mars 2020.
• Lignes directrices relatives à la lutte contre le blanchiment et le financement du terrorisme dans le domaine de la gestion de fortune – Mars 2020.
• Lignes directrices conjointes de la Direction Générale du Trésor et de l’Autorité de contrôle prudentiel et de résolution sur la mise en œuvre des mesures de gel des avoirs – Juin 2020.
• Lignes directrices relatives à l’identification, la vérification de l’identité et la connaissance de la clientèle – Décembre 2021.

Annexe

Les fonctions qui ne devraient pas être externalisées :

1. La validation de l’évaluation du risque de blanchiment et de financement du terrorisme à l’échelle de l’entreprise ;
2. L’organisation interne du système de LCB-FT ;
3. L’adoption et la révision des politiques et procédures internes de LCB-FT ;
4. L’approbation de la méthodologie d’évaluation du risque individuel, l’entrée en relation d’affaires et l’attribution du profil de risque.
5. L’établissement de critères pour détecter les transactions inhabituelles ;
6. La responsabilité de la déclaration des transactions suspectes à la CRF ;
7. L’acceptation de clients à risque élevé ; et
8. Toute autre décision qui, de par sa nature, devrait être prise au sein du secteur financier.

[1] Draft Guidelines On policies and procedures in relation to compliance management and the role and responsibilities of the AML/CFT Compliance Officer under Article 8 and Chapter VI of Directive (EU) 2015/849- EBA/CP/2021/31- 29 July 2021

[2] L’organe de direction identifient le membre de l’organe de direction qui est responsable en dernier ressort de la mise en œuvre des dispositions législatives, réglementaires et administratives nécessaires afin de se

se conformer aux exigences en matière de LCB-FT.

[3] Le cas échéant, Identification d’un cadre supérieur responsable de la LCB-FT lorsqu’aucun organe de gestion n’est en place.

[4] Il s’agit de TRACFIN en France.

[5] Dans certaines situations, lorsqu’elles sont proportionnées au risque de LCB-FT auquel l’établissement est confronté et que le droit national l’autorise, le responsable de la conformité en matière de LCB-FT

peut être situé dans une autre juridiction. Attention à l’accès aux informations compte-tenu de la localisation dans un autre état et des règles locales applicables.

[6] Telle que visée à l’article 8, paragraphe 1, de la directive (UE) 2015/849

[7]Au titre de l’obligation du responsable de la lutte contre le blanchiment de capitaux et le financement du terrorisme, prévue à l’article 33, paragraphe 2, de la directive (UE) 2015/849 de transmettre les informations visées au paragraphe 1 de cet article

[8] Conformément à l’obligation qui incombe à l’opérateur du secteur financier en vertu de l’article 46, paragraphe 1, de la directive (UE) 2015/849

[9] La fonction d’audit indépendant visée à l’article 8, paragraphe 4, point b), de la directive (UE) 2015/849

[10] Se référer également aux lignes directrices de l’ACPR relatives à l’identification, la vérification de l’identité et la connaissance de la clientèle qui précisent les enjeux d’externalisation et de tierce introduction (décembre 2021)

[11] Article 45 of Directive (EU) 2015/849

[12] On se référera au document réalisé par l’ACPR « Lignes directrices relatives au pilotage consolidé du

dispositif de LCB-FT des groupes » –

Mars 2020 https://acpr.banque-france.fr/sites/default/files/media/2020/03/16/20200316_ld_pilotage_groupe_lcb-ft_vf.pdf[:en]The European Banking Authority (EBA) had issued for consultation, in July 2021, guidelines on policies and procedures relating to compliance management and on the role and responsibilities of the compliance officer in relation to AML/CFT[1].

This document is interesting because it is quite precise on what is expected; moreover, the compliance function in relation to the AML/CFT subject is at the heart of the steering mechanism in relation to the issues at stake.

In the context of Directive (EU) 2015/849 of the European Parliament and of the Council of 20 May 2015 on the prevention of the use of the financial system for the purpose of money laundering or terrorist financing (BC-FT), it was specified that an AML/CFT compliance officer must be appointed at management[2] level. It is therefore important to understand what is expected of this role.

The following is an extract of the main elements of this consultation, which describes in part the expectations of the job description of the AML/CFT manager.

1.1.   The objectives of this consultation

The objectives are:

• Harmonise the function to make it effective across the financial sector and facilitate a common understanding of the issues;
• Clearly define the expectations regarding the role, duties and responsibilities of the AML/CFT compliance officer and the management body.

1.2.   The main elements of this guide

The key concepts in this guide are the following:

• Definition of roles and responsibilities for supervision and implementation of arrangements (commensurate with the institution’s risk profile);
• Adequacy of both human and technical resources (including skills issues);
• Relevance of information and communication channels to ensure that significant incidents are escalated to the management body, followed up and addressed;
• The content of the reports (in particular the activity report of the AML/CFT officer).

2.   Role and responsibilities of the governing body and top management in the context of AML/CFT

The guidelines specify the expectations of the persons in charge of these issues within the management body:

• Identify a member of the management body responsible for AML/CFT[3];
• Ensure that the entire management body, where it exists, is aware of the impact of BC-FT risks on the company’s risk profile;
• Be informed of the results of the company-wide BC-FT risk assessment;
• Oversee the implementation and adequacy of AML/CFT policies and procedures and take appropriate steps to ensure that corrective action is taken where necessary;
• Review the AML/CFT compliance officer’s activity report at least once a year (or more depending on the risk)
• Assess the adequacy of the human and technical resources allocated to the AML/CFT compliance officer;
  • From a quantitative and qualitative (competence) point of view ;
  • From an informational point of view (quality of the information and communication circuit).

On the roles and responsibilities of the manager at the level of the governing body, the manager should :

• Ensure that the entire management body, where it exists, is aware of the impact of AML/CFT risks on the firm’s risk profile; in particular ensure that :
  • The AML/CFT policies, procedures and internal controls are adequate and proportionate;
  • The management body has assumed responsibility for implementing the AML/CFT policies, procedures and internal controls;
  • The management body has timely and relevant risk information, as well as information exchange with the supervisory authorities and the Financial Intelligence Unit (FIU[4]);
  • Recommendations made to and approved by the governing body are subject to appropriate implementation measures.

3.   Role and responsibilities of the AML/CFT compliance officer

3.1.   The positioning of the function

Independence of the function.

Possibility of not appointing an AML/CFT officer under certain conditions.

Full-time or not (according to the proportionality principle) :

• Function of the issues ;
• Point of attention on possible conflicts of interest (if exercising other functions) ;
• Location of the AML/CFT compliance officer (normally in the country of establishment of the institution unless otherwise[5] stated).

3.2.   The main tasks of the AML/CFT Officer

3.2.1.    the challenges of the risk-based approach

Developing the risk-based approach :

• Please refer to the EBA document on risk factors to be taken into account: EBA/GL/2021/02

3.2.2.    the role in relation to the procedural framework

Ensure the adequacy of policies and procedures and their effective implementation.

And ensure continuous monitoring of the implementation of measures, policies, controls and procedures.

3.2.3.    The challenges of entering into a relationship

Follow-up of the customer relationship :

• This includes an advisory role prior to the final decision on new high-risk clients or the reclassification of existing clients into the high-risk category.

3.2.4.    Monitoring the system

In charge of the permanent monitoring of the implementation of measures, policies, controls and procedures adopted to ensure the institution’s compliance with its AML/CFT obligations.

• Effectiveness of AML/CFT controls applied by business lines and internal units.
• Ensures that the AML/CFT framework is periodically assessed and updated as necessary and in any case when deficiencies are detected, new risks emerge or the legal or regulatory framework has changed.

3.2.5.    Communication with the governing body:

Communicate as much as necessary with the management body (in particular the person in charge of AML/CFT matters) and produce at least one activity report proportionate to the scale and nature of the institution’s activities, of which we present the main elements:

• On the risk assessment of BC-FT :
  • An explicit statement of whether a company-wide BC-FT risk assessment or review [6]was required by the competent authority for the reporting year.
  • A summary of the main conclusions of the risk assessment referred to in Article 8(1) of Directive (EU) 2015/849, where such an update has been carried out in the past year;
  • A description of any changes in the institution’s methodology for assessing the risk profile of the individual customer of the business relationship, including the extent to which it is aligned with the institution-wide assessment of money laundering and terrorist financing risk;
  • The distribution of clients by risk category and date of entry into the relationship, data from the reports sent in by the business lines, including the number of files not updated.
  • A structured overview of the work carried out by the AML/CFT compliance officer during the past year, including information and statistical data on :

The nature, number and amount of unusual transactions detected;

The nature, number and amount of unusual transactions actually analysed;

The nature, number and amount of suspicious transaction or activity reports to the FIU (depending on the country where the transaction took place).

Aggregate information on customer relationships that have been discontinued/closed due to AML/CFT concerns.

Number of information requests received from the FIU ;

Number of court applications received ;

Number of orders requiring postponement of the execution of a transaction ;

Number of responses provided to the FIU and decisions taken in relation to these clients, i.e. whether the business relationship with these clients has been blocked, suspended, terminated, etc.

Summary of statistical data or key risk indicators relating to AML/CFT risks, in order to give an accurate picture of the AML/CFT risks to which the financial sector operator is exposed through its customers, countries or geographical areas, products, services, transactions or distribution channels, taking into account the revised EBA guidelines on AML/CFT risk factors.

• On policies and procedures :
  • Summary information on significant measures taken and procedures adopted during the year, including follow-up of recommendations, malfunctions and irregularities identified in the past as well as new problems and irregularities and proposed measures.
• On the controls carried out :
  • The nature and number of compliance monitoring actions undertaken to assess the application of the institution’s AML/CFT policies, controls and procedures;
  • The adequacy of the AML/CFT monitoring tools used by the institution.
• On awareness raising and training :
  • The nature and amount of AML/CFT training activities carried out, planned, not finalised, as well as the personnel involved in these training activities;
  • The training plan for the coming year to assess the adequacy of the training and education provided:

Number of hours of training per type of employee and per type of department/function and percentage of employees who have received training;

Date of participation in a seminar, title and duration of the seminar and delivery mode (i.e. e-learning, online and face-to-face) as well as names of trainers;

Whether the conference/seminar was prepared within the financial sector or delivered by an external organisation or consultants; and

Summary information on the programme/content of the conferences/seminars.

• A description of any other measures adopted by the compliance officer in relation to AML/CFT;
• Any other relevant information on the operation of the AML/CFT compliance function and on AML/CFT prevention measures that the AML/CFT compliance officer considers may be of interest to bring to the attention of the management body;
• AML/CFT Compliance Officer’s Business Plan for the following year ;
• External supervisory activities, including communications to the institution by the competent authority, reports to the management body and monitoring reports, sanctions imposed, and the manner in which the institution has fulfilled its obligations.
  • The status of corrective measures, without prejudice to any other periodic reports that may be required in the case of monitoring or corrective measures.

3.2.6.    Concerning suspicious[7] transaction reports :

• Ensure that other staff whose assistance is required for this function have the necessary skills, knowledge and ability to assist in this task;
• Take into account the sensitivity and confidentiality of the information that may be disclosed and the obligations of non-disclosure;
• Ensure the relevance and compliance with the formalism of the reporting process.

3.2.7.    Staff[8] training and awareness :

• The role of informing staff of the AML/CFT risks to which the institution is exposed, taking into account the national and international context in which it operates, as well as the reasons why it is important to reduce these AML/CFT risks.
  • Tailor-made training to inform on methods, trends and typologies of money laundering and terrorist financing, as well as the risk-based approach.
• Integration of subcontractors to whom functions have been outsourced;
• Role in identifying the specific training needed based on the following elements:
  • Persons working in the compliance function under the responsibility of the AML/CFT Compliance Officer:
    • Training should be thorough and tailored to the needs of the company.
  • Persons in contact with customers or responsible for carrying out their transactions (employees, agents and distributors):
    • The training should enable them to effectively detect unusual transactions and alert the AML/CFT officer as soon as possible, in accordance with internal procedures.
  • Persons responsible for developing procedures or software or other tools applicable to activities that are, even indirectly, sensitive to AML/CFT risk:
    • The training should enable them to adequately integrate AML/CFT issues.
  • How the training is carried out :
    • Appropriate training workshops or seminars taking into account the tasks performed by the persons concerned and their exposure to money laundering and terrorist financing risks. For
    • Role in implementing the annual training plan in conjunction with the human resources department.
      • This annual training and awareness-raising plan and its implementation should be documented in writing and included in the activity report to the governing body
    • The employees concerned must be :
      • Raised awareness of AML/CFT risks, depending on the specificities of the institution.
      • Informed of the identity and responsibilities of the member of the management body responsible for anti-money laundering;
      • Trained in internal procedures and how to recognize and handle potential AML/CFT transactions or activities;
      • Information on indicators of unusual activity, trends and typologies in the way services and products provided are used; also role of case studies.
    • Determination of evaluation indicators to check the effectiveness of the training provided.
    • The case of training provided abroad :
    • Ensure that training courses comply with the applicable legal and regulatory rules and the type of activities.
    • Case of subcontracting
      • The AML/CFT compliance officer must ensure (and document in the activity report):
        • That the subcontractor has the necessary knowledge of AML/CFT to ensure the quality of the training to be provided;
        • That the conditions for the management of subcontracting are set and respected, and ;
        • That the content of this training is adapted to the specificities of the institution.

4.   The relationship between the AML/CFT Officer and other functions

Where the AML/CFT compliance function is different from the compliance function, clarify roles and responsibilities.

The internal[9] audit function should not be associated with the AML/CFT compliance function:

• The audit function reviews and assesses the adequacy and effectiveness of the AML/CFT governance, policies, controls and procedures adopted:
  • Identifies any weaknesses or deficiencies, and makes recommendations regarding these policies, controls and procedures and their application.

Risk management function :

• Must be informed of any element enabling it to assess the level of risk (same for the risk committee).

Outsourcing of operational functions within the scope of the AML/CFT[10] Compliance Officer :

• No delegation of responsibility!
  • See Annex on functions that cannot be outsourced.
• Compliance with the following conditions in case of outsourcing :
  • Ex-ante analysis of the challenges of outsourcing (particularly from a technological point of view) and risk management system
  • Justification of the decision to outsource, in particular with regard to the principle of proportionality
  • Role of the AML/CFT Officer in relation to outsourcing :
    • Monitoring of outsourced activities ;
    • Control of outsourced activities ;
    • Right of access to customer databases related to outsourcing ;
    • Reporting to the executive body on outsourcing.
  • A precise and compliant contract.
• Outsourcing within a Group :
  • Points of attention on conflict of interest issues :
    • Matrix the responsibilities of the entities and the links with outsourcing.
  • Strengthened supervision in the case of outsourcing to third countries.

5.   The role of the AML/CFT officer in the case of a group[11]

In the case of a group[12], it is important to ensure that :

• The quality of the information and communication circuit ;
• The establishment of an AML/CFT risk map for each entity adapted to the issues at stake;
• In the case of a local investigation report, verification of the implementation of corrective measures ;
• Identifying sources of conflict of interest at a Group level to ensure that it does not generate conflicts of interest;
• The integration of specific issues in the activity report of the Group LCB-FT manager:
  • Consolidated statistics at group level, including exposure and doubtful activities by business lines, geographical areas and distribution channels;
  • Sectoral trends in AML/CFT risks in subsidiaries and branches, possibly based on the national risk assessment and other information sources.
  • Follow-up on risks in a subsidiary or branch as soon as possible;
  • Analysis of the impact on group AML/CFT compliance of certain risks if they are not mitigated at the subsidiary or branch level.
  • The number of reviews and significant weaknesses identified in the financial sector operator’s AML/CFT policy and procedures, the number of reviews carried out.
  • Information on the management and supervision of subsidiaries and branches, with particular attention to those in high-risk countries.
• The establishment of a direct reporting relationship between the AML/CFT Compliance Officer of a subsidiary or branch and the AML/CFT Compliance Officer of the group.

6.   Review of the AML/CFT Officer function by the supervisory authorities

Under the risk-based approach, in accordance with the EBA’s revised risk-based guidelines, the competent authority should review the measures taken by an institution to ensure, as part of the AML/CFT compliance risk assessment, that the person responsible meets the conditions relating to :

• Integrity ;
• Expertise and ;
• Knowledge of the AML/CFT legal and regulatory framework, either on appointment or at a later stage.

7.   Conclusion

The guidelines follow one another and confirm the importance of properly structuring the system and organisation related to the control of AML/CFT issues. There is obviously a question of the responsibility of the governance bodies, which will increasingly rely on an AML/CFT manager who plays a central role in this system.

These measures must of course be adapted to the risks and proportionate to the stakes. The fact remains that, whatever the structure of the financial player, the subject must now be systematically integrated into the business issues.

References

The main EBA guidelines on AML/CFT since 2019

• Guidelines on the characteristics of a risk-based approach to anti-money laundering and terrorist financing supervision, and the steps to be taken when conducting supervision on a risk-sensitive basis under Article 48(10) of Directive (EU) 2015/849 (amending the Joint Guidelines ESAs 2016 72) (dec. 2021)
• “The ML/TF Risk Factors Guidelines under Articles 17 and 18(4) of Directive (EU) 2015/849: EBA/GL/2021/02.
• EBA Guidelines on internal governance under Directive 2013/36/EU: EBA/GL/2021/05.
• Joint EBA and ESMA Guidelines on the assessment of the suitability of members of the management body and key function holders: ESMA35-36-2319 EBA/GL/2021/06.
• EBA Guidelines on policies and procedures in relation to compliance management and the role and responsibilities of the AML/CFT Compliance Officer under Article 8 and Chapter VI of Directive (EU) 2015/849: EBA/CP/2021/31.
• EBA Guidelines on outsourcing arrangements : EBA/GL/2019/02.
• EBA Guidelines on ICT and security risk management : EBA/GL/2019/04.

Also to be noted on ACPR website

• Implementation of the European Banking Authority guidance (EBA/GL/2021/02) repealing and replacing the guidance on money laundering and terrorist financing risk factors
  • https://acpr.banque-france.fr/contenu-de-tableau/mise-en-oeuvre-des-orientations-de-lautorite-bancaire-europeenne-ebagl202102-abrogeant-et-remplacant

Other documents on the subject

• European Commission’s Report on the assessment of recent alleged money laundering cases involving EU credit institutions, COM(2019) 373 final.
  • https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:52019DC0373
• EBA/RTS/2021/16-20 December 2021- on draft regulatory technical standards under Article 9a (1) and (3) of Regulation (EU) No 1093/2010 setting up an AML/CFT central database and specifying the materiality of weaknesses, the type of information collected, the practical implementation of the information collection and the analysis and dissemination of the information contained therein

The main ACPR guidelines on LCB-FT since 2019

• Guidelines for the consolidated management of the AML/CFT system of groups – March 2020.
• Guidelines on Anti-Money Laundering and Combating the Financing of Terrorism in the Field of Asset Management – March 2020.
• Joint guidelines of the Directorate General of the Treasury and the Autorité de contrôle prudentiel et de résolution on the implementation of asset freezing measures – June 2020.
• Guidelines on Identification, Identity Verification and Know Your Customer – December 2021.

Annex

Functions that should not be outsourced:

1. Validation of the enterprise-wide ML/TF risk assessment;
2. The internal organisation of the AML/CFT system ;
3. Adoption and review of internal AML/CFT policies and procedures;
4. Approval of the individual risk assessment methodology, entry into the business relationship and allocation of the risk profile.
5. Establishing criteria for detecting unusual transactions ;
6. Responsibility for reporting suspicious transactions to the FIU ;
7. Acceptance of high-risk clients; and
8. Any other decision which, by its nature, should be taken within the financial sector.

[1] Draft Guidelines On policies and procedures in relation to compliance management and the role and responsibilities of the AML/CFT Compliance Officer under Article 8 and Chapter VI of Directive (EU) 2015/849- EBA/CP/2021/31- 29 July 2021

[2] The governing body shall identify the member of the governing body who is ultimately responsible for implementing the laws, regulations and administrative provisions necessary to achieve the objectives of the project.

comply with AML/CFT requirements.

[3] Where appropriate, identification of a senior manager responsible for AML/CFT where no management body is in place.

[4] This is TRACFIN in France.

[5] In certain situations, where they are proportionate to the AML/CFT risk faced by the institution and permitted under national law, the AML/CFT compliance officer

may be located in another jurisdiction. Beware of access to information due to location in another state and applicable local rules.

[6] As referred to in Article 8(1) of Directive (EU) 2015/849

[7]Under the obligation of the person responsible for combating money laundering and terrorist financing provided for in Article 33(2) of Directive (EU) 2015/849 to transmit the information referred to in paragraph 1 of that Article

[8] In accordance with the obligation of the financial sector operator under Article 46(1) of Directive (EU) 2015/849

[9] The independent audit function referred to in Article 8(4)(b) of Directive (EU) 2015/849

[10] Refer also to the ACPR guidelines on identification, verification of identity and knowledge of customers, which specify the issues of outsourcing and third-party introduction (December 2021)

[11] Article 45 of Directive (EU) 2015/849

[12] Reference should be made to the document produced by the ACPR “Lignes directrices relatives au pilotage consolidé du

Group AML/CFT system” –

March 2020 https://acpr.banque-france.fr/sites/default/files/media/2020/03/16/20200316_ld_pilotage_groupe_lcb-ft_vf.pdf[:]