Selon le niveau de risques qui lui était attribué, le GFI devait présenter une gestion des risques et de la conformité indépendante des fonctions génératrices de revenus. A défaut, il se voyait imposer une réorganisation de ces fonctions par la FINMA dans la procédure d’autorisation. Concrètement, cela impliquait de déléguer ces fonctions à un prestataire, d’y allouer un collaborateur, voire de recruter un risk & compliance officer. A teneur de la décision d’autorisation, le niveau de risques associé au GFI n’est pourtant indiqué nulle part.

L’approche impacte en premier lieu les fonctions de contrôle. L’ordonnance d’application de la LEFin prévoit que les GFI comptant plus de cinq postes à plein temps ou réalisant un produit annuel brut supérieur à deux millions doivent présenter une gestion des risques et de la conformité indépendante. A ces gros GFI sont assimilés ceux dont le modèle d’affaires présente des « risques élevés ». Aucune précision n’est fournie quant à cette dernière notion.

Du niveau des risques dépend également la composition du conseil d’administration, ainsi que son coût pour le GFI. La FINMA peut demander un conseil majoritairement indépendant lorsque le GFI comporte au moins dix emplois temps plein ou réalise un produit brut annuel de plus de cinq millions. Elle peut aussi le demander dès lors que « le genre et l’étendue de l’activité » le requièrent. Outre le cas des gros GFI, cette règle se réfère encore une fois au niveau de risques rattaché à l’établissement.

Pas de « one size fits all”

Un des objectifs de l’approche basée sur les risques était de ne pas imposer aux plus petits GFI une structure lourde, des fonctions Risques et Compliance voire un conseil d’administration indépendants. L’on se rappellera le principe « not one size fits all » avancé par la FINMA. La taille et la masse sous gestion restent toutefois des paramètres parmi d’autres dans l’approche en risques.

Une fois l’autorisation FINMA obtenue, la fréquence des audits dépendra encore du niveau de risques. Le niveau attribué lors de la délivrance de l’autorisation ne coïncide pas nécessairement avec celui retenu après un ou plusieurs exercices annuels. En effet, des facteurs d’atténuation ou d’augmentation du risque interviennent post autorisation. Ces facteurs ne se limitent pas aux irrégularités constatées ultérieurement, imprévisibles lors de la délivrance de l’autorisation.

Dans l’exercice de l’audit, l’approche en risques détermine l’étendue des travaux et le coût de l’audit. Les petits GFI seront à cet égard moins épargnés s’ils ne peuvent se permettre des mesures de mitigation du risque. L’on songera notamment à un PMS ou CRM, afin de vérifier la conformité entre le portefeuille et la stratégie de placement ou de détecter les relations à risques accrus.

Limites de l’approche en risques

L’organisme de surveillance peut porter la fréquence des audits à une fois tous les quatre ans au plus, en fonction de l’activité de l’assujetti et des risques correspondants. Un audit tous les quatre ans peut surprendre, dès lors que les cycles n’excé­daient le plus souvent pas deux ans sous les OAR.

Les rapports d’audit prennent la structure d’un triptyque incluant la LBA, les règles de comportement LSFin, ainsi que les principes de gouvernance LEFin. Pour les trustees qui ne font pas de gestion de fortune, la section LSFin peut être ignorée mais un risque initial est rattaché à l’activité. A chaque volet du triptyque est associé un niveau de risques appelé rating partiel. Approche conservatrice oblige, un rating global est attribué au GFI en retenant le moins favorable des ratings partiels. Ce n’est que sur la base d’un rating global favorable que le GFI peut prétendre à un cycle pluriannuel. Ainsi, pour un audit tous les quatre ans, le GFI doit présenter un risque faible tant du point de vue de la LBA, que de ceux de la LSFin et de la LEFin. Nous verrons si d’aventure les cycles tri voire quadri-annuels trouvent une quelconque application en pratique.

Reste la question de la pertinence des ratings partiels. A teneur des sections LBA et LSFin des rapports d’audits, un contrôle par échantillonnage est requis. L’étendue de l’échantillon dépendra du niveau de risque associé à la section correspondante du rapport. A ce niveau-là, les petits GFI risquent de se heurter à des seuils (échantillon minimum) qui ne seront peut-être pas atteints.

Enfin, la fréquence attendue des contrôles à réaliser par le GFI dépend également des risques associés à l’établissement. Si ce dernier n’est pas au clair sur le niveau de risques qui lui est attribué, il paraît délicat d’arrêter la fréquence de chaque opération de contrôle dans l’organisation interne.

Vers des critères accessibles voire une classification contradictoire

Les critères de risques communiqués jusqu’à présent le sont à titre exemplatif ou au détour d’un formulaire. L’on songera au recours à des banques dépositaires dans des juridictions offshore pour la LBA, à des produits « maison » sous l’angle de la LSFin ou encore à des mandats d’organe, d’un point de vue LEFin. Aucune approche systématique en risques, segmentée entre LBA, LSFin et LEFin n’est ouvertement accessible. Cette segmentation existe pourtant ; preuve en est l’usage des ratings partiels. Révéler les éléments essentiels ne priverait pas les acteurs de la surveillance de les faire évoluer. D’aucuns pourraient être tentés de manipuler ces paramètres. Si cette évolution a pour corollaire de réduire le niveau de risques rattachés au GFI, l’objectif de protection de l’investisseur serait pour partie atteint.

En termes de coûts (audits, prestataires…), les conséquences de cette approche basée sur les risques paraissent suffisantes pour que les GFI appellent à moyen terme à plus de contradictoire dans la classification de leurs établissements. En cas de contestation liée par exemple à un refus d’autorisation, la procédure administrative fédérale est restrictive quant à la possibilité de barrer l’accès à certains éléments d’un dossier. Dans le cadre de la surveillance courante dévolue aux OS, des critères de risques accessibles seraient susceptibles d’atténuer une éventuelle responsabilité en cas d’erreur dans le rating. En se désintéressant du traitement qui lui est réservé alors qu’il y a accès, le GFI ou son auditeur contribuerait à la survenance d’un préjudice qui s’annonce par ailleurs difficile à chiffrer.

Henri Corboz

PBM Avocats

Henri Corboz est avocat, responsable Règlementation et Conformité auprès de PBM Avocats. Il intervient sur des sujets réglementaires, de compliance et dans des contentieux connexes. Il intervient encore dans la structuration de fonds d’investissement, ainsi que dans le domaine des trusts.

Henri a été responsable Suisse romande de l’OS – AOOS durant la phasé clé des autorisations entre 2021 et 2023. Précédemment, il a pratiqué au barreau avant de rejoindre, en 2011, le pôle Marché des Capitaux de Crédit Agricole (Suisse). En 2014, il devient Head Legal & Compliance d’un gestionnaire de placements collectifs, avant de rejoindre un cabinet implanté à Genève, Paris et Luxembourg en 2015. En 2017, il retrouve CA Indosuez (Switzerland) où il a mis en œuvre l’EAI, l’entraide FATCA et la conformité QI.