CryptaCount
FR
EnglishENDeutschDEEspañolESFrançaisFRItalianoIT日本語JA한국어KONederlandsNLPolskiPLPortuguêsPT
Connexion Essai gratuit

Trois lignes de défense : le modèle de gouvernance dont les sociétés crypto régulées ont déjà besoin

CryptaCount Editorial · · 7 min de lecture
LBC / KYC / AGRÉMENT Trois lignes de défense : le modèle degouvernance dont les sociétés crypto réguléesont déjà besoin

Les régulateurs de l'UE, du Royaume-Uni, des États-Unis, de Singapour, de Hong Kong, du Japon, des Émirats arabes unis et d'ailleurs ne demandent plus simplement si une société de cryptoactifs possède une politique de conformité. Ils exigent des conseils d'administration qu'ils démontrent les contrôles qui la sous-tendent, et ils attachent une responsabilité personnelle aux individus nommés dans ces contrôles. Le modèle de gouvernance qui répond à cette exigence existe déjà : c'est le cadre des trois lignes de défense que toute banque, courtier et gestionnaire d'actifs bien géré utilise depuis des années.

Trois lignes de défense : le modèle de gouvernance dont les sociétés crypto régulées ont déjà besoin

Pourquoi l'argument « La crypto est différente » est insuffisant

Une position récurrente dans l'industrie des cryptoactifs soutient que les modèles économiques natifs de la blockchain sont trop nouveaux, trop rapides ou structurellement trop inhabituels pour s'inscrire dans les cadres de gouvernance financière traditionnels. L'expérience pratique de la construction et de la gestion de fonctions de conformité en matière de criminalité financière dans des sociétés crypto régulées raconte une histoire différente.

Cet argument manque de nuance. La rapidité d'exécution est une variable réelle, mais c'est une raison pour mettre en œuvre une gouvernance plus précise, pas pour l'abandonner. Les clients institutionnels, y compris les banques, les gestionnaires d'actifs et les fournisseurs d'infrastructures de paiement, entrent dans les actifs numériques à grande échelle. Les sociétés crypto qui gagneront leur clientèle seront celles dont la structure de gouvernance est compréhensible pour un comité des risques bancaire, un auditeur externe ou un régulateur de surveillance.

Ce que les régulateurs demandent réellement

Les attentes de surveillance ont considérablement évolué. Les listages de tokens, l'exposition aux sanctions, le risque de contrepartie et la gestion de trésorerie sont désormais des points à l'ordre du jour du conseil d'administration, et non plus des questions opérationnelles. Les défaillances dans ces domaines se traduisent de plus en plus par une responsabilité personnelle pour les individus nommés, et non par un simple inconvénient institutionnel. Ce changement fait de la gouvernance structurée et documentée une nécessité commerciale, et non un simple exercice de conformité.

Les trois lignes de défense : comment elles s'appliquent à la crypto

Le cadre répartit les responsabilités sur trois niveaux distincts. Les fusionner, même partiellement, est à l'origine de la plupart des défaillances de gouvernance des cryptoactifs.

Première ligne : le métier

La première ligne couvre tous ceux qui opèrent les activités génératrices de revenus de l'entreprise : les desks de trading (carnets d'ordres et OTC), les équipes produit et de listage, et les postes en contact avec la clientèle, comme les gestionnaires de relations. Ils sont le premier point d'exposition au risque et sont responsables de son identification et de son atténuation avant qu'il n'entre dans l'entreprise. Cela nécessite une formation adéquate, des voies de remontée claires et une prise en charge quotidienne des contrôles qu'ils opèrent.

Deuxième ligne : risque et conformité

La deuxième ligne définit le cadre de risque global de l'entreprise, surveille la performance par rapport à ce cadre et maintient la vision indépendante du risque que la première ligne ne peut pas fournir sur elle-même. En pratique, ce niveau peut être structuré comme une fonction unique ou divisé en équipes thématiques couvrant la LBC/FT, les sanctions, la fraude et la déontologie, en fonction de la taille et de la complexité de l'entreprise.

Deux rôles se situent explicitement dans la deuxième ligne et portent un poids réglementaire spécifique : le déclarant en matière de blanchiment d'argent (MLRO) et le responsable de la conformité (Compliance Officer). Leurs responsabilités sont distinctes, et cette distinction compte davantage dans les sociétés de cryptoactifs qu'on ne le reconnaît souvent.

Troisième ligne : audit interne et externe

La troisième ligne fournit une assurance indépendante que les deux premières lignes fonctionnent comme prévu. Dans de nombreuses juridictions, l'obligation de maintenir une fonction d'audit indépendante est directement inscrite dans les réglementations anti-blanchiment ou les règles prudentielles générales. Elle n'est pas facultative et ne peut pas être assurée par des personnes qui siègent également dans les fonctions qu'elles examinent.

L'échec structurel : fusionner les lignes

La tentation dans les jeunes sociétés crypto est de compresser la séparation entre les lignes. Parfois, les première et deuxième lignes fusionnent en une seule équipe qui à la fois mène une activité et la supervise. Parfois, la conformité finit par prendre des décisions qui devraient appartenir au métier, ce qui supprime la responsabilité des personnes qui génèrent le risque.

Pourquoi la compression produit des résultats prévisibles

Les deux scénarios produisent le même résultat. Il n'y a plus de fonction indépendante pour remettre en question le métier, car l'équipe qui devrait le faire est soit intégrée, soit la dirige. Un cadre conçu pour détecter les problèmes par deux examens distincts s'effondre en un seul, et une seule mauvaise décision suffit pour que le risque traverse l'entreprise sans être contrôlé.

Les grandes entreprises déploient parfois des responsables conformité locaux intégrés dans les unités commerciales. C'est un modèle reconnu, mais il nécessite toujours une ligne de conformité séparée et indépendante de la ligne hiérarchique commerciale. L'intégration sans indépendance n'est pas une gouvernance de deuxième ligne ; c'est une gouvernance de première ligne avec un titre de conformité.

MLRO et Compliance Officer : pourquoi la distinction est importante

Les deux rôles se situent dans la deuxième ligne et rendent compte au conseil d'administration par l'intermédiaire du comité d'audit, des risques et de la conformité (ARCC) ou d'un comité dédié aux crimes financiers qui alimente l'ARCC. Aucun des deux ne relève de la direction commerciale. Cette ligne hiérarchique est une exigence réglementaire obligatoire dans la majorité des régimes LBC/FT mondiaux, y compris en APAC, EMEA et au Moyen-Orient.

Responsabilités du MLRO et responsabilité personnelle

Le MLRO est responsable de la LBC, du financement du terrorisme (CTF), du financement de la prolifération (CPF) et des obligations relatives aux fonds illicites, y compris les programmes KYC et KYB. La responsabilité personnelle pour ces obligations incombe au MLRO en vertu de la législation locale LBC dans la plupart des juridictions. Le rôle est généralement une fonction contrôlée nécessitant une approbation réglementaire et une évaluation d'honorabilité et de compétence couvrant à la fois le caractère et l'expérience substantielle nécessaire pour exercer la fonction. Les régulateurs au Moyen-Orient et en APAC formalisent de plus en plus la séparation entre les rôles de MLRO et de Compliance Officer dans leurs exigences d'agrément, bien que dans les petites entreprises, une seule personne puisse occuper les deux postes sans conflit.

Responsabilités du Compliance Officer

Le Compliance Officer est responsable du programme de conformité plus large : l'architecture de gouvernance, les politiques et procédures, la surveillance du marché et de la déontologie, les tests de contrôles, la formation et les rapports réglementaires. Dans les groupes opérant dans plusieurs juridictions, un responsable de la conformité (Chief Compliance Officer) siège généralement au niveau du groupe, coordonnant les entités réglementées et gérant les relations clés avec les régulateurs. Le Chief Compliance Officer ne porte généralement pas la responsabilité personnelle en matière de LBC qui incombe au MLRO local dans chaque juridiction où l'activité réglementée a lieu. Cette responsabilité reste avec le titulaire local.

Cette structure de responsabilité est directement pertinente pour la manière dont les entreprises utilisent les logiciels de comptabilité d'actifs numériques et les logiciels de tenue de livres crypto : les données produites par ces systèmes alimentent la chaîne de reporting de conformité, et celle-ci a des propriétaires nommés à chaque niveau.

Appétit pour le risque : le document qui rend tout le reste opérationnel

Un document d'appétit pour le risque (risk appetite statement) est ce qui transforme un cadre de gouvernance d'un diagramme structurel en un outil opérationnel. Il commence par la position globale de l'entreprise dans les catégories de risque non financier, y compris la conformité, la LBC/FT/CPF, les risques technologiques et opérationnels, et les catégories de risque financier telles que la liquidité, le marché et le crédit.

Structure et maintenance

Chaque catégorie reçoit une position, généralement exprimée comme tolérance zéro, faible tolérance ou tolérance moyenne avec une marge définie. Chaque position est liée à des contrôles spécifiques. Le document doit être révisé au moins annuellement et de manière ad hoc chaque fois qu'un changement important dans l'entreprise ou l'environnement réglementaire modifie le profil de risque de l'entreprise.

Lorsque l'appétit pour le risque est documenté et à jour, les décisions prises dans son cadre peuvent être rapides. Les décisions qui sortent de ce cadre doivent être signalées, justifiées ou remontées avant d'être exécutées. Sans ce point de référence, chaque décision est ponctuelle, et la rapidité avec laquelle les sociétés de cryptoactifs opèrent amplifie les conséquences d'une seule erreur. Des droits de décision définis pour les événements matériels, tels que les listages de tokens et le déréférencement de contreparties, sont un résultat direct d'un document d'appétit pour le risque fonctionnel.

Prise de décision basée sur les données et rôle de l'analyse

Une prise de décision objective et basée sur les données n'est pas un luxe dans ce cadre ; c'est le mécanisme par lequel les contrôles sont opérationnalisés de manière cohérente. Les contrôles on-chain nécessitent une couche de données structurée en dessous. Cela signifie sélectionner des fournisseurs d'analyse blockchain via un processus rigoureux et s'assurer que les résultats qu'ils produisent sont défendables devant les régulateurs, les auditeurs et les contreparties.

Notre article sur la diligence raisonnable sur la qualité des données d'analyse blockchain expose les questions que les entreprises devraient se poser avant de se fier aux données d'un fournisseur dans une décision de conformité. La qualité de ces données affecte directement l'intégrité des résultats de surveillance de la deuxième ligne et la capacité de la troisième ligne à fournir une assurance significative.

La même discipline de données s'applique aux logiciels de comptabilité crypto utilisés pour les rapports de criminalité financière. Les systèmes qui enregistrent l'activité des portefeuilles, la catégorisation des transactions et les mouvements de trésorerie alimentent directement les rapports de conformité que les conseils et les régulateurs examinent désormais. Les lacunes dans ces enregistrements créent des lacunes dans la défendabilité des preuves.

Reporting au conseil : format et cadence

Chaque juridiction réglementée exige des réunions trimestrielles du conseil, et le format reflète les meilleures pratiques de la finance traditionnelle. Les réunions commencent par l'aperçu commercial du CFO, puis passent au rapport de conformité trimestriel. Ce rapport doit couvrir la position de risque de conformité de l'entreprise par rapport à son appétit déclaré, tout événement matériel ou dépassement de seuil survenu dans la période, et les actions prises ou en attente. Le conseil n'est pas un destinataire passif de ces informations ; il est l'organe responsable de la position de risque que le rapport décrit.

Les entreprises soumises au cadre réglementaire crypto finalisé de la FCA au Royaume-Uni reconnaîtront cette cadence comme cohérente avec ce que la FCA attend des entreprises autorisées. Des attentes similaires sont intégrées dans MiCA, les directives de l'MAS à Singapour, les exigences de VARA aux Émirats arabes unis, et les cadres existants du Bank Secrecy Act et de FinCEN aux États-Unis.

Source : Elliptic

Qu'est-ce que le modèle des trois lignes de défense dans le contexte des sociétés de cryptoactifs ?

C'est le même cadre de gouvernance utilisé dans les services financiers traditionnels. La première ligne couvre les équipes métier et opérationnelles qui possèdent le risque au point d'activité. La deuxième ligne couvre les fonctions risque et conformité qui définissent le cadre et le surveillent de manière indépendante. La troisième ligne est l'audit interne et externe, fournissant une assurance indépendante que les deux premières lignes fonctionnent correctement.

Le MLRO d'une société crypto porte-t-il une responsabilité personnelle ?

Oui, dans la plupart des juridictions. Le rôle de MLRO est généralement une fonction contrôlée nécessitant une approbation réglementaire. La responsabilité personnelle pour les obligations LBC, CTF et CPF incombe à l'individu nommé, et non à l'entreprise en tant qu'institution. Les régulateurs en APAC, EMEA et au Moyen-Orient formalisent davantage cela.

Qu'est-ce qu'un document d'appétit pour le risque et pourquoi est-il important pour la conformité crypto ?

Un document d'appétit pour le risque formalise la tolérance définie de l'entreprise pour chaque catégorie de risque, les contrôles qui maintiennent cette tolérance et les seuils qui déclenchent une remontée. Sans lui, les décisions sont prises de manière ponctuelle. Avec lui, l'entreprise dispose d'un point de référence documenté que les régulateurs, les auditeurs et les membres du conseil peuvent tous interroger.

Le MLRO et le Compliance Officer peuvent-ils être la même personne dans une société crypto ?

Dans les petites entreprises, oui, à condition qu'il n'y ait pas de conflit entre les responsabilités. Les régulateurs au Moyen-Orient et en APAC formalisent de plus en plus la distinction dans les exigences d'agrément. Dans les groupes plus importants ou multi-juridictionnels, des nominations séparées sont la structure attendue, le MLRO local portant la responsabilité LBC dans chaque juridiction réglementée.

Comment le logiciel de comptabilité crypto se connecte-t-il aux obligations de gouvernance ?

Les logiciels de comptabilité d'actifs numériques et de tenue de livres crypto génèrent les enregistrements de transactions qui sous-tendent les rapports de conformité, les dossiers du conseil et les pistes d'audit. L'intégrité de ces données affecte directement la capacité de l'entreprise à démontrer les contrôles aux régulateurs et aux auditeurs. Les lacunes dans l'enregistrement comptable créent des lacunes dans la chaîne de gouvernance.

EUUKUSGénéralEn vigueurLCB-FT/KYC & Licences

Articles liés

LCB-FT/KYC & Licences
Gouvernance de l'IA dans la conformité : l'écart de responsabilité et de contrôle que les régulateurs surveillent déjà
LCB-FT/KYC & Licences
Dubai VARA dévoile un cadre pour les actifs numériques incluant l'interdiction des privacy coins
LCB-FT/KYC & Licences
Quatre centres financiers en tête de la régulation crypto
LCB-FT/KYC & Licences
Protocole d'accord NYDFS-EBA sur les stablecoins, règles VATP à Hong Kong et perpétuels de la CFTC : ce que les entreprises doivent savoir