Organisation du contrôle interne : vers un rapprochement entre risques et contrôles pour répondre aux nouveaux enjeux

Les nouveaux enjeux dans la banque doivent aussi être l’occasion de repenser la manière de mettre en œuvre la maîtrise des risques. Le contrôle interne des établissements de crédit doit en profiter pour adopter une répartition des tâches plus claire, modulaire et efficace. Cette nouvelle organisation ne réduit pas obligatoirement les coûts, mais elle procure au moins une meilleure utilisation des ressources existantes.

1. niveaux de responsabilité et acteurs du contrôle interne

L'auteur

Pour en savoir plus

images
  • 2. regroupement des risques en catégories, puis en familles

    2. regroupement des risques en catégories, puis en familles

  • 3. construire une cartographie des risques modulaire et adaptée à l’usage

    3. construire une cartographie des risques modulaire et adaptée à l’usage

  • 4. organisation cible

    4. organisation cible

Revue de l'article

Encore beaucoup d’établissements en France se contentent de transposer directement le règlement CRBF 97-02 pour organiser leur contrôle interne. Il s’est ainsi créé une série de fonctions dans les domaines risques-contrôles au gré des ajouts apportés au texte qui, certes, décrit un ensemble de risques à surveiller, mais sans apporter de modalités précises sur le « qui fait quoi » ou sur le « comment ». En l’absence de procédures internes suffisamment structurantes, cette situation débouche trop souvent sur un manque de résultats effectifs et une mauvaise utilisation des ressources. Dans une époque qui voit les marges des banques se réduire, les besoins de maîtrise des risques, eux, continuent néanmoins à croître. Est-ce donc le moment de mener une telle révision ? La réponse est oui. Et pour aller vers quelle cible ? C’est l’occasion de migrer vers un organigramme simplifié, modulaire, avec des attributions claires des responsabilités, en vue des évolutions réglementaires ou économiques qui se profilent. Si cela ne réduit pas obligatoirement les coûts, on obtiendra une meilleure utilisation des ressources existantes.

L'organisation implicite issue du règlement 97/02

Coller à la forme du règlement 97/02 ne garantit pas que l’on en respecte l’esprit. Tant qu’il n’existait que deux catégories d’acteurs (les auditeurs et les opérationnels), l’organisation était simple : à côté de l’audit qui « faisait » du contrôle interne à temps plein, on trouvait bien quelques autres fonctions contribuant fortement à la maîtrise du risque (notamment les services comptables ou les engagements), mais chacun savait clairement ce qu’il avait à faire.

À partir de l’arrêté modificatif du 31 mars 2005, avec l’obligation de désigner de nouveaux acteurs (contrôle permanent distinct du contrôle périodique, conformité), la situation se complique. Ceci est d’autant plus vrai que les établissements avaient déjà auparavant constitué une fonction « risques » (anticipant la réforme Bâle II avec trois composants : risque de crédit, de marché et risque opérationnel), qui assurait déjà une forme de contrôle permanent et de surveillance du risque de non-conformité.

Lorsqu’il existe aussi des prestations de services d’investissement, un RCSI [1] (et dans certains cas, un contrôle dépositaire) vient s’ajouter à la liste. Enfin, et sans que leur existence ne soit obligatoire réglementairement, certains ont aussi créé une fonction de RSSI [2], un contrôle comptable indépendant des structures précédentes, voire une fonction « qualité » réalisant parfois des tâches dévolues habituellement aux risques ou aux contrôles !

L’arrêté du 9 janvier 2010 prévoyant la formalisation de la filière risques, avec un responsable aux missions élargies, vient compléter cette série d’obligations (voir Schéma 1).

Par rapport à l’étranger, la coexistence de deux approches du contrôle interne contribue aussi à maintenir un flou :

  • l’une anglo-saxonne limitée à des principes généraux (et qui a fortement inspiré Bâle)
  • l’autre française, avec des obligations plus détaillées et des concepts spécifiques : c’est ainsi par exemple que les Anglais ou les Américains ne connaissent pas la notion de « contrôle permanent » ou de texte structurant de type 97-02 (les textes Sarbanes-Oxley n’étant pas vraiment comparables).

L'organisation traditionnelle risques-contrôles n'est plus adaptée

L’expérience de ces dernières années fait apparaître des faiblesses, avec souvent une duplication des travaux ou une non-couverture de certains risques. Elle peut aussi amener une frustration au sein des équipes ainsi qu’une mauvaise compréhension de la part des services opérationnels qui ne savent pas qui fait quoi. Ainsi peut-on observer, dans des banques de toutes tailles :

Des efforts isolés et une coordination insuffisante. L’organigramme des fonctions risques-contrôles (regroupées dans l’ensemble « contrôles de 2e niveau » dans le Schéma 1) se présente souvent sous forme d’un râteau, dans lequel chacun opère de façon isolée, avec une coordination limitée. Pourtant, certains chantiers majeurs tireraient bénéfice d’une transversalité forte ; c’est le cas de la refonte du KYC [3], de la lutte antiblanchiment, d’une cartographie des risques vraiment exploitable, etc.

Une logique de tâches qui ne permet pas d’assumer une responsabilité réelle. Les périmètres d’action sont découpés par natures de tâches, de pair avec une lecture littérale du règlement 97/02 : les uns font du contrôle permanent (normalement sur toute la banque), tandis que d’autres font de la surveillance et du contrôle des risques. Le problème est que l’on ne peut pas vraiment séparer les contrôles effectués des risques eux-mêmes : on ne contrôle une activité que pour veiller à la maîtrise des risques et la fonction risque ne peut se faire une opinion complète qu’au vu des résultats de contrôles effectués… la boucle est bouclée. Le processus de contrôle interne est donc découpé sans qu’aucune fonction ne puisse avoir une vision compète du risque ni en assumer une responsabilité véritable (à moins de doublonner, ce qui est souvent le cas dans la réalité).

Une vigilance par risque redondante à cause de définitions de risques qui se chevauchent et des équipes qui se neutralisent. L’option logique est de se répartir la surveillance selon la nature des risques. Or, les périmètres réglementaires eux-mêmes divergent ou sont imprécis. Malgré une convergence progressive, les natures de risque sont plus nombreuses dans la réglementation française (entre une douzaine et une vingtaine selon la manière dont on les identifie) que dans les textes bâlois (trois risques). Au sein même du découpage français, les risques ne sont souvent pas indépendants les uns des autres : il existe une perméabilité, un chevauchement ou plusieurs interprétations possibles. Ainsi, la séparation entre l’engagement et la validation (que d’aucuns appellent « contrôles 4 yeux ») est-elle d’origine réglementaire ou de bon sens contribuant à maîtriser le risque d’erreur, de fraude ou de crédit ? De même, en s’appuyant sur Bâle, le risque de nature réglementaire fait partie du risque opérationnel, alors qu’il est clairement isolé et affecté à un responsable différent dans le règlement 97/02.

Il existe bien sûr d’autres interrogations de périmètre, comme la distinction entre conformité réglementaire et le risque juridique, la localisation du contrôle comptable, la coordination entre la conformité bancaire et le RCSI (dans le cas de prestations de service d’investissement)… mais toutes ne peuvent être traitées ici.

La nouvelle cible : une attribution claire des responsabilités…

Avec le nombre et la complexité croissante des risques à surveiller, en particulier dans un établissement multiactivité, il s’agit de mettre à plat l’organisation existante et concevoir la solution la plus pragmatique qui permette de répondre aux besoins concrets de maîtrise des risques, qu’ils soient de nature interne ou réglementaire.

Après une analyse des risques subis par la banque, la démarche proposée consiste à attribuer la responsabilité complète d’un risque à un « pilote de risque » unique, en décloisonnant la distinction précédente (contrôle permanent/conformité/risques, etc.). Ainsi, chaque pilote de risque, avec son équipe, aura à assurer l’ensemble des travaux répartis auparavant entre plusieurs services : identification du risque, mesure, évaluation, gestion des limites, sensibilisation des opérationnels, contrôle d’application, actions correctives, reporting.

…selon des familles de risques homogènes

Les étapes du chantier sont les suivantes :

  • l’identification des risques réellement subis par la banque, en les regroupant par catégories selon la nomenclature utilisée par le règlement 97/02 et complétées par des risques spécifiques ou assimilés. Ces risques sont à moduler par rapport à son activité et son contexte ;
  • le regroupement des catégories de risques en grandes familles homogènes. Celui-ci se fait entre des risques de natures proches en termes d’objectifs, de méthodes de gestion ou de compétences requises : par exemple, il est opportun de regrouper le risque de taux, le risque de liquidité et le risque de solvabilité, ou le risque LAB-FT avec le risque de fraude, ou encore de rapprocher la partie surveillance maîtrise du risque de non-conformité avec le risque opérationnel, etc.
  • l’attribution de la responsabilité des familles de risque à des pilotes en charge. Ce pilote (seul ou à la tête de son équipe, selon la taille de l’établissement) aura à coordonner des travaux réalisés par d’autres services de la banque et à mener des travaux en propre. Un pilote pourra suivre plusieurs familles de risque. Outre les aspects de frais généraux, l’établissement pourra ainsi bénéficier d’un meilleur rendement d’échelle avec une mutualisation des ressources, tant des collaborateurs que des outils. La limite provient plutôt de la compétence technique et de la polyvalence des équipes.

Pour pallier les inconvénients

On obtient ainsi une organisation de type vertical en silo par familles de risque (voir Schéma 2), au lieu de l’organisation précédente de type horizontal par tâches. Mais cette organisation en silo comporte elle-même trois défauts majeurs :

  • une vision isolée des risques alors qu’il existe des interdépendances ;
  • un risque de perte de la vision globale ou des priorités ;
  • un risque de multiplication de dispositifs différents, chacun construisant son système avec une mauvaise utilisation des ressources et un déficit de cohérence globale.

Des mesures pourront palier ces inconvénients.

Les contrôles sur place sont mutualisés. Pour éviter des mouvements et des sollicitations inutiles vis-à-vis des opérationnels, les contrôles sur place ont intérêt à être réalisés par une seule équipe, constituée généralement par les ex-contrôleurs permanents. Ils disposent déjà de la technicité et du savoir-faire en matière de contrôle, de procédures, de maîtrise des risques opérationnels et de non-conformité. Selon la taille et l’historique de la banque, les contrôles suivants pourraient éventuellement rester distincts, car suffisamment spécifiques : contrôle des engagements, contrôle des opérations de marché, contrôle informatique et contrôle comptable.

Cette unicité du contrôle sur place permettra de déployer une démarche cohérente au sein de la banque, ce qui donnera aussi une image claire vis-à-vis des opérationnels. Le responsable des contrôles permanents sur place établira son plan de contrôle en accord avec les différents pilotes de risques et ceux-ci exploiteront les résultats des contrôles.

La transversalité et la cohérence d’ensemble sont assurées par un responsable unique. Il s’agira assez logiquement du responsable de la filière risque évoqué dans l’article 11-8 du règlement 97/02. Pour éviter toute confusion, celui sera désigné par la suite comme « directeur de la maîtrise des risques », avec une responsabilité hiérarchique sur les différents pilotes de risque et les équipes. Il fixe le cadre général d’intervention et arbitre le cas échéant entre les différents pilotes de risque. Comme le prévoit le règlement 97/02, il rend compte directement à l’organe exécutif s’il n’en fait pas déjà partie.

Un jeu de cartographies des risques adaptées aux différents usages est établi. Pour permettre à un pilote de gérer ses priorités et de suivre l’évolution de ses risques, il peut être utile de construire autant de cartographies que de besoins spécifiques (par exemple, une cartographie pour la LAB/FT + fraude) et à caractère très opérationnel. Tout en respectant un canevas commun, le pilote pourra ainsi l’adapter à son activité et choisir, par exemple, le niveau de granularité qui lui sera utile, sans pénaliser les autres pilotes de risque.

Ces cartographies « métier » détaillées sont coiffées d’une cartographie consolidée qui donne une vision synthétique des risques de la banque (voir Schéma 3). Celle-ci est à la main du directeur de la maîtrise des risques et à usage de reporting ainsi que de vecteurs d’alertes destinés notamment aux organes de direction.

Enfin le contrôle périodique, avec l’audit-inspection, veille au bon fonctionnement de ce dispositif en tant que contrôle de 3e niveau. Plus que jamais, il constitue un rouage essentiel pour informer l’organe exécutif et surtout l’organe délibérant (voir Schéma 4).

Il n’est pas inutile de rappeler que la mission et l’approche méthodologique de l’audit-inspection ont évolué eux aussi (ou doivent évoluer) avec l’avènement d’un contrôle permanent de 2e niveau. On voit encore trop souvent des audits qui continuent à se limiter à effectuer des contrôles d’application sur pièces, c'est-à-dire du « contrôle permanent », mais réalisés périodiquement ! Leur valeur ajoutée est ailleurs et les contrôles sur pièces doivent servir à alimenter une appréciation et non constituer une fin en soi.

Les autres conditions de réussite

Enfin, pour accompagner cette mutation, il existe plusieurs conditions de réussite :

  • une conviction et un engagement fort des organes de direction ;
  • une charte de contrôle interne structurante et suffisamment explicite ;
  • le partage d’un même canevas de procédures dans toute la banque, depuis les instructions permanentes émises par la direction générale jusqu’aux modes opératoires dans les services ;
  • la généralisation au sein de tous les services – qu’ils soient opérationnels ou fonctionnels – d'un ensemble de contrôles permanents homogènes (mais pas identiques) et formalisés ;
  • l'obligation de réaliser et de formaliser des contrôles permanents de 1er niveau par les services opérationnels ;
  • un partage clair des missions entre les contrôles de 2nd niveau (c'est-à-dire les pilotes de risque et le directeur de la maîtrise des risques) et le contrôle périodique ;
  • l'investissement dans une base informatique puissante – de type datawarehouse – qui permettra aux pilotes de risques de bénéficier de données de pilotage utiles et de les partager ;
  • l'acquisition, lorsque la taille de l’établissement ou la diversité des activités le justifie, d'un progiciel de contrôle interne. Ce type d’outil permet de faciliter notamment la mise à jour de la cartographie des risques, la gestion des contrôles permanents, la collecte des pertes ainsi que les reportings.

Pour une prochaine évolution de la réglementation

Cette mise à plat de l’organisation des fonctions risques-contrôles est également l’occasion de (re)mettre à l’ordre du jour deux réflexions pour le régulateur. Elles pourraient clarifier le fonctionnement de la gouvernance et répondre plus complètement aux attentes de l’ACP.

La première consiste à harmoniser le rôle des deux corps de contrôle avec le rôle des deux organes de direction, en rattachant le contrôle périodique à l’organe délibérant : il existe bien, en théorie, une distinction entre les missions du corps de contrôle permanent de 2e niveau et celles du contrôle périodique de 3e niveau. En réalité, même s’ils adoptent des optiques différentes, tous deux ont la même finalité : veiller à la maîtrise des risques. Les deux corps dépendent généralement (car il existe quelques exceptions) à la même personne : le directeur général.

Cela finit par présenter deux écueils :

  • le directeur général a bien deux oreilles, mais il n’a qu’une seule tête… et un intérêt unique. Il lui est difficile d’écouter, à la fois, son directeur de l’audit-inspection et son directeur de la maîtrise des risques, comme il lui est encore plus difficile d’être le responsable d’une action tout en étant aussi un censeur objectif…
  • l’organe délibérant, tout comme dans les entreprises industrielles, a pour rôle de fixer la stratégie et de contrôler l’exécutif. Or, il n’a aucune source d’information indépendante puisque tous les reportings lui parviennent, soit de l’exécutif lui-même, soit des deux corps de contrôle qui dépendent hiérarchiquement de l’exécutif.

Ne serait-il pas temps de rattacher clairement le contrôle périodique à l’organe délibérant ? Cela permettrait non seulement de doter l’organe délibérant d’un canal d’information privilégié, mais aussi au responsable du contrôle périodique – plus indépendant et donc certainement plus efficace – de faire plus pleinement son travail.

Actualiser le règlement 97-02 pour le rendre plus facilement applicable

La deuxième suggestion serait de réécrire le règlement 97/02 en adaptant sa forme aux objectifs actuels du régulateur : le document date de plus de 15 ans et sa structure générale a vieilli. Les ajouts successifs (de chapitres, d’articles, d’alinéas et de tirets) ont fini par rendre sa compréhension difficile : pour les établissements… et peut-être aussi pour les contrôleurs de l’ACP chargés d’en veiller au respect. Une réécriture permettrait aussi de mettre plus fortement en cohérence les règles internationales avec les mesures supplémentaires spécifiques à la France. Et peut-être serait-ce également l’occasion de rédiger un « 97/02 » pour l’assurance ou même commun entre banque et assurance ?



[1] Responsable de la conformité pour les services d'investissement.

[2] Responsable de la sécurité des systèmes d’information.

[3] Know your client.

 

Articles du(des) même(s) auteur(s)

Sur le même sujet