Le Règlement n° 97-02 du 21 février
- un système de contrôle des opérations et des procédures internes ;
- une organisation comptable et du traitement de l'information ;
- des systèmes de mesure des risques et des résultats ;
- des systèmes de surveillance et de maîtrise des risques ;
- un système de documentation et d'information ;
- un dispositif de surveillance des flux d'espèces et de titres.
Concrètement, ces exigences se traduisent par la mise en œuvre de différents composants dont un dispositif de contrôle permanent des risques inhérents au traitement des opérations et un contrôle périodique de l’efficacité dudit dispositif.
Cinq conditions pour un dispositif de contrôle interne efficient
Dans les faits, les banques ont déployé ces dernières années des dispositifs de contrôle interne. Cependant, force est de remarquer que si tous les établissements ont veillé à appliquer la réglementation et si les grandes banques de réseau ont déployé des dispositifs importants, se pose encore sur le terrain la question des rôles respectifs, des périmètres et complémentarités et de l’économie de l’ensemble. En effet, l’existant a été retouché et surtout complété en tenant compte des impulsions du régulateur, sans toujours beaucoup de cohérence et d’efficience, rajoutant des couches se superposant et laissant cependant des zones sans contrôles suffisants. Les banques de plus petite taille ont plutôt déployé des dispositifs a minima, avec, quand ils existent, un contrôle permanent et un contrôle périodique réalisés par une même entité, voire une même personne, de grands périmètres sans contrôle… et très peu de contrôles réalisés par les personnels opérationnels.
Le déploiement d’un dispositif de contrôle interne efficient passe par cinq conditions. La première est de bien différencier les responsabilités des trois lignes de défense, en attribuant un rôle clair pour chacun et pour tous.
Bien différencier les responsabilités des trois lignes de défense
Le contrôle permanent recouvre les contrôles au quotidien réalisés par les opérationnels et leur hiérarchie dans le cadre du traitement des opérations (premier niveau) et par le contrôle interne, la gestion des risques et le contrôle de la conformité (deuxième niveau).
Le contrôle de premier niveau (première ligne de défense : mener l’activité en gérant les risques) recouvre tous les aspects de la gestion des processus sur le terrain de la conception raisonnée et sécurisée des traitements (hommes, procédures et systèmes), et les autocontrôles exercés par les opérationnels sur leurs opérations-transactions. Il est du ressort des directions opérationnelles, commerciales et financières. Il recouvre également les contrôles indépendants exercés par d’autres opérationnels (middle office et back office, contrôles croisés…) et les contrôles hiérarchiques, ciblés sur les points les plus délicats, exposés ou volatils, exercés par l’encadrement. En effet, la hiérarchie assure le management opérationnel des contrôles de premier niveau (analyse de risque, proposition de contrôles de premier niveau, documentation et mise à jour des procédures, recherche des validations nécessaires, attribution/formation/surveillance des contrôles de premier niveau, enregistrement et analyse des incidents, exploitation des reportings des risques et de contrôle de second et troisième niveaux), et le cas échéant, conception, mise en œuvre et compte rendu des actions de réduction de risque.
Le contrôle de deuxième niveau (deuxième ligne de défense : mesurer et surveiller les risques) recouvre les contrôles exercés par des fonctions de contrôle permanent indépendantes des entités, et d’après la réglementation dédiées à ces tâches. L’objectif est de tenir à disposition des managers opérationnels, de la direction et de la gouvernance, une photo d’ensemble du fonctionnement du dispositif de contrôle interne, soit sur les opérations elles-mêmes (analyse de la nature et des conditions de réalisation de certaines opérations), au fil de l’eau ou dans le cadre de l’analyse d’alertes développées au sein du dispositif de contrôle interne ou d’enquêtes appropriées à la compréhension d’incidents éventuels, à leur remédiation et à leur suivi. Le plan de contrôle annuel est proposé à la direction de la banque.
Le contrôle périodique permet de prendre un certain recul et recouvre les contrôles de troisième niveau réalisés a posteriori par l’audit et par les autorités de tutelle.
Le contrôle de troisième niveau (troisième ligne de défense) est assuré par l’audit interne qui conduit des missions d’investigation dans tout domaine, résultant soit du plan d’audit (listes d’investigations jugées pertinentes eu égard à une analyse d’activité, d’organisation et de risques menée par l’audit interne et réparties « sur le plus petit nombre d’exercices possibles » comme le demande la réglementation), soit d’une demande de la gouvernance (Comité d’audit, Conseil de surveillance, conseil d’administration… là où le contrôle permanent relève de la direction générale).
Il est également assuré par les autorités de tutelle, l’AMF et l’ACPR ou par des corps de contrôle externes prévus par la loi. C’est le cas des Commissaires aux comptes chargés de vérifier la régularité et la sincérité des comptes annuels et la bonne application de certaines dispositions du droit des sociétés (égalité des actionnaires…). Le plan d’audit est ainsi préparé par les experts du contrôle périodique pour adaptation-validation par les organes de gouvernance de la banque.
Disposer de référentiels et d’outils partagés
La deuxième condition consiste à disposer de référentiels et d’outils partagés ; parler le même langage permet de mieux se comprendre
Cinq référentiels et cinq listes : partager idées, méthodes et repères
En matière de référentiels, l’expérience montre qu’ils doivent être au nombre de cinq :
- un référentiel des processus ;
- un référentiel des activités ;
- un référentiel des entités ;
- un référentiel des risques ;
- un référentiel des types de contrôles.
- la liste des personnes habilitées à mettre à jour un référentiel ;
- la liste des personnes habilitées à saisir un incident ;
- la liste des personnes habilitées à saisir/valider le résultat d’un contrôle ;
- la liste des personnes habilitées à consulter une donnée ;
- la liste des personnes habilitées à éditer des reportings managériaux ou réglementaires.
Un outil partagé de type eGRC : partager les faits et l’action
Par ailleurs, le dispositif doit s’appuyer sur un socle technique solide facilitant la couverture appropriée des périmètres de risques. Par exemple, la connaissance du résultat des contrôles de premier niveau par le deuxième niveau permet d’orienter le plan de contrôle annuel ; la connaissance du résultat des contrôles de deuxième niveau permet au troisième niveau d’éviter de refaire des tests déjà réalisés mais plutôt de s’appuyer sur eux. La connaissance partagée de la cartographie des risques par les trois niveaux permet de concevoir des plans de contrôles centrés sur les enjeux et également complémentaires. La connaissance des incidents déclarés permet de déclencher des missions de contrôle et/ou d’audit ; la connaissance partagée des actions mises en œuvre par le premier niveau suite aux demandes/recommandations des deuxième et troisième niveaux permet de connaître les progrès réalisés au fil de l’eau. Tout cela se traduit par plus de cohérence, d’efficacité et d’efficience. Voir les relations entre les composants (faire les bons liens c’est avoir l’intelligence du dispositif), répartir les tâches entre les acteurs, faire la synthèse, détailler par acteur, processus, risque, réglementation… aller aisément et en cohérence de l’analyse à la synthèse, c’est cet ensemble qui rend l’outil partagé nécessaire.
Bénéficier d’une direction générale exemplaire
En matière de management, rien ne vaut l’exemplarité. Cela est vrai naturellement en matière de dispositif de contrôle interne. Dans notre expérience, seules les directions générales possédant une appétence pour le management par les risques, disposant d’une connaissance fine des risques supportés par leur établissement et prenant en compte ceux-ci dans les décisions de gestion de leur niveau, peuvent espérer que cette façon de faire fera tâche d’huile au sein des équipes opérationnelles. Si cela n’est pas le cas, les équipes de deuxième niveau, malgré leur bonne volonté, ne peuvent être efficaces, et celles de troisième niveau n’auront pas d’autorité.
Acculturer les responsables métier et leurs équipes
L’appropriation du dispositif : un enjeu culturel
Le contrôle des activités bancaires est de la responsabilité des personnels opérationnels et de leur hiérarchie. Cela semble une évidence, mais notre expérience montre que, dans les faits, les banques en sont à des niveaux divers d’acculturation de leurs équipes au risque. Dans certaines banques, les opérationnels disent clairement que cela n’est pas de leur responsabilité, qu’ils ne sont pas payés pour faire du contrôle. Ces mêmes personnes dénoncent par ailleurs le fait que des contrôles soient réalisés par les fonctions spécialisées, d’autant plus nombreuses que les contrôles de premier niveau sont défaillants… Dans d’autres banques, les personnels opérationnels et leurs hiérarchies remplissent mieux ce rôle au quotidien et les fonctions de deuxième et troisième niveaux s’en trouvent automatiquement allégées…
Exemplarité, perspective et mode opératoire
Nous l’avons dit, l’exemplarité de la direction générale est indispensable. La tonalité est vite perçue. Les points d’importance se mesurent à la réaction des dirigeants. Cependant, elle n’est pas suffisante et c’est de la responsabilité des contrôleurs de deuxième niveau que de diffuser sans cesse les bonnes pratiques auprès des personnels opérationnels, et leur hiérarchie. L’orientation est là mais l’interprétation, l’adaptation au cas chacun est et reste délicate. Le contrôle permanent propose des normes, rythme et accompagne les exercices… et assure un feedback concret au travers de ses contrôles. Mais le cap est-il tenu si l’on est concentré sur la manière de ramer ? L’audit interne compare périodiquement les pratiques aux normes, aux instructions et aux meilleures pratiques de place. Elle donne une perspective qui complète le dispositif de guidage.
Revoir le dispositif annuellement
Un dispositif de contrôle interne correspond à une situation à un moment donné. Il est donc nécessaire de le revoir périodiquement avec les métiers et notre expérience montre qu’une fréquence annuelle est nécessaire et suffisante. Cette revue, qui doit être conduite par le contrôle de deuxième niveau, doit prendre en compte les résultats financiers de la banque, les incidents déclarés dans les 12 derniers mois, les modifications concernant les organisations et l’offre commerciales… Cette revue débouche sur de nouveaux risques à mettre sous contrôle par les trois niveaux, des modulations des dispositifs de contrôle, ou des suppressions de contrôles existants. L’audit interne vérifiera que la démarche est faite et bien faite.
Jouer la complémentarité
En matière de dispositif de contrôle interne, la complémentarité entre le contrôle permanent et le contrôle périodique est donc évidente, et rentable… à condition que les cinq conditions soient réunies !
