Contrôle interne : mettre en place un dispositif adéquat dans les établissements de taille moyenne

Parmi les règles de gouvernance des établissements bancaires, le CRBF 97-02 constitue la pierre angulaire en termes de contrôle interne. Il indique dans son article 1^er que « les entreprises assujetties veillent à mettre en place un contrôle interne adéquat en adaptant l'ensemble des dispositifs prévus par le présent règlement à la nature et au volume de leurs activités, à leur taille, à leurs implantations et aux risques de différentes natures auxquels elles sont exposées ». Il présente donc ce que chaque établissement doit notamment mettre en place dans son dispositif de gouvernance, à savoir :

• un contrôle des opérations ;
• un dispositif de conformité ;
• une filière « risques ».

L’Autorité de contrôle prudentiel (ACP) s’assure que ces principes sont réellement existants et n’hésite pas, en cas de défaillance de ce dispositif, à prononcer certaines sanctions lourdes. Ainsi un établissement a pu être sanctionné par un blâme et une sanction pécuniaire de 700 000 euros parce que son dispositif de contrôle interne défaillant a eu pour conséquence de «  durablement [priver] la direction de la banque des informations nécessaires pour […] maîtriser la conduite [des manquements constatés] ». Les organes dirigeants n’ont pas pu faire valoir l’«  absence d’implication et de diligence [du] directeur de contrôle général » au regard de leur responsabilité propre en tant que dirigeant responsable.

De manière générale, la jurisprudence de l’ACP montre à quel point elle est attentive à la bonne mise en place d’un dispositif de contrôle interne. En effet, sur les 15 décisions rendues entre décembre 2011 et juin 2013, 8 ont notamment trait au contrôle interne et 2 autres sont relatives au dispositif de lutte antiblanchiment. Ce qui signifie que les deux-tiers des décisions portent sur le contrôle interne en général. Les chiffres parlent d’eux-mêmes…

Un contrôle interne adapté à la taille et aux moyens de l’établissement

Aujourd’hui de nombreux nouveaux protagonistes du secteur bancaire (établissement de paiement, établissement de monnaie électronique, banque en ligne…) sont apparus sur la Place et sont eux aussi, par définition, soumis au CRBF 97-02. Or ces nouveaux assujettis sont nés des nouvelles technologies et font feu de tout bois en termes de business. Leur credo est donc de développer en permanence leurs parts de marché, ce qui suppose flexibilité, réactivité et prise de décision rapide. Par ailleurs, ce sont souvent des structures « à taille humaine » où le nombre de collaborateurs est réduit et qui sont majoritairement constituées de profils ingénieur informatique et commercial. De même d’autres établissements (captive de constructeurs, financière spécialisée, succursale de banque étrangère…), dont les activités sont plus anciennes, mais dont la structure reste modeste, sont également touchés par cette difficile mise en œuvre d’un dispositif de contrôle interne efficace.

La plupart de ces divers acteurs n’ont souvent que peu de sensibilité à la conformité et aux risques. Ces notions sont souvent ignorées, voire parfois même considérées comme contre-productives, y compris par les organes exécutifs et dirigeants, et non vues comme un levier de croissance. Dès lors un manque de ressources et de compétences, une moindre appétence aux risques et à la conformité et un business en perpétuel mouvement engendrent un dispositif de contrôle interne déficient, voire inexistant, et une veille réglementaire réduite.

Une moindre appétence aux risques

Quelles solutions ont donc ces établissements pour conjuguer business model et conformité réglementaire ? La réponse se trouve dans quelques écueils courants à éviter et dans quelques bonnes pratiques.

Tout d’abord, chaque établissement doit impérativement disposer d’un référent majeur en termes de contrôle interne, dûment identifié comme tel tant en interne qu’en externe, et qui pourrait cumuler les fonctions de responsable Contrôle permanent, responsable Conformité et responsable Risques (le RCPRC). Comme exposé dans l’art. 11 du CRBF 97-02 : « Lorsque la taille d'une entreprise assujettie ne justifie pas de confier cette responsabilité à une personne autre que le responsable du contrôle permanent, celui-ci assure la coordination de tous les dispositifs qui concourent à l'exercice de la fonction de contrôle de la conformité. »

Il faut ensuite éviter le cumul de fonctions trop sensibles, tel que par exemple le cumul de la responsabilité de la direction financière et du contrôle permanent. Il est d’ailleurs clairement stipulé dans l’art. 7-1 du CRBF 97-02 que les responsables de contrôle permanent, « lorsqu’ils ne sont pas membres de l’organe exécutif, ne doivent effectuer aucune opération commerciale, financière ou comptable ».

En effet, ces petits établissements n’ayant pas de profil adapté à la fonction contrôle ont souvent tendance à confier cette tâche aux directeurs financiers, en raison d’un profil moins technique ou commercial. Or, du fait de l’incompatibilité des contrôles permanents successifs de 1^er et 2^nd niveaux, ce cumul est impossible.

Une gouvernance solide, des indicateurs fiables, une organisation adaptée

Il faut par conséquent construire une gouvernance efficace et pragmatique, définissant les rôles et tâches de chacun, du comité exécutif au collaborateur opérationnel. Elle doit s’attacher à penser exhaustivité des contrôles et efficacité des remontées d’alerte, simplicité des indicateurs et rapidité des transmissions d’informations aux organes dirigeants et exécutifs. Parfois l’efficacité ne se situe pas au niveau du moyen mais du résultat. Il vaut mieux se concentrer sur les principaux objectifs et les atteindre que de se disperser.

Il est capital que les directions générales de ces établissements s’impliquent fortement dans la gouvernance à travers notamment la définition des seuils de risque afin de porter clairement auprès des équipes opérationnelles et des autorités de régulation le message d’un dispositif de contrôle connu et maîtrisé.

Afin de renforcer l’efficacité de cette gouvernance, un schéma de contrôles permanents de 1^er et 2^nd niveaux clairement définis, traçables et respectant la piste d’audit sera une strate supplémentaire à un bon édifice de contrôle interne. La rédaction et la mise à jour des procédures en sont évidemment la clé de voûte. Ce contrôle permanent (voir Schéma) devra également s’appuyer sur une cartographie des risques opérationnels, réalisée avec un nombre d’événements de risque et une approche de cotation qui seront proportionnés à la taille ; et un dispositif de lutte contre le blanchiment des capitaux et le financement du terrorisme (LCB-FT) dont chaque assujetti, même à structure réduite, ne peut pas faire l’économie. Il doit obligatoirement rédiger sa procédure LCB-FT, créer sa matrice des risques et s’adapter en permanence aux évolutions sur le sujet [1] .

Le recours à l’externalisation

Si, en dépit de tous ces points identifiés, l’établissement rencontrait toujours des difficultés à disposer d’un contrôle interne adéquat, le recours à l’externalisation de certaines actions et fonctions reste possible.

La mise en place du contrôle interne peut être confiée au démarrage (ou réorganisée) à des experts qui vont accompagner les équipes dirigeantes dans cette tâche délicate. Mais l’externalisation de certaines prestations, dites prestations essentielles externalisées, ne peut se faire que dans un cadre strictement réglementé [2] (rédaction d’un contrat détaillé entre le prestataire et l’établissement assujetti ; définition d’une « politique formalisée de contrôle » du prestataire ; modalités de la réversibilité). En parallèle, la délégation du contrôle périodique est envisageable et intéressante, mais à condition que le contrôle permanent, lui, reste internalisé.

Le contrôle interne ne doit plus être examiné sous l’angle de la contrainte, mais bien comme un point fort à faire valoir auprès de ses futurs partenaires commerciaux ou de ses clients. Être compliance, c’est apporter de la confiance !

 

1 Cf. Revue Banque n° 761, notre chronique, « Projet de 4e directive LCB-FT : une lutte davantage fondée sur la gestion du risque ». 2 Art. 37-2 du CRBF 97-02.