Contrôle périodique en sociétés de gestion de portefeuille : le choix stratégique de l’externalisation

Le caractère sensible d’une activité dont l’objet est la gestion de l’épargne de particuliers et des actifs financiers d’entreprises et d’institutionnels commande d’adopter le dispositif de surveillance des opérations le plus adéquat. Cela passe par la mise en œuvre d’une fonction de contrôle périodique indépendante dans les conditions énoncées à l’article 313-62 du Règlement général de l’Autorité des marchés financiers (AMF) pour la gestion d’OPCVM [1] et la gestion sous mandat et à l’article 62 du Règlement délégué 231/2013 pour la gestion de FIA [2] .

Évolution réglementaire et architecture cible

Les modalités d’organisation du contrôle périodique font l’objet d’un débat assez ancien qui a donné lieu à des pratiques diverses sur la Place : prise en charge par l’un des dirigeants responsables, prise en charge par le Responsable de la conformité et du contrôle interne (RCCI) titulaire, prise en charge par l’audit interne en cas d’appartenance à un groupe. Chacune de ces solutions pouvait présenter un certain nombre d’avantages mais aussi des lacunes : le manque de temps du dirigeant pour mettre en œuvre un plan de contrôle adapté, un problème d’indépendance s’agissant du RCCI alors en charge des contrôles de second et de troisième niveau (situation d’auto-révision), une relative méconnaissance des risques et de la réglementation propres au métier de la gestion d’actifs s’agissant d’auditeurs groupe issus du monde bancaire ou de l’assurance.

L’AMF a tranché récemment le sujet dans sa position-recommandation n° 2014-06 publiée au cours de l’été 2014, et mise à jour le 23 juillet 2015, qui préconise une séparation nette de la conformité et du contrôle interne avec la fonction de contrôle périodique et encourage par ailleurs fortement à son externalisation complète. Les sociétés de gestion ont entamé une réflexion sur l’organisation du dispositif de contrôle. Nous jugeons utile de présenter ici les principaux enjeux et une démarche séquentielle de mise en œuvre.

Dans l’architecture de contrôle, le contrôle périodique se situe en troisième niveau [3] . Cela signifie qu’il n’est pas en prise au quotidien avec les opérationnels mais intervient à un rythme plus espacé sur des thèmes qu’il définit en toute indépendance au regard du profil de risques de la société de gestion qu’il a lui-même évalué. Dans le cadre de sa mission, le contrôleur périodique interagit avec le RCCI, mais également avec les opérationnels qui sont en première ligne dans l’exécution et le contrôle des processus.

Nous rappelons le rôle du contrôle périodique selon les termes même du régulateur :

• évaluer l’adéquation et l’efficacité des systèmes, mécanismes de contrôle interne et dispositifs de la société de gestion ;
• formuler des recommandations lorsque des anomalies ont été détectées ;
• s’assurer de la prise en compte des recommandations ;
• informer les organes dirigeants sur les travaux menés au titre du contrôle périodique et sur les mesures prises en cas d’anomalie.

L’externalisation : un choix stratégique

L’externalisation constitue un choix stratégique pour le dirigeant de la société de gestion de portefeuille avec deux principaux critères sous-tendant la décision de sa mise en œuvre : la maîtrise du risque et le coût. Quels sont les protagonistes capables de prendre en charge une mission de contrôle périodique ou plus encore la totalité de la fonction ? C’est un profil polyvalent qui est à rechercher : la connaissance de la réglementation, la compréhension des métiers et des processus et enfin la responsabilité et les garanties professionnelles sont des critères pertinents d’appréciation.

D’autant que, la polyvalence fait corps avec la nature même du contrôle périodique qui requiert des interactions nombreuses, des décisions, de l’adaptation à l’environnement par nature mouvant de la société de gestion. Le contrôle périodique doit être à même de réagir dans des situations d’aléas, là où le contrôle permanent est un dispositif qui s’exécute au regard d’un programme établi de manière beaucoup plus standardisé. Le contrôle permanent consiste usuellement en une déclinaison de tests dont la périodicité de réalisation (dimension itérative) et les modalités de mise en œuvre sont connues à l’avance.

La perspective d’externalisation du contrôle périodique est à considérer sérieusement, que ce soit pour des sociétés de gestion de taille entrepreneuriale ou moyenne, car l’externalisation permet à celles-ci de disposer de professionnels avec une structure d’équipe adaptée à chaque mission incluant les bons experts (experts métiers, experts des systèmes d’information, spécialistes du droit, etc.). Les sociétés de gestion de taille plus importante, compte tenu de processus considérablement complexifiés, ont également besoin d’une fonction de contrôle périodique robuste et indépendante. Elles recherchent régulièrement des expertises et des ressources qualifiées pour prendre en charge les missions de contrôle en autonomie mais aussi en cotraitance avec l’audit interne du groupe le cas échéant.

La mise en place contractuelle

L’externalisation du contrôle périodique s’apparente à un contrat d’entreprise [4] . C’est, selon la jurisprudence [5] venue préciser les dispositions de l’article 1710 du Code civil, « la convention par laquelle une personne s’oblige contre une rémunération à exécuter pour l’autre partie, un travail déterminé, sans la représenter et de façon indépendante ».

Un point important de ce type de contrat est lié à l’indépendance du professionnel dans le cadre de la réalisation de la prestation, ce qui requiert une maîtrise complète des travaux à réaliser et une autonomie suffisante du professionnel vis-à-vis de la Société de gestion de portefeuille (SGP). L’externalisation n’entraîne pas le transfert de responsabilité et, en conséquence, le dirigeant doit non seulement avoir connaissance des conclusions du professionnel, mais aussi une compréhension suffisante de la démarche et des méthodes permettant d’y aboutir. Les engagements contractuels n’interfèrent en rien – aucune minoration n’est donc à rechercher – avec la responsabilité réglementaire attachée à la bonne mise en œuvre de la fonction de contrôle périodique.

La prise en charge du contrôle périodique d’une société de gestion de portefeuille est une prestation de service qui est par ailleurs encadrée par des dispositions réglementaires issues du Règlement général de l’AMF. Au sens du régulateur (article 313-73 du RG AMF), « l'externalisation consiste en tout accord, quelle que soit sa forme, entre la société de gestion de portefeuille et un prestataire de services en vertu duquel ce prestataire prend en charge un processus, un service ou une activité qui aurait autrement été du ressort de la société de gestion de portefeuille elle-même ». Le livre III du Règlement général de l’AMF distingue les prestations essentielles des autres (voir Encadré 1).

L’externalisation de la fonction de contrôleur périodique est pour la société de gestion une prestation essentielle, ce qui impose que les droits et obligations respectifs de la société de gestion de portefeuille et du prestataire de services soient clairement rappelés dans un contrat. Nous pouvons notamment lister (d’après l’article 313-75 du RG AMF) :

• le prestataire de services dispose des capacités, de la qualité et des éventuelles habilitations requises pour exécuter les tâches ou fonctions externalisées de manière fiable et professionnelle ;
• le prestataire de services fournit les services externalisés de manière efficace. À cet effet, la société de gestion de portefeuille définit des méthodes d'évaluation du niveau de performance du prestataire de services ;
• la société de gestion de portefeuille prend des mesures appropriées s'il apparaît que le prestataire de services risque de ne pas s'acquitter de ses tâches ou fonctions de manière efficace ou conforme aux obligations professionnelles qui leur sont applicables ;
• le prestataire de services informe la société de gestion de portefeuille de tout événement susceptible d'avoir un impact sensible sur sa capacité à exécuter les tâches ou fonctions externalisées de manière efficace et conforme aux obligations professionnelles qui leur sont applicables ;
• les modalités de résiliation du contrat d'externalisation à l'initiative de l'une quelconque des parties doivent permettre d'assurer la continuité et la qualité des activités exercées ;
• le prestataire de services coopère avec l'AMF pour tout ce qui concerne les tâches ou fonctions externalisées ;
• le prestataire de services assure la protection des informations confidentielles ayant trait à la société de gestion de portefeuille ou à ses clients.

Cette externalisation nécessite que l’efficacité du service fourni soit évaluée. Il convient de mettre en place un tableau de bord de l’externalisation permettant de suivre la prestation et sa conformité au contrat d’externalisation. Cela peut, au cas d’espèce, se matérialiser par des indicateurs simples : respect du plan de contrôle, capacité à tenir les délais d’intervention, mise à jour de la cartographie, suivi des recommandations et des plans d’actions afférents, etc.

Rappelons que le dirigeant reste responsable en toutes circonstances. La commission des sanctions de l’AMF n’a encore jamais sanctionné un prestataire à qui l’on a confié des missions en matière de contrôle interne. Par contre, l’AMF a sanctionné [6] des sociétés de gestion et leurs dirigeants pour des lacunes rencontrées dans la mise en œuvre du contrôle permanent ou périodique. Le dirigeant est responsable du dispositif de contrôle dont il se dote et doit assumer à la fois les anomalies remontées par la fonction et celles qui n’ont pas été détectées et qui ont cependant entraîné des conséquences indésirables.

La méthodologie de construction

La cartographie est au cœur de l’approche du contrôleur périodique. Elle répertorie et hiérarchise les risques d’une société. Cet outil doit être structuré, synthétique, organisé par métier et processus. L’objectif est de faire émerger une homogénéité suffisante à la juste compréhension des enjeux et de leur prise en compte dans la définition du plan de contrôle.

Beaucoup d’ouvrages décrivent judicieusement des méthodologies de construction. Nous y renvoyons le lecteur, car ce n’est pas ici le cœur de notre sujet. Notons cependant que la cartographie construite dans le cadre de la mission de contrôle périodique pourra prendre en compte l’existant en matière de cartographie des risques de la société de gestion. Il n’est par contre pas envisageable de les confondre : l’une dispose d’un niveau de précision beaucoup plus élevé pour répondre aux besoins de gestion et de pilotage auxquels elle est dévolue ; l’autre a une vocation de surveillance de troisième niveau qui par ailleurs doit s’opérer en toute indépendance des niveaux de contrôle inférieurs. Le diagnostic de risque ne peut donc être mutualisé et confondu. L’externalisation a ce grand mérite de séparer plus clairement les choses.

Nous présentons ici un tableau récapitulatif des missions pouvant être mises en œuvre dans le cadre du contrôle périodique de la société de gestion découlant d’une véritable priorisation des sujets suite à la prise de connaissance générale et l’établissement de la cartographie de 3e niveau puis du plan de contrôle.

Schématiquement, il y a trois grandes familles de missions :

• les missions de contrôle relatives aux règles d’organisation et de gouvernance de la société de gestion de portefeuille (responsabilités des dirigeants, obligations professionnelles, gestion des risques, gestion des conflits d’intérêts, etc.) ;
• les missions de contrôle relatives aux activités métiers de la société de gestion de portefeuille (gestion, passage d’ordres, valorisation, etc.) ;
• les missions de contrôle relatives aux relations de la société de gestion avec les tiers (régulateur, prestataires de services externalisés, etc.).

Nous présentons dans le Tableau 1 les principaux thèmes qui pourront faire l’objet d’une revue.

La mise en œuvre de la mission de contrôle

Le professionnel est amené à établir une cartographie globale de troisième niveau dans le cadre de la construction de son plan de contrôle. Pour autant, chaque mission nécessite un examen plus attentif des zones de risques : c’est l’analyse préliminaire des risques. Celle-ci est indispensable et constitue un préalable formel à chaque audit. Du reste, s’agissant du professionnel à qui l’on externalise une mission de contrôle périodique sans la définition du plan de contrôle, cette étape est alors d’autant plus cruciale qu’elle constituera la seule phase de prise de connaissance.

On peut considérer qu’il y a au cours d’une mission de contrôle périodique trois réunions « clés » : la réunion d’ouverture, la réunion de présentation de l’analyse préliminaire des risques et la réunion de restitution. Entre chacune de ces réunions, il y a des échanges successifs avec l’audité. À vrai dire, tous les opérationnels ayant à voir avec le thème examiné seront normalement sollicités dans le cadre d’entretiens. Enfin, il y a les points d’étape intermédiaire à organiser avec le RCCI qui assure le plus souvent un relais efficace entre l’équipe du contrôle périodique et les services audités.

Nous considérons que le contrôleur périodique gagnera à inscrire son action dans le cadre normatif de l’Institut français de l'audit et du contrôle internes (IFACI) qui structure la démarche d’audit en termes d’objectifs et de méthodes. Ce référentiel est pleinement compatible avec les contours de la mission de contrôleur périodique présentés dans la position-recommandation AMF n° 2014-06 (voir Tableau 2).

Le référentiel d’audit et le programme de travail

Il est nécessaire de trouver la juste articulation entre le référentiel d’audit qui présente l’analyse préliminaire des risques et le programme de travail. Le référentiel d’audit rappelle les risques devant être couverts et décrit le dispositif de contrôle attendu pour couvrir ces risques, tenant compte des bonnes pratiques de Place mais aussi des obligations réglementaires en vigueur.

Le programme de travail décrit, quant à lui, la manière dont sera examinée l’efficacité du dispositif de contrôle de la société de gestion. Le programme de travail recense toutes les actions que le professionnel va réaliser pour mener à bien son contrôle périodique.

On peut lister plusieurs types d’actions :

• la consultation documentaire ;
• les entretiens ;
• les tests substantifs.

Dans le programme de travail, les tests substantifs requièrent une description précise des diligences à réaliser. Le plus souvent, elles répondent aux verbes d’action suivants : «  vérifier que, confirmer que, s’assurer que, contrôler que ».

Rappelons qu’un processus est composé de plusieurs tâches et toutes jouent un rôle dans l’obtention du résultat final. Certaines sont critiques au point que leur absence ou mauvaise réalisation compromettrait l’obtention du résultat souhaité. Ces tâches critiques sont encadrées par des contrôles clés. Ces contrôles doivent permettre de répondre aux objectifs de maîtrise des risques de l’entité.

Ces points de contrôle clés sont l’objet même du contrôle périodique. Il s’agit de « vérifier que », « confirmer que », « s’assurer que » les points de contrôle fonctionnent correctement. Ceux-ci sont de nature différente :

• contrôle de validation (par ex. autorisation de dépassement d’une limite signée par la hiérarchie) ;
• contrôle de calcul (par ex. agrégation en montant des ordres passés par un même gérant au cours d’une journée) ;
• contrôle de la documentation (par ex. conservation du visa hiérarchique en cas d’autorisation de dépassement de limite) ;
• contrôle par rapprochement (par ex. correspondance entre les titres achetés et les titres livrés) ;
• contrôle par restriction (par ex. blocage des ventes à découvert), etc.

La validation du référentiel d’audit consiste en premier lieu à présenter l’analyse des risques de la SGP et les modalités d’examen du dispositif de contrôle afférent. L’audité, en la personne de son dirigeant, de son RCCI ou d’un responsable opérationnel, doit à ce stade valider ce référentiel d’audit ou émettre les remarques qu’il juge utile, notamment s’il considère qu’un test n’est pas applicable, qu’un risque est mal apprécié ou qu’un élément de risque n’a tout simplement pas été soulevé dans cette analyse. Cette étape est décisive puisqu’elle permet formellement d’arrêter un programme de contrôles sur lequel on ne reviendra plus ensuite. Il s’agit d’éviter les situations toujours embarrassantes de divergence d’appréciation lors de la restitution finale ou d’oubli manifeste pouvant être à charge du contrôleur périodique et fragiliser complètement son travail et les conclusions qui en découlent. Nous insistons beaucoup sur cet aspect de validation du référentiel d’audit puisque cela prémunit normalement le contrôleur périodique d’un « hors-piste » partiel.

Finalisation de l’intervention

La synthèse des points à retenir est un document capital puisqu’il doit présenter succinctement mais avec la précision nécessaire les principaux constats relevés au cours de la mission d’audit. En tant que tel, elle doit renfermer les informations nécessaires pour refléter précisément les travaux effectués et les conclusions tirées. Ce rapport formel doit comporter :

• le rappel du contexte : l’objet et le périmètre de la mission ;
• le calendrier d’exécution du contrôle périodique ;
• les observations et recommandations du contrôle périodique ;
• la conclusion.

Les recommandations découlent des observations réalisées au cours de la mission de contrôle périodique. Les observations et les recommandations sont présentées dans la MPA [7] 2410-1 «  Contenu de la communication » de l’IFACI comme «  le résultat d’un processus de comparaison d’un référentiel et d’un fait ». Rappelons qu’une observation bien rédigée rapporte les référentiels qui constituent les normes ou exigences requises, les faits qui sont les preuves factuelles identifiées par le contrôleur périodique et les conséquences qui sont les effets négatifs avérés ou potentiels résultant des divergences constatées avec le référentiel.

La MPA 2410-1 rappelle que « les recommandations sont fondées sur les observations et les conclusions de l’auditeur interne ». Elles visent à combler l’écart entre les référentiels et les faits. La recommandation donne des indications sur la manière de remédier à la situation. Elle décrit la conduite que la direction doit adopter pour régler le problème et en éliminer les conséquences néfastes ou défavorables. Elle doit traiter des causes du problème et proposer des mesures pour en éviter la récurrence.

Soulignons que les recommandations sont pertinentes si, bien sûr, elles traitent les causes de l’écart entre le référentiel et les faits, si elles proposent des solutions de long terme mais, également et peut-être principalement, si elles sont pensées avec pragmatisme et restent réalisables sur le plan des ressources disponibles. Il est en effet toujours possible de trouver des solutions sans tenir compte des contraintes de budget (recruter un nouvel expert, changer de système IT…). La réalité d’une société de gestion n’est cependant pas celle-là : la crédibilité du contrôleur périodique se construit aussi sur sa capacité à être constructif et réaliste dans ses recommandations et à donner au risque sa juste mesure.

Un constat d’anomalie doit en toute logique aboutir à une recommandation afin d’apporter les réponses opérationnelles à la résolution de l’anomalie identifiée. Reste qu’une anomalie peut avoir un degré de criticité élevé ou un degré de criticité plus faible. Nous ne préconisons pas une qualification trop complexe de la recommandation, mais distinguons deux degrés : la recommandation « majeure » qui doit être au cœur des préoccupations de l’organe de direction pour un plan de résolution adapté et le plus rapide possible. La recommandation « simple » englobe l’ensemble des autres recommandations.

Le calendrier de mise en œuvre découle à la fois de la criticité de la recommandation (simple, majeure) et de l’attribution. Une criticité élevée suppose une résolution plus rapide mais qui sera négociée avec le « propriétaire » de la recommandation. Chaque recommandation s’inscrit dans un temps de résolution qui doit être suffisamment court pour éteindre le risque détecté et être crédible vis-à-vis de l’autorité de tutelle (qui n’acceptera jamais qu’un risque majeur soit levé plusieurs années après son signalement) tout en laissant le temps d’une résolution adaptée par des opérationnels accaparés par ailleurs par un ensemble de tâches quotidiennes. La direction peut être partie prenante et influer sur le calendrier de résolution en fixant ses priorités. Elle peut, le cas échéant, allouer des ressources supplémentaires si elle juge que la situation l’exige.

La formulation de la conclusion générale est un exercice délicat dans la mesure où elle doit faire ressortir les enjeux de la mission, les principaux choix d’organisation de la SGP, le diagnostic et le cas échéant, mettre l’accent sur des faiblesses qui apparaissent comme suffisamment significatives pour devoir être signalées dès la conclusion générale. Rappelons que cette conclusion générale est probablement le seul élément qui sera lu intégralement par la direction ou le comité d’audit. Il importe d’être synthétique, mais suffisamment précis pour donner immédiatement au lecteur la bonne information.

In fine, la protection des investisseurs

L’externalisation du contrôle périodique doit être appréhendée comme un choix stratégique d’organisation du dispositif de contrôle, dorénavant explicitement posé depuis les ajustements réglementaires récents. Les autorités de tutelle ont en effet très clairement extériorisé leur doctrine à ce sujet dans l’environnement de la gestion d’actifs et, soulignons-le également, dans l’environnement bancaire [8] . Retenons que le contrôle périodique est une démarche qui doit être structurée, mise en œuvre par des professionnels aguerris et s’appuyer sur des référentiels robustes. La complémentarité de ces trois axes et leur solidité renforcent la sécurité opérationnelle de la SGP et, in fine, la protection des investisseurs.