Dans le secteur bancaire, l’externalisation de certaines activités s'est largement répandue. Il en est ainsi de la tenue de compte conservation, de l’infogérance et de l’exploitation informatique, du traitement des moyens de paiement, etc. C'est pourquoi se sont développés ces dernières années des groupes spécialisés nationaux et internationaux offrant leurs prestations à la plupart des établissements bancaires.
Mais cette pratique n’est pas sans présenter certains risques. Aussi le régulateur est-il intervenu dès 2005 pour aménager le règlement 97-02 relatif au contrôle interne en imposant aux banques des exigences spécifiques en vue de s’assurer de l’efficacité du Dispositif de maîtrise des risques (DMR) des prestations externalisées. Dans l’absolu, la réglementation impose notamment aux banques d’auditer régulièrement leurs prestataires, ce qui, tant pour les premières que pour les seconds, peut générer de nombreuses missions d’audit. Au regard du temps et des compétences nécessaires à la réalisation de ces missions, sans oublier les budgets correspondants, il n’est pas étonnant que les banques soient parfois en difficulté pour remplir cette obligation et que les prestataires soient inquiets de devoir mobiliser leurs équipes pour répondre aux missions d’audit diligentées tout au long de l’année par une multitude de banques.
Une pratique née en 2008
Face à ce constat partagé, les directeurs du contrôle interne de banques, membres de la Commission des contrôles permanents et périodiques de l'OCBF, se sont engagés, en 2008, dans une démarche mutualisée originale et appréciée à la fois de leur direction générale, des prestataires de services et des autorités de tutelle. Elle vise, pour un groupe de banques, à confier à un cabinet de conseil spécialisé la réalisation de l’audit d’un ou plusieurs prestataires communs.
Trois audits mutualisés ont ainsi été réalisés à ce jour :
- en 2008, 18 banques adhérentes de l’OCBF ont audité un éditeur de progiciel bancaire intégré ;
- en 2009, 13 banques ont audité deux prestataires de la filière de traitement des chèques ;
- en 2010, 13 banques ont mutualisé leurs contrôles sur six prestataires (fabrication, personnalisation, traitement) intervenant dans trois filières de traitement de la carte.
Un protocole en trois phases
Concrètement, la mise en œuvre d’un audit mutualisé suit un protocole maintenant bien rodé et parfaitement orchestré par l’OCBF. Il se déroule en trois phases successives sur une période de six mois.
La première phase a pour objectif la constitution d’un groupe de travail composé de 5 à 6 directeurs du contrôle interne, tous membres de la Commission des contrôles permanents et périodiques de l’OCBF. Cette Commission, composée de directeurs de l’audit ou du contrôle permanent de banques adhérentes, est coanimée par Dominique Godin, directeur du contrôle et de la sécurité du Crédit Suisse France et Yves Theillet, directeur administratif et financier de l’OCBF.
Le groupe de travail désigne l’un de ses membres dont la mission sera de superviser la rédaction du cahier des charges de l’audit, la consultation de cabinets de la place possédant les compétences requises et le choix du cabinet. Ce dernier, choisi parmi les réponses à l’appel d’offres sur la base d’une évaluation multicritères, est choisi par le groupe comme étant le plus à même de réaliser la mission d’audit. C’est pour cette raison que les trois audits ont été effectués par des cabinets différents. Au sein du groupe, les banques échangent non seulement sur les référentiels de contrôle, mais également sur les coordonnées des cabinets spécialisés de la place.
La seconde phase consiste à proposer aux établissements potentiellement concernés par l’audit d’y participer effectivement, dans le but de partager les coûts entre le plus grand nombre possible d’établissements. Le rôle de l’OCBF est ici primordial car il faut proposer l’audit aux directions générales des banques adhérentes pour lesquelles la mutualisation ne s’impose pas naturellement et qu’il convient de convaincre du bien-fondé de la démarche. A contrario, pour quelques établissements, cette pratique est bien ancrée, certains ayant participé aux trois audits proposés. Il est important de souligner que le lancement d’un audit et de ses travaux préparatoires (première phase) n’a de sens qu’après avoir identifié un minimum de banques intéressées par cette mutualisation.
La troisième phase a pour objectif de faciliter la réalisation de l’audit, d’en suivre le déroulement, de demander d’éventuels approfondissements et d’en valider les résultats. Un comité de pilotage restreint est créé ; il sera l’interlocuteur privilégié du cabinet pendant la durée de l’audit et a pour objectif de faciliter l’entrée en relation avec les prestataires, dont la sensibilité aux obligations de la réglementation bancaire est variable. Le comité est composé de 5 à 6 directeurs du contrôle interne, l’un d’entre eux en dirige les travaux et l’OCBF assure la logistique. Les représentants du cabinet ont pour interlocuteur privilégié le binôme composé d’un banquier expert du domaine à auditer et d’un représentant de l’OCBF.
Des avantages certains pour les banques et les prestataires
Après trois années d’expérience, l’heure est venue de faire un premier bilan de cette pratique et d’en valoriser les avantages. Pour les banques, ceux-ci sont nombreux :
- des échanges d’expériences dans le cadre de l’élaboration du cahier des charges de l’audit ;
- une connaissance des bonnes pratiques organisationnelles observées par les auditeurs, avec garantie d’anonymat pour les banques concernées ;
- une mutualisation des coûts de réalisation de la mission ;
- l'augmentation du périmètre d’audit couvert dans le plan d’audit annuel, indépendamment de la taille de l’équipe d’audit interne, voire la possibilité de bénéficier d’audit dans des domaines dans lesquels l’équipe d’audit interne n’a pas les compétences techniques ;
- une présentation mutualisée des résultats à l’ensemble des banques, mais des présentations individuelles des points spécifiques relatifs à chaque banque aux directions générales et directions métiers concernées ;
- une meilleure couverture des obligations réglementaires.
Les limites et contraintes des audits mutualisés
En revanche, il est certain que les trois missions d’audit réalisées ont demandé des efforts et de la disponibilité aux parties prenantes. Ainsi, à chaque mission, les directeurs du contrôle interne des banques ont dû consacrer du temps à la définition du cahier des charges de l’audit, au processus de sélection du cabinet, au suivi et à la validation des travaux réalisés. Ils ont également dû convaincre leurs directions générales du bien-fondé de la démarche et de son financement qui doit souvent être assuré hors budget. Le directeur pilote de la mission assume une charge réelle de supervision (facilitation, orientation, revue et finalisation) portant parfois sur plusieurs prestataires, nécessitant un engagement et des disponibilités fortes pendant toute l’exécution de la mission, en plus de ses responsabilités quotidiennes.
Les prestataires audités, eux, doivent accepter qu’un cabinet mandaté par ses clients vienne l’auditer et gérer la difficulté de réalisation d’une mission d’audit en cas de sous-traitance en cascade.
Une pratique restant à développer à grande échelle
Alors même que les audits mutualisés sont encore peu développés, ils recueillent une grande satisfaction des banques adhérentes de l’OCBF qui y ont recours. Il reste maintenant à déployer cette approche auprès d’un nombre de banques plus important et sur une plus grande diversité de thèmes, afin de capitaliser sur le succès des trois (et bientôt quatre) premières expériences.
