La question spécifique des risques opérationnels implique de nombreux acteurs et départements, notamment par comparaison avec les risques de crédit et les risques de marchés. Dès lors, le travail de mesure de l’efficacité du Système de contrôle interne (SCI) que nous avons engagé repose sur une identification précise des acteurs impliqués, de la nature de leur relation, du pilotage du système et d’une série d’autres critères, base de la construction d’un indicateur synthétique de type score.
Identifier les acteurs du système de contrôle interne
Les contours du SCI doivent être appréhendés de façon assez large, car les départements internes à la banque ne sont pas les seuls à participer au dispositif. Les auditeurs externes, le conseil d’administration sont également des lieux où ces sujets sont abordés.
Au sein de la banque, trois départements sont directement impliqués :
- Le département contrôle interne et conformité : avec le renforcement des contrôles permanent (certaines banques utilisent d’ailleurs cette terminologie), l’association de ces deux exigences réglementaire au sein de la même structure est de plus en plus courante. L’objectif est d’appuyer les opérationnels dans la mise en œuvre des contrôles, d’en assurer le reporting et la centralisation, d’en améliorer l’efficacité.
- La direction des risques compte souvent un département dédié aux risques opérationnels. Il a pour vocation de mesurer l’exposition, repérer les incidents et leurs conséquences financières et il peut également conseiller les opérationnels sur leurs pratiques en matière de prévention.
- L’audit interne et l’inspection : un département audit interne existe systématiquement au sein de chaque entité juridique, avec, pour les grands groupes, une fonction « inspection » centrale, intervenant en complément. Ces fonctions sont en charge du contrôle périodique, avec une logique coercitive lorsque les circonstances l’exigent.
Au sein des structures de gouvernance
En parallèle, des comités se sont constitués au sein des structures de gouvernance ainsi qu’en interne pour assurer un niveau de contrôle supplémentaire et coordonner l’action des différents services :
- Le comité d’audit du conseil d’administration ou de surveillance : en plus de sa mission de contrôle des comptes, son rôle évolue vers une prise de position sur la politique de gestion des risques de la banque. En effet, la Commission européenne a souhaité, dans son Livre Vert sur la gouvernance des établissements financiers, voir le conseil dans son ensemble s’impliquer dans la définition du risk appetite.
- Le comité des risques : toujours au niveau des instances de gouvernance, certains établissements ont fait le choix de développer un comité spécifique sur la question.
- Le comité de contrôle interne (et des risques) : au sein de la banque, un comité doit en principe se réunir régulièrement de façon à coordonner l’action des différents départements, à vérifier si l’ensemble des points sont couverts et si le dispositif en place ne présente pas de failles.
Dans un premier temps, l’évaluation de l’efficacité du SCI réside donc dans le repérage des acteurs impliqués dans le système, des interactions existant entre eux et de leur réelle indépendance des directions opérationnelles quand celle-ci est nécessaire.
Proposer des critères de mesure d’efficacité
Les objectifs d’un SCI peuvent être catégorisés comme suit :
- Efficience des
activités .[1] - Fiabilité de l’information financière et managériale nécessaire pour le processus de prise de décision.
- Conformité avec les lois et les exigences du régulateur.
Au-delà de ces éléments formels, il faut vérifier la compétence des principaux membres de chacune des directions concernées, puis leur engagement dans la réalisation des missions de contrôle et la mise en œuvre des procédures. Le tableau 1 résume les principaux indicateurs à retenir et leurs modalités d’estimation.
Évaluer la mobilisation sur le terrain
Cela dit, le contrôle n’est pas l’affaire des seuls membres du SCI. En effet, les opérationnels sont directement concernés par les contrôles de premier niveau qu’ils doivent réaliser au cours de leur activité quotidienne. Les professionnels du contrôle, au sein des établissements, ne peuvent pas, de toute façon, à eux seuls, s’assurer de la mise en œuvre correcte du dispositif. La ligne managériale doit aussi être mobilisée. S’il est difficile de mesurer cette mobilisation sur le sujet du contrôle interne, plusieurs indicateurs peuvent aider à estimer la diffusion d’une culture de contrôle et de gestion des risques en particuliers opérationnels :
- les outils de diffusion de la culture ;
- l’implication de la ligne managériale ;
- le temps de formation des effectifs.
Ces indicateurs constituent les éléments de base d’un score d’efficacité décrit dans ce dossier. Le renseignement de ces critères se fait sur questionnaires et par analyse éventuelle de documents internes. Le test de cette méthodologie d’évaluation sur des données accessibles (document de référence) montre une réelle hiérarchie entre établissements au regard de l’efficacité de leur dispositif. Son utilisation permet aussi d’identifier les pistes d’amélioration en rendant possible un benchmark si l’information disponible est de qualité.
