Maîtrise du risque : un référentiel de contrôle concret et unifié

D’après le rapport de l’Autorité des marchés financiers (AMF) de 2004 [1] sur le gouvernement d’entreprise et le contrôle interne, « à la différence de la gouvernance d’entreprise, qui bénéficie désormais de standards de place auxquels les émetteurs peuvent se comparer, l’absence d’un référentiel unanimement admis sur le contrôle interne en rend la description plus difficile et peut constituer un frein si l’on souhaite parvenir à terme à une évaluation de l’adéquation et de l’efficacité des systèmes ». Le règlement 97/02 est venu par la suite préciser les éléments qui doivent composer le dispositif de contrôle interne des établissements de crédit : système de contrôle des opérations et des procédures internes, organisation comptable et de traitement de l’information, systèmes de mesure des risques et des résultats, de surveillance des risques, de documentation et d’information, de surveillance des flux d’espèces et des titres.

Mais ce référentiel n’est pas suffisamment détaillé pour permettre de fournir une véritable méthodologie aux établissements financiers ; de plus, il permet une liberté d’implémentation fournissant des résultats qui ne représentent pas des éléments comparables entre établissements ; enfin, le règlement 97/02 ne propose pas de dispositif de mesure quantitatif du contrôle des opérations et des procédures internes permettant d’évaluer son efficacité. En effet, les systèmes de contrôle sont basés sur une évaluation qualitative de la pertinence des contrôles. L’inconvénient majeur de cette approche réside dans l’intensité du travail à fournir au niveau de la collecte des données, la forte probabilité de biais introduits par les acteurs en charge, la pertinence de l’échantillonnage lorsque seul un petit nombre de cas peut être sélectionné, et donc la crédibilité des conclusions.

Le consortium C2R vise à proposer un référentiel. Celui-ci s’appuie sur une méthodologie mais aussi un logiciel informatique permettant, d’une part, de structurer ce référentiel et, d'autre part, d’automatiser au maximum la collecte des informations nécessaires à l’évaluation des contrôles.

C2R, agence de notation du contrôle

L’évaluation des risques au sein des institutions financières et des banques est plus compréhensible lorsqu’on utilise des méthodes quantitatives. Celles-ci offrent la possibilité d’une approche « économique » du dispositif de gestion des risques. Elles permettent d’automatiser des dispositifs préventifs et correctifs de maîtrise du risque. Par voie de conséquence, le système de cartographie des risques peut devenir un véritable outil de management « objectif » des différentes entités de l’établissement. Enfin, les places financières et leurs acteurs attendent des indicateurs standard, afin de rendre lisible la résilience des établissements aux risques auxquels ils sont confrontés : cette attente en matière de transparence de marché se matérialise par le pilier 3 de Bâle II et devient prégnante dans le contexte chahuté que connaissent les places mondiales.

Un quatrième niveau de contrôle

Dans le contexte des évolutions de l’arrêté du 19 janvier 2010, modifiant le CRBF 97-02 relatif au contrôle interne des établissements de crédit, trois niveaux de contrôle sont définis :

• un contrôle de 1^er niveau exercé par chaque collaborateur ;
• un contrôle de 2^e niveau exercé par la hiérarchie ;
• un contrôle de 3^e niveau par les auditeurs.

C2R se veut un 4 ^e niveau de contrôle, externe et neutre, véritable agence de notation du contrôle. Il s’agit d’évaluer l’efficacité du contrôle au sein des établissements financiers sur la base de critères qualitatifs et quantitatifs. En effet, le logiciel structurant le référentiel C2R permet de fournir des tableaux de bord d’éléments comparables à l’usage des établissements eux-mêmes : il est alors possible d’envisager une échelle de notation normalisée permettant de classifier les résultats des notations (de type « AAA », « BBB », à la façon de la notation financière). Ces tableaux de bord sont des outils d’aide à l’analyse et à la décision des informations du contrôle : par exemple, les résultats peuvent être présentés sous forme d’histogrammes de l’évolution des scores. Par ailleurs, le référentiel permet de stocker les résultats des contrôles par établissement de façon « étanche » et sécurisée. En revanche, il est à même de fournir des tableaux de bord de comparaison entre ces données.

Les étapes du dispositif

La démarche repose sur 4 étapes.

1. L’identification des processus métier et l’analyse des contrôles existants. Il s’agit d’appréhender le métier de l’établissement en recensant les processus mis en œuvre, en utilisant à cette fin les lignes « métier » réglementaires définies par les travaux du comité de Bâle ; ensuite, les contrôles existants sont identifiés, cartographiés par processus puis qualifiés (niveau de pertinence du contrôle, taux de complétude des contrôles d’un processus et mesure de l’efficacité des contrôles). La base de données enregistre les contrôles existants de l’établissement, avec leur rattachement à un processus métier et leurs ratios correspondant.
2. La correspondance avec la cartographie standard. Les contrôles existants de l’établissement sont mis en correspondance avec la cartographie standard définie par C2R, au sein du logiciel, afin de déterminer la pertinence du dispositif de contrôle de l’établissement, d’une part, et de fournir des éléments de mesure comparables, d’autre part. Par ailleurs, lorsque les contrôles standard seront scorés, C2R sera en mesure de mettre en évidence les contrôles existants sous- ou surévalués. Enfin, l’établissement de cette correspondance est garant de la traçabilité des informations transitant entre les 3 premiers niveaux de contrôle et le quatrième, représenté par C2R.
3. La valorisation des indicateurs de contrôle et le scoring des contrôles. Les indicateurs de chacun des contrôles de la cartographie standard sont ensuite valorisés et automatiquement scorés. La valorisation des indicateurs correspond à la nature de la collecte des données dans le logiciel : questionnaire électronique, collecte manuelle ou automatisée de données, sondage ou encore formule de calcul définie sur l’indicateur.
4. La notation du contrôle interne de l’établissement. Le logiciel calcule dès lors automatiquement la notation de chaque contrôle en fonction des valeurs d’indicateurs et, de fait, la note du dispositif global du contrôle. Sur la base de cette notation, de l’analyse des contrôles existants et de la comparaison entre les notes standard et les notes internes, C2R fournit un rapport d’évaluation du dispositif de contrôle interne de l’établissement, émettant des constats et des recommandations.

Au-delà de ce rapport, le logiciel C2R fournit des études dynamiques telles que le Top 10 des contrôles déficients (par simple sélection d’un contrôle, l’outil met en évidence les indicateurs associés dont la valeur résultant est en deçà de la valeur cible) ou encore un outil de simulation permettant de modifier temporairement la note de certains contrôles ou la valeur de certains indicateurs pour obtenir une note globale satisfaisant et mettre ainsi en avant les contrôles et indicateurs à améliorer.

Méthodologie de la notation

Toutefois, la diversité des métiers induit d’adapter les méthodes de cotation pour uniformiser l’analyse globale. Il s’agit donc de maintenir une méthodologie homogène à travers la création d’un langage commun entre plusieurs fonctions, un décloisonnement de la cartographie et une vision globale des contrôles.

Pour ce faire, C2R fournit un référentiel de contrôles cartographiés par domaine, processus et activité bancaires pour proposer un dictionnaire unifié de contrôles relatifs à des procédures communes et fournir des outils de mesure comparables. Chaque contrôle défini est caractérisé par des indicateurs issus du système d’information ou des acteurs de l’établissement. La note globale du contrôle est calculée sur la base des valeurs de ses indicateurs. La note d’ensemble du Système de contrôle interne (SCI) de l’établissement est la moyenne pondérée de chaque contrôle mais aussi de certains indicateurs « globaux », indépendants des contrôles eux-mêmes (taux d’absentéisme, budget du contrôle, etc.).

Par exemple, prenons la ligne métier « Banque de détail » et le processus de gestion des engagements (prêts) : pour l’activité de contractualisation d’un prêt immobilier, il s’agit de contrôler la présence des pièces indispensables à la pré-instruction du prêt. La qualité de ce contrôle peut être évaluée grâce, entre autres, aux indicateurs suivants :

• l’indicateur 1 est le taux de conformité des pièces fournies. Le score de l’indicateur est ainsi défini : Score = 1 si  la valeur est supérieure à 95 % ; un score de 0,5 si la valeur est comprise entre 95 et 80 % ; un score nul si la valeur est inférieure à 80 % ;
• l’indicateur 2 est le niveau de complétude de la check-list ;
• l’indicateur 3 porte sur l’outillage de contrôle de conformité des pièces ;
• l’indicateur 4 est constitué par les alertes sur pièces manquantes.

Les limites de la notation

Le principe de résumer l’évaluation d’un dispositif de contrôle interne à une note, reflétant à elle seule l’appréciation d’une agence et de ses analystes, peut cependant être critiqué, à l’instar des débats récurrents concernant les agences de notation. Il faut donc associer à cette méthodologie un code de bonne conduite résidant en trois points :

• ne pas se substituer aux démarches qualitatives d’évaluation du contrôle interne, mises en place au sein des établissements et permettant d’étayer les résultats considérés ;
• fournir un référentiel uniformisé, normalisé et documenté de façon à reposer sur un dispositif transparent et équitable de notation ;
• enfin, être une norme étatique, voire européenne, garante de la neutralité des intervenants et non rémunérée par les établissements concernés.

1 Le dispositif de Contrôle Interne : Cadre de référence (AMF, Janvier 2007)