L’organisation du contrôle comptable permanent

En 2010, le contrôle comptable intervenait en priorité sur les informations comptables consolidées et sociales, et plus largement l’information financière (par exemple, les documents de référence). Le contrôle comptable couvre désormais, outre le processus d’arrêté comptable, la production des reportings réglementaires et prudentiels, voire, pour certains établissements, l’ALM, le contrôle de gestion… Le périmètre des missions est reflété dans la désignation de ces équipes. En effet, le terme « contrôle comptable » n’est pas utilisé. L'appellation « contrôle finance » recouvre mieux la diversité des missions, même si l’ancrage sur la comptabilité reste primordial.

I. La restitution du groupe de travail

Avec le recul, le positionnement des équipes sert d'abord à assurer leur légitimité au sein de l’établissement. L’important est d’avoir un équilibre satisfaisant entre proximité, expertise et indépendance (spécialisation dans la filière contrôle permanent, sans aucune fonction de production). Le contrôle permanent comptable a ainsi trouvé sa légitimité :

• le positionnement des contrôleurs leur permet de mener à bien leurs missions et les contributions attendues des départements ou services sont intégrées dans l’activité habituelle de ces derniers ;
• la présence du contrôle permanent finance à différents niveaux de l’organisation (ex : central-métier-entité) permet de réellement « challenger » les déclarations des contributeurs, et d'apporter de la valeur ajoutée ;
• les contrôleurs disposent des moyens nécessaires avec des effectifs adaptés, sachant que l’efficacité repose plus sur la qualité des collaborateurs que sur la taille des équipes. Donner une bonne visibilité à ces postes dans les parcours RH est indispensable. En outre, les équipes sont de mieux en mieux intégrées dans les projets ;
• l’automatisation des processus de contrôle et la prise en compte des besoins de contrôle dans les outils se sont améliorées.

Un rôle majeur d'animation

L'efficacité des équipes de contrôle n’est assurée que si elles jouent un rôle majeur d’animation, avec dans l’approche de contrôle :

• la diffusion de normes et instructions standard, indispensables pour homogénéiser la qualité, permettre les comparaisons entre pays ou équipes de cultures différentes. Un exemple est la définition de contrôles génériques précisant le contenu du contrôle, avec des exemples, ainsi que l’articulation des travaux des différents acteurs (premier et deuxième niveau…), les fréquences minimales de réalisation, les règles d’échantillonnage, ou les modalités de formalisation… ;
• l’instauration de contrôles réguliers afin d'optimiser et de sécuriser les dispositifs ;
• un accompagnement des entités et départements afin d’assurer la mise en œuvre effective des contrôles au moyen d’actions de formation ou de revues sur site qui permettent de vérifier la bonne compréhension des directives de contrôle ;
• une responsabilisation indispensable des entités locales ; le dispositif de contrôle ne peut fonctionner que si le contrôle est pris en charge dans les équipes et entités au premier niveau.

Des points de vigilance

Des points de vigilance ont été relevés pour la bonne application de cette approche, notamment :

• l’équilibre nécessaire entre indépendance du corps de contrôle et proximité. Si la proximité est essentielle pour comprendre et hiérarchiser les risques, l’indépendance est indispensable pour responsabiliser les entités et départements et rester objectif. Cela peut, par exemple, consister à donner son avis sur les procédures des entités sans devenir leur valideur ; ou ne pas accorder de dérogations à l’application des procédures : si une entité ne peut l’appliquer, elle doit l’expliquer et le risque doit être évalué ;
• une remise en question régulière pour éviter la routine et s’assurer que le dispositif reste adapté aux risques.

Des dispositifs de certification

La formalisation et la communication des résultats des contrôles sont réalisées notamment dans le cadre de dispositifs de certification, utilisés dans la plupart des établissements et désormais intégrés dans les dispositifs de clôture :

• les certificats, qui comprennent généralement une « autoévaluation », permettent à la fois la responsabilisation des équipes locales et la remontée des principaux risques comptables ;
• la qualité du contenu des certificats est souvent un bon indicateur de la qualité des processus comptables.

Selon les établissements, la certification est à un, deux ou trois niveaux et porte sur une liste de quelques dizaines de contrôles clés :

• certification obligatoire des directeurs financiers et généraux des entités qui s’engagent sur le déploiement d’un plan de contrôle et sur un plan d’actions en cas d’anomalies ;
• implication des départements « amonts » dans la certification : métiers, départements risques, fiscalité, ressources humaines, etc. ;
• existence d’un système de cascade pour remonter les anomalies au bon niveau de la hiérarchie.

Une capacité à challenger

Les enjeux d’aujourd’hui consistent à « challenger » les déclarations des entités en charge des contrôles. L’efficacité du contrôle permanent finance passe par la réalisation de contrôles effectifs, car ses actions de définition du « cadre » (cartographies/procédures) et la réception d’information sur base déclarative ne peuvent suffire à sécuriser les risques. Ces contrôles, sur pièce ou à distance, sont à réaliser à différents niveaux (contrôle permanent finance entité, métier, ou central selon l’organisation). Ils permettent de s’assurer de la qualité des informations déclarées (dans le cadre des processus de certification par exemple). Cette capacité de challenge est déterminante pour la crédibilité des équipes de contrôle permanent. Elle est légitimée par la communication des résultats des contrôles au comité d’audit, levier important pour les actions d’amélioration.

En pratique, les contrôles s’appuient sur :

• des outils de contrôle (par exemple, outils de lettrage automatique, de rapprochement back-office comptabilité) ;
• des outils de collecte des justificatifs (éventuellement mutualisés avec les outils contrôle permanent) ;
• voire la réception de dossiers d’arrêté.

Un contexte de réduction des délais

L’utilisation d’un système comptable standard ou de plates-formes comptables mutualisées est un atout pour l’efficacité des contrôles, qui peuvent être réalisés au cours de l’arrêté ou hors période d’arrêté (notamment pour des contrôles approfondis sur place de certaines thématiques). La réalisation des contrôles comptables dans le contexte de réduction des délais n’apparaît pas comme un problème majeur, ce qui démontre que le sujet est désormais bien intégré dans les processus d’arrêté : la définition de seuils et l’automatisation ont facilité ces évolutions. En revanche, la réalisation des contrôles sur les productions réglementaires en forte augmentation, et dans des délais raccourcis, est un des principaux enjeux du contrôle permanent et nécessite une revue des processus.

Les travaux de contrôle comptable doivent s’inscrire dans un calendrier précis, global, décliné par entité et par nature de compte et piloté par les directions concernées (direction financière, direction des risques, conformité…). Cette rigueur inscrit dans la durée, la pertinence des reportings de contrôle permanent comptable.

Les résultats des contrôles clés et de la certification contribuent à la présentation et à la validation des comptes dans les instances de gouvernance (réunion de synthèse avec les commissaires aux comptes, comité d’audit, comité de contrôle permanent et comité de contrôle interne). Ainsi, l'action du contrôle permanent comptable est pleinement reconnue.

Assurer l'efficience des travaux de contrôle

En synthèse, le groupe de travail considère que l’efficience des travaux de contrôles de second niveau et leur contribution à la valeur ajoutée des processus de production des arrêtés comptables, réglementaires et fiscaux ne sont plus à démontrer. Cette efficience ne s’évalue pas exclusivement en termes financiers : d'une part, la démarche d’évaluation des risques permet d’améliorer la mesure des risques comptables et réglementaires dans un cadre partagé avec les « propriétaires des risques » ; d'autre part, la contribution du contrôle permanent s’apprécie sur plusieurs aspects :

• la protection du patrimoine, c’est-à-dire la sécurité des actifs et la conformité aux lois et réglementations ;
• l’amélioration constante des processus ;
• la diffusion des bonnes pratiques ;
• enfin, la qualité des données et l’amélioration des systèmes d’aide à la décision.

Dans un contexte budgétaire tendu, l’efficience implique de :

• maintenir un haut niveau de professionnalisme et de qualité des contrôleurs. Ceci passe par des actions de formation tant sur les nouveaux sujets traités (réglementaires notamment) que sur les méthodologies de contrôle interne ;
• assurer la visibilité des postes de contrôleurs comptables pour attirer les compétences nécessaires ;
• gagner en efficacité, en poursuivant l'automatisation des contrôles et les démarches de mutualisation, et en appliquant des méthodes d’audit permettant des sondages plus efficaces, avec un renforcement des analyses ;
• effectuer une revue régulière du dispositif de contrôle pour l’adapter aux évolutions de l’organisation (ex : outsourcing) ;
• et développer une approche globale des risques tout en se concentrant sur les enjeux majeurs.

Le rapport coût/valeur ajoutée du contrôle comptable doit être un élément de questionnement permanent : optimiser les moyens engagés au regard de l’objectif à atteindre est impératif.

Les prochaines étapes

Les prochaines étapes compte tenu des évolutions réglementaires et de la sensibilité des marchés à l’ensemble des informations communiquées, devront permettre tout d'abord d’amener le contrôle du réglementaire au niveau du contrôle comptable, compte tenu de sa sensibilité déterminante dans la communication financière (solvabilité et liquidité en particulier). Il faudra également clarifier les rôles de chacune des fonctions de contrôle (internes – risques, conformité… – ou externes) dans le contrôle de la production de reportings comptables et réglementaires de plus en plus intégrés (comptables/financiers, solvabilité, liquidité). Ceci nécessite une coordination accrue entre les différentes fonctions de contrôle interne, ainsi qu'une implication effective des filières amont dans le contrôle de l’information communiquée, au-delà des éléments comptables (données référentielles tiers, titres…). Enfin, il faudra définir des objectifs ambitieux sur la qualité d’agrégation et publication des données comptables et réglementaires, équivalentes à celles des autres risques de la banque, notamment au regard des règles édictées par le Comité de Bâle (BCBS 239) [1] .

Dans une période où la confiance dans les informations publiées est parfois remise en cause, un contrôle comptable robuste, disposant des ressources adéquates, en particulier en termes d’expertise et d’outils ainsi que d’une indépendance suffisante, devrait contribuer, via une coordination forte avec l’ensemble des contributeurs, à l’amélioration de la transparence financière dans son ensemble et au renforcement d’une culture comptable et réglementaire basée sur la qualité et l’efficacité.

La pertinence des choix vue de la direction financière ou de la direction des risques

Les interventions ont confirmé l’importance qu’ont pris ces dispositifs de contrôle permanent « finance ». La place réservée au sein des comités spécialisés à des examens réguliers de l’organisation des contrôles, comme à la revue des dysfonctionnements et de leur résolution, confirme cette tendance qui peut trouver son impulsion aussi au sein des conseils d’administration eux-mêmes. La transversalité et son corollaire de démontrer des capacités à évoluer de manière concertée entre la finance, les risques, l’informatique et les opérationnels constituent l'un des challenges d’aujourd’hui.

La compétence attendue en ces domaines est vaste et requiert des profils motivés et dotés des compétences comptables et risques. L’élargissement du champ de contrôle à la gestion de bilan ou au contrôle de gestion doit s’aborder aussi avec cette vigilance de compétences pour bénéficier in fine d’une organisation capable de remplir les missions qui lui sont assignées.

Les attentes des régulateurs et l’évolution de la réglementation

Les crises mettent en lumière des questions comptables importantes : valorisation de produits complexes, marked to market et marked to model, disparition de certains repères (valeur des actifs souverains), etc. Les défis de la transparence financière ouvrent le champ à de nombreuses questions : relations entre choix comptables et stratégies d’allocations d’actifs, problématiques de valorisation et d’ajustements de valeur, cohérence entre évaluations comptables, prudentielles et de gestion. L’importance du chiffre n’est pas à démontrer dans un système financier complexe. Après la rentabilité récurrente, la qualité du dispositif de contrôle interne est un élément clé et dès l’origine de ce dispositif (règlement n° 90-08), l’accent a été mis sur l’organisation comptable et la piste d’audit. Les évolutions vers la dimension « risques » (règlement n° 97-02) n’atténuent pas cet élément essentiel, comme le montrent les aspects de valorisation et de rapprochement entre les données comptables et de gestion. La comptabilité doit répondre à des besoins accrus d’explications à l’égard des commissaires aux comptes, des dirigeants, des comités d’audit dont le rôle s’est renforcé et des conseils d’administration/surveillance,

Les enseignements de l'AQR

Les enseignements de l’AQR sur les attentes par rapport à la fonction comptable sont nombreux ; ils ont été un test hors normes de la qualité des systèmes d’information ainsi que de leur capacité à fournir des données de manière industrielle dans des délais records ou des informations selon des concepts nouveaux (prêts non performants, forbearance). L’AQR a permis une vérification approfondie des procédures comptables et de l’application de la hiérarchie de la juste valeur, des pratiques de revalorisation des collatéraux et des actifs financiers de niveau 3 ou d’évaluer les niveaux de provisionnement (individuel et collectif) selon une méthodologie prudentielle.

Les perspectives avec la supervision de la BCE nous conduisent vers un modèle de surveillance « consommateur de reportings » : le reporting comprendra l’ensemble des tableaux remis au titre de l’ ITS [2] reporting publié par l’EBA : reporting prudentiel sur base sociale et consolidée : COREP [3] , grands risques, liquidité, ratio de levier… et reporting comptable sur base consolidée : FINREP [4]

La BCE définira un reporting comptable sur base sociale qui devrait être compatible avec la collecte de données statistiques. Celles-ci seront rassemblées par le superviseur national et transmises à la BCE après vérification et contrôles qualité. Les données alimenteront le RAS – système d’analyse des risques – mis en place par la BCE. Ce système est l’équivalent du système français ORAP. Il contiendra davantage de données quantitatives que le système ORAP.

Dix thèmes de revue concernant les politiques et les procédures comptables des banques

Le résultat d’ensemble de l'AQR est très satisfaisant pour les banques françaises. Il a néanmoins été relevé quelques points d’attention :

• application des niveaux de fair value (FV) : manque de justification sur le classement de certains instruments à la FV de niveau 1 ou 2 ; manque de précision dans la définition des marchés actifs ou encore problèmes de classification du niveau de juste valeur (mauvaise classification d’ABS classé en juste valeur de niveau 1) ;
• restructuration/forbearance : procédures de classification des restructurations en cours d’élaboration ; identification des prêts restructurés perfectibles ; pas de formalisation, ni de documentation des procédures permettant de reclasser une créance de douteuse à cured puis à performante ; période de 3 mois seulement pour rétablir une créance douteuse restructurée et la reclasser comme cured ;
• provisionnement individuel et collectif :  conformité avec IAS 39 de certains calculs des provisions individuelles ; différences de traitement plus marquées sur le corporate que sur le retail pour le provisionnement collectif ;  validation du périmètre de calcul des provisions collectives (en plus des paramètres de PD, LGD et EAD [5] ) ;  pas de sous-provisionnement global (notamment sur crédit à l’habitat, mais des déficits ponctuels par rapport au modèle de référence – crédits à la consommation, par exemple) ;
• valorisation du collatéral : revalorisations des collatéraux pas assez fréquentes et nécessité de revoir certaines politiques internes ;
• calcul de la CVA  [6] : utilisation assez fréquente de probabilités de défaut historiques (la norme prévoit l’usage de probabilité de défaut implicite).

Des constats plus ponctuels concernaient des problèmes de classification ( HTM/AFS [7] ), notamment dus à un manque de disponibilité des données, des manques de documentation et de justification des provisions pour litiges, mais aussi la non-application de la règle de 90 jours pour la définition des créances douteuses ou encore des documentations insuffisantes des règles de déconsolidation au regard d’IFRS 10.

Pour le contrôle comptable, il conviendra de porter une attention particulière à une double fiabilisation du contrôle des paramètres et des périmètres de calcul qui continuent de constituer des enjeux importants (CVA, provisions collectives), à l’identification et au traitement adéquat des créances restructurées ainsi qu’à la documentation des classifications comptables et des niveaux de Fair Value.

Le nouveau cadre prudentiel pour le contrôle interne

À compter du 6 novembre 2014, le cadre prudentiel de référence pour le contrôle interne ne relève plus du fameux règlement 97-02 du CRBF mais de l’arrêté du 3 novembre 2014 relatif au contrôle interne ainsi que du décret du 3 novembre 2014. Le nouvel arrêté relatif au contrôle interne a repris sans modification sur le fond les dispositions du titre III du règlement n° 97-02 traitant de l’organisation comptable et du traitement de l’information. Les seules modifications apportées concernent la mise à jour des références croisées et des définitions (e.g. dirigeants effectifs, plans d’urgence et de poursuite de l’activité). La mise à jour des règlements comptables de l’ ANC [8] tenant compte de ces modifications devrait intervenir avant la fin de l’année 2014. Néanmoins les grands principes (article L. 511-55 du CMF) évoluent et le contrôle interne comptable devra les respecter.

Les EC, les SF et les EI hors SGP doivent se doter d’un dispositif de gouvernancesolide incluant une organisation claire, assurant un partage des responsabilités bien défini, transparent et cohérent ainsi que des procédures efficaces de détection, de gestion, de suivi et de déclaration des risques auxquels ils sont ou pourraient être exposés. Ils doivent aussi avoir un dispositif adéquat de contrôle interne, des procédures administratives et comptables saines, des politiques et pratiques de rémunérations favorisant une gestion efficace des risques. Le personnel exerçant des fonctions de contrôle doit être indépendant des unités opérationnelles qu’il contrôle. Le dispositif de gouvernance doit être adapté à la nature, à l’échelle et à la complexité des risques inhérents au modèle d’entreprise (principe de proportionnalité).

La filière risque est remplacée par la fonction de gestion des risques. Cette fonction est indépendante des fonctions opérationnelles et dispose de ressources adéquates. Le responsable de la fonction de gestion des risques doit avoir un positionnement hiérarchique suffisamment élevé pour lui permettre d’exercer sa fonction de manière indépendante. Lorsqu’il n’est pas dirigeant effectif, il est directement rattaché aux dirigeants effectifs. Il ne peut être démis de ses fonctions sans l’accord préalable du conseil d'administration (CA). Il rend compte aux dirigeants effectifs, mais peut, si besoin, rendre directement compte au CA sans en référer aux dirigeants. Il s’assure de la mise en œuvre des systèmes de mesure et de surveillance des risques et des résultats, et vérifie que le niveau des risques est compatible avec les orientations et politiques fixés par l’organe de surveillance.

Les pouvoirs du conseil d’administration sont renforcés et précisés.

Ces évolutions générales des règles à respecter en matière de contrôle interne sont à analyser au sein de chacun des établissements pour en identifier les adaptations à conduire sur le volet comptable et permettre ainsi une mise en conformité globale et cohérente dans les délais les meilleurs (le texte étant d’application immédiate).

Des avancées considérables

En conclusion, il faut noter les fortes avancées dans le contrôle permanent comptable depuis 2010 qui constituent une vraie réussite :

• le positionnement des équipes, signe d’une reconnaissance par le management. Les messages du contrôle permanent sont entendus car les résultats de la certification sont remontés à la direction générale ;
• la quasi-maturité sur les sujets comptables avec un périmètre couvert satisfaisant, une bonne transparence des métiers qui remontent leurs anomalies; les équipes contribuent à une véritable valeur ajoutée faisant progresser la qualité comptable en priorisant les plans d’action et les moyens à y consacrer ;
• la certification avec la remontée à la direction générale fonctionne ; elle est même devenue une référence que les autres fonctions (risques et conformité) commencent à déployer.

Les enjeux pour demain sont d’arriver à la même cible sur le réglementaire alors que les délais sont plus serrés et que les états à produire croissent tous les trimestres, que les normes ne sont pas stabilisées et que les processus évoluent encore.

Les préoccupations au cœur du contrôle permanent sont de s’assurer de la qualité des données entrées en amont des systèmes et d’avoir un contrôle permanent le plus efficace possible dès le 1^er niveau pour éviter les surcouches de contrôle. Identifier les anomalies le plus en amont possible dans la chaîne est un challenge permanent.

Ces objectifs nécessitent d’avoir des équipes « légères » et « agiles » qui peuvent maîtriser des sujets très variés et apporter des solutions efficaces et adaptées.

Le contexte où les fonctions de production sont de plus en plus regroupées dans des CSP [9] nécessite d’uniformiser les processus, les contrôles de niveau 1, de former parfaitement les équipes et de les animer pour que les directives groupe soient suivies.

1 Le Comité de Bâle (Basel Committee on Banking Supervision – BCBS) a émis, en janvier 2013, 14 principes ( Risk Data Aggregation & Risk Reporting) qui visent à renforcer les capacités d’agrégation des données et de reporting risques des établissements systémiques. 2 Implementation Technical Standards ou normes techniques d'exécution. 3 COmmon solvency ratio REPorting. 4 FINancial REPorting. 5 Probability of default ; loss given default ; exposure at default. 6 Credit value adjustment. 7 Held to maturity ; available for sale. 8 Autorité des normes comptables. 9 Centres de services partagés.