L’organisation des dispositifs de contrôle des acteurs régulés de la banque et de la gestion d’actifs (2/2)

Le secteur bancaire est entendu comme incluant les entités assujetties à l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution (ci-après « l’Arrêté du 3 novembre 2014 »), et notamment les établissements de crédit, les sociétés de financement, les entreprises d’investissement, les établissements de paiement et les établissements de monnaie électronique [1] (« les entités bancaires »).

Des fondements textuels précis pour le secteur bancaire…

De la même manière que pour le secteur de la gestion d’actifs, les dispositions législatives européennes [2] et nationales [3] applicables au secteur bancaire n’évoquent que succinctement le périmètre des dispositifs de contrôle. En droit interne, c’est l’Arrêté du 3 novembre 2014 qui précise le régime applicable aux dispositifs de contrôle des entités bancaires.

En gestion d’actifs, il convient de souligner que dans les documents de doctrine de l’AMF, les niveaux de contrôle sont structurés à partir du niveau de contrôle (premier, deuxième ou troisième niveau) auquel se rattache la nature du contrôle à effectuer (permanent ou périodique). Notons que pour le secteur bancaire, l’Arrêté structure les dispositifs de contrôle à partir de la nature du contrôle, permanent ou périodique, pour rattacher les trois niveaux de contrôle évoqués :

– le contrôle permanent inclut un contrôle de premier niveau, effectué par des agents opérationnels, et un contrôle de second niveau, réalisé par des agents dédiés au niveau des services centraux et qui sont indépendants des unités opérationnelles qu’ils contrôlent. Le contrôle permanent recouvre le contrôle de la conformité, de la sécurisation et de la validation des opérations réalisées et des autres diligences liées aux missions de la fonction de gestion des risques. L’objectif du contrôle permanent est de surveiller en continu que toutes les obligations qui pèsent sur l’établissement sont respectées. En pratique, cette surveillance s’opère d’une part, par le premier niveau de contrôle, réalisé par des agents opérationnels s’assurant du respect de l’ensemble des politiques et procédures de la société, et d’autre part, par le deuxième niveau de contrôle, pris en charge par des agents dédiés à cette mission qui s’assurent de la bonne exécution des contrôles de premier niveau par les agents opérationnels ;

– le contrôle périodique constitue le troisième niveau de contrôle. Il recouvre principalement le contrôle de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l’efficacité et du caractère approprié des dispositifs de contrôle de conformité en place [4] . Ainsi, l’objectif du contrôle périodique est de s’assurer de l’exhaustivité et de la fiabilité des informations recueillies grâce au contrôle de l’adéquation des méthodes et des paramètres retenus pour l’évaluation des risques des opérations. Les agents en charge de ce contrôle sont soumis à une obligation d’indépendance à l’égard des entités et services qu’ils contrôlent.

…appuyés par des principes directeurs éclairants…

Les principes encadrant la gestion d’actifs, tels que la proportionnalité, la permanence, l’efficacité et la compétence sont également appliqués en matière bancaire. Néanmoins, l’impact de la mise en œuvre de ces principes est d’une envergure moindre.

Tout comme en matière de gestion d’actifs, l’application du principe de proportionnalité peut conduire à la mise en place de schémas tenant compte de la taille de l’entité bancaire concernée, du volume de ses activités, de la nature, l’échelle et la complexité des risques inhérents à son modèle d’entreprise et à ses activités [5] . En outre, le principe de proportionnalité trouve à s’appliquer pour l’ensemble des fonctions de contrôle en matière bancaire. Ainsi, l’Arrêté offre la possibilité de déroger à l’obligation consistant à nommer un responsable du contrôle permanent, un responsable du contrôle périodique, un responsable de la conformité (incluant le contrôle des dispositifs de lutte contre le blanchiment de capitaux et de financement du terrorisme) et un responsable de la gestion des risques en regroupant certaines fonctions ou en les externalisant à une autre entité du groupe [6] ou à un prestataire tiers. Par ailleurs, si l’AMF met en place de nombreux contrôles préalables sur les fonctions de contrôle interne en gestion d’actifs, l’ACPR ne détaille pas les exigences applicables aux entités du secteur bancaire. Il convient donc d’adopter une stratégie prudente lors de la mise en œuvre d’un tel principe à l’occasion de la structuration des fonctions de contrôle au sein de l’entité. Il est ainsi d’usage de rédiger des notes internes fixant la doctrine de l’entité bancaire relativement au principe de proportionnalité afin de justifier que l’organisation des dispositifs de contrôle choisie est conforme à l’acception de ce principe.

Plus particulièrement, l’Arrêté du 3 novembre 2014 prévoit la possibilité pour les établissements de petite taille :

– de confier les fonctions de contrôle périodique et de contrôle permanent, soit à une même personne, soit aux dirigeants effectifs sous le contrôle de l’organe de surveillance ;

– de confier au responsable du contrôle permanent les fonctions de responsable de la fonction conformité ;

– de confier au responsable du contrôle permanent la fonction de gestion des risques ;

– le contrôle périodique peut éventuellement être assuré par le ou les dirigeant(s) effectif(s) et la réalisation de missions spécifiques de conformité est externalisée.

Toutefois, lors de la mise en place d’un cumul de fonctions, des dispositifs spécifiques de prévention et de gestion des conflits d’intérêts doivent être mis en place.

De plus, au sein d’un groupe, le cumul de la responsabilité d’une même fonction clé, contrôle permanent ou contrôle périodique, pour le compte de plusieurs entités est envisageable à certaines conditions, et, notamment, sous réserve de l’accord des organes de surveillance des entités bancaires concernées.

Par ailleurs, les principes sous-jacents existants en matière de gestion d’actifs tenant à la documentation de la dérogation, la coordination des différentes activités et la garantie de l’indépendance des fonctions de contrôle trouvent à s’appliquer en matière bancaire.

S’agissant des divergences relatives aux dispositifs de contrôle entre ces deux secteurs d’activité, elles sont de plusieurs ordres. Pour le secteur de la gestion d’actifs, il existe un principe d’indépendance de la fonction des risques, applicable sous certaines conditions. Il n’existe toutefois pas de principe équivalent en matière bancaire, puisque dans cette hypothèse le responsable de la fonction de gestion des risques est directement rattaché aux dirigeants effectifs [7] . En outre, il est possible pour les SGP de déroger au principe d’indépendance de la fonction de contrôle périodique sous réserve du respect de certaines règles. Cependant, une telle possibilité n’est pas offerte aux entités bancaires.

…et devant faire l’objet d’une documentation appropriée

L’ACPR, tout comme l’AMF, s’attend à ce que l’organisation des dispositifs de contrôle des entités bancaires soit dûment documentée. Si tel n’est pas le cas, l’Autorité dispose d’un pouvoir disciplinaire lui permettant de sanctionner une entité bancaire ayant un dispositif défaillant [8] .

À l’image des éléments requis par l’AMF dans le programme d’activité des SGP dès le dossier d’agrément, l’entité doit mentionner le nom du responsable de chacune des fonctions de contrôle précitées et expliciter l’ensemble du dispositif mis en place pour se conformer aux dispositions de l’Arrêté du 3 novembre 2014. Ainsi, la liste des procédures de contrôle de deuxième niveau doit être précisée et le plan d’audit pluriannuel doit être défini. Le cas échéant, l’ACPR peut également demander à avoir accès au manuel des procédures internes de l’établissement. L’ACPR peut, en outre, s’interroger sur l’organisation de ce dispositif et les garanties apportées par cette structuration, notamment, au regard du principe d’indépendance.

De plus, comme en matière de gestion d’actifs, l’établissement devra mettre en place des politiques et procédures lui permettant de vérifier l’exécution des mesures correctives et la remontée d’informations aux dirigeants effectifs ainsi qu’à l’organe de surveillance.

Enfin, de la même manière que l’AMF impose des reporting au sein des SGP, l’Arrêté impose la mise en place de procédures de centralisation des informations relatives aux éventuels dysfonctionnements dans la mise en œuvre du contrôle interne et de procédures destinées à suivre les remédiations prévues à ces dysfonctionnements.

En conclusion, bien qu’il existe des principes communs applicables aux deux secteurs d’activité, leurs applications diffèrent en pratique. À titre d’exemple, il convient d’être prudent quant à l’utilisation de notions/concepts en apparence identiques mais qui ne recouvrent en réalité pas le même contenu dans les deux secteurs, telle que la notion de contrôle permanent.