Les griefs retenus ont été les suivants :
Selon le grief 1, le contrôle permanent de la Banque reposait presqu’exclusivement, au moment du contrôle sur place, sur le dispositif de contrôle de deuxième niveau, dont le champ d’intervention était incomplet et dont les moyens étaient insuffisants. Ainsi, au 31 décembre 2021, le plan de contrôle permanent ne couvrait pas des éléments aussi essentiels que l’élaboration des états réglementaires, la réalisation des revues annuelles des dossiers de crédit, les moyens généraux, le service de paie, le recouvrement, les systèmes d’information et le contrôle des prestations de services essentielles externalisées. En outre, les moyens alloués au contrôle permanent de deuxième niveau, limités à un agent équivalent temps plein, ne lui permettaient d’assurer ni une surveillance adéquate ni une maîtrise de ses risques. Ainsi, aucun des contrôles prévus par le plan de contrôle permanent n’a été réalisé en 2020. De plus, entre septembre 2021 et avril 2022, les contrôles permanents n’étaient plus réalisés sur les périmètres comptabilité et reportings réglementaires.
Selon le grief 2, les moyens humains affectés à la fonction d’audit interne, soit un salarié, étaient insuffisants au moment du contrôle au regard des risques identifiés tant par l’établissement que par la mission de contrôle et ne permettaient donc pas de mener un cycle complet d’investigations de l’ensemble des activités sur un nombre d’exercices limité. Ainsi, aucune mission n’avait été conduite depuis janvier 2019 ni sur la gouvernance, ni sur le processus d’octroi de crédit – bien que le risque ait été jugé élevé sur ces deux points dans la cartographie des risques de l’établissement – ni auprès des prestataires externes afin de vérifier notamment la conformité des prestations fournies.
Selon le grief 3, aucune politique ni procédure ne régissait, au moment du contrôle, le suivi des recommandations émises par le contrôle permanent et par le contrôle périodique. Sur un plan opérationnel, la faible automatisation des outils conduisait à ce que les recommandations soient formulées sur de nombreux supports papier et tableurs Excel sans être archivés dans un dossier dématérialisé. Par ailleurs, il n’existait pas de tableau de suivi synthétique, exhaustif et transversal des recommandations émises par le contrôle permanent de deuxième niveau permettant d’assurer un suivi approprié des plans d’action arrêtés pour corriger les anomalies dans des délais raisonnables. Les recommandations du contrôle permanent de deuxième niveau ne prévoyaient pas de délai de remédiation, ce qui entraînait une récurrence des anomalies identifiées. De même, dans le cadre du contrôle périodique, des dépassements récurrents des délais de mise en œuvre de certaines actions correctives ont été identifiés par la mission de contrôle depuis début 2020. À titre d’illustration, l’état de suivi des recommandations au 6 mai 2022 transmis par le responsable du contrôle périodique faisait apparaître 20 recommandations échues présentant des délais de mise en œuvre excessifs, dont 17 recommandations affectées d’un niveau élevé de priorité et 3 recommandations affectées d’un niveau de priorité moyen. Il en allait de même pour les recommandations émises dans le cadre de la mission d’audit relative à l’environnement de production et de contrôle comptable dont le rapport a été présenté le 11 septembre 2020 : elles présentaient un retard de 614 jours au 6 mai 2022. Ainsi, deux recommandations, qui auraient dû être mises en œuvre au 28 février 2021 et deux autres, qui auraient dû être mises en œuvre au 31 mars 2021, étaient toujours en attente au 6 mai 2022, bien que trois de ces recommandations aient été affectées d’un niveau élevé de priorité.
Selon le grief 4, le contrôle des PSEE était insuffisant. Ainsi, pour les 24 PSEE, le risque couru du fait de l’externalisation n’avait pas été évalué et 9 d’entre elles [...] n’avaient donné lieu, au moment du contrôle, à la signature d’aucun contrat avec le prestataire. Par ailleurs, sur les 11 contrats d’externalisation analysés par la mission de contrôle (dossiers 1 à 11), 8 ne comportaient pas de clause d’audit garantissant à la Banque et à l’ACPR l’accès, le cas échéant sur place, aux informations pertinentes sur les activités externalisées et 3 ne comportaient aucune stipulation relative à la protection des informations confidentielles concernant l’entreprise et ses clients.
La société soutient que certaines de ces 24 prestations ne doivent pas être considérées comme essentielles au sens des dispositions ci-dessus rappelées : il en irait ainsi, selon elle, pour les prestations de gestion des terminaux de paiement, maintenance GAB & DAB, « système de gestion comptable des cycles achats/fournisseurs, immobilisations et paie », prestation de conseil ponctuelle pour la maintenance d’un outil. Or, ces cinq prestations doivent être regardées comme essentielles ou importantes, les deux premières en application du 3e tiret du r) de l’article 10 de l’arrêté du 3 novembre 2014, les trois autres en application du 4e tiret du même r), comme l’a d’ailleurs soutenu la poursuite sans être contredite. En particulier, en raison de son périmètre d’utilisation, une défaillance de l’outil dont la maintenance fait l’objet d’une prestation entrerait, contrairement à ce que soutient la banque, dans les prévisions du 4e tiret du r) de l’article 10 de l’arrêté.
Selon le grief 5, le dispositif de gestion des risques mis en place par la Banque présentait, au moment du contrôle, des carences sur plusieurs points :
– si l’établissement disposait de mesures du risque de crédit et du risque de liquidité, il n’en disposait pas pour les autres risques, notamment pour le risque opérationnel, le risque de taux d’intérêt et le risque de change ;
– les risques de marché, de taux d’intérêt et de change n’étaient pas gérés par la Banque ;
– la gestion du risque opérationnel était déficiente. À titre d’illustration, la Banque n’avait mis en place aucun reporting sur les risques ou incidents opérationnels et leur traitement, et l’information du conseil d’administration sur ce risque se limitait aux éléments lacunaires figurant dans le rapport annuel de contrôle interne. Aucun indicateur-clé n’avait été défini ni aucun exercice d’évaluation mis en place.
Selon le grief 6, la banque n’avait pas, au moment du contrôle, établi de cadre d’appétence aux risques comportant des seuils d’alerte et des limites globales et opérationnelles permettant la gestion et le suivi des risques auxquels elle était ou aurait pu être exposée. Ainsi, il n’existait aucune politique de gestion du risque de crédit comportant un dispositif global de limite et d’appétit à ce risque, qui ne pouvait donc pas être appréhendé correctement en l’absence de réels indicateurs chiffrés permettant de donner une image fidèle et objective du risque couru par l’établissement. En particulier, la Banque n’avait pas défini de limites d’engagement, encadrant son encours maximal net et brut de garanties financières par contrepartie, groupe de clients liés, secteur d’activité et/ou zone géographique. Lors de l’examen de chaque nouvelle proposition de crédit ou avenant, aucune vérification du respect des limites d’engagement n’était effectuée.
Ce n’est qu’en mai 2024 qu’une instruction « relative au cadre d’appétence au risque » a été validée par l’organe de surveillance.
Selon le grief 7, en matière de surveillance du risque de crédit, il n’existait pas de processus formalisé organisant une revue régulière des dossiers et, de fait, les dossiers de crédit ne faisaient pas l’objet de revues périodiques.
Selon le grief 8, la Banque ne s’était pas dotée, au moment du contrôle, d’une politique de rémunération comprenant les mesures visant à éviter les conflits d’intérêts, définissant l’évaluation interne et indépendante annuelle, traitant du cadre pluriannuel dans l’évaluation des performances et du paiement de la rémunération variable et traitant des catégories de personnel dont les activités professionnelles ont une incidence significative sur le profil de risque de l’entreprise, de leur identification ou des mesures prises à leur égard. De même, le comité de nomination et de rémunération n’avait pas défini de politique de rémunération spécifique pour les salariés identifiés comme étant des preneurs de risque et ceux-ci n’avaient toujours pas été identifiés par la Banque à la date du rapport de contrôle. Par ailleurs, la mission de contrôle a également relevé que les rémunérations de la directrice générale et du directeur général délégué ont été augmentées entre juillet 2020 et octobre 2021 en contradiction avec les décisions fixant leurs rémunérations prises par le comité de nomination et de rémunération et le conseil d’administration, malgré la situation financière dégradée de la Banque.
Selon le grief 9, le cadre procédural en place au sein de la Banque au moment du contrôle, était incomplet, faisait l’objet d’un suivi irrégulier et n’était pas à jour des dispositions réglementaires en vigueur. En effet, il ne couvrait pas l’ensemble des activités et processus de l’établissement. Ainsi, outre l’absence, d’une part, de procédures permettant de vérifier l’exécution des mesures correctives décidées dans le cadre du contrôle interne et, d’autre part, de procédures encadrant la sélection et la revue des opérations de crédit, la Banque ne disposait d’aucun manuel de procédures comptables décrivant l’organisation de sa production comptable, les modalités pratiques d’enregistrement des opérations, les principes d’élaboration des états réglementaires ainsi que les contrôles comptables associés. De même, à la date du contrôle, aucune procédure ne déterminait les rôles et responsabilités dans l’élaboration et le contrôle du ratio de solvabilité et aucune procédure ne déclinait ni ne justifiait les choix méthodologiques retenus en la matière. Enfin, à la date des investigations, la Banque ne disposait pas de charte interne régissant le fonctionnement du conseil d’administration et du comité exécutif de crédit tandis que la charte décrivant les attributions et la composition du comité de nomination et de rémunération a été approuvée par ledit comité pour la première fois pendant le contrôle sur place, soit le 7 avril 2022. n
