L’arrêté du 25 février 2021 a été publié au Journal Officiel le 6 mars 2021. Ce texte modifie sensiblement nombre de dispositions de l’arrêté du 3 novembre 2014 sur le contrôle interne des établissements de crédit. Ces aménagements seront applicables à compter du 28 juin 2021. Il importe donc pour les entreprises assujetties d’ajuster au plus vite leurs dispositifs de gestion des risques et de contrôle interne afin de se conformer à l’arrêté du 25 février 2021. Ces ajustements sont multiples et portent sur les domaines suivants :
- La gouvernance et son implication dans le dispositif de management des risques;
- L’organisation des fonctions de contrôle (contrôle permanent, contrôle de la conformité, contrôle périodique);
- Les informations sur les risques et leur contrôle;
- Les activités de la banque (nouveaux produits, continuité en cas d’urgence, externalisation, conflit d’intérêts);
- La gestion du risque informatique.
Nous détaillons ci-après pour chaque domaine les évolutions réglementaires en précisant les articles de l’arrêté du 3 novembre 2014 qui ont été modifiés en conséquence.
1. La gouvernance et son implication dans le dispositif de management des risques
La gouvernance des établissements bancaires (organe de surveillance, fonction exécutive) est sujette à de nouvelles obligations en termes de management des risques :
- Il est fait mention dans l’arrêté du 25 février 2021 de l’appétit pour le risque (art. 11), et non plus seulement des limites pour l’encadrement des risques par les dirigeants. En conséquence, le cadre d’appétence aux risques décidé par le Conseil est à formaliser et sert de base pour la fixation des limites. L’appétit pour le risque et les limites qui en découlent (art. 225) sont à fixer et à revoir autant que nécessaire, à minima annuellement (art. 224) ;
- Un dirigeant effectif est à désigner formellement pour superviser la cohérence et l’efficacité des contrôles permanents et des vérifications de la conformité (art. 16). Cette personne désignée sera donc le relais entre la gouvernance et les fonctions de contrôle de second niveau. En outre, le responsable de la gestion des risques doit lui être directement rattaché (art. 76). Toutefois, si la taille, l’échelle, la nature et la complexité de l’activité de l’établissement assujetti ou les circonstances le justifient, la charge de responsable de gestion des risques revient au dirigeant ainsi nommé (art. 78), et non plus au responsable du contrôle permanent comme précédemment ;
- S’agissant de l’audit interne, un dirigeant effectif doit également être désigné pour assurer la cohérence et l’efficacité des contrôles périodiques (art. 17) ;
- Il est précisé que le Comité des risques travaille étroitement en collaboration avec le Comité d’audit afin de vérifier le respect par la banque des dispositions de l’arrêté du 3 novembre 2014 modifié par l’arrêté du 25 février 2021[1]( art. 243) ;
- La politique de rémunération transmise à l’Autorité de Contrôle Prudentiel et de Résolution, laquelle comprend notamment les modalités de rémunération de chaque dirigeant effectif, inclut dorénavant les écarts de rémunération entre les femmes et les hommes employés par la banque ( art. 266).
2. L’organisation des fonctions de contrôle
Les responsabilités entre les différents niveaux de contrôle sont clairement exprimées suite à l’arrêté du 25 février 2021(art. 12) :
- Le contrôle de premier niveau appartient aux agents exerçant des activités opérationnelles, avec également pour tâche d’identifier les risques inhérents à leur fonction et de respecter les procédures et les limites fixées ;
- Le contrôle de second niveau est de la responsabilité d’agents dédiés au niveau des services centraux, appartenant à la fonction de gestion des risques ou à la fonction de vérification de la conformité. Leur rôle est de superviser l’identification des risques faite au premier niveau de contrôle, et de s’assurer que les procédures et les limites sont bien respectées. Ces agents sont indépendants des unités qu’ils contrôlent (art. 14) ;
- Le contrôle de troisième niveau revient à la fonction d’audit interne, indépendante des fonctions de contrôle permanent de premier et de second niveau. Il est à noter que pour la première fois la terminologie « fonction d’audit interne » est reprise au niveau réglementaire pour désigner les responsabilités à propos du contrôle périodique. En outre, l’établissement assujetti doit établir une procédure encadrant la désignation et la révocation du responsable de la fonction d’audit interne (art 17). Enfin, la réglementation précise désormais l’horizon maximal du plan pluriannuel d’audit, soit 5 ans (art. 25).
Des ajouts réglementaires portent également sur la fonction de vérification de la conformité. Premièrement, la désignation et la révocation de son responsable sont à encadrer par des procédures internes (art. 28). Ce responsable est en outre rattaché au dirigeant effectif désigné pour le suivi et la cohérence des fonctions de contrôle de second niveau (art. 30). Ensuite, dans le cas où la taille, la nature, la complexité des activités de l’établissement assujettis le justifient, la vérification de la conformité est assurée par le responsable de la fonction gestion des risques (art. 32).
3. Les informations sur les risques et leur contrôle
Il est stipulé dans l’arrêté du 25 février 2021 que le périmètre du contrôle interne, en plus de concerner les informations comptables et financières comme c’était déjà le cas, inclut les normes de gestion (art. 11) qui relèvent des obligations prudentielles en matière de solvabilité, de liquidité, de levier.
Le contrôle permanent est désormais cité par la règlementation pour le contrôle de l’information comptable. Des contrôles permanent sont ainsi à réaliser, tout comme des contrôles périodiques, pour s’assurer de la pertinence des schémas exploités par la banque pour la comptabilisation de ses opérations, en faisant référence à des principes de prudence, de sécurité, de conformité avec les règles comptables en vigueur (art. 87).
L’arrêté du 25 février 2021 détaille en outre les exigences réglementaires en matière de qualité des données à propos des risques et des contrôles (art. 104) :
- Établissement de politiques régissant la gestion, la qualité et l’agrégation des données de l’établissement concernant les risques et les contrôles, et définition des responsabilités au sein de la banque pour leur exécution ;
- Déploiement de mesures contribuant à assurer l’exactitude, l’intégrité, l’exhaustivité des données sur les risques et les contrôles ;
- Organisation de l’information avec la mise en place d’une structure de données uniforme (ou homogène dans le cas d’un groupe) dans le cadre de l’identification des risques. Les objectifs de cette organisation sont notamment la disponibilité des informations en temps utile et la capacité de l’établissement à les agréger afin de répondre à toute demande ponctuelle.
4. Les activités de la banque
En matière de développement des activités, l’arrêté du 25 février 2021 oblige les entreprises assujetties à définir des politiques (art. 221) pour l’approbation des nouveaux produits et tout changement significatif au niveau commercial (marché, produits, services), opérationnel (processus et systèmes), ou stratégique (croissance interne et externe). Ces politiques doivent couvrir également les transactions exceptionnelles des établissements concernés. La fonction de gestion des risques produit à ce titre une évaluation des risques inhérents aux nouveaux produits, aux changements significatifs, aux opérations à caractère exceptionnel. La fonction de vérification de la conformité quant à elle, donne un avis écrit et systématique à l’exécution de ces opérations (art. 35).
S’agissant du plan de continuité des activités, dont l’encadrement appartient au Conseil et l’exécution à la fonction de direction générale, l’arrêté du 25 février 2021 précise quel en est le contenu (art. 215) :
- Une procédure d’analyse quantitative et qualitative des impacts résultant de perturbations possibles et graves sur les activités de la banque, en tenant compte particulièrement des effets de dépendance caractérisant les moyens mis en œuvre par l’établissement pour la réalisation de ses activités, plus particulièrement sur un plan informatique et en matière de données ;
- Un plan d’urgence et de poursuite des activités (PUPA) de la banque déterminant les moyens nécessaires et les actions à mettre en œuvre pour dépasser les perturbations anticipées par l’établissement. Ce plan doit d’ailleurs prévoir des mesures d’urgence à propos des activités considérées comme importantes, voire essentielles pour la banque.
L’externalisation des activités est également sujette à des évolutions réglementaires (art. 238). Cela permet à l’arrêté d’être en phase avec les guidelines de l’ABE. Ainsi, tout contrat en la matière fait l’objet d’une analyse de risque avant sa signature. Ensuite, les entreprises assujetties ont désormais l’obligation de tenir un registre distinguant les dispositifs d’externalisation entre les activités considérées comme essentielles par la banque et celles qui ne le sont pas. Une extraction de ce registre est d’ailleurs à produire en identifiant les nouvelles externalisations à caractère essentiel afin d’en faire la communication une fois par an à l’Autorité de Contrôle Prudentiel et de Résolution (art. 232)(notion de Prestation de service essentielle externalisée – PSEE).
Enfin, des procédures sont à rédiger et à respecter au sein de la banque pour prévenir les risques de conflit d’intérêts lors de la réalisation des activités (art. 38). Ce corps procédural doit permettre de recenser, d’évaluer, de gérer, d’atténuer ou d’éviter tout conflit d’intérêts avéré ou potentiel.
5. La gestion du risque informatique
Le risque informatique fait l’objet d’un titre particulier dans le corps du texte réglementaire (Titre VI Bis, comprenant les articles 270-1 à 270-5) qui comprend les dispositions suivantes à respecter par les établissements assujettis quant à sa gestion :
- Détermination par la gouvernance d’une stratégie informatique pour répondre aux besoins et aux objectifs de la banque. Cette démarche stratégique inclut la gestion des opérations informatiques, la sécurité des systèmes d’informations, la continuité des activités pour les aspects informatiques ;
- Déploiement de dispositifs pour l’identification, l’évaluation, l’analyse, la couverture, le suivi des risques informatiques ;
- Établissement d’une politique de sécurité du système d’informations avec pour principes la confidentialité, l’intégrité, la disponibilité des informations de la banque et des données de la clientèle. Cette politique, fondée sur une analyse des risques, est approuvée par la gouvernance ;
- Formalisation et mise en œuvre de procédures de sécurité physique et logique afin de protéger le système d’informations ;
- Sensibilisation et formation du personnel, ainsi que les dirigeants effectifs et les prestataires externes de la banque, à la sécurité du système d’informations. Ces actions sont à réaliser régulièrement, à minima annuellement ;
- Encadrement opérationnel avec des procédures traitant l’exploitation, la surveillance, le contrôle des systèmes et des services informatiques ;
- Mise en œuvre d’un processus de détection et de gestion des incidents opérationnels ou de sécurité ;
- Gestion de la maintenance et de l’évolution du système d’informations à partir de processus dédiés pour l’acquisition, le développement, l’entretien des outils informatiques. Cette gestion couvre également les migrations informatiques, en prévoyant les dispositifs de contrôle pour l’enregistrement, le test, l’évaluation, l’approbation, l’implémentation des modifications du système existant.
6. En conclusion
Les impacts de l’arrêté du 25 février 2021, s’ils peuvent paraître significatifs, ont cependant été bien souvent déjà intégrés dans les dispositifs (notamment sous l’influence des communications de l’ACPR depuis 2014 et des documents de l’ABE ou du comité de Bâle).. Ils s’inscrivent dans la maîtrise des risques inhérents aux activités bancaires pour prévenir les difficultés des établissements concernés. Cet arrêté rend explicite ce qui était censé être compris dans les textes précédents. Cela suppose néanmoins des moyens, du temps, de l’implication au sein de la banque. Loin d’en faire une contrainte réglementaire, cela peut être un levier à condition d’en optimiser l’application, pour le développement de la banque. Car comment en effet escompter une performance durable sans en maîtriser les risques !
[1] Rappelons que l’arrêté du 3 novembre 2014 a fait l’objet de précédentes modifications réglementaires, avec l’arrêté du 6 janvier 2021 relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment de capitaux et le financement, et l’arrêté du 22 décembre 2020.