SEPA (Single European Payment Area)
1. L’avenir du TIP et du Télérèglement
En 2011, le Conseil européen des paiements (European Payments Council) a lancé une consultation sur une série de modifications des recueils de règles (rulebooks) régissant le fonctionnement des prélèvements SEPA. L’une d’entre elles vise à autoriser une transmission de l’ordre seulement un jour avant son règlement (J-1). Si cette évolution est acceptée, la question de la migration de deux produits de niche très utilisés en France, le TIP et le Télérèglement, pourrait être traitée. Ouverte jusqu’au 20 août, la consultation pourrait déboucher sur l’adoption de nouvelles règles dès septembre, pour une entrée en vigueur en novembre 2012.
2. Nouvelles échéances pour la fin du protocole ETEBAC
Orange Business Services, gestionnaire du réseau X25 qui est le support du protocole ETEBAC, a récemment annoncé le report de la fin de ce réseau, initialement prévue pour le 30 septembre 2011. Les échéances seront différentes pour les entreprises, selon qu’elles utilisent ETEBAC 5 ou ETEBAC 3.
- Pour celles utilisant le protocole d’ETEBAC 5, ce report sera de 3 mois, l’arrêt sera donc définitif pour fin décembre 2011.
- Pour celles utilisant le protocole d’ETEBAC 3 seul, ce report sera de 3 à 9 mois maximum, selon les banques, l’arrêt sera définitif pour fin juin 2012.
Les formations concernées :
Le SEPA Credit Transfer, le Sepa Direct Debit et les instruments de paiement – 26 et 27 septembre
Les systèmes de paiement SEPA (clearing, settlement mechanisms) – 19 octobre
Contrôle interne
L’importance de la gestion des risques dans la banque, une évidence ?
Depuis quelques années les évolutions du CRBF 97-02 s’accélèrent. Si certains risques sont précisés, tels le risque de fraude et la gestion du risque de liquidité, ces évolutions portent davantage sur le pilotage des risques et donc le dispositif de contrôle au sens large que sur la définition de nouveaux risques identifiés. La règlementation renforce les exigences de transparence informationnelle dans une logique d’efficacité et de responsabilité, y compris dans les politiques de rémunération.
1. Une gestion transversale des risques : la mise en place d’une filière dédiée
Le CRBF réaffirme tout d’abord les enjeux de la gestion et du pilotage des risques. Le règlement impose en effet un dispositif facilitant la vision transversale des risques par la mise en place d’une filière risque et d’un responsable nommément désigné.
« Les entreprises assujetties désignent un responsable en charge de la filière “risques”, dont elles communiquent l’identité à la Commission Bancaire. Cette filière inclut les agents et unités en charge de la mesure, de la surveillance et de la maîtrise des risques » (art. 11-8). Cette filière doit permettre « d’appréhender de manière transversale et prospective l’analyse et la mesure des risques » (Arrêté du 19 janvier 2010).
L’objectif est de limiter la constitution de ‘silo’ de contrôle que les différentes thématiques (prévention du blanchiment, déontologie, risque opérationnel, fraude, autres contrôles permanents) tendent parfois à créer et de renforcer la place des indicateurs de pilotage.
2. Identification des risques : le rôle de la cartographie
L’identification et la gestion des risques supposent la mise en place de cartographies des risques.
« Les systèmes et procédures doivent permettre aux établissements de disposer d’une cartographie des risques qui identifie et évalue les risques encourus au regard de facteurs internes (notamment la complexité de l’organisation, la nature des activités exercées, le professionnalisme des personnels et la qualité des systèmes) et externes (notamment les conditions économiques et les évolutions réglementaires) » (art 17 quarter).
Comme toute cartographie, son efficacité suppose son exhaustivité, ce que précise le règlement dans ce même article : « Les entreprises assujetties mettent en place des systèmes et procédures permettant d’appréhender globalement l’ensemble des risques associés aux activités bancaires et non bancaires de l’établissement ».
Il s’agit alors de mettre en place des systèmes d’analyse et de mesure des risques pour appréhender les risques de différentes natures inhérents aux expositions opérationnelles et s’assurer ainsi que la répartition du capital interne est pertinente (Arrêté du 20 février 2007) y compris « le risque opérationnel » (Arrêté du 14 janvier 2009).
Ce qui implique de repréciser le contenu de certains risques opérationnels comme par exemple, le risque de fraude (Arrêté du 14 janvier 2009) : « Le risque opérationnel inclut les risques de fraude interne et externe tel que définis à l’annexe IV de l’arrêté du 20 février 2007 » (Arrêté du 14 janvier 2009).
L’appréciation des risques doit ainsi faciliter l’adéquation des « procédures de mesure, de limite et de contrôle des risques encourus » (art 17) aux risques majeurs. Les dispositifs de mesure et de suivi des risques se doivent d’être « exhaustifs » et « proportionnés à la nature, à la taille et à la complexité » des activités des banques (Arrêté du 20 février 2007). Enfin ces dispositifs sont régulièrement actualisés et évalués.
3. Du bon usage de la cartographie : les plans d’action
La cartographie n’a de sens que si elle sert la prise de décision et que la révélation du risque inspire la mise en place éventuelle de plans d’action. L’usage de la cartographie passe notamment (ch. IV art. 17) par l’identification des actions en vue de maîtriser les risques encourus, par l’identification des actions tels :
- « Le renforcement des dispositifs de contrôle permanent »
- « La mise en œuvre des systèmes de surveillance et de maîtrise des risques définis au titre V »
- « La définition des plans de continuité de l’activité prévus à l’article 14-1 » (Arrêté du 19 janvier 2010).
La réalisation effective des plans nécessite « des moyens suffisants pour sa mise en œuvre » (art. 17, Arrêté du 19 janvier 2010).
4. Responsabilité et transparence
Enfin pouvoir assumer ses responsabilités suppose de disposer d’informations adéquates pour éclairer la prise de décision. Cette communication, enjeu de transparence, concerne à la fois les circuits internes et la communication externe vis-à-vis des différentes parties prenantes dont le régulateur. L’information doit se structurer autour de l’approche par les risques. Il ne s’agit pas de disposer de toute l’information mais des données pertinentes sur les risques majeurs. Le tableau ci-après résume les principaux éléments des récentes évolutions en matière d’information.
Quoi ? |
Vers qui ? |
Comment ? |
Par qui ? |
Remonter au sein de l’entreprise assujettie des données pertinentes sur les risques majeurs. |
Organe exécutif et délibérant, voire comité d’audit |
Définir des critères et seuils de significativité pour la remontée des pertes et incidents (art. 38-1) (y compris LCB/FT) |
L’organe délibérant, le cas échéant sur avis de l’organe central de |
Fournir des états de synthèse adaptés permettant d’évaluer le niveau des risques encourus et définir les limites appropriées (art. 37) |
Structuration des informations quantitatives et qualitatives (reporting)(art. 37) |
Filière Risque en lien avec le responsable contrôle permanent |
|
Déclarer les incidents significatifs |
Dispositif d’alerte mis en place par la filière risque (art. 11-8) |
Responsable Filière Risque |
|
Examen de l’activité et des résultats du contrôle interne au moins deux fois par an (art. 39). |
Organe délibérant |
Fourniture d’informations en interne (rapport du comité contrôle interne, rapport contrôle permanent etc.) |
Organe exécutif |
Examen de l’analyse et du suivi des risques associés, au moins une fois/an |
Organe délibérant, le cas échéant comité d’audit |
Fourniture des éléments essentiels et des enseignements principaux sur les risques |
Organe exécutif |
Politique de rémunérations (art. 38-4) |
Comité des rémunérations ou organe délibérant |
Fourniture d’information sur les pratiques en matière de rémunération (variables versées, critères de variabilité etc.) et la politique arrêtée |
Acteurs en matière de rémunération, organe exécutif |
5. Conclusion
Que conclure de ces évolutions ? D’un point de vue concept de contrôle interne, le contenu de la règlementation récente n’apporte pas de développements majeurs. Il illustre néanmoins que si les notions de contrôle interne sont anciennes, l’institutionnalisation progressive de ces dispositifs ne doit pas privilégier l’obligation de moyens sur celle d’efficacité