Contrôle interne : un concept toujours d’actualité
a. Une gestion transversale des risques : la mise en place d’une filière dédiée
Le CRBF réaffirme tout d’abord les enjeux de la gestion et du pilotage des risques. Pour cela il précise la nécessité de disposer d’une vision transversale des risques qui suppose la mise en place d’une filière risque et d’un responsable nommément désigné.
« Les entreprises assujetties désignent un responsable en charge de la filière “risques”, dont elles communiquent l’identité à la Commission bancaire. Cette filière inclut les agents et unités en charge de la mesure, de la surveillance et de la maîtrise des risques » (art. 11-8).
L’objectif est de faciliter une vision transversale des risques qui s’oppose à un fonctionnement en silo des différentes thématiques de risque.
Les systèmes de mesure des risques « permettent également d’appréhender de manière transversale et prospective l’analyse et la mesure des risques » (Arrêté du 19 janvier 2010).
Le régulateur utilise plusieurs fois les notions d’appréhension globale des risques et de transversalité de l’approche.
En effet le développement récent de différentes thématiques (prévention du blanchiment, déontologie, risque opérationnel, fraude, autres contrôles permanents), tend parfois à créer des filières et des méthodes spécifiques au sein des ces fonctions transversales, qui perturbent une vision centralisée des risques.
b. Projet IASB/FASB
L’identification et la gestion des risques supposent la mise en place de cartographies des risques. «Les systèmes et procédures doivent permettre aux établissements de disposer d’une cartographie des risques qui identifie et évalue les risques encourus au regard de facteurs internes (notamment la complexité de l’organisation, la nature des activités exercées, le professionnalisme des personnels et la qualité des systèmes) et externes (notamment les conditions économiques et les évolutions réglementaires)» (art 17 quarter).
Comme toute cartographie, son efficacité suppose son exhaustivité, ce que précise le règlement dans ce même article :
«Les entreprises assujetties mettent en place des systèmes et procédures permettant d’appréhender globalement l’ensemble des risques associés aux activités bancaires et non bancaires de l’établissement».
Le règlement précise, au début de l’article 17, que les entreprises assujetties doivent mettre en place des systèmes d’analyse et de mesure des risques pour appréhender les risques de différentes natures auxquels ces opérations les exposent « ainsi que le risque opérationnel » (Arrêté du 14 janvier 2009).
Ce qui suppose de repréciser le contenu de certains risques comme par exemple :
« Le risque opérationnel inclut les risques de fraude interne et externe tel que définis à l’annexe IV de l’arrêté du 20 février 2007 » (Arrêté du 14 janvier 2009).
Ceci afin « que les procédures de mesure, de limite et de contrôle des risques encourus » (art 17)soient adéquates (art.17). Les dispositif de mesure et de suivi des risques doivent ainsi rester « exhaustifs » et « proportionnés à la nature, à la taille et à la complexité » des activités des banques(Arrêté du 20 février 2007).
c. Du bon usage de la cartographie : les plans d’action
Enfin, une fois les risques identifiés, évalués et gérés, il convient de les piloter. Cela suppose d’une part que l’ensemble des systèmes d’analyse et de mesure des risques fasse « l’objet d’une actualisation et d’une évaluation régulières» (Arrêté du 19 janvier 2010).
Et d’autre part, d’être à même d’en tirer des conséquences en termes d’évolutions des dispositifs de contrôle. Cela passe notamment (ch. IV art. 17) par l’identification des « actions en vue de maîtriser les risques encourus, par :
« Le renforcement des dispositifs de contrôle permanent.
La mise en œuvre des systèmes de surveillance et de maîtrise des risques définis au titre V.
La définition des plans de continuité de l’activité prévus à l’article 14-1» (Arrêté du 19 janvier 2010).
Ce suivi nécessite des moyens qui doivent être adaptés à la résolution des problèmes/dysfonctionnements identifiés (art.17).
«Qu’un suivi des risques, accompagné de moyens suffisants pour sa mise en œuvre, est mis en place »(Arrêté du 19 janvier 2010).
Le renforcement de l’information et de la communication
Enfin pouvoir assumer ses responsabilités suppose de disposer d’informations adéquates pour éclairer la prise de décision associée à cette responsabilité.
« L’organe exécutif et l’organe délibérant disposent des informations pertinentes sur l’évolution des risques encourus par l’entreprise assujettie. »
De nombreux éléments de la règlementation vont dans ce sens.
En effet il est de la responsabilité de l’organe délibérant et exécutif « d’évaluer et de contrôler périodiquement l’efficacité des politiques, des dispositifs et des procédures mis en place pour se conformer au présent règlement et prendre les mesures appropriées pour remédier aux éventuelles défaillances » (Arrêté du 14 janvier 2009).
Tout d’abord, l’information doit se structurer autour de l’approche par les risques. Il ne s’agit pas de disposer de toute l’information mais des données pertinentes sur les risques majeurs. Le règlement a ainsi défini la notion de « seuil » pour la remontée des pertes et incidents significatifs. Ces seuils doivent être définis par ceux-là même qui sont responsables de la supervision du dispositif de contrôle, les instances délibérantes.
« L’organe délibérant arrête, le cas échéant sur avis de l’organe central de l’entreprise assujettie, les critères et seuils de significativité mentionnés à l’article 17ter du présent règlement permettant d’identifier les incidents devant être portés à sa connaissance. »
Ainsi les incidents significatifs au regard des critères et seuils doivent être portés « sans délai à la connaissance de l’organe exécutif et de l’organe délibérant ».
Ces éléments doivent également être transmis à l’ACP.
Il est fait mention également (art 37) « des états de synthèses adaptés » qui doivent parvenir aux instances délibérantes et exécutives. « Ces états doivent comporter des informations quantitatives et qualitatives, ces dernières permettant notamment d’expliciter la portée de mesures utilisées pour évaluer le niveau des risques encourus et fixer les limites » (Arrêté du 19 janvier 2010).
Cela suppose en amont une réflexion transversale sur les risques pour identifier l’information jugée comme « essentielle ».
C’est alors un véritable enjeu pour le responsable de la filière risque qui doit rendre compte « de l’exercice de ses missions à l’organe exécutif et l’alerte de toute situation susceptible d’avoir des répercussions significatives sur la maîtrise des risques. Lorsque ce dernier ou l’organe délibérant l’estiment nécessaire, il rend également directement compte à l’organe délibérant ou, le cas échéant, au comité d’audit. ».
C’est ainsi tout une organisation à la fois de l’information et de son circuit de communication qui doit se mettre en place de manière centralisée.
« L’organe exécutif informe à son tour régulièrement, au moins une fois par an, l’organe délibérant et, le cas échéant le comité d’audit » des éléments essentiels et des enseignements principaux qui ressortent « de l’analyse et du suivi des risques associés à l’activité et aux résultats » (Arrêté du 19 janvier 2010, art 39).
Enfin plus globalement sur le dispositif de contrôle interne, le règlement réaffirme la responsabilité des organes délibérants dans la supervision du dispositif de contrôle interne dans un rôle de contrôle et de réaction.
« Au moins deux fois par an, l’organe délibérant procède à l’examen de l’activité et des résultats du contrôle interne, notamment du contrôle de la conformité sur la base des informations qui lui sont transmises à cet effet par l’organe exécutif et les responsables mentionnés « aux articles 7, 11 et 11-8 » (Arrêté du 19 janvier 2010) où nous retrouvons l’importance, pour la banque, de structurer de manière pertinente et efficiente son circuit informationnel.
d. Conclusion
Que conclure de ces évolutions ? D’un point de vue concept de contrôle interne, le contenu de la règlementation récente n’apporte pas de développements majeurs. Il illustre néanmoins que si les notions de contrôle interne sont anciennes, il est parfois bon d’éclairer certaines de ses composantes afin de rendre ces dispositifs efficaces en terme de résultat et non uniquement en terme de moyens. Quand les dispositifs de contrôle sont mis en place à des fins d’efficacité de ces mêmes dispositifs …
