Banques : le rôle incontournable du contrôle interne
Dans le paysage complexe et dynamique du secteur bancaire, le contrôle interne s'impose comme un pilier incontournable pour assurer la sécurité, la conformité et la robustesse des opérations financières. Cet article vise à explorer les différents aspects du contrôle interne en banque, en mettant l'accent sur ses composantes essentielles, les niveaux de contrôle, les modèles existants, et l'importance de la revue annuelle pour maintenir l'efficacité et la pertinence du dispositif de contrôle. Nous examinerons également comment les outils modernes peuvent faciliter et optimiser ces processus de contrôle, tout en favorisant une approche collaborative et flexible.
Contrôle interne en banque : le duo essentiel du permanent et du périodique
Selon les normes établies par le Règlement n° 97-02, les établissements financiers doivent disposer d'un contrôle interne adéquat, adapté à la nature et au volume de leurs activités, à leur taille, à leurs implantations et aux risques auxquels ils sont exposés.
Le contrôle interne comprend deux aspects principaux : le contrôle permanent et le contrôle périodique. Ces deux éléments constituent les briques essentielles d'un dispositif de contrôle interne efficace.
Le contrôle permanent
Le contrôle permanent se réfère aux contrôles réalisés au quotidien par les opérationnels et leur hiérarchie dans le cadre du traitement des opérations. Il s'agit d'un niveau de contrôle qui comprend deux aspects : le contrôle permanent de niveau 1 et le contrôle permanent de niveau 2. Le premier est assuré par les opérationnels qui identifient les risques induits par leur activité et qui se doivent de respecter les procédures en vigueur et les limites fixées. Le deuxième est assuré par des agents indépendants de l’opérationnel et dédiés à la gestion des risques.
Le contrôle périodique
Le contrôle périodique, quant à lui, est assuré par la fonction d'audit interne. Cette fonction assure le contrôle de l'ensemble du dispositif de contrôle permanent, en vérifiant son existence, sa conformité, son fonctionnement et sa qualité.
Les trois niveaux de contrôle : une approche complémentaire
La mise en place d'un dispositif de contrôle interne efficace nécessite une bonne articulation entre les trois niveaux de contrôle : les opérationnels (1er niveau), les fonctions clés de contrôle des risques (2ème niveau) et l'audit interne (3ème niveau).
Premier niveau de contrôle : Les opérationnels
Le premier niveau de contrôle est assuré par les opérationnels. Ils effectuent des contrôles fréquents et granulaires pour s'assurer de la conformité des opérations qu’ils effectuent avec les procédures et les limites fixées. Ces premiers contrôles peuvent être complétés de contrôles à posteriori, réalisés par le responsable hiérarchique. Il peut s’agir de contrôles par échantillonnage visant à s’assurer, de manière aléatoire, mais permanente, que les procédures et contrôles sont bien respectés par les collaborateurs.
Deuxième niveau de contrôle : les fonctions clés de contrôle des risques
Le deuxième niveau de contrôle est assuré par des fonctions clés de contrôle des risques. Ils mettent en œuvre le plan de contrôle défini par le Responsable du Contrôle Permanent et des Risques (RCPR) notamment à partir des zones de risques identifiées. Leur rôle est de s’assurer que les contrôles de premier niveau existent, et qu'ils sont efficaces et bien menés grâce à des vérifications par échantillon ou selon un axe d’analyse différent de celui du niveau 1.
Troisième niveau de contrôle : l'audit interne
Le troisième niveau de contrôle est assuré par l'audit interne. Sa mission est de vérifier l'existence, la conformité, le fonctionnement et la qualité de l'ensemble du dispositif de contrôle permanent.
Structuration du contrôle interne :
Les modèles de contrôle : une approche adaptée aux besoins
Il existe principalement deux modèles de contrôle : le modèle anglo-saxon et le modèle français. Le choix entre ces deux modèles dépend de la philosophie et de l'organisation du contrôle interne de l'établissement.
Le modèle anglo-saxon
Le modèle anglo-saxon, aussi appelé "3 lines of defense", repose sur la répartition des contrôles de risque entre trois groupes d'acteurs distincts. Le premier niveau réalise des contrôles fréquents et granulaires, le deuxième niveau des contrôles moins fréquents et moins détaillés, et enfin, le troisième niveau effectue des vérifications selon un plan d'audit triennal ou quadriennal.
Cette approche peut être représentée comme une forteresse médiévale avec trois murailles concentriques. Chaque acteur évalue ses risques, construit sa propre muraille et maintient sa défense contre les risques. Malgré sa popularité antérieure, ce modèle a évolué récemment pour se rapprocher d'un modèle plus intégré.
Avantages :
- Mise en place rapide grâce à l'indépendance de chaque acteur dans sa propre ligne de défense
- Absence de besoin de coordination complexe avant ou pendant le fonctionnement
Inconvénients :
- Statique, perpétuant les pratiques en place
- Moins bonne utilisation des ressources due à la duplication de la vigilance
- Risque d'une couverture des risques moins équilibrée
- Attribution et priorisation des responsabilités et actions correctives moins claires
- Plus rigide, avec une réactivité moindre aux changements tels que de nouveaux produits ou évolutions réglementaires
Le modèle français
Le modèle français, ou "modèle intégré", diffère fondamentalement du modèle anglo-saxon par une approche de défense en profondeur. Il s'agit d'une seule ligne de défense structurée avec trois acteurs ayant des rôles différents mais complémentaires. Comme expliqué précédemment, le premier niveau est composé des métiers qui assurent la défense sur le terrain, le deuxième niveau est constitué de fonctions clés dotées d'équipes spécialisées pour piloter les risques, et enfin, le troisième niveau est assuré par la fonction d'audit interne qui contrôle périodiquement l'ensemble du dispositif de contrôle permanent.
Contrairement au modèle anglo-saxon, le troisième niveau ne doit pas dupliquer les tâches du deuxième niveau pour éviter le gaspillage des ressources et l'alourdissement des activités.
Avantages :
- Incite à revoir et clarifier le principe de contrôle interne existant
- Organisation homogène et claire, facilitant la compréhension pour les décideurs
- Utilisation optimale des ressources
- Priorisation efficace de la couverture des risques et des actions correctives
Inconvénients :
- Nécessite une forte adhésion et implication des dirigeants
- Mise en œuvre demandant préparation, temps et ajustements initiaux
- Organisation exigeante nécessitant coordination et discipline collective entre tous les acteurs
La revue annuelle du dispositif
Le dispositif de contrôle interne doit être revu chaque année. Cette revue permet d'identifier les éventuelles lacunes et de mettre en place des améliorations nécessaires.
Nous retrouvons ici la notion de cartographie des risques. La cartographie des risques est un processus continu visant à identifier, évaluer, mesurer et gérer tous les risques auxquels la banque est exposée. Cette démarche requiert une mise à jour régulière. Le dispositif de cartographie doit être détaillé et le plan de contrôle doit être adapté à l'impact du risque identifié. Ces deux éléments, la cartographie des risques et le plan de contrôle, sont interdépendants et évoluent conjointement.
Exemples de risques identifiés :
- Risques opérationnels : fraudes internes et externes, pratiques RH inadéquates, pratiques commerciales trompeuses, dommages aux actifs matériels, interruption d'activité, exécution ou livraison défaillante, etc.
- Risques informatiques : inadéquation des ressources, perte de données, plan de sauvegarde inadapté, requêtes frauduleuses, gestion des habilitations inadéquate, manipulation non autorisée des données, défaillance des systèmes de contrôle des accès, etc.
- Autres risques : non-conformité, risques de réputation, risques comptables, etc.
Le plan de contrôle doit être ajusté en fonction des risques identifiés pour assurer une gestion efficace des risques.
Faciliter le contrôle pour se prémunir du risque
Il est primordial de se munir des bons outils pour effectuer ces contrôles de manière optimale et se prémunir contre les risques. En effet, les équipes de contrôle doivent pouvoir accéder facilement aux données (par exemple les résultats de covenants, leur date de réception et de vérification, ou encore les documents justificatifs, dans le cadre du suivi du risque de contrepartie/crédit). Plusieurs approches sont envisageables à cet effet.
On peut opter pour la méthode traditionnelle qui consiste à rechercher tous les emails et documents partagés, mais cette approche est souvent longue et fastidieuse.
Une alternative efficace est d'utiliser des outils facilitant ces contrôles en quelques clics. C'est précisément ce que propose Kls avec sa plateforme qui centralise les données collectées auprès des clients et les actions effectuées. Elle offre la possibilité d'exporter les données pour une consultation simplifiée, au même endroit.
Des outils comme le Desk Kls sont aussi l’occasion de rapprocher les métiers du Front et Middle Office avec les métiers des risques et de la conformité. En effet, ils permettent de :
-
Simplifier la réalisation des contrôles par les opérationnels de premier niveau et donc favoriser leurs acceptabilité
-
Faciliter l’accès aux données pour les personnes en charges du deuxième et troisième niveau de contrôle sans avoir à solliciter et à mobiliser encore le 1er niveau
Webinar : Comment optimiser la gestion documentaire des financements ?
Conclusion
Le contrôle périodique et le contrôle permanent sont des éléments essentiels de la gestion des risques bancaires. Pour qu'ils soient efficaces, il est nécessaire de bien différencier les responsabilités des trois niveaux de contrôle, de disposer de référentiels et d'outils partagés, de bénéficier d'une direction générale exemplaire et d'acculturer les responsables métier et leurs équipes à la gestion des risques. Une revue annuelle du dispositif est indispensable pour assurer sa pertinence et son efficacité. À noter que le modèle français n’est pas l’unique modèle utilisé par les banques française, même s'il semble être préconisé par le régulateur depuis l’arrêté du 25/02/2021.
Pour faciliter ces processus de contrôle, souvent perçus comme chronophages et non porteurs de valeur par les opérationnels, l’utilisation d’outils qui centralisent les informations à contrôler est recommandée. C’est aujourd’hui une réponse aux besoins d’accès à la donnée de manière flexible et collaborative. Finalement, les métiers doivent avoir la possibilité de modifier simplement les points de vérifications des contrôles à effectuer selon l’évolution de leur cartographie des risques, de leur plan de contrôle et des exigences de la réglementation.
Sources :
-
Blog Conformité Bancaire : "Trois Niveaux de Contrôle : Quel Modèle Adopter et Comment être Conforme à l'Arrêté du 25/02/2021". Disponible sur : https://blog-conformite.esbanque.fr/3-niveaux-de-controle-quel-modele-adopter-et-comment-etre-conforme-a-larrete-du-25-02-2021-2/
-
Autorité de Contrôle Prudentiel et de Résolution (ACPR) : "Guide du Contrôle Interne". Disponible sur : https://acpr.banque-france.fr/sites/default/files/20220311_guide_controle_interne.pdf
Vous pourriez aussi aimer
Articles similaires