31 Le contrôle interne dans les banques françaises

COMMENTAIRES
CONTRÔLE INTERNE
31
Le contrôle interne dans
les banques françaises :
une nouvelle exception
culturelle ?
André Jacquemet
associé du cabinet BPA
T
he CRBF 97-02, released in 1997, has been a pioneer and the founding text regarding the
internal control system applied to French banking sector. This norm has put forward the
French regulator capability and expertize in that respect. The decree of November 3, 2014
repeals the mythical text in order to continue maintaining internal control systems at the
highest level. Can we meet the challenge?
A. 3 nov. 2014 relatif au contrôle interne des entreprises
du secteur de la banque, des services de paiement et des
services d’investissement soumises au contrôle de l’Autorité
de contrôle prudentiel et de résolution : JO 5 nov. 2014,
p. 18598
1. Une lente évolution du concept et du
périmètre du contrôle interne
97-021
Le règlement CRBF n°
(CRBF 97-02), aujourd’hui abrogé par
l’arrêté du 3 novembre 2014, résulte d’une longue série de 13 arrêtés,
dont le dernier date de 20102. Ces modifications reflètent l’évolution
de la réflexion et des pratiques en matière de contrôle interne, tant en
France, qu’à l’international.
En 1998, le Comité de Bâle publie son texte fondateur sur le contrôle
interne3. Édicté sous la forme de principes, il propose un cadre s’ap1 Règl. CRBF n° 97-02, 21 févr. 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement.
2 A. 13 déc. 2010 modifiant diverses dispositions réglementaires relatives au
contrôle des rémunérations des personnels exerçant des activités susceptibles
d’avoir une incidence sur le profil de risque des établissements de crédit et
entreprises d’investissement ainsi que diverses dispositions de nature prudentielle : JO 17 déc. 2010.
3 V. Bank for International Settlements, Framework for internal control system
puyant sur le premier modèle américain du référentiel du Committee
of Sponsoring Organizations of the Treadway Commission4 (COSO)
explicitant la méthodologie de conception d’un dispositif de contrôle
interne combinant gouvernance, gestion des risques et contrôle interne. Puis, le Comité de Bâle renforce les bonnes pratiques relatives
au positionnement de la fonction d’audit interne et sa relation avec le
régulateur5.
En 2004, les États-Unis font évoluer le référentiel du COSO vers l’Enterprise Risk Management Framework6 qui met l’accent sur la démarche
de gestion des risques.
En 2005, le Comité de Bâle introduit la fonction Compliance dans
l’organisation du contrôle interne. Cette fonction marque un tournant
majeur dans l’approche du contrôle interne en l’ouvrant au risque
d’image. Cette fonction est introduite dans le CRBF 97-02 par l’arrêté
du 31 mars 20057 et précise que le risque de non-conformité peut aussi
in banking organisations, sept. 1998 : http://www.bis.org/publ/bcbs40.pdf.
4 COSO, Internal Control – Integrated Framework, 1992 : http://www.coso.org/
IC.htm.
5 V. Bank for International Settlements, Internal audit in banks and the supervisor’s relationship with auditors, August 2002 : http://www.bis.org/publ/
bcbs92.pdf.
6 COSO, Enterprise Risk Management - Integrated Framework, September
2004 : http://www.coso.org/documents/coso_ERM_ExecutiveSummary.pdf.
7 A. 31 mars 2005 modifiant le règlement du Comité de la réglementation ban-
REVUE INTERNATIONALE DE LA COMPLIANCE ET DE L’ÉTHIQUE DES AFFAIRES – SUPPLÉMENT À LA SEMAINE JURIDIQUE ENTREPRISE ET AFFAIRES N° 51-52 DU JEUDI 18 DÉCEMBRE 2014
27
naître du non-respect des instructions données par l’organe exécutif en
liaison avec les décisions de l’organe délibérant (le Conseil).
Entre 2006 et 2009, une directive européenne8 renforce le rôle des comités d’audit. Le Comité de Bâle précise la démarche de supervision et
d’évaluation d’un dispositif de contrôle interne9. L’arrêté du 5 mai 2009
portant sur la maîtrise du risque de liquidité renforce la dimension de
gestion des risques dans les établissements bancaires10.
Par la suite, l’arrêté du 19 janvier 2010 introduit la filière « risque » dans
l’organisation des banques11 et le 13 décembre de cette même année
le CRBF 97-02 subit sa dernière modification avec l’encadrement des
politiques de rémunérations12.
2. Une approche globalisante de l’entreprise : la convergence « Enterprise
Governance - Risks - Compliance»
Ce n’est qu’à partir de 2009 que les réflexions s’orientent de nouveau
sur la nécessaire intégration du contrôle interne dans un environnement de bonne gouvernance.
Dans cette perspective, l’Europe publie, pour le secteur de l’assurance,
la directive solvabilité II13 qui introduit la « gouvernance des risques »,
illustrant cette approche convergente entre gouvernance d’entreprise,
gestion des risques et contrôle interne. Cette dernière notion étant
appréhendée de façon beaucoup plus restrictive que dans le secteur
bancaire. Les secteurs de l’assurance et de la banque auront désormais
deux modèles de contrôle interne différents. La situation est malaisée
pour les bancassureurs.
De son côté, le Comité Bâle publie ses Principles for enhancing corporate
gouvernance14 qui rappellent la nécessité de mettre en place des conseils
d’administration compétents, des politiques de rémunération maîtrisées, une charte des valeurs, un code de conduite.
Dans une perspective bien différente, c’est-à-dire la lutte contre la corruption, l’OCDE a introduit en février 2010 son Guide de bonnes pratiques pour les contrôles internes, la déontologie et la conformité, pour
les entreprises.
En France, le Code de gouvernement des entreprises cotées de l’AFEPMEDEF devient un point de repère important en matière de gouvernance applicable aux grands groupes bancaires cotés et l’Autorité des
Marchés Financiers (AMF) marque une avancée significative en matière de contrôle interne avec son Cadre de référence15.
En 2013, la directive européenne dite CDR IV16 renforce les exigences
en matière de gouvernance des banques (non cumul des mandats de
président et de directeur général, création d’un comité des risques distinct du conseil, etc.).
La même année, l’IFACI et l’AMRAE17 publient le modèle de contrôle
interne en 3 lignes de défense, qui contraste avec l’approche bancaire en
3 niveaux de contrôles utilisés par l’Autorité de contrôle prudentiel et
de régulation (ACPR) depuis des années.
3. La réglementation, un reflet de la
culture du régulateur
L’ancien CRBF 97-02 avait ouvert la voie de façon courageuse, mais
sa structure l’avait rendu prisonnier de lui-même au point de devenir
intrusif et pesant sur les organisations bancaires. Les banques françaises
disposaient, néanmoins, grâce à ce texte, de systèmes de contrôle parmi
les plus robustes.
La plupart des textes étrangers sont basés sur des principes, principes
qui sont souvent complétés par des listes de points à vérifier. L’approche
bancaire française, quant à elle, se base sur une liste d’obligations relativement prescriptives qui contraint l’organisme régulé tant au niveau de
l’obligation elle-même qu’au niveau de sa mise en œuvre.
Le nouvel arrêté du 3 novembre 2014, qui abroge le CRBF 97-02, hérite
complètement du contenu et de l’esprit de ce texte.
8
9
10
11
12
13
14
28
caire et financière n° 97-02 du 21 février 1997 relatif au contrôle interne des
établissements de crédit et des entreprises d’investissement : JO 9 avr. 2005,
p. 6418.
PE et Cons. UE, dir. 2006/43/CE, 17 mai 2006 concernant les contrôles légaux
des comptes annuels et des comptes consolidés : JOUE n° L 157, 9 juin 2006,
p. 87.
COSO, Guidance on Monitoring Internal Control Systems, January 2009 :
http://www.coso.org/documents/COSO_Guidance_On_Monitoring_Intro_
online1_002.pdf.
A. 5 mai 2009 relatif à l’identification, la mesure, la gestion et le contrôle du
risque de liquidité, art. 27 à 33 et 45 : JO 20 mai 2009, p. 8412.
A. 19 janv. 2010 modifiant le règlement n° 97-02 du 21 février 1997 relatif
au contrôle interne des établissements de crédit et des entreprises d’investissement : JO 12 févr. 2010, p. 2532.
A. 13 déc. 2010 modifiant diverses dispositions réglementaires relatives au
contrôle des rémunérations des personnels exerçant des activités susceptibles
d’avoir une incidence sur le profil de risque des établissements de crédit et
entreprises d’investissement ainsi que diverses dispositions de nature prudentielle : JO 17 déc. 2010, p. 22240.
PE et Cons. UE, dir. 2009/138/CE, 25 nov. 2009 sur l’accès aux activités de
l’assurance et de la réassurance et leur exercice (Solvabilité II) : JOUE n° L
335, 17 déc. 2009, p. 1.
V. Bank for International Settlements, Principles for enhancing corporate
governance, October 2010 : http://www.bis.org/publ/bcbs176.htm.
La culture de l’ACPR s’illustre en examinant la définition et la finalité
donnée au dispositif de contrôle interne, dans l’article 3 de l’arrêté du 3
novembre 2014 : « Le contrôle interne mentionné à l’article 2 comprend
notamment :
a) Un système de contrôle des opérations et des procédures internes ;
b) Une organisation comptable et du traitement de l’information ;
c) Des systèmes de mesure des risques et des résultats ;
d) Des systèmes de surveillance et de maîtrise des risques ;
e) Un système de documentation et d’information ;
f) Un dispositif de surveillance des flux d’espèces et de titres ».
15 AMF, Cadre de référence sur les dispositifs de gestion des risques et de contrôle
interne, 22 juill. 2010.
16 PE et Cons. UE, dir. 2013/36/UE, 26 juin 2013 concernant l’accès à l’activité
des établissements de crédit et la surveillance prudentielle des établissements
de crédit et des entreprises d’investissement : JOUE n° L 176, 27 juin 2013,
p. 338.
17 IFACI et l’AMRAE, Trois lignes de Maîtrise pour une meilleure performance,
2013.
REVUE INTERNATIONALE DE LA COMPLIANCE ET DE L’ÉTHIQUE DES AFFAIRES – SUPPLÉMENT À LA SEMAINE JURIDIQUE ENTREPRISE ET AFFAIRES N° 51-52 DU JEUDI 18 DÉCEMBRE 2014
COMMENTAIRES
Si aucune finalité n’est précisée, l’arrêté, dans son article 2, demande
aux entreprises de se doter « d’un dispositif de gouvernance solide, comprenant notamment un dispositif adéquat de contrôle interne ». Ces lignes
traduisent une vision fonctionnelle du régulateur qui ne cadre plus avec
les modèles internationaux en vigueur et l’organisation fonctionnelle
des banques depuis plusieurs années.
Le texte du COSO définit le contrôle interne comme suit : « Internal
control is a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance
regarding the achievement of objectives relating to operations, reporting and compliance »18.
De son côté, l’AMF, dans son Cadre de référence, adopte une démarche
basée sur des principes généraux et non sur des règles contraignantes
pour définir le contrôle interne19 qui montrent l’articulation gouvernance-risque-contrôle interne : « Le contrôle interne est un dispositif
de la société, défini et mis en œuvre sous sa responsabilité, qui vise à
assurer :
- la conformité aux lois et règlements,
- l’application des instructions et des orientations fixées par la direction
générale ou le directoire,
- le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs,
- la fiabilité des informations financières, et d’une façon générale,
contribue à la maîtrise de ses activités, à l’efficacité de ses opérations
et à l’utilisation efficiente de ses ressources.
En contribuant à prévenir et maîtriser les risques de ne pas atteindre les
objectifs que s’est fixée la société, le dispositif de contrôle interne joue
un rôle clé dans la conduite et le pilotage de ses différentes activités.
Toutefois, le contrôle interne ne peut fournir une garantie absolue que
les objectifs de la société seront atteints ».
Dans le même document, l’AMF introduit les composantes d’un dispositif de contrôle interne : « Le dispositif de contrôle interne, qui est
adapté aux caractéristiques de chaque société, doit prévoir :
- une organisation comportant une définition claire des responsabilités,
disposant des ressources et des compétences adéquates et s’appuyant
sur des systèmes d’information, sur des procédures ou modes opératoires, des outils et des pratiques appropriés ;
- la diffusion en interne d’informations pertinentes, fiables, dont la
connaissance permet à chacun d’exercer ses responsabilités ;
- un dispositif de gestion des risques visant à recenser, analyser et traiter
les principaux risques identifiés au regard des objectifs de la société.
- des activités de contrôle proportionnées aux enjeux propres à chaque
processus et conçues pour réduire les risques susceptibles d’affecter la
réalisation des objectifs de la société ;
- une surveillance permanente du dispositif de contrôle interne ainsi
qu’un examen régulier de son fonctionnement. Cette surveillance,
qui peut utilement s’appuyer sur la fonction d’audit interne de la
société lorsqu’elle existe, peut conduire à l’adaptation du dispositif de
contrôle interne ».
18 COSO, Internal Control – Integrated Framework, préc.
19 AMF, Cadre de référence sur les dispositifs de gestion des risques et de contrôle
interne, préc.
L’AMF, complète cette approche avec son règlement général dans lequel les articles (les obligations) peuvent souvent être utilisés de façon
pragmatique comme point de contrôle de la conformité.
Il résulte de cette comparaison, que le nouvel arrêté hérite non seulement d’un passé et d’une histoire glorieuse, mais plus encore d’un
passif.
4. Quand le régulateur modèle les
organisations
L’arrêté du 3 novembre 2014 traduit aussi le souhait du régulateur à
prescrire des bonnes pratiques et élever le niveau du jeu.
Parmi les techniques utilisées, outre les sanctions administratives, l’ACPR utilise aussi les questionnaires pour élever le niveau de jeu, comme
cela se fait pour la lutte contre le blanchiment et le financement du
terrorisme20 : les établissements assujettis ont été fortement incités à
s’équiper de systèmes automatisés.
Comme nous l’avons vu, l’ACPR, au travers des textes relatifs au
contrôle interne, développe une approche prescriptrice qui impose des
fonctionnements d’organisation : rattachement des fonctions, nombre
et contenu des rapports et communication interne, etc.
À titre d’exemple, la fonction de lutte contre le blanchiment et le financement du terrorisme, a été placée dans la position ambiguë d’acteur
technique de gestion d’un risque spécifique, d’acteur du risque de nonconformité, et de contributeur aux activités de contrôle interne.
Dans cet esprit, le nouvel arrêté fait évoluer la dénomination d’« organe
délibérant » en « organe de supervision »21. De même, « l’organe exécutif » est remplacé par « les dirigeants responsables », pour renforcer
leur responsabilité. Le « comité d’audit » prescrit dans le CRBF 97-02
est recentré sur sa mission de contrôle de l’information financière et
est complété par le comité des risques, le comité des nominations et le
comité des rémunérations, quand le total du bilan excède 5 milliards
d’euros.
De son côté, la filière « risque » introduite en 2010, se voit remplacée
par une matrice plus large constituée d’une fonction « gestion des
risques »22 à laquelle s’applique deux blocs fonctionnels le dispositif de
« mesure des risques »23 et le dispositif de « maîtrise des risques »24.
Pour ces raisons, il est important de pouvoir démontrer la logique de
prise de décision à l’aide :
• des chartes de contrôle ;
• des organigrammes hiérarchiques et fonctionnels ;
• des fiches de poste ;
• des résultats de validation des connaissances acquises ;
• des cartographies des risques ;
20 ACPR, instr. n° 2014-I-06, 2 juin 2014 relative aux informations sur le dispositif de prévention du blanchiment de capitaux et du financement des activités
terroristes.
21 A. 3 nov. 2014, préc., art. 10, b).
22 A. 3 nov. 2014, préc., art. 74 à 93.
23 A. 3 nov. 2014, préc., art. 94 à 215.
24 A. 3 nov. 2014, préc., art. 25, 217, 220.
REVUE INTERNATIONALE DE LA COMPLIANCE ET DE L’ÉTHIQUE DES AFFAIRES – SUPPLÉMENT À LA SEMAINE JURIDIQUE ENTREPRISE ET AFFAIRES N° 51-52 DU JEUDI 18 DÉCEMBRE 2014
29
• des programmes de travail ;
• des procédures internes ;
• des comptes rendus de réunion.
La maîtrise de la responsabilité de la banque et de ses dirigeants est à
ce prix.
5. Quel avenir ?
L’arrêté du 3 novembre 2014, confirme l’orientation du régulateur à
appréhender les établissements avec une approche globale sur une base
consolidée25.
Le contrôle interne bancaire s’inscrit bien dans une perspective intégrée
« Gouvernance-Risk-Compliance ».
La gouvernance est un axe d’attention important pour l’ACPR. Ce
point s’est renforcé avec la loi du 26 juillet 2013 sur la séparation et de
régulation des activités bancaires26.
De récentes décisions de sanctions supportent ce point. Par exemple, la
décision à l’encontre du Crédit Municipal de Toulon de 201027 rappelle
la nécessaire implication des organises délibérants et exécutifs dans les
processus de gestion des risques et de contrôle interne.
La responsabilité personnelle des dirigeants peut aussi être retenue,
comme cela a été le cas dans la décision de sanction à l’encontre de
Bank Tejarat Paris en 201228, du Cabinet de courtage Innocent Assurances en 201229 et de la société TEUCER Gestion Privée en 201430.
La gestion des risques a été étendue à de nouveaux types de risques,
comme en témoigne l’introduction des risques systémiques, de levier
excessif, de titrisation par l’arrêté du 3 novembre 201431.
25 A. 3 nov. 2014, préc., art. 6, 235, 260, 262, 268.
26 L. n° 2013-672, 26 juill. 2013 de séparation et de régulation des activités bancaires : JO 27 juill. 2013, p. 12530.
27 ACP, comm. sanctions, proc. n° 2010-1, 10 janv. 2011.
28 ACP, comm. sanctions, proc. n° 2011-03, 27 nov. 2012.
29 ACP, comm. sanctions, proc. n° 2012-02, 12 déc. 2012.
30 ACPR, comm. sanctions, proc. n° 2014-02, 17 juill. 2014.
31 A. 3 nov. 2014, préc., art. 10, e) et s.
30
Ainsi que nous l’avons constaté depuis 2005, année de la création de la
fonction Compliance, celle-ci doit impérativement prendre en compte
les intérêts des différentes parties prenantes de l’entreprise, notamment
sous l’angle du risque d’atteinte à l’image.
La responsabilité sociétale des entreprises devient alors un magnifique
outil d’anticipation pour la fonction Compliance, surtout en des temps
où la loi est confrontée à la morale et/ou à l’éthique.
Les textes à venir sur le contrôle interne bancaire devront intégrer cette
tendance pour proposer un cadre de réflexion et d’action plus souple
dans la mise en œuvre, mais qui, assorti de sanctions cohérentes avec les
pratiques des autres régulateurs européens et internationaux, obligera
chacun à une attitude responsable.
À l’heure de l’Union Bancaire et de l’unification de la supervision bancaire avec le partage des compétences entre les autorités nationales et
la Banque Centrale Européenne (BCE)32 et suite à nos derniers entretiens avec le Secrétariat Général de l’ACPR, la refonte de l’arrêté du 3
novembre 2014 ne semble pas à l’ordre du jour dans l’immédiat. D’une
part, l’enjeu pour le régulateur est de faire évoluer sa propre culture sans
déstabiliser les responsables du contrôle des établissements bancaires
et, d’autre part, les équipes nationales de régulation constituées en associant d’autres régulateurs nationaux ont besoin d’un temps d’acculturation pour maintenir l ‘efficience des ressources engagées.
Toutefois, le « cycle de supervision »33 défini par la BCE prévoit que
« par le biais de différents canaux, notamment la participation du
mécanisme de surveillance unique aux forums internationaux et européens, les enseignements tirés de l’exercice de la surveillance et de l’exécution des vérifications d’assurance qualité constitueront un retour
d’information utile à la définition des méthodologies, des normes ainsi
que des politiques et réglementations de surveillance communes » aux
équipes de régulateurs pour l’exécution de leurs missions de contrôle
sur pièce et sur place.
32 BCE, guide relatif à la surveillance bancaire, sept. 2014 : http://www.ecb.
europa.eu/pub/pdf/other/ssmguidebankingsupervision201409fr.pdf.
33 Ibid.
REVUE INTERNATIONALE DE LA COMPLIANCE ET DE L’ÉTHIQUE DES AFFAIRES – SUPPLÉMENT À LA SEMAINE JURIDIQUE ENTREPRISE ET AFFAIRES N° 51-52 DU JEUDI 18 DÉCEMBRE 2014