31 Le contrôle interne dans les banques françaises
Transcription
31 Le contrôle interne dans les banques françaises
COMMENTAIRES CONTRÔLE INTERNE 31 Le contrôle interne dans les banques françaises : une nouvelle exception culturelle ? André Jacquemet associé du cabinet BPA T he CRBF 97-02, released in 1997, has been a pioneer and the founding text regarding the internal control system applied to French banking sector. This norm has put forward the French regulator capability and expertize in that respect. The decree of November 3, 2014 repeals the mythical text in order to continue maintaining internal control systems at the highest level. Can we meet the challenge? A. 3 nov. 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution : JO 5 nov. 2014, p. 18598 1. Une lente évolution du concept et du périmètre du contrôle interne 97-021 Le règlement CRBF n° (CRBF 97-02), aujourd’hui abrogé par l’arrêté du 3 novembre 2014, résulte d’une longue série de 13 arrêtés, dont le dernier date de 20102. Ces modifications reflètent l’évolution de la réflexion et des pratiques en matière de contrôle interne, tant en France, qu’à l’international. En 1998, le Comité de Bâle publie son texte fondateur sur le contrôle interne3. Édicté sous la forme de principes, il propose un cadre s’ap1 Règl. CRBF n° 97-02, 21 févr. 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement. 2 A. 13 déc. 2010 modifiant diverses dispositions réglementaires relatives au contrôle des rémunérations des personnels exerçant des activités susceptibles d’avoir une incidence sur le profil de risque des établissements de crédit et entreprises d’investissement ainsi que diverses dispositions de nature prudentielle : JO 17 déc. 2010. 3 V. Bank for International Settlements, Framework for internal control system puyant sur le premier modèle américain du référentiel du Committee of Sponsoring Organizations of the Treadway Commission4 (COSO) explicitant la méthodologie de conception d’un dispositif de contrôle interne combinant gouvernance, gestion des risques et contrôle interne. Puis, le Comité de Bâle renforce les bonnes pratiques relatives au positionnement de la fonction d’audit interne et sa relation avec le régulateur5. En 2004, les États-Unis font évoluer le référentiel du COSO vers l’Enterprise Risk Management Framework6 qui met l’accent sur la démarche de gestion des risques. En 2005, le Comité de Bâle introduit la fonction Compliance dans l’organisation du contrôle interne. Cette fonction marque un tournant majeur dans l’approche du contrôle interne en l’ouvrant au risque d’image. Cette fonction est introduite dans le CRBF 97-02 par l’arrêté du 31 mars 20057 et précise que le risque de non-conformité peut aussi in banking organisations, sept. 1998 : http://www.bis.org/publ/bcbs40.pdf. 4 COSO, Internal Control – Integrated Framework, 1992 : http://www.coso.org/ IC.htm. 5 V. Bank for International Settlements, Internal audit in banks and the supervisor’s relationship with auditors, August 2002 : http://www.bis.org/publ/ bcbs92.pdf. 6 COSO, Enterprise Risk Management - Integrated Framework, September 2004 : http://www.coso.org/documents/coso_ERM_ExecutiveSummary.pdf. 7 A. 31 mars 2005 modifiant le règlement du Comité de la réglementation ban- REVUE INTERNATIONALE DE LA COMPLIANCE ET DE L’ÉTHIQUE DES AFFAIRES – SUPPLÉMENT À LA SEMAINE JURIDIQUE ENTREPRISE ET AFFAIRES N° 51-52 DU JEUDI 18 DÉCEMBRE 2014 27 naître du non-respect des instructions données par l’organe exécutif en liaison avec les décisions de l’organe délibérant (le Conseil). Entre 2006 et 2009, une directive européenne8 renforce le rôle des comités d’audit. Le Comité de Bâle précise la démarche de supervision et d’évaluation d’un dispositif de contrôle interne9. L’arrêté du 5 mai 2009 portant sur la maîtrise du risque de liquidité renforce la dimension de gestion des risques dans les établissements bancaires10. Par la suite, l’arrêté du 19 janvier 2010 introduit la filière « risque » dans l’organisation des banques11 et le 13 décembre de cette même année le CRBF 97-02 subit sa dernière modification avec l’encadrement des politiques de rémunérations12. 2. Une approche globalisante de l’entreprise : la convergence « Enterprise Governance - Risks - Compliance» Ce n’est qu’à partir de 2009 que les réflexions s’orientent de nouveau sur la nécessaire intégration du contrôle interne dans un environnement de bonne gouvernance. Dans cette perspective, l’Europe publie, pour le secteur de l’assurance, la directive solvabilité II13 qui introduit la « gouvernance des risques », illustrant cette approche convergente entre gouvernance d’entreprise, gestion des risques et contrôle interne. Cette dernière notion étant appréhendée de façon beaucoup plus restrictive que dans le secteur bancaire. Les secteurs de l’assurance et de la banque auront désormais deux modèles de contrôle interne différents. La situation est malaisée pour les bancassureurs. De son côté, le Comité Bâle publie ses Principles for enhancing corporate gouvernance14 qui rappellent la nécessité de mettre en place des conseils d’administration compétents, des politiques de rémunération maîtrisées, une charte des valeurs, un code de conduite. Dans une perspective bien différente, c’est-à-dire la lutte contre la corruption, l’OCDE a introduit en février 2010 son Guide de bonnes pratiques pour les contrôles internes, la déontologie et la conformité, pour les entreprises. En France, le Code de gouvernement des entreprises cotées de l’AFEPMEDEF devient un point de repère important en matière de gouvernance applicable aux grands groupes bancaires cotés et l’Autorité des Marchés Financiers (AMF) marque une avancée significative en matière de contrôle interne avec son Cadre de référence15. En 2013, la directive européenne dite CDR IV16 renforce les exigences en matière de gouvernance des banques (non cumul des mandats de président et de directeur général, création d’un comité des risques distinct du conseil, etc.). La même année, l’IFACI et l’AMRAE17 publient le modèle de contrôle interne en 3 lignes de défense, qui contraste avec l’approche bancaire en 3 niveaux de contrôles utilisés par l’Autorité de contrôle prudentiel et de régulation (ACPR) depuis des années. 3. La réglementation, un reflet de la culture du régulateur L’ancien CRBF 97-02 avait ouvert la voie de façon courageuse, mais sa structure l’avait rendu prisonnier de lui-même au point de devenir intrusif et pesant sur les organisations bancaires. Les banques françaises disposaient, néanmoins, grâce à ce texte, de systèmes de contrôle parmi les plus robustes. La plupart des textes étrangers sont basés sur des principes, principes qui sont souvent complétés par des listes de points à vérifier. L’approche bancaire française, quant à elle, se base sur une liste d’obligations relativement prescriptives qui contraint l’organisme régulé tant au niveau de l’obligation elle-même qu’au niveau de sa mise en œuvre. Le nouvel arrêté du 3 novembre 2014, qui abroge le CRBF 97-02, hérite complètement du contenu et de l’esprit de ce texte. 8 9 10 11 12 13 14 28 caire et financière n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement : JO 9 avr. 2005, p. 6418. PE et Cons. UE, dir. 2006/43/CE, 17 mai 2006 concernant les contrôles légaux des comptes annuels et des comptes consolidés : JOUE n° L 157, 9 juin 2006, p. 87. COSO, Guidance on Monitoring Internal Control Systems, January 2009 : http://www.coso.org/documents/COSO_Guidance_On_Monitoring_Intro_ online1_002.pdf. A. 5 mai 2009 relatif à l’identification, la mesure, la gestion et le contrôle du risque de liquidité, art. 27 à 33 et 45 : JO 20 mai 2009, p. 8412. A. 19 janv. 2010 modifiant le règlement n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d’investissement : JO 12 févr. 2010, p. 2532. A. 13 déc. 2010 modifiant diverses dispositions réglementaires relatives au contrôle des rémunérations des personnels exerçant des activités susceptibles d’avoir une incidence sur le profil de risque des établissements de crédit et entreprises d’investissement ainsi que diverses dispositions de nature prudentielle : JO 17 déc. 2010, p. 22240. PE et Cons. UE, dir. 2009/138/CE, 25 nov. 2009 sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (Solvabilité II) : JOUE n° L 335, 17 déc. 2009, p. 1. V. Bank for International Settlements, Principles for enhancing corporate governance, October 2010 : http://www.bis.org/publ/bcbs176.htm. La culture de l’ACPR s’illustre en examinant la définition et la finalité donnée au dispositif de contrôle interne, dans l’article 3 de l’arrêté du 3 novembre 2014 : « Le contrôle interne mentionné à l’article 2 comprend notamment : a) Un système de contrôle des opérations et des procédures internes ; b) Une organisation comptable et du traitement de l’information ; c) Des systèmes de mesure des risques et des résultats ; d) Des systèmes de surveillance et de maîtrise des risques ; e) Un système de documentation et d’information ; f) Un dispositif de surveillance des flux d’espèces et de titres ». 15 AMF, Cadre de référence sur les dispositifs de gestion des risques et de contrôle interne, 22 juill. 2010. 16 PE et Cons. UE, dir. 2013/36/UE, 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d’investissement : JOUE n° L 176, 27 juin 2013, p. 338. 17 IFACI et l’AMRAE, Trois lignes de Maîtrise pour une meilleure performance, 2013. REVUE INTERNATIONALE DE LA COMPLIANCE ET DE L’ÉTHIQUE DES AFFAIRES – SUPPLÉMENT À LA SEMAINE JURIDIQUE ENTREPRISE ET AFFAIRES N° 51-52 DU JEUDI 18 DÉCEMBRE 2014 COMMENTAIRES Si aucune finalité n’est précisée, l’arrêté, dans son article 2, demande aux entreprises de se doter « d’un dispositif de gouvernance solide, comprenant notamment un dispositif adéquat de contrôle interne ». Ces lignes traduisent une vision fonctionnelle du régulateur qui ne cadre plus avec les modèles internationaux en vigueur et l’organisation fonctionnelle des banques depuis plusieurs années. Le texte du COSO définit le contrôle interne comme suit : « Internal control is a process, effected by an entity’s board of directors, management, and other personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting and compliance »18. De son côté, l’AMF, dans son Cadre de référence, adopte une démarche basée sur des principes généraux et non sur des règles contraignantes pour définir le contrôle interne19 qui montrent l’articulation gouvernance-risque-contrôle interne : « Le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité, qui vise à assurer : - la conformité aux lois et règlements, - l’application des instructions et des orientations fixées par la direction générale ou le directoire, - le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde de ses actifs, - la fiabilité des informations financières, et d’une façon générale, contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources. En contribuant à prévenir et maîtriser les risques de ne pas atteindre les objectifs que s’est fixée la société, le dispositif de contrôle interne joue un rôle clé dans la conduite et le pilotage de ses différentes activités. Toutefois, le contrôle interne ne peut fournir une garantie absolue que les objectifs de la société seront atteints ». Dans le même document, l’AMF introduit les composantes d’un dispositif de contrôle interne : « Le dispositif de contrôle interne, qui est adapté aux caractéristiques de chaque société, doit prévoir : - une organisation comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s’appuyant sur des systèmes d’information, sur des procédures ou modes opératoires, des outils et des pratiques appropriés ; - la diffusion en interne d’informations pertinentes, fiables, dont la connaissance permet à chacun d’exercer ses responsabilités ; - un dispositif de gestion des risques visant à recenser, analyser et traiter les principaux risques identifiés au regard des objectifs de la société. - des activités de contrôle proportionnées aux enjeux propres à chaque processus et conçues pour réduire les risques susceptibles d’affecter la réalisation des objectifs de la société ; - une surveillance permanente du dispositif de contrôle interne ainsi qu’un examen régulier de son fonctionnement. Cette surveillance, qui peut utilement s’appuyer sur la fonction d’audit interne de la société lorsqu’elle existe, peut conduire à l’adaptation du dispositif de contrôle interne ». 18 COSO, Internal Control – Integrated Framework, préc. 19 AMF, Cadre de référence sur les dispositifs de gestion des risques et de contrôle interne, préc. L’AMF, complète cette approche avec son règlement général dans lequel les articles (les obligations) peuvent souvent être utilisés de façon pragmatique comme point de contrôle de la conformité. Il résulte de cette comparaison, que le nouvel arrêté hérite non seulement d’un passé et d’une histoire glorieuse, mais plus encore d’un passif. 4. Quand le régulateur modèle les organisations L’arrêté du 3 novembre 2014 traduit aussi le souhait du régulateur à prescrire des bonnes pratiques et élever le niveau du jeu. Parmi les techniques utilisées, outre les sanctions administratives, l’ACPR utilise aussi les questionnaires pour élever le niveau de jeu, comme cela se fait pour la lutte contre le blanchiment et le financement du terrorisme20 : les établissements assujettis ont été fortement incités à s’équiper de systèmes automatisés. Comme nous l’avons vu, l’ACPR, au travers des textes relatifs au contrôle interne, développe une approche prescriptrice qui impose des fonctionnements d’organisation : rattachement des fonctions, nombre et contenu des rapports et communication interne, etc. À titre d’exemple, la fonction de lutte contre le blanchiment et le financement du terrorisme, a été placée dans la position ambiguë d’acteur technique de gestion d’un risque spécifique, d’acteur du risque de nonconformité, et de contributeur aux activités de contrôle interne. Dans cet esprit, le nouvel arrêté fait évoluer la dénomination d’« organe délibérant » en « organe de supervision »21. De même, « l’organe exécutif » est remplacé par « les dirigeants responsables », pour renforcer leur responsabilité. Le « comité d’audit » prescrit dans le CRBF 97-02 est recentré sur sa mission de contrôle de l’information financière et est complété par le comité des risques, le comité des nominations et le comité des rémunérations, quand le total du bilan excède 5 milliards d’euros. De son côté, la filière « risque » introduite en 2010, se voit remplacée par une matrice plus large constituée d’une fonction « gestion des risques »22 à laquelle s’applique deux blocs fonctionnels le dispositif de « mesure des risques »23 et le dispositif de « maîtrise des risques »24. Pour ces raisons, il est important de pouvoir démontrer la logique de prise de décision à l’aide : • des chartes de contrôle ; • des organigrammes hiérarchiques et fonctionnels ; • des fiches de poste ; • des résultats de validation des connaissances acquises ; • des cartographies des risques ; 20 ACPR, instr. n° 2014-I-06, 2 juin 2014 relative aux informations sur le dispositif de prévention du blanchiment de capitaux et du financement des activités terroristes. 21 A. 3 nov. 2014, préc., art. 10, b). 22 A. 3 nov. 2014, préc., art. 74 à 93. 23 A. 3 nov. 2014, préc., art. 94 à 215. 24 A. 3 nov. 2014, préc., art. 25, 217, 220. REVUE INTERNATIONALE DE LA COMPLIANCE ET DE L’ÉTHIQUE DES AFFAIRES – SUPPLÉMENT À LA SEMAINE JURIDIQUE ENTREPRISE ET AFFAIRES N° 51-52 DU JEUDI 18 DÉCEMBRE 2014 29 • des programmes de travail ; • des procédures internes ; • des comptes rendus de réunion. La maîtrise de la responsabilité de la banque et de ses dirigeants est à ce prix. 5. Quel avenir ? L’arrêté du 3 novembre 2014, confirme l’orientation du régulateur à appréhender les établissements avec une approche globale sur une base consolidée25. Le contrôle interne bancaire s’inscrit bien dans une perspective intégrée « Gouvernance-Risk-Compliance ». La gouvernance est un axe d’attention important pour l’ACPR. Ce point s’est renforcé avec la loi du 26 juillet 2013 sur la séparation et de régulation des activités bancaires26. De récentes décisions de sanctions supportent ce point. Par exemple, la décision à l’encontre du Crédit Municipal de Toulon de 201027 rappelle la nécessaire implication des organises délibérants et exécutifs dans les processus de gestion des risques et de contrôle interne. La responsabilité personnelle des dirigeants peut aussi être retenue, comme cela a été le cas dans la décision de sanction à l’encontre de Bank Tejarat Paris en 201228, du Cabinet de courtage Innocent Assurances en 201229 et de la société TEUCER Gestion Privée en 201430. La gestion des risques a été étendue à de nouveaux types de risques, comme en témoigne l’introduction des risques systémiques, de levier excessif, de titrisation par l’arrêté du 3 novembre 201431. 25 A. 3 nov. 2014, préc., art. 6, 235, 260, 262, 268. 26 L. n° 2013-672, 26 juill. 2013 de séparation et de régulation des activités bancaires : JO 27 juill. 2013, p. 12530. 27 ACP, comm. sanctions, proc. n° 2010-1, 10 janv. 2011. 28 ACP, comm. sanctions, proc. n° 2011-03, 27 nov. 2012. 29 ACP, comm. sanctions, proc. n° 2012-02, 12 déc. 2012. 30 ACPR, comm. sanctions, proc. n° 2014-02, 17 juill. 2014. 31 A. 3 nov. 2014, préc., art. 10, e) et s. 30 Ainsi que nous l’avons constaté depuis 2005, année de la création de la fonction Compliance, celle-ci doit impérativement prendre en compte les intérêts des différentes parties prenantes de l’entreprise, notamment sous l’angle du risque d’atteinte à l’image. La responsabilité sociétale des entreprises devient alors un magnifique outil d’anticipation pour la fonction Compliance, surtout en des temps où la loi est confrontée à la morale et/ou à l’éthique. Les textes à venir sur le contrôle interne bancaire devront intégrer cette tendance pour proposer un cadre de réflexion et d’action plus souple dans la mise en œuvre, mais qui, assorti de sanctions cohérentes avec les pratiques des autres régulateurs européens et internationaux, obligera chacun à une attitude responsable. À l’heure de l’Union Bancaire et de l’unification de la supervision bancaire avec le partage des compétences entre les autorités nationales et la Banque Centrale Européenne (BCE)32 et suite à nos derniers entretiens avec le Secrétariat Général de l’ACPR, la refonte de l’arrêté du 3 novembre 2014 ne semble pas à l’ordre du jour dans l’immédiat. D’une part, l’enjeu pour le régulateur est de faire évoluer sa propre culture sans déstabiliser les responsables du contrôle des établissements bancaires et, d’autre part, les équipes nationales de régulation constituées en associant d’autres régulateurs nationaux ont besoin d’un temps d’acculturation pour maintenir l ‘efficience des ressources engagées. Toutefois, le « cycle de supervision »33 défini par la BCE prévoit que « par le biais de différents canaux, notamment la participation du mécanisme de surveillance unique aux forums internationaux et européens, les enseignements tirés de l’exercice de la surveillance et de l’exécution des vérifications d’assurance qualité constitueront un retour d’information utile à la définition des méthodologies, des normes ainsi que des politiques et réglementations de surveillance communes » aux équipes de régulateurs pour l’exécution de leurs missions de contrôle sur pièce et sur place. 32 BCE, guide relatif à la surveillance bancaire, sept. 2014 : http://www.ecb. europa.eu/pub/pdf/other/ssmguidebankingsupervision201409fr.pdf. 33 Ibid. REVUE INTERNATIONALE DE LA COMPLIANCE ET DE L’ÉTHIQUE DES AFFAIRES – SUPPLÉMENT À LA SEMAINE JURIDIQUE ENTREPRISE ET AFFAIRES N° 51-52 DU JEUDI 18 DÉCEMBRE 2014