Marie Agnès NICOLET

Transcription

Marie Agnès NICOLET

Optimisation des fonctions
de contrôle et risques
Conférence
eifr /15
octobre 2013
Marie-Agnès NICOLET
Regulation Partners
Présidente fondatrice
35, Boulevard Berthier 75017 Paris
[email protected]
+33.6.58.84.77.40 / +33.1.46.22.65.34
Sommaire
Introduction: le millefeuille des fonctions de contrôle
La fonction de responsable des contrôles permanents
La fonction de contrôle périodique
La fonction Conformité
La filière Risques
Le responsable de la sécurité des systèmes d’information
Quelle articulation des fonctions pour un contrôle efficace?
Le rôle majeur des organes de gouvernance dans le contrôle interne
et la maîtrise des risques
2
Introduction : une accumulation de fonctions de
contrôle
o De l’émergence des premiers textes de contrôle au début des années
1990 aux récentes évolutions réglementaires post-crise
Les fonctions de contrôle au sein des établissements bancaires et
financiers ont subi des mutations importantes.
Plus que jamais, la crise a rendu ces fonctions de contrôle
nécessaires.
Elles ont pour objet de sécuriser l’ensemble des activités des
établissements financiers et de protéger les épargnants.
o Les étapes de l’émergence de ces fonctions
Le Règlement CRB 90.08 avait rendu obligatoire la fonction de
responsable du contrôle interne ainsi que la mise en place de
dispositifs adéquats de surveillance au sein des établissements de
crédit.
En 1990, il était devenu obligatoire de nommer un déclarant et
correspondant TRACFIN.
3
contrôle
o Les étapes de l’émergence de ces fonctions (suite)
La troisième étape correspond à la diffusion en 1996 d’un Livre Blanc
sur la sécurité des systèmes d’information, instaurant les objectifs
DICP et recommandant la désignation d’un responsable de la sécurité
des systèmes d’information (RSSI).
Ont ensuite été définies des fonctions de contrôle des services
d’investissement au sein des PSI (RG CMF 2006-2008).
En 2005, le règlement CRBF 97.02 a modifié l’organisation des
structures en instaurant une séparation plus claire entre contrôle
permanent et contrôle périodique, en rendant obligatoire la fonction
de conformité et en instaurant une obligation de contrôler les PSEE.
Enfin, une filière Risques a été mise en place en 2010, dans le but de
coordonner l’ensemble des dispositifs de surveillance des risques afin
de ne pas laisser de côté des risques significatifs sans surveillance au
sein du monde bancaire.
4
I. La fonction de responsable des contrôles
permanents
o Définition des niveaux de contrôle : Contrôle Permanent et Contrôle
Périodique, 1er et 2nd niveaux
Contrôle
périodique
Audit
interne /
Inspection
2èmeniveau
2ème niveau
Contrôle
permanent
1er niveau
1er niveau
Coordination des
contrôles
permanents
Fonctions dédiées et indépendantes
réalisant les contrôles réguliers
Direction des Risques
Conformité
Sécurité financière
Contrôle Permanent
Contrôle par la hiérarchie
Contrôle intégré aux processus, par les opérationnels
et systèmes IT (contrôles manuels et automatisés)
5
I. La fonction de responsable des contrôles
permanents
o Les facteurs clés de succès d’un contrôle
permanent de second niveau :
Dans le cas d’une décentralisation des
contrôles de second niveau, la mise en place
d’un contrôle qualité au niveau central,
La construction de plans de contrôle
permanents qui permettent de couvrir la
totalité du périmètre en une année
environ,
La mise en place d’une fonction de
coordination qui ne se limite pas à définir
une méthodologie et à consolider les
résultats,
La formalisation des contrôles permanents
de second niveau.
6
II. La fonction de contrôle périodique
o Définitions du contrôle périodique
Le règlement CRBF 97.02 modifié a opéré une séparation du contrôle
périodique des autres fonctions de contrôle, le premier étant défini
comme :
« Le contrôle périodique de la conformité des opérations, du niveau de
risque effectivement encouru, du respect des procédures, de l’efficacité
et du caractère approprié des dispositifs de contrôle est assuré au
moyen d’enquêtes par des agents au niveau central et le cas échéant
local, autres que ceux en charge du contrôle permanent. »
o Rattachement de la fonction
Le contrôle périodique est une fonction indépendante dont le
responsable est rattaché à l’organe exécutif et, éventuellement, à
l’organe délibérant ou au comité d’audit.
o Elaboration du plan pluriannuel et du programme annuel d’audit interne
Le contrôle périodique réalise ses enquêtes dans le cadre de missions
définies dans un plan d’audit. Les priorités de ce plan doivent être
définies en fonction de l’évaluation des risques
7
III. La fonction Conformité
o 10 grandes missions, entre veille, contrôle et conseil :
Assurer et diffuser la veille réglementaire:
Agir dès les projets de textes
Mettre en place et diffuser les normes et procédures en matière de
conformité
•Il s’agit d’intégrer l’impact des nouvelles réglementations.
Former et informer sur les risques de non-conformité
•La fonction Conformité a un rôle majeur dans la sensibilisation des
collaborateurs aux problématiques réglementaires les concernant.
Assurer un conseil aux collaborateurs pour tout élément lié à la
conformité (ex : conflits d’intérêts)
•coexistence de deux rôles à gérer simultanément
Donner un avis écrit sur la conformité des nouveaux produits
•Procédure nouveaux produits
•Dans nouveaux produits : cibles de commercialisation d’un produit, et
parfois opérations de croissance externe.
8
o 10 grandes missions, entre veille, contrôle et conseil (suite) :
Réaliser et mettre à jour la cartographie des risques de nonconformité
Et ceci dans un objectif d’adaptation des dispositifs de contrôle.
Assurer un rôle de contrôle permanent des dispositifs assurant la
Conformité
•Le plan de contrôle permanent de la conformité fait partie intégrante du
plan de contrôle global de second niveau et doit être réalisé de manière
indépendante.
Assurer la maîtrise d’ouvrage des applicatifs lié à la Conformité
S’assurer que les nouveaux applicatifs métiers restent conformes aux
obligations réglementaires
Assurer la fonction de responsable de la lutte contre le blanchiment
et le financement du terrorisme
9
o Exemple de grille d’impacts
10
V. La filière Risques
o La crise et les risques à couvrir dans la banque
La crise de 2007 a révélé la nécessité d’une approche globale des
risques.
Il s’agit d’identifier et d’évaluer tous les risques qui pourraient
affecter l’établissement, et non de se focaliser sur ceux qui semblent
les plus présents.
C’est pour cette raison que l’une des dernières modifications du
règlement CRBF 97.02 porte sur la nécessité de créer une filière
Risques qui consolide l’ensemble des risques, les systèmes
transversaux permettant de les appréhender, ainsi que l’analyse et la
mesure des risques.
11
o Les principaux risques bancaires à couvrir (article 4 du CRBF 97-02) (1/2)
RISQUES FINANCIERS
Crédit
Encouru en cas de défaillance d'une contrepartie ou de contreparties considérées comme un
même bénéficiaire
Taux d'intérêt global
Encouru en cas de variation des taux d'intérêt du fait de l'ensemble des opérations de bilan et de
hors-bilan
Liquidité
Risque de ne pas pouvoir faire face à ses engagements ou de ne pas pouvoir dénouer ou
compenser une position en raison de la situation du marché, dans un délai déterminé et à coût
raisonnable
Concentration
Risque, direct ou indirect, résultant de l'octroi à une même contrepartie, à des contreparties
considérées comme un même bénéficiaire, à des contreparties opérant dans le même secteur
économique ou la même zone géographique, ou de l'octroi de crédits portant sur la même
activité, ou de l'application de techniques de réduction du risque de crédit, notamment de
sûretés émises par un même émetteur
Résiduel
Risque que les techniques de réduction du risque de crédit reconnues pour l'application de
l'arrêté du 20 février 2007 aient une efficacité moindre qu'attendue
12
o Les risques principaux bancaires à couvrir (article 4 du CRBF 97-02) (1/2)
AUTRES RISQUES
Non-conformité
Risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou
d'atteinte à la réputation, qui naît du non-respect des disposition propres aux activités
bancaires et financières qu’elles soient de nature législatives ou réglementaires, ou qu’il s’agisse
de normes professionnelles et déontologiques, ou d’instructions de l’organe exécutif prises
notamment en application des orientations de l’organe délibérant
Juridique
Risque de tout litige avec une contrepartie, résultant de toute imprécision, lacune ou insuffisance
susceptible d'être imputable à l'entreprise au titre de ses opérations
Opérationnel
Inadaptation ou d'une défaillance imputable à des procédures, personnels et systèmes internes
ou à des événements extérieurs "y compris d'événements de faible probabilité d'occurrence mais
à fort risque de perte" . "Le risque opérationnel inclut les risques de fraude interne et externe
13
o Création d'une "filière Risques" dans les établissements financiers
par l'arrêté du 19 janvier 2010 modifiant le CRBF 97-02
Les entreprises assujetties désignent un responsable en charge de
la filière « Risques » dont l’identité est communiquée à l’ACP
Le responsable de la filière Risques doit être membre de l’organe
exécutif ou lui être rattaché
Il rend compte de ses missions à l’exécutif et, si nécessaire, à
l’organe délibérant ou au Comité d’Audit
La filière Risques peut être placée sous la responsabilité du
responsable du contrôle permanent lorsque la taille de
l’établissement ou les circonstances le justifient
Le responsable de la filière Risques s’assure de la mise en œuvre
des systèmes de mesure et de surveillance des risques,
notamment de crédit, de marché, de taux d’intérêt global,
d’intermédiation, de règlement, de liquidité et opérationnels
14
o Création d'une "filière Risques" dans les établissements financiers par
l'arrêté du 19 janvier 2010 modifiant le CRBF 97-02 (suite)
Les établissements doivent disposer d’une cartographie des
risques y compris des risques prédictifs actualisée régulièrement
et qui :
•Prend en compte l’ensemble des risques encourus
•Est établie par entité et/ou ligne de métier, au niveau auquel est
exercée, le cas échéant, la surveillance consolidée ou
complémentaire
•Evalue l’adéquation des risques encourus par rapport aux
orientations de l’activité
•Identifie les actions en vue de maîtriser les risques encourus
(renforcement des dispositifs de contrôle permanent, mise en œuvre
des systèmes de surveillance et de maîtrise des risques, définition
des plans de continuité de l’activité)
15
VI. La fonction de responsable de la sécurité des
systèmes d’information (RSSI)
o Une fonction définie par le Livre Blanc de la sécurité des systèmes
d’information
Sorti en mars 1996, le Livre Blanc de la sécurité des systèmes
d’information commençait par un questionnaire à destination des
dirigeants d’établissements de crédit.
Depuis, l’article 14 du règlement CRBF n°97.02 modifié a rendu
obligatoire :
•Le contrôle des systèmes d’information pour évaluer périodiquement le
niveau de sécurité des systèmes informatiques et des procédures de
secours,
•La préservation de l’intégrité et de la confidentialité des informations.
Et ceci afin d’assurer la continuité de l’exploitation en cas difficulté de
fonctionnement des systèmes.
Le rôle du RSSI n’est pas spécifiquement prévu, mais il se révèle
essentiel pour que le niveau de sécurité retenu soit respecté et que
les SI soient adaptés aux métiers de l’établissement.
16
VII. Articulation des fonctions pour un contrôle
efficace
o Organisation des fonctions de contrôle dans les établissements de petite
taille
L’organisation de ces nombreuses fonctions de contrôle a posé des
problèmes majeurs pour les petits établissements dans lesquels il est
très difficile de séparer ces fonctions.
Dans les filiales de groupes, il est possible de demander à la maison
mère d’assurer les fonctions de contrôle périodique.
o Assurer un reporting global des risques et des contrôles à la DG
Dans les grandes structures, ces fonctions sont organisées en filières
avec des liens fonctionnels ou hiérarchiques, et doivent être
coordonnées pour permettre d’assurer une surveillance consolidée
des risques et contrôles réalisés.
La taille peut ainsi être un véritable obstacle à la perception claire et
exhaustive des véritables risques.
17
contrôle
o Exemple d’organisation des fonctions de contrôle dans un établissement
de taille moyenne
Organe
délibérant
Comité
d’audit
Reporting sur les recommandations
non suivies d’effet
Possibilité
de reporting
direct
Organe
exécutif
Contrôle
périodique
Contrôle permanent de second niveau / Filière risques
Responsable du
contrôle permanent
Responsable
Conformité
Responsable de la
filière Risques
18
EFFECTIFS RISQUES ET CONTROLES
o SOURCE (enquête 2012/2013 PRMIA/REGULATION PARTNERS)
Que lle e s t la p a rt d e l’e ffe c tif g lo b a l d e v o tre é ta b lis s e me nt re p ré s e nté e p a r le s fo nc tio ns d e
c o ntrô le e t d e ma îtris e d e s ris q ue s c ité e s c i-d e s s o us ?
Op tio ns d e ré p o ns e
a) Contrôle Permanent
b) Contrôle Périodique
c) Conformité
d) Risques Opérationnels
e) Risques « financiers » (crédit, marché, taux, …)
f) PCA et Sécurité des SI
Commentaires
< 0.5%
d e 0.5% à
1%
de 1 % à
2%
> 2%
13
10
14
16
13
18
7
10
11
9
4
6
9
8
4
7
8
5
6
5
4
4
12
3
no mb re d e p e rs o nne s a y a nt ré p o nd u à la q ue s tio n
N o mb re d e
ré p o ns e s
35
33
33
36
36
31
3
39
19
Effectifs des fonctions risques (source enquête
PRMIA/REGULATION PARTNERS 2012/2013)
Quelle part de l’effectif total de votre établissement estest-elle représentée par la filière
risques ?
20
18
16
14
12
10
8
6
4
2
0
< 0.5%
de 0.5% à 1%
de 1 % à 2%
> 2%
20
VIII. Le rôle des organes de gouvernance dans le
contrôle interne et la maîtrise des risques
o Une nécessaire implication des organes de gouvernance
Les fonctions de contrôle ne peuvent à elles seules éviter une prise
de risques inconsidérée. Elles ont un devoir d’alerte, de remontée et
de suivi des problèmes.
La multiplication de ces fonctions impose de les optimiser pour les
rendre plus efficaces.
Les organes exécutifs et délibérant ont, quant à eux, le devoir de leur
donner les moyens d’exercer leurs tâches et de suivre leurs actions.
o Le rôle des organes de gouvernance au sens du CRBF 97-02 : les attentes
du régulateur
Le Règlement CRBF 97-02 relatif au contrôle interne des
établissements de crédit et des entreprises d'investissement du 21
février 1997 (modifié) est un document qui définit les fondamentaux
en matière de gestion des risques et de contrôle interne.
21
o Rôle de l’organe délibérant en matière de suivi des risques
Procède à l'examen de l'activité et
des
résultats
du
contrôle
interne, au moins 2 fois par an (art.
39)
Reçoit le rapport sur les conditions
dans lesquelles le contrôle interne
est assuré et le rapport sur la
mesure et la surveillance des
risques (art. 44)
Evalue et contrôle périodiquement
l'efficacité des politiques, des
dispositifs et des procédures mis
en place pour se conformer au 9702 (art. 38 al 2)
Rôle de l’Organe
délibérant
Arrête […] les critères et seuils de
significativité
[…]
permettant
d'identifier les incidents devant être
portés à sa connaissance (art. 38-1)
Les documents examinés par
le board, relatifs au suivi des
risques et les extraits des PV
concernés sont adressés à
l’ACP(art.39)
(CRBF 97-02)
Est informé par l’organe exécutif, au moins 1 fois par an,
-des éléments essentiels et des enseignements
principaux qui peuvent être dégagés « de l'analyse et du
suivi des risques associés à l'activité et aux résultats »
-des mesures prises pour assurer la continuité de
l'activité et le contrôle des PSEE et l'appréciation portée
sur l'efficacité des dispositifs en place
Lorsque la structure ne comprend
pas
de
comité
de
rémunération, l’organe délibérant
examine
directement
la
rémunération du responsable du
contrôle de la conformité et du
responsable en charge de la filière
risques
22
o Le Comité d’audit, émanation de l’organe délibérant
Emet une recommandation sur les
commissaires
aux
comptes
proposés à la désignation par
l'assemblée générale
Assure le suivi
- du processus d'élaboration de
l'information financière
- de l'efficacité des systèmes de
contrôle interne et de gestion des
risques
- du contrôle légal des comptes par
les CAC
- de l'indépendance des CAC
Vérifie, sous la responsabilité du
board, la clarté des informations
fournies et porte une appréciation
sur la pertinence des méthodes
comptables adoptées (Art. 4)
Rôle du Comité
d’audit
Porte, sous la responsabilité du board, une
appréciation sur la qualité du contrôle
interne, notamment la cohérence des systèmes
de mesure, de surveillance et de maîtrise des
risques et propose les actions complémentaires
à ce titre (art. 4 CRBF 97-02)
Rend compte régulièrement à l'organe
exécutif et à l'organe délibérant de ses
missions et les informe sans délai de
toute difficulté rencontrée
Assure le suivi des questions
relatives à l'élaboration et au
contrôle
des
informations
comptables et financières au sein
des établissements de crédit qui
dont l’activité porte sur la réception
de fonds du public, les opérations
de crédit, ou les services bancaires
de paiement.
Le contrôle périodique informe
directement et de sa propre
initiative le comité d’audit de
l’absence d’exécution des mesures
correctrices décidées (art. 9-1
CRBF 97-02).
23
Document de Bâle : Principes aux fins de l’agrégation des données
sur les risques et de la notification des risquesrisques- Janvier 2013
Définition de l’« Agrégation des données sur les risques »
La définition, la collecte et le traitement des données dans le respect des exigences de notification
des risques, pour permettre à la banque de mesurer ses résultats au regard de sa tolérance au
risque/appétence pour le risque.
Objectifs :
Renforcer la capacité des banques à agréger les données relatives aux risques et améliorer les
pratiques de notification des risques à l’intérieur des établissements, et ce pour améliorer la
gestion des risques et la prise de décision au sein des banques.
24
Gouvernance
Coopération entre
autorités
d’origine/d’accueil
Architecture des données
et infrastructure
informatique
Actions correctives et
mesures prudentielles
Exactitude et intégrité
Surveillance
Exhaustivité
PRINCIPES
Distribution
Actualité
Fréquence
Adaptabilité
Clarté et utilité
Exactitude
Représentativité
25
Principe 9 Clarté et utilité – Les rapports sur la gestion des risques
devraient être clairs et concis. Ils devraient être faciles à comprendre tout
en étant suffisamment complets pour permettre aux destinataires de
prendre des décisions en toute connaissance de cause. Les informations
dont ils font état devraient être pertinentes et adaptées aux besoins des
destinataires.
• Un juste équilibre devrait être trouvé entre la place accordée aux
données de risque, aux analyses et interprétations ainsi qu’aux
explications qualitatives. L’équilibre à ménager entre informations
qualitatives et quantitatives ne sera pas le même à différents
niveaux de l’organisation.
26

Marie Agnès NICOLET

Transcription

Documents pareils

L`HIPPODROME - SCENE NATIONALE Place du Barlet BP 79

page jaune

Survol d`une histoire en quelques dates…

OAK Racing 24 H 2010 Jean

Croix Rouge burkinabé - Siccfin

Jean-Jacques JULIEN

24 Heures du Mans – séance qualificative Le Mans, France 12 juin

HOTEL RAS EL AIN TOZEUR a été auditée par BUREAU VERITAS

Télécharger un extrait - Editions Bouchard Mathieux

Mme Marie-Agnès Nicolet