Impact de la fiscalité sur le comportement des clients et évolution de l'offr...
Evolution du contrôle interne bancaire en France
1. Evolution du contrôle interne bancaire en France
…du règlement 97/02 à l’arrêté du 3 nov 2014
Chandara OK
. Directeur Audit conformité risques
. Conseil en conformité et risques
Conférence annuelle : Conformité, contrôle interne et régulation 19 mars 2015
organisée par Arrow Institute
2. 2Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
Sommaire
Ie PARTIE Le règlement 97/02 : 17 ans de contrôle interne bancaire à la française
IIe PARTIE Du 97/02 à l’arrêté du 3 novembre 2014 : les thèmes qui évoluent
IIIe PARTIE Revue de l’arrêté du 3 novembre : les points clés
IVe PARTIE Enjeux et questions
3. 3
Ie PARTIE Le règlement 97/02 : 17 ans de contrôle interne bancaire à la française
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
4. Les réglementations bancaires internationales (Bâle et directives européennes) définissent
assez clairement les règles prudentielles quantitatives mais restent limitées sur les principes
en matière de surveillance ou de contrôle :
>> c’est l’approche anglo-saxonne qui décrit les normes et les objectifs à
atteindre, laissant ainsi les entreprises le soin de définir le ‘comment’ selon la
coutume
>> c’est le cas aussi notamment pour la comptabilité où les US Gaap et
UK Gaap sont des normes alors que la France va jusqu’à détailler des plans de
comptes et des schémas comptables
Un texte d’application tel que le règlement 97/02 est donc rare au sein des grands pays
développés : celui-ci encadre assez clairement les modalités d’application des directives
européennes ainsi que l’organisation du contrôle interne en place -> ce qui produit des
dispositifs bancaires relativement homogènes en France
Le règlement 97/02 est généralement plus exigent que les textes internationaux et
précurseur dans bien des domaines. C’est ainsi que les nouvelles directives n’entraînent pas
de transpositions lourdes jusqu’ici
4
Ie PARTIE - Le règlement 97/02 : 17 ans de contrôle interne bancaire à la française
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
5. Quelques grandes étapes du règlement 97/02 :
1990 : fonction de responsable du contrôle interne (« RCI »)
1997 : publication de la 1ère
version du règlement 97/02 (contexte : faillite de Pallas Stern en
1995, crise asiatique en 1997, faillite de LTCM en 1998, bulle internet …)
2005 : séparation entre contrôle permanent et contrôle périodique, formalisation de la
fonction conformité et du risque de non-conformité
2007 : externalisation d’activités essentielles
2009 : création de la filière risques
2010 : encadrement de la rémunération
2014 : nouveau texte
5
Ie PARTIE - Le règlement 97/02 : 17 ans de contrôle interne bancaire à la française
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
6. 6
IIe PARTIE Du 97/02 à l’arrêté du 3 novembre 2014 : les thèmes qui évoluent
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
7. L’arrêté du 3 novembre 2014 est une évolution directe du règlement 97/02
Le document reprend le principe général de son prédécesseur avec :
o un découpage une refonte des articles (plus morcelés) et de leur codification
o des ajouts de mesures et des modifications issues principalement de la transposition de
la directive CRD IV ainsi que du CRR
o des précisions apportées par le régulateur qui permettent de confirmer notamment
certaines bonnes pratiques
Il n’y a donc pas de grandes obligations fondamentalement nouvelles sur le fond. Attention
néanmoins aux nuances et modalités !
Les principales évolutions :
o gouvernance : modifications des organes de direction et de certaines des attributions
o création de comités spécialisés obligatoires
o précisions concernant les missions des corps risques et contrôles
o formalisation de risques non identifiés auparavant
o nouvelles modalités de gestion de certains risques comme la liquidité
o développements en matière d’encadrement de la rémunération
o des précisions ou amendements dans d’autres articles
7
IIe PARTIE Du 97/02 à l’arrêté du 3 novembre 2014 : les thèmes qui évoluent
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
8. Un texte ventilé en 7 grandes partie (appelées « titres ») et 280 articles
8
IIe PARTIE Du 97/02 à l’arrêté du 3 novembre 2014 : les thèmes qui évoluent
TITRE I : PRINCIPES ET DEFINITIONS
TITRE II : LE SYSTEME DE CONTROLE INTERNE ET DES OPERATIONS
•Chapitre I : dispositions générales
•Chapitre II : dispositif de contrôle de la conformité
•Chapitre III : dispositif LAB-FT
•Chapitre IV : la surveillance des risques par la fonction de gestion des risques
TITRE III : ORGANISATION COMPTABLE ET DU TRAITEMENT COMPTABLE
TITRE IV : LES SYSTEMES DE MESURE DES RISQUES ET DES RESULTATS
•Chapitre I : dispositions générales
•Chapitre II : la sélection et la mesure des risques de contreparties
•Chapitre III : la mesure des risques de marché
•Chapitre IV : la mesure du risque de taux d’intérêt global
•Chapitre V : la sélection et la mesure des risques d’intermédiation
•Chapitre VI : la mesure du risque de liquidité
•Chapitre VII : la mesure du risque de règlement-livraison
•Chapitre VIII : la prise en compte des risques dans la politique de rémunération
•Chapitre IX : la mesure du risque de levier excessif
•Chapitre X : la mesure du risque opérationnel
TITRE V : LES SYSTEMES DE SURVEILLANCE ET DEMAITRISE DES RISQUES
•Chapitre I : dispositions générales
•Chapitre II : conditions d’application en matière d’externalisation
TITRE VI : ROLE DES DIRIGEANT EFFECTIFS ET ORGANES DE SURVEILLANCE DE L’ENTREPRISE ASSUJETTIE ET DE L’ ACPR
TITRE VII : DISPOSITIONS DIVERSES
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
9. 9
IIIe PARTIE Revue de l’arrêté du 3 novembre : les points clés
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
10. 10
IIIe PARTIE Revue de l’arrêté du 3 novembre : les points clés
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
ARRETE DU 3 NOVEMBRE 2014 : LESPOINTS CLES (>> en italique)
TITRE I : PRINCIPES ET DEFINITIONS
o Art.1 à 10
>> Mise à jour des activités assujetties. Extension des obligations de la CRD IV et de cet arrêté aux
établissements de paiement EP et établissements de paiement électronique EME. Les EP et EME
bénéficient néanmoins d’une dispense pour certains articles contraignants (en matière de gouvernance
et de gestion des risques)
>> Distinction de nouveaux risques non identifiés auparavant et extension du dispositif de pilotage de
risques (art.10 et plus loin dans le document), risques inclus souvent dans la famille du risque de
contrepartie :
•risque de base : var de la valeur du sous-jacent # la var de la valeur du contrat
•risque de titrisation : en tant qu’investisseur, initiateur, sponsor, y c le risque de réputation
•risque de levier excessif : résultant d’un levier nécessitant des mesures non prévues
•risque lié au modèle : résultats liés à une erreur de conception du modèle ou de sa mise en œuvre
•risque de dilution : risque de baisse montant d’une créance suite à l’octroi du débiteur de crédits
•risque systémique : risque de perturbation pouvant avoir de graves répercussions sur le système
financier ou l’économie réelle
>> (art.10a et 10b) Organes de direction
•l’ex-organe délibérant devient organe de surveillance
•l’ex-organe exécutif est remplacée par une notion plus personnalisée de dirigeants effectifs
(=dirigeants responsables).Il faut désigner 2 dirigeants effectifs
>> PM : obligation de séparer les fonctions de président et de directeur général.
11. 11
IIIe PARTIE Revue de l’arrêté du 3 novembre : les points clés
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
TITRE II : LE SYSTEME DE CONTROLE INTERNE ET DES OPERATIONS
•Chapitre I : dispositions générales
o Art. 11 à 27
>> (art.13) La notion de contrôle permanent de la conformité, de la sécurité et de la validation des opérations
réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques …. Similaire à
celle du 97/02
>> (art.23) Les responsables du contrôle permanent et du contrôle périodique rendent compte aux dirigeants
effectifs et à l’organe de surveillance ainsi que, le cas échéant, au comité des risques
•Chapitre II : dispositif de contrôle de la conformité
o Art. 28 à 42
>> (art.29) Le rôle du resp du contrôle de la conformité reste inchangé
>> (art.30) Le resp du contrôle de la conformité rend compte de l’exercice de sa mission à l’un des dirigeants
effectifs ou l’un des responsables du contrôle permanent ( ! comparer au resp de la gestion des risques)
•Chapitre III : dispositif LAB-FT
• Section 1 - organisation
o Art. 43 à 56
• Section 2 - classification des risques
o Art. 57 à 60
• Section 3 – procédures internes
o Art. 61 à 70
>> (art.67) Les procédures LAB-FT prévoient les diligences pour la monnaie électronique : chargement,
encaissement, remboursement, y c pour les distributeurs ou en cas de sous-traitance en cascade
• Section 4 – système de contrôle
12. 12
IIIe PARTIE Revue de l’arrêté du 3 novembre : les points clés
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
•Chapitre IV : la surveillance des risques par la fonction de gestion des risques
o Art.74 à 83
>> L’ex-filière risques est remplacée par la fonction gestion des risques
>> (art.77) Le responsable de la gestion des risques rend compte de l’exercice de ses missions aux dirigeants
effectifs … Si nécessaire, en cas d’évolution des risques, il peut rendre compte directement à l’organe de surveillance
ainsi que, le cas échéant, au comité des risque, sans en référer aux dirigeants effectifs
>> (art.83) Le responsable de la gestion des risques ne peut être démis de ses fonctions sans l’accord del’organe
de surveillance
TITRE III : ORGANISATION COMPTABLE ET DU TRAITEMENT COMPTABLE
o Art.84 à 93
13. 13
IIIe PARTIE Revue de l’arrêté du 3 novembre : les points clés
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
TITRE IV : LES SYSTEMES DE MESURE DES RISQUES ET DES RESULTATS
•Chapitre I : dispositions générales
• Section 1 – systèmes de mesure des risques et procédures
o Art. 94 à 103
>> (art.100 à 102) Obligation de disposer d’une cartographie des risques qui couvre tous les risques, externes ou
internes
• Section 2 – les comités spécialisés
o Art. 104 à 105
>> (art.104) Lorsque le bilan conso dépasse 5 MdsEur, obligation de créer 3 comités spécialisés émanant
del’organe de surveillance en application du L 511-89 du comofi : comité des risques, comité des nominations,
comité des rémunérations
Comité des risques : couvre tous les risques de l’établissement ainsi que sur les dispositifs de maîtrise (reprend
une partie des missions de l’ex-comité d’audit)
Comité des nominations : pour les membres de l’organe de surveillance essentiellement. Veille aussi à la politique
de nomination des dirigeants, resp de la conformité, resp de la gestion des risques
Comité des rémunérations : surveille politique de rémunération de l’établissement, yc pour les fonctions risques-
contrôles. Couvre directement la rémunération du resp de la conformité et du resp de la gestion des risques
>> Le comité n’est plus identifié en tant que tel mais continue à figurer dans le code du commerce art L823-19. Il
devrait donc théoriquement être limité à l’examen de la qualité de l’information comptable et financière
14. 14
IIIe PARTIE Revue de l’arrêté du 3 novembre : les points clés
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
•Chapitre II : la sélection et la mesure des risques de contreparties
o Art. 106 à 121
>> Précision sémantique : on englobe les notions de risque de crédit et risque de contrepartie
>> (art.114) Pour la notation en matière de risque de crédit, on ne peut passe contenter de la seule notation externe. Celle-ci doit
être complétée
•Chapitre III : la mesure des risques de marché
o Art.122 à 133
>> La gestion du risque de marché est déclinée sous la même forme que les autres risques
>> (art.130) On doit disposer du capital nécessaire pour la part de risque de marché non couverte par des fonds propres
réglementaires
•Chapitre IV : la mesure du risque de taux d’intérêt global
o Art.134 à 139
•Chapitre V : la sélection et la mesure des risques d’intermédiation
o Art. 140 à 147
•Chapitre VI : la mesure du risque de liquidité
o Art. 148 à 186
>> Jadis limitées, les mesures liées à la gestion du risque de liquidité sont particulièrement développées, en transposition de la CRD
IV. Les mesures sont nombreuses et s’apparentent à celles du risque de contrepartie : stratégie, politiques, procédures, outils,
limites etc.
On recherche une véritable gestion ‘active ‘de ce risque
>> (art.186) Obligation d’informer l’ACPR en cas de modification importante de la position de liquidité actuelle, prévisionnelle ou de
dépassement de limites
•Chapitre VII : la mesure du risque de règlement-livraison
o Art. 187 à 197
15. 15
IIIe PARTIE Revue de l’arrêté du 3 novembre : les points clés
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
•Chapitre VIII : la prise en compte des risques dans la politique de rémunération
• Section 1 – dispositions d’application du III de l’article L511-57 du Comofi
o Art. 198 à 210
>> Rédaction de la politique de rémunération, en conformité avec la CRD IV et les articles L511-57 à 88 du comofi.
>> (art.199) L’arrêté fixe le seuil d’application pour les groupes dont bilan > 10Mds Eur pour les articles L511-71 à 88 du comofi
•Chapitre IX : la mesure du risque de levier excessif
o Art. 211 à 213
•Chapitre X : la mesure du risque opérationnel
o Art.214 à 215
TITRE V : LES SYSTEMES DE SURVEILLANCE ET DEMAITRISE DES RISQUES
•Chapitre I : dispositions générales
o Art. 216 à 230
•Chapitre II : conditions d’application en matière d’externalisation
o Art.231 à 240
>> Externalisation : pas de modifications fondamentales
TITRE VI : ROLE DES DIRIGEANT EFFECTIFS ET ORGANES DE SURVEILLANCE DE L’ENTREPRISE ASSUJETTIE ET DE L’ ACPR
o Art. 241 à 270
>> (art.241) La responsabilité de la mise en œuvre du contrôle interne conformément à ce texte est toujours partagée entre organe de
surveillance et dirigeants effectifs
>> (art.242 et 243) La répartition des attributions entre ces 2 organes sont davantage précisées par rapport à l’art. 38 du 97/02 sans que
ce ne soit complètement limpide. On comprend néanmoins que l’organe de surveillance est davantage un organe de fixation/validation
des grands principes et de contrôle vs une fonction exécutive pour les dirigeants effectifs
TITRE VII : DISPOSITIONS DIVERSES
o Art. 271 à 280
16. IVe PARTIE Enjeux et questions
16Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
17. Du positif :
o (+) des améliorations indéniables, notamment en matière d’harmonisation des mesures
dans la gestion des risques,
o (+) la confirmation de la gestion par les risques et donc d’un contrôle permanent axé selon
les mêmes axes
Des regrets :
o (-) refonte que partielle car la logique et la colonne vertébrale restent celles du 97/02 (avec
ses faiblesses)
o (-) position du responsable de la gestion des risques devenue plus ambiguë alors qu’elle
paraissait plus claire précédemment
o (-) la répartition des rôles entre les 2 organes de direction n’est pas suffisamment claire
(art.242-243)
Options de rattachement et de communication pour les fonctions conformité-contrôle
permanent, contrôle périodique et risques
A quand un « arrêté du 3 novembre » pour les assurances ?
A quand un « arrêté du 3 novembre » commun en Europe ? Avec l’union bancaire et la
supervision centralisée par la BCE, il paraît logique de disposer d’un texte d’application unique
17
IVe PARTIE Enjeux et questions
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
18. 18
ANNEXE
Vers quels dispositifs organisationnels ?
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
20. Risquedecontrepartie
Risquedemarché
Risquedebilan
Risqueliéàlaprod.comptable
Risqueopérationnel
Risquedenon-conformitéou
juridique
R.S.S.I
Vigilance transversale par le responsable/coordinateur
Contrôles permanents mutualisés (2nd
niv)
et
Entités opérationnelles et fonctionnelles de la banque
Audit - inspection
•Organe délibérant
•Organe exécutif
Dispositif de contrôle
permanent de
2nd
niveau
Dispositif de contrôle
permanent de
1er
niveau
Contrôle périodique
de 3ème
niveau
Recommandation :
structurer une
organisation de contrôle
interne de type pyramidal
qui met en exergue
l’importance et la
responsabilité des entités
opérationnelles (1er
niveau).
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
Arrêté du 3 nov : pour une vigilance par silo de risque et complétée par une vision transversale
21. 21
Plusieurs cartographies thématiques détaillées sous la responsabilité des pilotes de risque
Cartographie
des risques
opérationnels
Cartographie
des risques
LAB-FT
Cartographie
des risques de
non-conformité
Cartographie
des risques liés
aux S I
Cartographie
des risques
d’infrastructure
Autres
cartographies
Cartographie consolidé par le responsable (de la gestion des risques)
• Vision synthétique de tous les risques
• Suivi des risques majeurs
• Alertes
Reportings vers les organes exécutif et délibérant + superviseur
* identification des risques
• évaluation des risques
• liens avec des procédures opérationnelles, limites et délégations
• identification et restitution des contrôles permanents par rapport aux
risques
Chandara OK – Evolution du contrôle interne bancaire en France : du 97/02 à l’arrêté du 3 novembre
Arrêté du 3 nov : autant de cartographies que de grandes natures de risques + consolidation
22. Chandara OK
Conseil en réglementation et risques bancaires
okchandara@yahoo.com
profil dans www.Linkedin.com
22Conférence : Conformité Contrôle Interne et régulation 28 mars 2014 - Chandara OK Arrow Inst.