Optimisation des fonctions de contrôle et risques - · PDF filecontrôle interne et de gestion des ... initiative le comité d’audit de ... sur les risques et de la notification

Optimisation des fonctions

de contrôle et risquesConférence

Marie-Agnès NICOLET

Marie-Agnès NICOLET

Regulation Partners

Présidente fondatrice

35, Boulevard Berthier 75017 Paris

[email protected]

+33.6.58.84.77.40 / +33.1.46.22.65.34

Conférence

eifr /15

octobre 2013

Sommaire

Introduction: le millefeuille des fonctions de contrôle

La fonction de responsable des contrôles permanents

La fonction de contrôle périodique

La fonction Conformité

La filière Risques

Marie-Agnès NICOLET 2Marie-Agnès NICOLET

Le responsable de la sécurité des systèmes d’information

Quelle articulation des fonctions pour un contrôle efficace?

Le rôle majeur des organes de gouvernance dans le contrôle interne

et la maîtrise des risques

Introduction : une accumulation de fonctions de

contrôle

o De l’émergence des premiers textes de contrôle au début des années

1990 aux récentes évolutions réglementaires post-crise

� Les fonctions de contrôle au sein des établissements bancaires etfinanciers ont subi des mutations importantes.

� Plus que jamais, la crise a rendu ces fonctions de contrôlenécessaires.

� Elles ont pour objet de sécuriser l’ensemble des activités desétablissements financiers et de protéger les épargnants.


établissements financiers et de protéger les épargnants.

o Les étapes de l’émergence de ces fonctions

� Le Règlement CRB 90.08 avait rendu obligatoire la fonction deresponsable du contrôle interne ainsi que la mise en place dedispositifs adéquats de surveillance au sein des établissements decrédit.

� En 1990, il était devenu obligatoire de nommer un déclarant etcorrespondant TRACFIN.


contrôle

o Les étapes de l’émergence de ces fonctions (suite)

� La troisième étape correspond à la diffusion en 1996 d’un Livre Blancsur la sécurité des systèmes d’information, instaurant les objectifsDICP et recommandant la désignation d’un responsable de la sécuritédes systèmes d’information (RSSI).

� Ont ensuite été définies des fonctions de contrôle des servicesd’investissement au sein des PSI (RG CMF 2006-2008).

� En 2005, le règlement CRBF 97.02 a modifié l’organisation des


� En 2005, le règlement CRBF 97.02 a modifié l’organisation desstructures en instaurant une séparation plus claire entre contrôlepermanent et contrôle périodique, en rendant obligatoire la fonctionde conformité et en instaurant une obligation de contrôler les PSEE.

� Enfin, une filière Risques a été mise en place en 2010, dans le but decoordonner l’ensemble des dispositifs de surveillance des risques afinde ne pas laisser de côté des risques significatifs sans surveillance ausein du monde bancaire.

I. La fonction de responsable des contrôles

permanents

o Définition des niveaux de contrôle : Contrôle Permanent et ContrôlePériodique, 1er et 2nd niveaux

Coordination des

contrôles 2èmeniveau

Audit

interne /

Inspection

Contrôle

périodique


contrôles

permanents

Fonctions dédiées et indépendantes

réalisant les contrôles réguliers

Contrôle par la hiérarchie

Contrôle intégré aux processus, par les opérationnels

et systèmes IT (contrôles manuels et automatisés)

2èmeniveau

2ème niveau

1er niveau

1er niveau

Contrôle

permanent

Direction des Risques

Conformité

Sécurité financière

Contrôle Permanent

I. La fonction de responsable des contrôles

permanents

o Les facteurs clés de succès d’un contrôlepermanent de second niveau :

� Dans le cas d’une décentralisation descontrôles de second niveau, la mise en placed’un contrôle qualité au niveau central,

� La construction de plans de contrôlepermanents qui permettent de couvrir latotalité du périmètre en une annéeenviron,


environ,

� La mise en place d’une fonction decoordination qui ne se limite pas à définirune méthodologie et à consolider lesrésultats,

� La formalisation des contrôles permanentsde second niveau.

II. La fonction de contrôle périodique

o Définitions du contrôle périodique

� Le règlement CRBF 97.02 modifié a opéré une séparation du contrôlepériodique des autres fonctions de contrôle, le premier étant définicomme :

« Le contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l’efficacité

et du caractère approprié des dispositifs de contrôle est assuré au moyen d’enquêtes par des agents au niveau central et le cas échéant

local, autres que ceux en charge du contrôle permanent. »

Rattachement de la fonction


o Rattachement de la fonction

� Le contrôle périodique est une fonction indépendante dont leresponsable est rattaché à l’organe exécutif et, éventuellement, àl’organe délibérant ou au comité d’audit.

o Elaboration du plan pluriannuel et du programme annuel d’audit interne

� Le contrôle périodique réalise ses enquêtes dans le cadre de missionsdéfinies dans un plan d’audit. Les priorités de ce plan doivent êtredéfinies en fonction de l’évaluation des risques

III. La fonction Conformité

o 10 grandes missions, entre veille, contrôle et conseil :

� Assurer et diffuser la veille réglementaire:

� Agir dès les projets de textes

� Mettre en place et diffuser les normes et procédures en matière de

conformité

•Il s’agit d’intégrer l’impact des nouvelles réglementations.

� Former et informer sur les risques de non-conformité


� Former et informer sur les risques de non-conformité

•La fonction Conformité a un rôle majeur dans la sensibilisation descollaborateurs aux problématiques réglementaires les concernant.

� Assurer un conseil aux collaborateurs pour tout élément lié à la

conformité (ex : conflits d’intérêts)

•coexistence de deux rôles à gérer simultanément

� Donner un avis écrit sur la conformité des nouveaux produits

•Procédure nouveaux produits•Dans nouveaux produits : cibles de commercialisation d’un produit, etparfois opérations de croissance externe.


o 10 grandes missions, entre veille, contrôle et conseil (suite) :

� Réaliser et mettre à jour la cartographie des risques de non-conformité

� Et ceci dans un objectif d’adaptation des dispositifs de contrôle.

� Assurer un rôle de contrôle permanent des dispositifs assurant laConformité

•Le plan de contrôle permanent de la conformité fait partie intégrante duplan de contrôle global de second niveau et doit être réalisé de manière


plan de contrôle global de second niveau et doit être réalisé de manièreindépendante.

� Assurer la maîtrise d’ouvrage des applicatifs lié à la Conformité

� S’assurer que les nouveaux applicatifs métiers restent conformes auxobligations réglementaires

� Assurer la fonction de responsable de la lutte contre le blanchimentet le financement du terrorisme


o Exemple de grille d’impacts


V. La filière Risques

o La crise et les risques à couvrir dans la banque

� La crise de 2007 a révélé la nécessité d’une approche globale desrisques.

� Il s’agit d’identifier et d’évaluer tous les risques qui pourraientaffecter l’établissement, et non de se focaliser sur ceux qui semblentles plus présents.

� C’est pour cette raison que l’une des dernières modifications durèglement CRBF 97.02 porte sur la nécessité de créer une filière


� C’est pour cette raison que l’une des dernières modifications durèglement CRBF 97.02 porte sur la nécessité de créer une filièreRisques qui consolide l’ensemble des risques, les systèmestransversaux permettant de les appréhender, ainsi que l’analyse et lamesure des risques.


o Les principaux risques bancaires à couvrir (article 4 du CRBF 97-02) (1/2)

RISQUES FINANCIERS

Crédit Encouru en cas de défaillance d'une contrepartie ou de contreparties considérées comme un

même bénéficiaire

Taux d'intérêt global Encouru en cas de variation des taux d'intérêt du fait de l'ensemble des opérations de bilan et de

hors-bilan

Liquidité

Risque de ne pas pouvoir faire face à ses engagements ou de ne pas pouvoir dénouer ou

compenser une position en raison de la situation du marché, dans un délai déterminé et à coût


Liquidité compenser une position en raison de la situation du marché, dans un délai déterminé et à coût

raisonnable

Concentration Risque, direct ou indirect, résultant de l'octroi à une même contrepartie, à des contreparties

considérées comme un même bénéficiaire, à des contreparties opérant dans le même secteur

économique ou la même zone géographique, ou de l'octroi de crédits portant sur la même

activité, ou de l'application de techniques de réduction du risque de crédit, notamment de

sûretés émises par un même émetteur

Résiduel Risque que les techniques de réduction du risque de crédit reconnues pour l'application de

l'arrêté du 20 février 2007 aient une efficacité moindre qu'attendue


o Les risques principaux bancaires à couvrir (article 4 du CRBF 97-02) (1/2)

AUTRES RISQUES

Non-conformité Risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou

d'atteinte à la réputation, qui naît du non-respect des disposition propres aux activités

bancaires et financières qu’elles soient de nature législatives ou réglementaires, ou qu’il s’agisse

de normes professionnelles et déontologiques, ou d’instructions de l’organe exécutif prises

notamment en application des orientations de l’organe délibérant

Juridique Risque de tout litige avec une contrepartie, résultant de toute imprécision, lacune ou insuffisance

susceptible d'être imputable à l'entreprise au titre de ses opérations


susceptible d'être imputable à l'entreprise au titre de ses opérations

Opérationnel Inadaptation ou d'une défaillance imputable à des procédures, personnels et systèmes internes

ou à des événements extérieurs "y compris d'événements de faible probabilité d'occurrence mais

à fort risque de perte" . "Le risque opérationnel inclut les risques de fraude interne et externe


o Création d'une "filière Risques" dans les établissements financierspar l'arrêté du 19 janvier 2010 modifiant le CRBF 97-02

� Les entreprises assujetties désignent un responsable en charge dela filière « Risques » dont l’identité est communiquée à l’ACP

� Le responsable de la filière Risques doit être membre de l’organeexécutif ou lui être rattaché

� Il rend compte de ses missions à l’exécutif et, si nécessaire, à


� Il rend compte de ses missions à l’exécutif et, si nécessaire, àl’organe délibérant ou au Comité d’Audit

� La filière Risques peut être placée sous la responsabilité duresponsable du contrôle permanent lorsque la taille del’établissement ou les circonstances le justifient

� Le responsable de la filière Risques s’assure de la mise en œuvredes systèmes de mesure et de surveillance des risques,notamment de crédit, de marché, de taux d’intérêt global,d’intermédiation, de règlement, de liquidité et opérationnels


o Création d'une "filière Risques" dans les établissements financiers parl'arrêté du 19 janvier 2010 modifiant le CRBF 97-02 (suite)

� Les établissements doivent disposer d’une cartographie desrisques y compris des risques prédictifs actualisée régulièrementet qui :

•Prend en compte l’ensemble des risques encourus•Est établie par entité et/ou ligne de métier, au niveau auquel estexercée, le cas échéant, la surveillance consolidée ou


exercée, le cas échéant, la surveillance consolidée oucomplémentaire

•Evalue l’adéquation des risques encourus par rapport auxorientations de l’activité

•Identifie les actions en vue de maîtriser les risques encourus(renforcement des dispositifs de contrôle permanent, mise en œuvredes systèmes de surveillance et de maîtrise des risques, définitiondes plans de continuité de l’activité)

VI. La fonction de responsable de la sécurité des

systèmes d’information (RSSI)

o Une fonction définie par le Livre Blanc de la sécurité des systèmesd’information

� Sorti en mars 1996, le Livre Blanc de la sécurité des systèmesd’information commençait par un questionnaire à destination desdirigeants d’établissements de crédit.

� Depuis, l’article 14 du règlement CRBF n°97.02 modifié a renduobligatoire :

•Le contrôle des systèmes d’information pour évaluer périodiquement le


•Le contrôle des systèmes d’information pour évaluer périodiquement leniveau de sécurité des systèmes informatiques et des procédures desecours,

•La préservation de l’intégrité et de la confidentialité des informations.

� Et ceci afin d’assurer la continuité de l’exploitation en cas difficulté defonctionnement des systèmes.

� Le rôle du RSSI n’est pas spécifiquement prévu, mais il se révèleessentiel pour que le niveau de sécurité retenu soit respecté et queles SI soient adaptés aux métiers de l’établissement.

VII. Articulation des fonctions pour un contrôle

efficace

o Organisation des fonctions de contrôle dans les établissements de petitetaille

� L’organisation de ces nombreuses fonctions de contrôle a posé desproblèmes majeurs pour les petits établissements dans lesquels il esttrès difficile de séparer ces fonctions.

� Dans les filiales de groupes, il est possible de demander à la maisonmère d’assurer les fonctions de contrôle périodique.


o Assurer un reporting global des risques et des contrôles à la DG

� Dans les grandes structures, ces fonctions sont organisées en filièresavec des liens fonctionnels ou hiérarchiques, et doivent êtrecoordonnées pour permettre d’assurer une surveillance consolidéedes risques et contrôles réalisés.

� La taille peut ainsi être un véritable obstacle à la perception claire etexhaustive des véritables risques.


contrôle

o Exemple d’organisation des fonctions de contrôle dans un établissement

de taille moyenne

Comité

d’audit

Contrôle

Organe

délibérant

Organe

Possibilité

de reporting

Reporting sur les recommandations

non suivies d’effet


Contrôle permanent de second niveau / Filière risques

Responsable

Conformité

Responsable de la

filière Risques

Contrôle

périodique

Responsable du

contrôle permanent

Organe

exécutif

de reporting

direct

EFFECTIFS RISQUES ET CONTROLES

o SOURCE (enquête 2012/2013 PRMIA/REGULATION PARTNERS)

< 0.5%< 0.5%< 0.5%< 0.5%de 0.5% à de 0.5% à de 0.5% à de 0.5% à

1%1%1%1%

de 1 % à de 1 % à de 1 % à de 1 % à

2%2%2%2%> 2%> 2%> 2%> 2%

Nombre de Nombre de Nombre de Nombre de

réponsesréponsesréponsesréponses

13 7 9 6 35

10 10 8 5 33

14 11 4 4 33

16 9 7 4 36

a) Contrôle Permanent

c) Conformité

Op tions de réponseOp tions de réponseOp tions de réponseOp tions de réponse

b) Contrôle Périodique

Que lle es t la pa rt de l’e ffec tif g loba l de vo tre é tab lissement rep résentée pa r les fonctions de Que lle es t la pa rt de l’e ffec tif g loba l de vo tre é tab lissement rep résentée pa r les fonctions de Que lle es t la pa rt de l’e ffec tif g loba l de vo tre é tab lissement rep résentée pa r les fonctions de Que lle es t la pa rt de l’e ffec tif g loba l de vo tre é tab lissement rep résentée pa r les fonctions de

contrô le e t de ma îtrise des risques c itées c i-dessous ?contrô le e t de ma îtrise des risques c itées c i-dessous ?contrô le e t de ma îtrise des risques c itées c i-dessous ?contrô le e t de ma îtrise des risques c itées c i-dessous ?

d) Risques Opérationnels


16 9 7 4 36

13 4 8 12 36

18 6 5 3 31

3

39393939

f) PCA et Sécurité des SI

nombre de pe rsonnes ayant répondu à la questionnombre de pe rsonnes ayant répondu à la questionnombre de pe rsonnes ayant répondu à la questionnombre de pe rsonnes ayant répondu à la question

e) Risques « financiers » (crédit, marché, taux, …)

Commentaires

d) Risques Opérationnels

Effectifs des fonctions risques (source enquête

PRMIA/REGULATION PARTNERS 2012/2013)

14

16

18

20

Quelle part de l’effectif total de votre établissement estQuelle part de l’effectif total de votre établissement estQuelle part de l’effectif total de votre établissement estQuelle part de l’effectif total de votre établissement est----elle représentée par la filière elle représentée par la filière elle représentée par la filière elle représentée par la filière risques ?risques ?risques ?risques ?


0

2

4

6

8

10

12

< 0.5%< 0.5%< 0.5%< 0.5% de 0.5% à 1%de 0.5% à 1%de 0.5% à 1%de 0.5% à 1% de 1 % à 2%de 1 % à 2%de 1 % à 2%de 1 % à 2% > 2%> 2%> 2%> 2%

VIII. Le rôle des organes de gouvernance dans le

contrôle interne et la maîtrise des risques

o Une nécessaire implication des organes de gouvernance

� Les fonctions de contrôle ne peuvent à elles seules éviter une prisede risques inconsidérée. Elles ont un devoir d’alerte, de remontée etde suivi des problèmes.

� La multiplication de ces fonctions impose de les optimiser pour lesrendre plus efficaces.

� Les organes exécutifs et délibérant ont, quant à eux, le devoir de leurdonner les moyens d’exercer leurs tâches et de suivre leurs actions.


donner les moyens d’exercer leurs tâches et de suivre leurs actions.

o Le rôle des organes de gouvernance au sens du CRBF 97-02 : les attentesdu régulateur

� Le Règlement CRBF 97-02 relatif au contrôle interne desétablissements de crédit et des entreprises d'investissement du 21février 1997 (modifié) est un document qui définit les fondamentauxen matière de gestion des risques et de contrôle interne.

Rôle de l’Organe

Evalue et contrôle périodiquement

l'efficacité des politiques, des

dispositifs et des procédures mis

en place pour se conformer au 97-

02 (art. 38 al 2)

Arrête […] les critères et seuils de

significativité […] permettant

d'identifier les incidents devant être

portés à sa connaissance (art. 38-1)

Les documents examinés par

le board, relatifs au suivi des

risques et les extraits des PV

concernés sont adressés à

Reçoit le rapport sur les conditions

dans lesquelles le contrôle interne

Procède à l'examen de l'activité et

39)

Procède à l'examen de l'activité et

des résultats du contrôle

interne, au moins 2 fois par an (art.

39)



o Rôle de l’organe délibérant en matière de suivi des risques


Rôle de l’Organe

délibérant(CRBF 97-02)

Lorsque la structure ne comprend

pas de comité de

rémunération, l’organe délibérant

examine directement la

rémunération du responsable du

contrôle de la conformité et du

responsable en charge de la filière

risques

concernés sont adressés à

l’ACP(art.39)

dans lesquelles le contrôle interne

est assuré et le rapport sur la

mesure et la surveillance des

risques (art. 44)

Est informé par l’organe exécutif, au moins 1 fois par an,

-des éléments essentiels et des enseignements

principaux qui peuvent être dégagés « de l'analyse et du

suivi des risques associés à l'activité et aux résultats »

-des mesures prises pour assurer la continuité de

l'activité et le contrôle des PSEE et l'appréciation portée

sur l'efficacité des dispositifs en place

Rôle du Comité

Vérifie, sous la responsabilité du

board, la clarté des informations

fournies et porte une appréciation

sur la pertinence des méthodes

comptables adoptées (Art. 4)

Assure le suivi des questions

relatives à l'élaboration et au

contrôle des informations

Assure le suivi

- du processus d'élaboration de

l'information financière

- de l'efficacité des systèmes de

contrôle interne et de gestion des

Emet une recommandation sur les

commissaires aux comptes

proposés à la désignation par

l'assemblée générale

Rend compte régulièrement à l'organe

exécutif et à l'organe délibérant de ses

missions et les informe sans délai de

toute difficulté rencontrée



o Le Comité d’audit, émanation de l’organe délibérant


Rôle du Comité

d’audit

Porte, sous la responsabilité du board, une

appréciation sur la qualité du contrôle

interne, notamment la cohérence des systèmes

de mesure, de surveillance et de maîtrise des

risques et propose les actions complémentaires

à ce titre (art. 4 CRBF 97-02)

Le contrôle périodique informe

directement et de sa propre

initiative le comité d’audit de

l’absence d’exécution des mesures

correctrices décidées (art. 9-1

CRBF 97-02).

contrôle des informations

comptables et financières au sein

des établissements de crédit qui

dont l’activité porte sur la réception

de fonds du public, les opérations

de crédit, ou les services bancaires

de paiement.

contrôle interne et de gestion des

risques

- du contrôle légal des comptes par

les CAC

- de l'indépendance des CAC

Document de Bâle : Principes aux fins de l’agrégation des données Document de Bâle : Principes aux fins de l’agrégation des données

sur les risques et de la notification des risquessur les risques et de la notification des risques-- Janvier 2013Janvier 2013

� Définition de l’« Agrégation des données sur les risques »

� La définition, la collecte et le traitement des données dans le respect des exigences de notification

des risques, pour permettre à la banque de mesurer ses résultats au regard de sa tolérance au

risque/appétence pour le risque.

� Objectifs :

� Renforcer la capacité des banques à agréger les données relatives aux risques et améliorer les


� Renforcer la capacité des banques à agréger les données relatives aux risques et améliorer les

pratiques de notification des risques à l’intérieur des établissements, et ce pour améliorer la

gestion des risques et la prise de décision au sein des banques.



Gouvernance Architecture des données

et infrastructure informatique

Exactitude et intégrité

ExhaustivitéSurveillance

Actions correctives et mesures prudentielles

Coopération entre autorités

d’origine/d’accueil


PRINCIPES

Actualité

Adaptabilité

Exactitude

Représentativité

Clarté et utilité

Fréquence

Distribution



� Principe 9 Clarté et utilité – Les rapports sur la gestion des risques

devraient être clairs et concis. Ils devraient être faciles à comprendre tout

en étant suffisamment complets pour permettre aux destinataires de

prendre des décisions en toute connaissance de cause. Les informations

dont ils font état devraient être pertinentes et adaptées aux besoins des

destinataires.


• Un juste équilibre devrait être trouvé entre la place accordée aux

données de risque, aux analyses et interprétations ainsi qu’aux

explications qualitatives. L’équilibre à ménager entre informations

qualitatives et quantitatives ne sera pas le même à différents

niveaux de l’organisation.

Documents

Optimisation des fonctions de contrôle et risques - · PDF filecontrôle interne et de gestion des ... initiative le comité d’audit de ... sur les risques et de la notification