optimisation des fonctions de contrôle et risques - · pdf filecontrôle interne et...
TRANSCRIPT
Optimisation des fonctions
de contrôle et risquesConférence
Marie-Agnès NICOLET
Marie-Agnès NICOLET
Regulation Partners
Présidente fondatrice
35, Boulevard Berthier 75017 Paris
+33.6.58.84.77.40 / +33.1.46.22.65.34
Conférence
eifr /15
octobre 2013
Sommaire
Introduction: le millefeuille des fonctions de contrôle
La fonction de responsable des contrôles permanents
La fonction de contrôle périodique
La fonction Conformité
La filière Risques
Marie-Agnès NICOLET 2Marie-Agnès NICOLET
Le responsable de la sécurité des systèmes d’information
Quelle articulation des fonctions pour un contrôle efficace?
Le rôle majeur des organes de gouvernance dans le contrôle interne
et la maîtrise des risques
Introduction : une accumulation de fonctions de
contrôle
o De l’émergence des premiers textes de contrôle au début des années
1990 aux récentes évolutions réglementaires post-crise
� Les fonctions de contrôle au sein des établissements bancaires etfinanciers ont subi des mutations importantes.
� Plus que jamais, la crise a rendu ces fonctions de contrôlenécessaires.
� Elles ont pour objet de sécuriser l’ensemble des activités desétablissements financiers et de protéger les épargnants.
Marie-Agnès NICOLET 3Marie-Agnès NICOLET
établissements financiers et de protéger les épargnants.
o Les étapes de l’émergence de ces fonctions
� Le Règlement CRB 90.08 avait rendu obligatoire la fonction deresponsable du contrôle interne ainsi que la mise en place dedispositifs adéquats de surveillance au sein des établissements decrédit.
� En 1990, il était devenu obligatoire de nommer un déclarant etcorrespondant TRACFIN.
Introduction : une accumulation de fonctions de
contrôle
o Les étapes de l’émergence de ces fonctions (suite)
� La troisième étape correspond à la diffusion en 1996 d’un Livre Blancsur la sécurité des systèmes d’information, instaurant les objectifsDICP et recommandant la désignation d’un responsable de la sécuritédes systèmes d’information (RSSI).
� Ont ensuite été définies des fonctions de contrôle des servicesd’investissement au sein des PSI (RG CMF 2006-2008).
� En 2005, le règlement CRBF 97.02 a modifié l’organisation des
Marie-Agnès NICOLET 4Marie-Agnès NICOLET
� En 2005, le règlement CRBF 97.02 a modifié l’organisation desstructures en instaurant une séparation plus claire entre contrôlepermanent et contrôle périodique, en rendant obligatoire la fonctionde conformité et en instaurant une obligation de contrôler les PSEE.
� Enfin, une filière Risques a été mise en place en 2010, dans le but decoordonner l’ensemble des dispositifs de surveillance des risques afinde ne pas laisser de côté des risques significatifs sans surveillance ausein du monde bancaire.
I. La fonction de responsable des contrôles
permanents
o Définition des niveaux de contrôle : Contrôle Permanent et ContrôlePériodique, 1er et 2nd niveaux
Coordination des
contrôles 2èmeniveau
Audit
interne /
Inspection
Contrôle
périodique
Marie-Agnès NICOLET 5Marie-Agnès NICOLET
contrôles
permanents
Fonctions dédiées et indépendantes
réalisant les contrôles réguliers
Contrôle par la hiérarchie
Contrôle intégré aux processus, par les opérationnels
et systèmes IT (contrôles manuels et automatisés)
2èmeniveau
2ème niveau
1er niveau
1er niveau
Contrôle
permanent
Direction des Risques
Conformité
Sécurité financière
Contrôle Permanent
I. La fonction de responsable des contrôles
permanents
o Les facteurs clés de succès d’un contrôlepermanent de second niveau :
� Dans le cas d’une décentralisation descontrôles de second niveau, la mise en placed’un contrôle qualité au niveau central,
� La construction de plans de contrôlepermanents qui permettent de couvrir latotalité du périmètre en une annéeenviron,
Marie-Agnès NICOLET 6Marie-Agnès NICOLET
environ,
� La mise en place d’une fonction decoordination qui ne se limite pas à définirune méthodologie et à consolider lesrésultats,
� La formalisation des contrôles permanentsde second niveau.
II. La fonction de contrôle périodique
o Définitions du contrôle périodique
� Le règlement CRBF 97.02 modifié a opéré une séparation du contrôlepériodique des autres fonctions de contrôle, le premier étant définicomme :
« Le contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l’efficacité
et du caractère approprié des dispositifs de contrôle est assuré au moyen d’enquêtes par des agents au niveau central et le cas échéant
local, autres que ceux en charge du contrôle permanent. »
Rattachement de la fonction
Marie-Agnès NICOLET 7Marie-Agnès NICOLET
o Rattachement de la fonction
� Le contrôle périodique est une fonction indépendante dont leresponsable est rattaché à l’organe exécutif et, éventuellement, àl’organe délibérant ou au comité d’audit.
o Elaboration du plan pluriannuel et du programme annuel d’audit interne
� Le contrôle périodique réalise ses enquêtes dans le cadre de missionsdéfinies dans un plan d’audit. Les priorités de ce plan doivent êtredéfinies en fonction de l’évaluation des risques
III. La fonction Conformité
o 10 grandes missions, entre veille, contrôle et conseil :
� Assurer et diffuser la veille réglementaire:
� Agir dès les projets de textes
� Mettre en place et diffuser les normes et procédures en matière de
conformité
•Il s’agit d’intégrer l’impact des nouvelles réglementations.
� Former et informer sur les risques de non-conformité
Marie-Agnès NICOLET 8Marie-Agnès NICOLET
� Former et informer sur les risques de non-conformité
•La fonction Conformité a un rôle majeur dans la sensibilisation descollaborateurs aux problématiques réglementaires les concernant.
� Assurer un conseil aux collaborateurs pour tout élément lié à la
conformité (ex : conflits d’intérêts)
•coexistence de deux rôles à gérer simultanément
� Donner un avis écrit sur la conformité des nouveaux produits
•Procédure nouveaux produits•Dans nouveaux produits : cibles de commercialisation d’un produit, etparfois opérations de croissance externe.
III. La fonction Conformité
o 10 grandes missions, entre veille, contrôle et conseil (suite) :
� Réaliser et mettre à jour la cartographie des risques de non-conformité
� Et ceci dans un objectif d’adaptation des dispositifs de contrôle.
� Assurer un rôle de contrôle permanent des dispositifs assurant laConformité
•Le plan de contrôle permanent de la conformité fait partie intégrante duplan de contrôle global de second niveau et doit être réalisé de manière
Marie-Agnès NICOLET 9Marie-Agnès NICOLET
plan de contrôle global de second niveau et doit être réalisé de manièreindépendante.
� Assurer la maîtrise d’ouvrage des applicatifs lié à la Conformité
� S’assurer que les nouveaux applicatifs métiers restent conformes auxobligations réglementaires
� Assurer la fonction de responsable de la lutte contre le blanchimentet le financement du terrorisme
V. La filière Risques
o La crise et les risques à couvrir dans la banque
� La crise de 2007 a révélé la nécessité d’une approche globale desrisques.
� Il s’agit d’identifier et d’évaluer tous les risques qui pourraientaffecter l’établissement, et non de se focaliser sur ceux qui semblentles plus présents.
� C’est pour cette raison que l’une des dernières modifications durèglement CRBF 97.02 porte sur la nécessité de créer une filière
Marie-Agnès NICOLET 11Marie-Agnès NICOLET
� C’est pour cette raison que l’une des dernières modifications durèglement CRBF 97.02 porte sur la nécessité de créer une filièreRisques qui consolide l’ensemble des risques, les systèmestransversaux permettant de les appréhender, ainsi que l’analyse et lamesure des risques.
V. La filière Risques
o Les principaux risques bancaires à couvrir (article 4 du CRBF 97-02) (1/2)
RISQUES FINANCIERS
Crédit Encouru en cas de défaillance d'une contrepartie ou de contreparties considérées comme un
même bénéficiaire
Taux d'intérêt global Encouru en cas de variation des taux d'intérêt du fait de l'ensemble des opérations de bilan et de
hors-bilan
Liquidité
Risque de ne pas pouvoir faire face à ses engagements ou de ne pas pouvoir dénouer ou
compenser une position en raison de la situation du marché, dans un délai déterminé et à coût
Marie-Agnès NICOLET 12Marie-Agnès NICOLET
Liquidité compenser une position en raison de la situation du marché, dans un délai déterminé et à coût
raisonnable
Concentration Risque, direct ou indirect, résultant de l'octroi à une même contrepartie, à des contreparties
considérées comme un même bénéficiaire, à des contreparties opérant dans le même secteur
économique ou la même zone géographique, ou de l'octroi de crédits portant sur la même
activité, ou de l'application de techniques de réduction du risque de crédit, notamment de
sûretés émises par un même émetteur
Résiduel Risque que les techniques de réduction du risque de crédit reconnues pour l'application de
l'arrêté du 20 février 2007 aient une efficacité moindre qu'attendue
V. La filière Risques
o Les risques principaux bancaires à couvrir (article 4 du CRBF 97-02) (1/2)
AUTRES RISQUES
Non-conformité Risque de sanction judiciaire, administrative ou disciplinaire, de perte financière significative ou
d'atteinte à la réputation, qui naît du non-respect des disposition propres aux activités
bancaires et financières qu’elles soient de nature législatives ou réglementaires, ou qu’il s’agisse
de normes professionnelles et déontologiques, ou d’instructions de l’organe exécutif prises
notamment en application des orientations de l’organe délibérant
Juridique Risque de tout litige avec une contrepartie, résultant de toute imprécision, lacune ou insuffisance
susceptible d'être imputable à l'entreprise au titre de ses opérations
Marie-Agnès NICOLET 13Marie-Agnès NICOLET
susceptible d'être imputable à l'entreprise au titre de ses opérations
Opérationnel Inadaptation ou d'une défaillance imputable à des procédures, personnels et systèmes internes
ou à des événements extérieurs "y compris d'événements de faible probabilité d'occurrence mais
à fort risque de perte" . "Le risque opérationnel inclut les risques de fraude interne et externe
V. La filière Risques
o Création d'une "filière Risques" dans les établissements financierspar l'arrêté du 19 janvier 2010 modifiant le CRBF 97-02
� Les entreprises assujetties désignent un responsable en charge dela filière « Risques » dont l’identité est communiquée à l’ACP
� Le responsable de la filière Risques doit être membre de l’organeexécutif ou lui être rattaché
� Il rend compte de ses missions à l’exécutif et, si nécessaire, à
Marie-Agnès NICOLET 14Marie-Agnès NICOLET
� Il rend compte de ses missions à l’exécutif et, si nécessaire, àl’organe délibérant ou au Comité d’Audit
� La filière Risques peut être placée sous la responsabilité duresponsable du contrôle permanent lorsque la taille del’établissement ou les circonstances le justifient
� Le responsable de la filière Risques s’assure de la mise en œuvredes systèmes de mesure et de surveillance des risques,notamment de crédit, de marché, de taux d’intérêt global,d’intermédiation, de règlement, de liquidité et opérationnels
V. La filière Risques
o Création d'une "filière Risques" dans les établissements financiers parl'arrêté du 19 janvier 2010 modifiant le CRBF 97-02 (suite)
� Les établissements doivent disposer d’une cartographie desrisques y compris des risques prédictifs actualisée régulièrementet qui :
•Prend en compte l’ensemble des risques encourus•Est établie par entité et/ou ligne de métier, au niveau auquel estexercée, le cas échéant, la surveillance consolidée ou
Marie-Agnès NICOLET 15Marie-Agnès NICOLET
exercée, le cas échéant, la surveillance consolidée oucomplémentaire
•Evalue l’adéquation des risques encourus par rapport auxorientations de l’activité
•Identifie les actions en vue de maîtriser les risques encourus(renforcement des dispositifs de contrôle permanent, mise en œuvredes systèmes de surveillance et de maîtrise des risques, définitiondes plans de continuité de l’activité)
VI. La fonction de responsable de la sécurité des
systèmes d’information (RSSI)
o Une fonction définie par le Livre Blanc de la sécurité des systèmesd’information
� Sorti en mars 1996, le Livre Blanc de la sécurité des systèmesd’information commençait par un questionnaire à destination desdirigeants d’établissements de crédit.
� Depuis, l’article 14 du règlement CRBF n°97.02 modifié a renduobligatoire :
•Le contrôle des systèmes d’information pour évaluer périodiquement le
Marie-Agnès NICOLET 16Marie-Agnès NICOLET
•Le contrôle des systèmes d’information pour évaluer périodiquement leniveau de sécurité des systèmes informatiques et des procédures desecours,
•La préservation de l’intégrité et de la confidentialité des informations.
� Et ceci afin d’assurer la continuité de l’exploitation en cas difficulté defonctionnement des systèmes.
� Le rôle du RSSI n’est pas spécifiquement prévu, mais il se révèleessentiel pour que le niveau de sécurité retenu soit respecté et queles SI soient adaptés aux métiers de l’établissement.
VII. Articulation des fonctions pour un contrôle
efficace
o Organisation des fonctions de contrôle dans les établissements de petitetaille
� L’organisation de ces nombreuses fonctions de contrôle a posé desproblèmes majeurs pour les petits établissements dans lesquels il esttrès difficile de séparer ces fonctions.
� Dans les filiales de groupes, il est possible de demander à la maisonmère d’assurer les fonctions de contrôle périodique.
Marie-Agnès NICOLET 17Marie-Agnès NICOLET
o Assurer un reporting global des risques et des contrôles à la DG
� Dans les grandes structures, ces fonctions sont organisées en filièresavec des liens fonctionnels ou hiérarchiques, et doivent êtrecoordonnées pour permettre d’assurer une surveillance consolidéedes risques et contrôles réalisés.
� La taille peut ainsi être un véritable obstacle à la perception claire etexhaustive des véritables risques.
Introduction : une accumulation de fonctions de
contrôle
o Exemple d’organisation des fonctions de contrôle dans un établissement
de taille moyenne
Comité
d’audit
Contrôle
Organe
délibérant
Organe
Possibilité
de reporting
Reporting sur les recommandations
non suivies d’effet
Marie-Agnès NICOLET 18Marie-Agnès NICOLET
Contrôle permanent de second niveau / Filière risques
Responsable
Conformité
Responsable de la
filière Risques
Contrôle
périodique
Responsable du
contrôle permanent
Organe
exécutif
de reporting
direct
EFFECTIFS RISQUES ET CONTROLES
o SOURCE (enquête 2012/2013 PRMIA/REGULATION PARTNERS)
< 0.5%< 0.5%< 0.5%< 0.5%de 0.5% à de 0.5% à de 0.5% à de 0.5% à
1%1%1%1%
de 1 % à de 1 % à de 1 % à de 1 % à
2%2%2%2%> 2%> 2%> 2%> 2%
Nombre de Nombre de Nombre de Nombre de
réponsesréponsesréponsesréponses
13 7 9 6 35
10 10 8 5 33
14 11 4 4 33
16 9 7 4 36
a) Contrôle Permanent
c) Conformité
Op tions de réponseOp tions de réponseOp tions de réponseOp tions de réponse
b) Contrôle Périodique
Que lle es t la pa rt de l’e ffec tif g loba l de vo tre é tab lissement rep résentée pa r les fonctions de Que lle es t la pa rt de l’e ffec tif g loba l de vo tre é tab lissement rep résentée pa r les fonctions de Que lle es t la pa rt de l’e ffec tif g loba l de vo tre é tab lissement rep résentée pa r les fonctions de Que lle es t la pa rt de l’e ffec tif g loba l de vo tre é tab lissement rep résentée pa r les fonctions de
contrô le e t de ma îtrise des risques c itées c i-dessous ?contrô le e t de ma îtrise des risques c itées c i-dessous ?contrô le e t de ma îtrise des risques c itées c i-dessous ?contrô le e t de ma îtrise des risques c itées c i-dessous ?
d) Risques Opérationnels
Marie-Agnès NICOLET 19Marie-Agnès NICOLET
16 9 7 4 36
13 4 8 12 36
18 6 5 3 31
3
39393939
f) PCA et Sécurité des SI
nombre de pe rsonnes ayant répondu à la questionnombre de pe rsonnes ayant répondu à la questionnombre de pe rsonnes ayant répondu à la questionnombre de pe rsonnes ayant répondu à la question
e) Risques « financiers » (crédit, marché, taux, …)
Commentaires
d) Risques Opérationnels
Effectifs des fonctions risques (source enquête
PRMIA/REGULATION PARTNERS 2012/2013)
14
16
18
20
Quelle part de l’effectif total de votre établissement estQuelle part de l’effectif total de votre établissement estQuelle part de l’effectif total de votre établissement estQuelle part de l’effectif total de votre établissement est----elle représentée par la filière elle représentée par la filière elle représentée par la filière elle représentée par la filière risques ?risques ?risques ?risques ?
Marie-Agnès NICOLET 20Marie-Agnès NICOLET
0
2
4
6
8
10
12
< 0.5%< 0.5%< 0.5%< 0.5% de 0.5% à 1%de 0.5% à 1%de 0.5% à 1%de 0.5% à 1% de 1 % à 2%de 1 % à 2%de 1 % à 2%de 1 % à 2% > 2%> 2%> 2%> 2%
VIII. Le rôle des organes de gouvernance dans le
contrôle interne et la maîtrise des risques
o Une nécessaire implication des organes de gouvernance
� Les fonctions de contrôle ne peuvent à elles seules éviter une prisede risques inconsidérée. Elles ont un devoir d’alerte, de remontée etde suivi des problèmes.
� La multiplication de ces fonctions impose de les optimiser pour lesrendre plus efficaces.
� Les organes exécutifs et délibérant ont, quant à eux, le devoir de leurdonner les moyens d’exercer leurs tâches et de suivre leurs actions.
Marie-Agnès NICOLET 21Marie-Agnès NICOLET
donner les moyens d’exercer leurs tâches et de suivre leurs actions.
o Le rôle des organes de gouvernance au sens du CRBF 97-02 : les attentesdu régulateur
� Le Règlement CRBF 97-02 relatif au contrôle interne desétablissements de crédit et des entreprises d'investissement du 21février 1997 (modifié) est un document qui définit les fondamentauxen matière de gestion des risques et de contrôle interne.
Rôle de l’Organe
Evalue et contrôle périodiquement
l'efficacité des politiques, des
dispositifs et des procédures mis
en place pour se conformer au 97-
02 (art. 38 al 2)
Arrête […] les critères et seuils de
significativité […] permettant
d'identifier les incidents devant être
portés à sa connaissance (art. 38-1)
Les documents examinés par
le board, relatifs au suivi des
risques et les extraits des PV
concernés sont adressés à
Reçoit le rapport sur les conditions
dans lesquelles le contrôle interne
Procède à l'examen de l'activité et
39)
Procède à l'examen de l'activité et
des résultats du contrôle
interne, au moins 2 fois par an (art.
39)
VIII. Le rôle des organes de gouvernance dans le
contrôle interne et la maîtrise des risques
o Rôle de l’organe délibérant en matière de suivi des risques
Marie-Agnès NICOLET 22Marie-Agnès NICOLET
Rôle de l’Organe
délibérant(CRBF 97-02)
Lorsque la structure ne comprend
pas de comité de
rémunération, l’organe délibérant
examine directement la
rémunération du responsable du
contrôle de la conformité et du
responsable en charge de la filière
risques
concernés sont adressés à
l’ACP(art.39)
dans lesquelles le contrôle interne
est assuré et le rapport sur la
mesure et la surveillance des
risques (art. 44)
Est informé par l’organe exécutif, au moins 1 fois par an,
-des éléments essentiels et des enseignements
principaux qui peuvent être dégagés « de l'analyse et du
suivi des risques associés à l'activité et aux résultats »
-des mesures prises pour assurer la continuité de
l'activité et le contrôle des PSEE et l'appréciation portée
sur l'efficacité des dispositifs en place
Rôle du Comité
Vérifie, sous la responsabilité du
board, la clarté des informations
fournies et porte une appréciation
sur la pertinence des méthodes
comptables adoptées (Art. 4)
Assure le suivi des questions
relatives à l'élaboration et au
contrôle des informations
Assure le suivi
- du processus d'élaboration de
l'information financière
- de l'efficacité des systèmes de
contrôle interne et de gestion des
Emet une recommandation sur les
commissaires aux comptes
proposés à la désignation par
l'assemblée générale
Rend compte régulièrement à l'organe
exécutif et à l'organe délibérant de ses
missions et les informe sans délai de
toute difficulté rencontrée
VIII. Le rôle des organes de gouvernance dans le
contrôle interne et la maîtrise des risques
o Le Comité d’audit, émanation de l’organe délibérant
Marie-Agnès NICOLET 23Marie-Agnès NICOLET
Rôle du Comité
d’audit
Porte, sous la responsabilité du board, une
appréciation sur la qualité du contrôle
interne, notamment la cohérence des systèmes
de mesure, de surveillance et de maîtrise des
risques et propose les actions complémentaires
à ce titre (art. 4 CRBF 97-02)
Le contrôle périodique informe
directement et de sa propre
initiative le comité d’audit de
l’absence d’exécution des mesures
correctrices décidées (art. 9-1
CRBF 97-02).
contrôle des informations
comptables et financières au sein
des établissements de crédit qui
dont l’activité porte sur la réception
de fonds du public, les opérations
de crédit, ou les services bancaires
de paiement.
contrôle interne et de gestion des
risques
- du contrôle légal des comptes par
les CAC
- de l'indépendance des CAC
Document de Bâle : Principes aux fins de l’agrégation des données Document de Bâle : Principes aux fins de l’agrégation des données
sur les risques et de la notification des risquessur les risques et de la notification des risques-- Janvier 2013Janvier 2013
� Définition de l’« Agrégation des données sur les risques »
� La définition, la collecte et le traitement des données dans le respect des exigences de notification
des risques, pour permettre à la banque de mesurer ses résultats au regard de sa tolérance au
risque/appétence pour le risque.
� Objectifs :
� Renforcer la capacité des banques à agréger les données relatives aux risques et améliorer les
Marie-Agnès NICOLET 24Marie-Agnès NICOLET
� Renforcer la capacité des banques à agréger les données relatives aux risques et améliorer les
pratiques de notification des risques à l’intérieur des établissements, et ce pour améliorer la
gestion des risques et la prise de décision au sein des banques.
Document de Bâle : Principes aux fins de l’agrégation des données Document de Bâle : Principes aux fins de l’agrégation des données
sur les risques et de la notification des risquessur les risques et de la notification des risques-- Janvier 2013Janvier 2013
Gouvernance Architecture des données
et infrastructure informatique
Exactitude et intégrité
ExhaustivitéSurveillance
Actions correctives et mesures prudentielles
Coopération entre autorités
d’origine/d’accueil
Marie-Agnès NICOLET 25Marie-Agnès NICOLET
PRINCIPES
Actualité
Adaptabilité
Exactitude
Représentativité
Clarté et utilité
Fréquence
Distribution
Document de Bâle : Principes aux fins de l’agrégation des données Document de Bâle : Principes aux fins de l’agrégation des données
sur les risques et de la notification des risquessur les risques et de la notification des risques-- Janvier 2013Janvier 2013
� Principe 9 Clarté et utilité – Les rapports sur la gestion des risques
devraient être clairs et concis. Ils devraient être faciles à comprendre tout
en étant suffisamment complets pour permettre aux destinataires de
prendre des décisions en toute connaissance de cause. Les informations
dont ils font état devraient être pertinentes et adaptées aux besoins des
destinataires.
Marie-Agnès NICOLET 26Marie-Agnès NICOLET
• Un juste équilibre devrait être trouvé entre la place accordée aux
données de risque, aux analyses et interprétations ainsi qu’aux
explications qualitatives. L’équilibre à ménager entre informations
qualitatives et quantitatives ne sera pas le même à différents
niveaux de l’organisation.