Le contrôle interne est un pilier fondamental de la gouvernance des entreprises du secteur bancaire, des services de paiement et des services d’investissement. Réglementé, en France, par l’arrêté du 3 novembre 2014, ce dispositif a été conçu pour assurer une gestion rigoureuse des risques, la conformité aux exigences légales et réglementaires, et la protection des intérêts des clients et des parties prenantes.
Le texte a été complété par l’arrêté du 25 février 2021, publié au Journal officiel le 6 mars 2021, qui a introduit un certain nombre de modifications pour adapter ce cadre aux évolutions internationales et européennes, notamment la Directive UE 2019/878 (CRD V) et le Règlement délégué UE n° 604/2014.
Cet article explore en détail les concepts de contrôle permanent et de contrôle périodique, leurs objectifs et leur mise en œuvre.
Contexte réglementaire
L’arrêté du 3 novembre 2014, pris en application des articles L. 511-70, L. 533-29, L. 611-1 à L. 611-3 et L. 611-7 du Code monétaire et financier, transpose partiellement la Directive CRD IV (2013/36/UE) en matière de gouvernance et de contrôle interne. Il remplace le Règlement CRBF 97-02 qui fut le premier texte en France à imposer la mise en place d’un dispositif de contrôle interne en assurant un suivi des risques, notamment des risques de non-conformité.
L’arrêté du 3 novembre 2014 s’applique aux établissements soumis au contrôle de l’ACPR. Il concerne la plus grande partie des acteurs du secteur bancaire et financier, à savoir :
- Les établissements de crédit
- Les sociétés de financement
- Les entreprises d’investissement
- Les établissements de paiement et les prestataires de services d’informations sur les comptes
- Les chambres de compensation
- Les dépositaires centraux
- Les établissements de monnaie électronique.
Les sociétés de gestion de portefeuille (SGP) qui sont les seules régulées par l’AMF (Autorité des marchés) sont quasiment les seuls acteurs financiers à échapper au cadre fixé par l’arrêté du 3 novembre 2014.
Ce texte, structuré en 279 articles, définit les obligations en matière de gestion des risques, de gouvernance et de conformité, avec un accent particulier sur le contrôle interne.
Il a été modifié par l’arrêté du 25 février 2021 afin d’intégrer des dispositions réglementaires européennes, de clarifier les niveaux de contrôles internes, renforcer la gestion du risque informatique, et préciser les obligations en matière d’agrégation des données sur les risques.
Ces modifications, entrées en vigueur le 28 juin 2021 (sauf pour l’article 241-2, applicable dès le 7 mars 2021), visent à renforcer la résilience des établissements face aux risques émergents, notamment ceux liés à la transformation numérique et aux exigences de gouvernance.
Contrôle interne : principes généraux
Le contrôle interne, tel que défini par l’article 11 de l’arrêté du 3 novembre 2014 (modifié par l’arrêté du 25 février 2021), est un dispositif essentiel des organisations bancaires et financières puisqu’il vise à garantir :
- La conformité avec les dispositions législatives, réglementaires et professionnelles applicables.
- La maîtrise des risques de toute nature (crédit, marché, opérationnel, informatique, etc.).
- L’efficacité des processus internes et la fiabilité des informations financières et non financières.
- La protection des actifs et la continuité des activités.
Le contrôle interne s’articule autour des fonctions de contrôle permanent subdivisées, en contrôles de premier niveau et de deuxième niveau, et de la fonction de contrôle périodique de troisième niveau, qui constituent ensemble le dispositif de contrôle interne, conformément au modèle des trois lignes de défense préconisé par l’Institut des auditeurs internes (IIA), qui a été analysé dans un autre article de ce blog.
En vertu du principe de proportionnalité, le système de contrôle interne doit être élaboré en tenant compte de la taille, de l’organisation interne, du type de clientèle, de la nature et de la complexité des activités des entreprises concernées.
Les responsables des fonctions de contrôle interne doivent bénéficier d’un niveau hiérarchique approprié, leur conférant l’autorité et le statut nécessaires pour assumer leurs responsabilités. Ils doivent également disposer de ressources adéquates, incluant un personnel qualifié, des systèmes informatiques performants, ainsi qu’un accès complet aux informations pertinentes relatives à toutes les lignes d’activités et aux filiales impliquant des risques, notamment celles susceptibles d’entraîner des risques significatifs pour les entités assujetties.
Contrôle permanent
Le contrôle permanent vise à garantir la fiabilité, la sécurité et l’efficacité des processus opérationnels des établissements assujettis. Il permet d’identifier, d’évaluer et de prévenir les risques en temps réel ou à court terme, de veiller à la conformité réglementaire, et d’optimiser les processus tout en réduisant les coûts et les délais.
En outre, il favorise une culture de vigilance et d’amélioration continue, en renforçant la résilience organisationnelle face aux évolutions du cadre réglementaire et aux nouveaux risques émergents, ainsi que la confiance des parties prenantes.
Le contrôle permanent s’appuie donc sur un dispositif structuré sur deux niveaux de contrôles voire deux lignes de défense complémentaires pour garantir la conformité et la maîtrise des risques au sein des établissements assujettis :
- La première ligne de défense est assurée par les unités opérationnelles qui jouent un rôle central en assurant la conformité des processus opérationnels (tels que la gestion des paiements, la gestion de la trésorerie, l’identification et l’évaluation des profils clients via le KYC, l’ouverture de comptes courants ou encore la gestion des risques informatiques, etc.) avec les politiques, les procédures internes et les réglementations en vigueur. Elles veillent à l’exécution rigoureuse des opérations tout en intégrant des contrôles de premier niveau pour détecter et corriger immédiatement les écarts.
- La deuxième ligne de défense : Cette ligne est incarnée par les fonctions de vérification de la conformité et de gestion des risques (risk management). Le responsable de la conformité s’assure que l’ensemble des activités respecte les exigences légales, réglementaires et internes, tout en prévenant les risques de non-conformité. Le responsable de la gestion des risques, quant à lui, identifie, évalue et suit les risques opérationnels, financiers et stratégiques, en mettant en place des mesures préventives et correctives. Ces deux fonctions collaborent étroitement pour fournir un cadre robuste de supervision, en s’appuyant sur des outils d’analyse avancés et des reportings réguliers pour anticiper les vulnérabilités et renforcer la résilience de l’établissement.
En application du principe de proportionnalité, les fonctions de vérification de la conformité et de gestion des risques peuvent être regroupées, à condition que cette fusion n’entraîne aucun conflit d’intérêts. Cette approche permet une certaine flexibilité, notamment pour les établissements de petite taille, tout en préservant l’intégrité des contrôles.
Par ailleurs, l’arrêté du 3 novembre 2014 stipule que les responsables des fonctions de contrôle interne, à savoir ceux de la vérification de la conformité et de la gestion des risques, doivent posséder des connaissances spécifiques dans leurs domaines de compétence, et être indépendants. Cette indépendance est garantie par le respect des principes suivants :
- Non-implication dans les tâches opérationnelles : Les agents chargés des contrôles de deuxième niveau (validation et supervision) n’exécutent aucune activité opérationnelle relevant du périmètre des processus qu’ils contrôlent, afin d’éviter tout biais dans leurs évaluations.
- Séparation organisationnelle : Les fonctions de contrôle interne sont clairement distinctes, sur le plan organisationnel, des unités opérationnelles qu’elles supervisent, garantissant ainsi une objectivité dans leurs missions.
- Indépendance hiérarchique : Les responsables des fonctions de contrôle interne ne doivent pas être placés sous l’autorité d’une personne impliquée dans la gestion des activités contrôlées. Leur rattachement hiérarchique doit être distinct pour préserver leur autonomie.
- Neutralité de la rémunération : La rémunération des personnels des fonctions de contrôle interne ne doit pas être liée à la performance des activités qu’ils surveillent, afin de ne pas compromettre leur impartialité.
De plus, les établissements assujettis doivent veiller à une séparation rigoureuse des responsabilités pour prévenir les conflits d’intérêts. Les tâches susceptibles de générer des conflits, notamment dans le traitement des transactions ou la prestation de services, doivent être confiées à des personnes distinctes. Des barrières d’information, telles que le cloisonnement physique des services ou des restrictions d’accès aux données sensibles, doivent être mises en place pour empêcher toute communication inappropriée.
Enfin, les fonctions du contrôle permanent doivent soumettre régulièrement à l’équipe de direction des rapports écrits concernant les dysfonctionnements majeurs détectés avec l’indication des mesures correctrices adéquates à mettre en œuvre.
Contrôle périodique
Le contrôle périodique intervient dans l’évaluation de l’efficacité des mécanismes de contrôle permanent ainsi que des politiques de gestion des risques des établissements assujettis.
Assuré par le responsable de l’audit interne, qui agit en tant que troisième ligne de défense, ce contrôle joue un rôle clé dans la protection et l’amélioration des valeurs de l’établissement. Sa mission consiste à fournir une assurance objective, des conseils stratégiques et des analyses approfondies, fondés sur une expertise pointue des risques et des processus internes.
À travers cette démarche, le contrôle périodique contribue à identifier les éventuelles faiblesses systémiques, à anticiper les risques émergents et à proposer des recommandations ciblées pour optimiser les pratiques opérationnelles et renforcer la robustesse et la fiabilité des processus internes.
La mise en œuvre du contrôle périodique repose sur une planification rigoureuse, adaptée et proportionné aux exigences organisationnelles de l’établissement assujetti. Le responsable de l’audit interne doit disposer de moyens suffisants pour accomplir efficacement ses missions.
Il doit établir, au moins une fois par an, un programme des missions de contrôle, en intégrant les objectifs annuels des dirigeants effectifs, ainsi que les orientations de l’organe de surveillance en matière de contrôle. Ce programme doit permettre de vérifier l’ensemble des activités de l’établissement sur une période maximale de cinq ans.
Conformément aux principes généraux, le responsable de l’audit interne doit être indépendant et distinct, sur le plan organisationnel, des activités opérationnelles de l’établissement. Il doit rendre compte directement à l’organe de surveillance, garantissant ainsi une objectivité sans faille, et doit transmettre annuellement un rapport à l’ACPR, détaillant les résultats des audits ainsi que les mesures correctives mises en place pour remédier aux anomalies détectées.
Gouvernance et supervision
La responsabilité du respect des obligations de contrôle interne incombe aux dirigeants effectifs et à l’organe de surveillance. Conformément à l’arrêté du 3 novembre 2014, les dirigeants effectifs ont l’obligation d’évaluer et de contrôler régulièrement l’efficacité des dispositifs et procédures instaurés pour assurer la conformité à cet arrêté. Ils doivent prendre les mesures nécessaires pour corriger toute défaillance constatée. En cas d’incident significatif, ils sont tenus d’informer sans délai l’Autorité de contrôle prudentiel et de résolution (ACPR) des faits survenus et des mesures correctives adoptées.
L’organe de surveillance, de son côté, a pour mission d’examiner périodiquement les politiques établies pour répondre aux exigences de l’arrêté, d’évaluer leur efficacité ainsi que celle des dispositifs et procédures mis en œuvre. Il veille également à apprécier l’adéquation des mesures correctives prises en cas de défaillances. Pour mener à bien ces missions, l’organe de surveillance peut, si nécessaire, s’appuyer sur l’expertise du comité des risques
Conclusion
L’arrêté du 3 novembre 2014, modifié par l’arrêté du 25 février 2021, établit un cadre réglementaire exigeant et structuré pour le contrôle interne des établissements financiers en France. En articulant le contrôle permanent (première et deuxième ligne de défense) et le contrôle périodique (troisième ligne de défense), ce dispositif s’aligne sur les standards internationaux, notamment ceux de la Directive CRD V et des recommandations de l’Institut des auditeurs internes (IIA).
Ce cadre, basé sur le principe de proportionnalité, permet une adaptation aux spécificités des établissements tout en garantissant une gouvernance rigoureuse et une conformité aux normes réglementaires.
Pour les établissements assujettis, la mise en œuvre effective de ces obligations est cruciale non seulement pour se conformer aux exigences de l’ACPR, mais aussi pour renforcer la confiance des parties prenantes et assurer une gestion efficace des risques.
gp@giovannellapolidoro.com