top of page
Ce site a été conçu sur la plateforme de création de sites internet
.com
. Créez votre site aujourd'hui.Commencez

Contrôle permanent et contrôle périodique, quelles complémentarités ?

HP Maders, JL Masselin et H Fratta, Revue Banque, décembre 2014

 

Le contrôle permanent et le contrôle périodique constituent deux des briques essentielles d’un dispositif de contrôle interne bancaire. Cependant, leur efficience respective nécessite de bien différencier les responsabilités des 3 niveaux de défense, de disposer de référentiels et d’outils partagés, de bénéficier d’une direction générale exemplaire, d’acculturer les responsables hiérarchiques et leurs équipes à la mise sous contrôle des risques de leur périmètre. Enfin, le dispositif doit être revu chaque année.

Le Règlement n° 97-02 du 21 février 1997 relatif au contrôle interne des établissements de crédit et des entreprises d'investissement impose aux entreprises assujetties de se doter d'un contrôle interne comprend notamment :

  • un système de contrôle des opérations et des procédures internes ;

  • une organisation comptable et du traitement de l'information ;

  • des systèmes de mesure des risques et des résultats ;

  • des systèmes de surveillance et de maîtrise des risques ;

  • un système de documentation et d'information ;

  • un dispositif de surveillance des flux d'espèces et de titres.

Par ailleurs, le règlement précise que les entreprises assujetties veillent à mettre en place un contrôle interne adéquat en adaptant l'ensemble des dispositifs prévus par le présent règlement à la nature et au volume de leurs activités, à leur taille, à leurs implantations et aux risques de différentes natures auxquels elles sont exposées.

Concrètement, ces exigences se traduisent par la mise en œuvre de différents composants dont un dispositif de contrôle permanent des risques inhérents au traitement des opérations et un contrôle périodique de l’efficacité dudit dispositif.

Cinq conditions pour un dispositif de contrôle interne efficient

Dans les faits, les banques ont déployé ces dernières années des dispositifs de contrôle interne. Cependant, force est de remarquer que, si tous les établissements ont veillé à appliquer la réglementation et si les grandes banques de réseau ont déployé des dispositifs importants, on se pose encore sur le terrain la question des rôles respectifs, des périmètres et complémentarités et de l’économie de l’ensemble. En effet, l’existant a été retouché et surtout complété en tenant compte des impulsions du régulateur sans toujours beaucoup de cohérence et d’efficience, rajoutant des couches se superposant… et laissant cependant des zones sans contrôles suffisants. Les banques de plus petite taille ont plutôt déployé des dispositifs a minima… avec, quand ils existent, un contrôle permanent et un contrôle périodique réalisés par une même entité, voire une même personne, de grands périmètre sans contrôle… et très peu de contrôles réalisés par les personnels opérationnels.

Le déploiement d’un dispositif de contrôle interne efficient passe par cinq conditions. La première est de bien différencier les responsabilités des trois lignes de défense, en attribuant un rôle clair pour chacun et pour tous.

Première condition : Bien différencier les responsabilités des 3 lignes de défense

Le contrôle permanent recouvre les contrôles au quotidien réalisés par les opérationnels et leur hiérarchie dans le cadre du traitement des opérations (premier niveau) et par le contrôle interne, la gestion des risques et le contrôle de la conformité (deuxième niveau).

Le contrôle de premier niveau (première ligne de défense : mener l’activité en gérant les risques) recouvre tous les aspects de la gestion des processus sur le terrain de la conception raisonnée et sécurisée des traitements (hommes, procédures et systèmes), et les autocontrôles exercés par les opérationnels sur leurs opérations/transactions. Il est du ressort des directions opérationnelles, commerciales et financières. Il recouvre également les contrôles indépendants exercés par d’autres opérationnels (middle office et back office, contrôles croisés, …) et les contrôles hiérarchiques, ciblés sur les points les plus délicats, exposés ou volatiles,  exercés par l’encadrement. En effet, la hiérarchie assure le management opérationnel des contrôles de premier niveau (analyse de risque, proposition de contrôles de premier niveau, documentation et mise à jour des procédures, recherche des validations nécessaires, attribution/formation/surveillance des contrôles de premier niveau, enregistrement et analyse des incidents, exploitation des reportings des risques et de contrôle de second et troisième niveaux), et le cas échéant, conception, mise en oeuvre et compte rendu des actions de réduction de risque.

Le contrôle de deuxième niveau (deuxième ligne de défense : mesurer et surveiller les risques) recouvre les contrôles exercés par des fonctions de contrôle permanent indépendantes des entités, et d’après la réglementation dédiées à ces tâches. L’objectif est de tenir à disposition des managers opérationnels, de la direction et de la gouvernance, une photo d’ensemble du fonctionnement du dispositif de contrôle interne, soit sur les opérations elles-mêmes (analyse de la nature et des conditions de réalisation de certaines opérations), au fil de l’eau ou dans le cadre de l’analyse d’alertes développées au sein du dispositif de contrôle interne ou d’enquêtes appropriées à la compréhension d’incidents éventuels, à leur remédiation et à leur suivi. Le plan de contrôle annuel est proposé à la direction de la banque.

Le contrôle périodique permet de prendre un certain recul et recouvre les contrôles de troisième niveau réalisés a posteriori par l’audit et par les autorités de tutelle.

Le contrôle de troisième niveau (troisième ligne de défense) est assuré par l’audit interne qui conduit des missions d’investigation dans tout domaine, résultant soit du plan d’audit (listes d’investigations jugées pertinentes eu égard à une analyse d’activité, d’organisation et de risques menée par l’audit interne et réparties « sur le plus petit nombre d’exercices possibles » comme le demande la réglementation), soit d’une demande de la gouvernance (Comité d’audit, Conseil de Surveillance, conseil d’administration,… là où le contrôle permanent relève de la direction générale).

Il est également assuré par les autorités de tutelle, l’AMF et l’ACPR ou par des corps de contrôle externes prévus par la loi. C’est ainsi  le cas des Commissaires aux Comptes chargés de vérifier la régularité et la sincérité des comptes annuels et la bonne application de certaines dispositions du droit des sociétés (égalité des actionnaires, …). Le plan d’audit est ainsi préparé par les experts du contrôle périodique pour adaptation / validation par les organes de gouvernance de la banque.

Repères - Spécificités des trois niveaux de contrôle

Le contrôle de premier niveau (première ligne de défense)

  • Fait partie intégrante des procédures des directions concernées ;

  • Est constitué de bonnes pratiques, d’autorisations préparées (tiers, opérations, ressources, conditions, …) et d’autocontrôles sélectionnés pour assurer à eux seuls la bonne régularité et la bonne fin des opérations ;

  • Est effectué et documenté systématiquement et au fil de l’eau par les collaborateurs dans le cadre de leur travail et par certains collaborateurs à qui la hiérarchie peut les déléguer ;

  • Peut s’appuyer sur les applications de traitement, grâce notamment aux éléments de sécurité logique (profils utilisateurs, gestion des droits, …).

Le contrôle de deuxième niveau (deuxième ligne de défense)

  • Permet de vérifier la conformité, la sécurité et la validation des opérations réalisées ainsi que le respect des autres diligences liées à la surveillance des risques de toute nature qui leur sont associés ;

  • Porte sur l’ensemble des directions opérationnelles, commerciales et financières ;

  • Le seuil et la fréquence des contrôles de second niveau sont fondés sur une évaluation des risques et ajustés aux moyens de contrôle à disposition ;

  • Réalisation au travers d’investigations indépendantes, à l’aide d’outils spécifiques si nécessaire, portant soit sur les procédures (vérification par sondage de l’application des contrôles de premier niveau prévus aux procédures), dans le cadre de programmes de contrôles déterminés ou dans celui de revues plus globales aboutissant à un rapport sur telle ou telle activité ;

  • Peut prendre la forme d’un « deuxième regard » sur des opérations, transactions et activités, permettant à la fonction qui l’exerce d’« escalader », si nécessaire, les décisions à un niveau supérieur de l’organisation.

Le contrôle de troisième niveau (troisième ligne de défense)

  • Evalue le dispositif de contrôle permanent de la banque ;

  • Evalue la bonne mise en œuvre des stratégies définies par la banque ;

  • Formule toute recommandation permettant d’améliorer le fonctionnement de la banque.

Deuxième condition - Disposer de référentiels et d’outils partagés

La deuxième condition consiste à disposer de référentiels et d’outils partagés ; il s’agit de parler le même langage pour mieux se comprendre

Cinq référentiels et cinq listes : partager les idées, les méthodes et les repères. En matière de référentiels, l’expérience montre qu’ils doivent être au nombre de cinq : un référentiel des processus ; un référentiel des activités ; un référentiel des entités ; un référentiel des risques ; un référentiel des types de contrôles. En plus des référentiels, cinq listes doivent être administrées : la liste des personnes habilitées à mettre à jour un référentiel ; la liste des personnes habilitées à saisir un incident ; la liste des personnes habilitées à saisir/valider le résultat d’un contrôle ; la liste des personnes habilitées à consulter une donnée ; la liste des personnes habilitées à éditer des reportings managériaux ou règlementaires.

Un outil partagé de type eGRC : partager les faits et l’action. Par ailleurs, le dispositif doit s’appuyer sur un socle technique solide facilitant la couverture appropriée des périmètres de risques. Par exemple, la connaissance du résultat des contrôles de premier niveau par le deuxième niveau permet d’orienter le plan de contrôle annuel ; la connaissance du résultat des contrôles de deuxième niveau permet au troisième niveau d’éviter de refaire des tests déjà réalisés mais plutôt de s’appuyer sur eux. La connaissance partagée de la cartographie des risques par les trois niveaux permet de concevoir des plans de contrôles centrés sur les enjeux et également complémentaires. La connaissance des incidents déclarés permet de déclencher des missions de contrôle et/ou d’audit ; la connaissance partagée des actions mises en œuvre par le premier niveau suite aux demandes/recommandations des deuxième et troisième niveau permettent de connaître les progrès réalisés au fil de l’eau. Tout cela se traduit par plus de cohérence, d’efficacité et d’efficience. Voir les relations entre les composants (faire les bons liens c’est avoir l’intelligence du dispositif), répartir les tâches entre les acteurs, faire la synthèse, détailler par acteur, processus, risque, réglementation …aller aisément et en cohérence de l’analyse à la synthèse, c’est cet ensemble qui rend l’outil partagé nécessaire.

Troisième condition - Bénéficier d’une direction générale exemplaire

En matière de management, rien ne vaut l’exemplarité. Cela est vrai naturellement en matière de dispositif de contrôle interne. Dans notre expérience, seules les directions générales possédant une appétence pour le management par les risques, disposant d’une connaissance fine des risques supportés par leur établissement et prenant en compte ceux-ci dans les décisions de gestion de leur niveau, peuvent espérer que cette façon de faire fera tâche d’huile au sein des équipes opérationnelles. Si cela n’est pas le cas, les équipes de deuxième, malgré leur bonne volonté, ne peuvent être efficaces et celles de troisième niveau n’auront pas d’autorité.

Quatrième condition - Acculturer les responsables métier et leurs équipes à la mise sous contrôle des risques de leur périmètre

L’appropriation du dispositif : un enjeu culturel. Le contrôle des activités bancaires est de la responsabilité des personnels opérationnels et de leur hiérarchie. Cela semble une évidence mais notre expérience montre que, dans les faits, les banques en sont à des niveaux divers d’acculturation de leurs équipes au risque. Dans certaines banques, les opérationnels disent clairement que cela n’est pas de leur responsabilité, qu’ils ne sont pas payés pour faire du contrôle. Ces mêmes personnes dénoncent par ailleurs le fait que des contrôles soient réalisés par les fonctions spécialisées, d’autant plus nombreuses que les contrôles de premier niveau sont défaillants… Dans d’autres banques, les personnels opérationnels et leurs hiérarchies remplissent mieux ce rôle au quotidien et les fonctions de deuxième et troisième niveau s’en trouvent automatiquement allégées…

Exemplarité, perspective et mode opératoire. Nous l’avons dit, l’exemplarité de la direction générale est indispensable. La tonalité est vite perçue. Les points d’importance se mesurent à la réaction des dirigeants. Cependant, elle n’est pas suffisante et c’est de la responsabilité des contrôleurs de deuxième niveau que de diffuser sans cesse les bonnes pratiques auprès des personnels opérationnels, et leur hiérarchie. L’orientation est là mais l’interprétation, l’adaptation au cas chacun est et reste délicate. Le contrôle permanent propose des normes, rythme et accompagne les exercices … et assure un feed back concret au travers de ses contrôles. Mais le cap est-il tenu si l’on est concentré sur la manière de ramer ? L’audit interne compare périodiquement les pratiques aux normes, aux instructions et aux meilleures pratiques de place. Elle donne une perspective qui complète le dispositif de guidage.

Cinquième condition - Revoir le dispositif annuellement

Un dispositif de contrôle interne correspond à une situation à un moment donné. Il est donc nécessaire de le revoir périodiquement avec les métiers et notre expérience montre qu’une fréquence annuelle est nécessaire et suffisante. Cette revue, qui doit être conduite par le contrôle de deuxième niveau, doit prendre en compte les résultats financiers de la banque, les incidents déclarés dans les 12 derniers mois, les modifications concernant les organisations et l’offre commerciales… Cette revue débouche sur de nouveaux risques à mettre sous contrôle par les trois niveaux, des modulations des dispositifs de contrôle, ou des suppressions de contrôles existants. L’audit interne vérifiera que la démarche est faite et bien faite.

Conclusion - Jouer la complémentarité

En matière de dispositif de contrôle interne, la complémentarité entre le contrôle permanent et le contrôle périodique est donc évidente, et rentable… à condition que les cinq conditions soient réunies !

 

Banque de réseau, entre objectifs commerciaux et contrôle interne

JL Masselin et HP Maders, Revue Banque, juin 2006

 

Traditionnellement, les banques de détail disposent pour sécuriser les opérations de banque faites dans leur réseau :

  • De procédures intégrant des contrôles devant être mis en œuvre par le personnel ; ces contrôles devant être organisés, supervisés et gérés par la hiérarchie.

  • De fonctions et comités spécialisés centrés sur le risque de crédit.

  • D’une fonction Inspection qui contrôle le réseau d’agences.

Avec la pression réglementaire, les banques se sont dotées également d’un dispositif de contrôle interne couvrant l’ensemble des activités puis d’un dispositif centré sur les risques opérationnels avec Bâle II. Enfin, les banques se dotent également d’une fonction autonome dite « de conformité » et doivent désormais mettre en place un contrôle permanent des opérations.

Dans le contexte de concurrence et de pression commerciale qu’on connaît, la stricte conformité réglementaire en matière est facilement formaliste et coûteuse. L’expérience montre qu’elle n’assure pas un niveau de sécurité sans faille.

Ainsi, les obligations réglementaires se multiplient et se complètent (risques, conformité, risques opérationnels, contrôles permanents, contrôle périodique indépendant, droit de suite, …). Elles conduisent à la mise en place de structures et de fonctions indépendantes, dotées des moyens de leur mission sous menace d’une « grave non conformité ».

Dans les grandes banques, ceci s’est traduit par un empilement de dispositifs centrés sur des reportings et des contrôles de plus en plus nombreux auprès d’opérationnels de plus en plus sous pression, perplexes et hostiles.

Dans les banques de taille plus petite, et parce qu’il leur est difficile de doter toutes ces fonctions des effectifs nécessaires, il faut bien reconnaître que les dispositifs de contrôle permanent et périodique cherchent les moyens d’assumer des responsabilités dont le périmètre vient d’être revu et précisé et que le réseau d’agence nécessite toujours la même vigilance …

  • Comment répondre aux obligations réglementaires avec peu d’effectifs à affecter au contrôle et en évitant les zones de recouvrement ?

  • Comment concilier dans un réseau le paradoxe « Objectifs commerciaux élevés » avec « Contrôle permanent » ?

  • Comment profiter d’une obligation réglementaire pour engager des actions de formation et de progrès en agence et au siège ?

  • Comment mobiliser durablement un réseau de 2.700 personnes ?

Avec la démarche PCIA (Parcours de Contrôle Interne Agences), la Caisse d’épargne Ile de France Paris a développé une approche originale qui concilie le contrôle périodique et le contrôle permanent.

Pourquoi le projet PCIA ?

Jusqu’en 2003, les 300 directeurs d’agence avaient à leur disposition un classeur contenant l’intégralité des contrôles à effectuer répartis en douze thèmes visant à couvrir le référentiel d’activités de l’agence. Ils devaient renseigner ce classeur 2 fois par an, ce qu’ils faisaient plutôt par obligation... Les Directeurs de Groupe, qui pilotent en moyenne une douzaine d’agences, en faisaient une exploitation et une synthèse annuelle. La synthèse de ces synthèses donnait cependant difficilement une image consolidée lisible de la situation.

De son côté, le Contrôle général effectuait des missions de contrôle d’agence et constatait que, même quand les classeurs étaient renseignés, de nombreuses anomalies pouvaient exister ! Par ailleurs, les inspecteurs avaient le sentiment de formuler à chaque visite les mêmes conclusions à un réseau dont les effectifs s’était renouvelés significativement avec les enjeux de culture d’entreprise, professionnelle et de contrôle corrélatifs.

A partir de 2003, une réflexion a été menée pour chercher a avoir un effet plus en profondeur et à concilier la chasse aux non conformités et celle aux travaux administratifs improductifs en vue de dégager du temps commercial indispensable à la croissance attendue. Tout était envisagé. C’est à cette date qu’a commencé le projet PCIA.

L’originalité de PCIA

La réponse imaginée conjointement par les acteurs des contrôles permanents (assumés par l’actuelle Direction de la Déontologie et de la Conformité) et ceux de contrôle périodique (Direction de l’Inspection du Contrôle général) s’appuie sur quelques points fondamentaux :

  • Les contrôles doivent être intégrés dans l’activité opérationnelle et les préoccupations de terrain pour être efficaces et acceptés : le plan de contrôle sera donc fixé avec le Réseau sur des thèmes d’actualité et annoncé par la hiérarchie du Réseau aux agences,

  • Les agences fonctionnent plus facilement par opérations ponctuelles que « dans la durée » : la démarche de contrôle doit fonctionner sur le principe d’une campagne commerciale. Ainsi, les Parcours de Contrôle Interne Agence visent  à un moment donné  un thème donné. Positionné quelques mois avant un temps fort commercial, le PCIA permet à chaque Directeur d’agence de faire le point sur la situation de son agence et de sensibiliser ses équipes avant l’action et ainsi sécuriser les futures opérations.

  • Le contrôle doit se fondre dans le pilotage de l’activité et constituer un axe de la direction par objectifs, d’opérationnel à opérationnel et non dans un échange opérationnel / contrôleur comme la tradition l’avait instauré. Les grilles de contrôles proposées visent ainsi à résumer pour le directeur d’agence les points vitaux à respecter, dans sa relation avec ses équipes un levier pour faire passer le message de la conformité et dans sa relation avec sa hiérarchie un vecteur pour se positionner rapidement dans la sécurité / conformité de son activité commerciale cœur du pilotage commercial.

  • Le contrôle doit permettre de conclure sur le caractère acceptable ou non d’une pratique en agence et aider à « corriger le tir » dans les meilleurs délais : l’outil de diagnostic fournit une qualification de la situation acceptée par l’entreprise (c’est une table de correspondance fréquence d’anomalie / évaluation de la situation conçue par la conformité et l’Inspection) et oriente automatiquement vers de propositions de plan d’action concrets que retient et met en œuvre sans autre impulsion le directeur d’agence sur le terrain (« agir localement »).

  • La pratique du contrôle doit contribuer à développer la culture de contrôle interne et son appropriation : chaque point testé est clairement rattaché à une procédure ou à une règle, son enjeu est illustré de manière concrète et la nature du contrôle à opérer en agence « pour avoir un bon contrôle interne » est formulée de la manière la plus pratique possible pour que le concept de contrôle interne puisse prendre une tournure intelligible par tous les acteurs de terrain.

PCIA permet donc un diagnostic local au niveau d’une agence mais pas seulement. Les résultats sont en effets consolidés au niveau groupe, délégation et réseau. Chaque niveau hiérarchique du réseau à donc le niveau d’information à son niveau de responsabilité. Enfin, la vision d’ensemble permet de relativiser la position de chaque agence et les objectifs de qualité fixés dans l’esprit d’un gestion continue de l’amélioration de cette qualité.

La démarche PCIA dans les grandes lignes

Le PCIA se compose de questions classiques intitulées « Bonnes pratiques » issues directement des procédures et auxquelles les Directeurs d’agence doivent répondre spontanément (Ex pour le parcours « Ouverture de comptes » : « Pensez-vous que les dossiers des nouveaux clients contiennent les pièces prouvant l’identité du client ? »). Elles concernent la bonne application des procédures et correspond à leur perception de la situation. Cette approche est assez classique et de nombreux établissements ont déployé des questionnaires de ce type. Elle permet cependant de faire un balayage rapide de tous les thèmes, de résumer les points clés de procédures souvent bien longues à lire …et de figer une représentation de la perception du directeur d’agence que l’on peut confronter avec le résultat de tests dans les dossiers.

En effet, l’originalité de PCIA réside dans le fait que les directeurs d’agence ont également à réaliser des tests sur les « Points de contrôle » incontournables à l’aide d’outils de test mis à leur disposition par le contrôle général (Par exemple : Contrôler le contenu de 10 dossiers pris au hasard). Là, l’apport a été de se montrer plus pédagogique envers la population des directeurs d’agence sur les modalités de réalisation, documentation et conclusion de tests dont il ne faut pas croire qu’ils sont des évidences pour les populations de commerciaux.

En fonction du résultat obtenu, le PCIA propose des actions précises et concrètes à réaliser (Ex : « Faire contrôler systématiquement le contenu de tout nouveau dossier client par une deuxième personne »). Le PCIA précise donc un niveau de maîtrise des risques actuel et les actions à conduire pour s’améliorer dans le futur. Mais encore faut-il que ces améliorations se traduisent par des résultats financiers mesurables pour favoriser une motivation durable...

C’est pourquoi ont été développés en 2005 des tableaux de bord de contrôle interne qui comparent les notes de contrôle interne obtenues lors d’un parcours PCIA et des ratios d’activité observables. Par exemple, le « % de compte fermés dans les six mois suivants leur ouverture » éclaire d’une façon intéressante le résultat obtenu suite à la mise en œuvre des actions liées au parcours « Ouverture de comptes ».

Quels enseignements retirer de PCIA ?

La conduite du changement est l’élément clé de la réussite d’un tel projet : il est nécessaire qu’il y ait appropriation. Les leviers identifiés sont :

  • La légitimité : action commune des directions de contrôle permanent et périodique sur la base de la réglementation

  • La volonté : une action résolue, réfléchie et validés impulsée par les direction de contrôle et la hiérarchie du Réseau.

  • La responsabilisation : A chacun ses responsabilités, un cadre, des outils et du temps pour l’exercer et une mise en responsabilité cohérente avec ce cadre (grille de qualification commune au réseau et aux directions de contrôle, démarche d’inspection agence articulée avec la démarche PCIA, …

  • La progressivité : une démarche très sélective (les contrôles visent d’abord les points vitaux des procédures), conduite dans la durée en graduant la complexité (d’abord le diagnostic, puis la conception de plans d’actions correctives appropriés, puis la mesure de l’efficacité des actions, enfin la gestion des cas complexes ou « bloqués »), incluant une part significative d’accompagnement sur le terrain allant en diminuant progressivement.

  • La communication : une réelle transparence sur le déroulement du projet avec les efforts à consentir sur les savoir faire non encore acquis et les encouragements pour les étapes correctement franchies.

Conclusion

Aujourd’hui, la démarche est acceptée et intégrée dans les pratiques du Réseau. Chaque agence sait se positionner sur les conformités essentielles attendues et voit plus concrètement ce que l’on attend d’elle et ce que les efforts consentis rapporteront à son activité et à la caisse. Les dernières parcours montrent une amélioration et une normalisation des pratiques … même s’il reste du chemin à parcourir vers l’excellence opérationnelle ! Outre l’apport important au management de proximité des agences (et du contrôle interne en agence … soit près d’un tiers des risques opérationnels de la caisse), c’est un outil essentiel de suivi de la conformité des opérations bancaires qui est mis à disposition de la direction de la Déontologie et de la Conformité et un outil de ciblage et de démultiplication de premier choix pour l’Inspection.

Le contrôle permanent et le contrôle périodique - Définition

Le contrôle permanent consiste à mettre en œuvre un dispositif de contrôle des opérations par les opérationnels et leurs responsables hiérarchiques et de remontée des incidents à une fonction centrale « Déontologie et Conformité ».

Le contrôle périodique consiste en des contrôles ponctuels réalisés par des fonctions spécialisées (le contrôle général) selon une fréquence liée à la cartographie des risques de l’établissement.

A ce titre, les deux types de contrôle sont complémentaires plutôt que redondants.

La Caisse d’épargne Ile de France Paris en quelques chiffres

Nombre de clients actifs : 1.000.000 sur 2.400.000 possédant au moins un produit (livret A notamment)

Effectif : 3.500 personnes dont 2.700 dans le réseau

Ancienneté réseau : 50 % des effectifs ont moins de 2 ans

Nombre de points de vente : 290 agences particuliers et 7 centres d’affaires entreprises

La Caisse d’Epargne Ile de France Paris représente environ 10% de l’activité et des résultats de l’ensemble du réseau de la trentaine de caisses d’épargne.

Le management des risques

HP Maders, Revue du CFMD, octobre 2012

 

Le management des risques fait partie intégrante du travail de tout responsable d’entité. Seul ce management maximise les chances que l’entité dont il a la responsabilité atteigne les objectifs qui lui sont fixés. Cet exercice, qui n’est pas impossible, est même passionnant !… c’est ce que nous allons essayer d’illustrer dans cet article.

Le management des risques, une rapide définition pour planter le décor

Le management des risques traite des risques et des opportunités ayant une  incidence sur la création ou la préservation de la valeur d’une entité. Il se définit comme : « un processus mis en œuvre par le conseil d’administration, la direction générale, le management et l'ensemble des collaborateurs de l’entité. Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l'entité. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’entité pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l’entité ». Le management des risques n’est donc pas une garantie absolue mais une assurance raisonnable d’atteindre ses résultats.

Du traitement des risques a postériori au management des risques

Le risque est inhérent à toute activité privée ou professionnelle, à toute prise décision… Ainsi, tout responsable, dans l’exercice de sa fonction, intègre consciemment ou non le risque dans ses actes et les décisions qu’il prend au quotidien : décisions financières (engagement de dépense…), décisions RH (recrutement, mobilité, promotion, évaluation…), décisions organisationnelles (répartition du travail entre les collaborateurs, degré de supervision, degré de participation des collaborateurs aux décisions…), sans parler des décisions stratégiques tactiques à prendre en situation de combat…

Ce qui a changé au cours du temps, ce n’est pas le fait de devoir peser le pour et le contre avant de décider, c’est plutôt la quantité et la qualité des informations à notre disposition pour décider avec le développement de l’informatique et des réseaux de communication. Par ailleurs, l’obligation de mettre sous contrôle certains risques dictée par la réglementation, les normes, la RSE, l’exigence de réputation, l’évolution de la société et de ses valeurs… et d’en rendre compte à différentes parties prenantes : hiérarchie, conseil d’administration, autorités de tutelles, clients, partenaires financiers… est de plus en plus forte. Enfin, le développement de techniques, outils, normes, compétences… permet de mieux qualifier et mettre sous contrôle les risques, et par là même de sécuriser la prise de décision.

C’est ainsi que nous sommes passés, au fil du temps, de la prise en compte des risques au fil de l’eau et bien souvent a posteriori à un management des risques plus organisé et proactif. Prenons l’exemple de la banque, et plus précisément des modalités de gestion du risque de non remboursement des prêts immobiliers.  Le banquier dispose de quatre moyens pour prêter sans risques !... Par la prévention du risque tout d’abord : il dispose d’une grille de scoring pour l’aider dans l’instruction des dossiers de prêt et ainsi éviter d’accorder un prêt à une personne qui ne pourrait le rembourser (la règle habituelle étant que le remboursement ne doit pas dépasser 30% des revenus nets). Par la réduction des effets du risque ensuite : il fait souscrire une assurance qui se substituera au client en cas de défaillance de remboursement. Par la mutualisation des risques si le financement est important : il peut s’associer à l’un des ses confrères pour financer le crédit répartissant ainsi le risque. Par le transfert du risque enfin : il peut s’assurer lui-même auprès d’un assureur. Les banques étant pour la plupart également des compagnies d’assurance, le risque est ainsi à son niveau global mutualisé entre tous les établissements.

Une démarche pragmatique

Le management des risques nécessite une approche très pragmatique. Celle-ci se compose de travaux préalables tels que la définition de la politique de risque de l’entité, le déploiement d’une organisation adaptée et l’établissement d’une cartographie des risques. Elle se compose ensuite d’actions de management au quotidien telles que l’acculturation des parties prenantes au risque, la recherche de progression de leurs compétences, la capitalisation des expériences…, le suivi d’indicateurs de risques (permanents et/ou ponctuels) et des incidents ainsi que la mise en œuvre d’actions visant le renforcement du Dispositif de Maîtrise des Risques. Elle nécessite enfin une revue a minima annuelle et également à chaque fois qu’un évènement important change la donne.

Définir une politique de risque et déployer une organisation adaptée

La politique de risque traduit l’appétence de l’entité pour le risque, ce qu’elle considère comme acceptable ou non, ainsi que le risque maximum tolérable qu’elle considère être capable de prendre afin de ne jamais de retrouver en cessation d’activité. La BNP a par exemple la réputation de ne prêter qu’à une clientèle aisée en appliquant des taux raisonnables ; les sociétés de crédit à la consommation, telle Finaref, Cofinoga…,  ont par contre une autre stratégie de risque : elles prêtent surtout à des personnes à revenus faibles, souvent à la limite du surendettement, mais avec des taux très élevés, proche du taux de l’usure, et disposent de processus de recouvrement des impayés très efficaces.  Ces deux stratégies sont différentes, mais toutes deux très profitables à ces différents établissements…

La politique de risque est également dictée par la règlementation. Les banques doivent par exemple respecter des ratios financiers encadrant leur activité de prêteur et basés sur leurs niveaux de fonds propres, leur connaissance de leurs clients, la répartition de leur portefeuille de prêts…

Mais il y a des paradoxes. Dans une banque peuvent ainsi cohabiter un réseau commercial proposant à une clientèle de particuliers des produits sans risques pour la banque avec un DMR très élaboré (séparation des fonctions, contrôles dans les systèmes informatiques, contrôles hiérarchiques, équipes de contrôle permanent de second degré, gestionnaires de risques, équipes d’inspecteurs, équipes d’auditeurs, reportings, comités de contrôle interne…) et laisser dans le même temps des équipes de traders prendre des risques par des prises de positions à terme sur des produits dérivés avec des impacts sans commune mesure sur les fonds propres de la banque… et avec des dispositifs de contrôle inappropriés. Il est inutile de rappeler les affaires qui sont à l’origine de la faillite de la Barings, ou de pertes importantes à la Caisse d’épargne, la Société Générale,…

Par ailleurs, la réglementation n’encadre pas toujours assez l’exercice de certains métiers, favorisant ainsi des risques écologiques tels que les marées noires à répétition par exemple…

La réglementation est aussi le résultat de puissants lobbys auprès d’hommes politiques, dans le seul but de l’intérêt d’une profession au détriment de l’intérêt général. On a beaucoup écrit sur la crise financière de 2008 qui a entraîné la faillite de l’Islande (120 milliards de dollars de dettes générés par 4 banques contre 12 milliards de dollars de PIB…) et d’entreprises telles que Lehman Brothers (banque) ou AIG (assurance)… Rappelons que cette crise, qui a enrichi une minorité de personnes et appauvri le reste de la planète (les Etats Unis n’ont jamais, depuis leur création, eu un taux de pauvreté aussi élevé que depuis 2008) est le résultat de la dérégulation du système financier américain qui a favorisé entre autre la pratique de l’octroi de crédits immobiliers à des personnes non solvables, crédits ensuite regroupés par les banques en question sous la forme de produits financiers (principe de la titrisation) très bien cotés par les Agences de notation (forcément complices)…, et donc achetés en toute confiance par des particuliers et des fonds de pension…

Rappelons en outre que les banques avaient la possibilité de s’assurer contre le non paiement des crédits accordés par elles-mêmes et également par leurs confrères ! A chaque défaillance d’un emprunteur, elles pouvaient même toucher une indemnité pour des crédits qu’elles n’avaient même pas accordés !... jusqu’à ce que tout explose…

La politique de risque est enfin dictée par l’environnement dans lequel évolue l’entité. Beaucoup d’entreprises occidentales recherchent le risque zéro en matière de sécurité touchant aux personnes. Il en est ainsi du nucléaire, des transports,… Par contre, un cadre dirigeant d’un des principaux groupes de matériaux de construction mondiale expliquait il y a quelques années que la mort d’un ouvrier dans une cimenterie marocaine du Groupe était moins grave qu’un accident non mortel sur un site du même Groupe en France…

En fonction de cette stratégie, l’entité va mettre en place un DMR composé de briques de différentes natures. Ce DMR se traduira par la mise en place de Comités : comité d’audit, Comité de contrôle interne, Comité sécurité, …  et de fonctions spécialisées : contrôleur permanent, auditeur, gestionnaire de risque, … Ce dispositif sera enfin supporté par des outils permettant de cartographier les risques, de remonter les anomalies vers la hiérarchie et les fonctions spécialisées, de réaliser le suivi régulier de certains risques (sondages mensuels ou trimestriels), de produire des reportings, de réaliser des campagnes de contrôle thématiques ponctuelles, de suivre des plans d’action… Le dispositif sera animé par une fonction centrale qui réalisera une veille règlementaire permanente et veillera en outre à la formation des acteurs, à la revue de la cartographie des risques, à la bonne réalisation des actions…

Etablir la cartographie des risques

La cartographie des risques constitue l’inventaire des principaux risques auxquels est confrontée une entité et qui, en cas de survenance, ont des conséquences sur la réalisation de ses objectifs.  Ces conséquences peuvent être financières, réglementaires. Elles peuvent également avoir des impacts sur la continuité d’activité de l’entité ou atteindre à sa réputation. Elle constitue à ce titre un patchwork, une liste à la Prévert de risques très divers. Elle s’élabore en croisant plusieurs sources d’information, sans jamais être toutefois certain de son exhaustivité. Les informations pertinentes sont les suivantes : Interviews d’experts métier, analyse  de sinistres passés, croisement de la règlementation, des produits et services proposés par l’entité et des processus de pilotage, opérationnels et supports, utilisation de listes de risques types...

En ce qui concerne l’établissement de la liste des risques opérationnels, les banques ont par exemple recours à la liste dite Bâle II qui définit ce type de risque de la façon suivante : « Un risque opérationnel est un risque de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d'événements externes ». Le référentiel Bâle II décline ainsi 7 familles de risques opérationnels : Interruption d’activité et défaillance des systèmes ; Exécution, livraison et management des processus ; Dommage aux actifs corporels ; Fraude externe ; Fraude interne ; Pratiques en matière d'emploi et de sécurité sur le lieu de travail ; Clients, produits et pratiques commerciales. La cartographie des risques correspond également à la sensibilité de l’entité pour certains types de risques. Ainsi, certaines entités sont très sensibles aux risques sociaux, environnementaux… et d’autres beaucoup moins…

Coter les risques bruts

La cotation des risques passe par l’évaluation de leur gravité brute, sans tenir compte du DMR. Sont évalués ainsi pour chaque risque les critères suivants : gravité en cas de survenance et probabilité de survenance. Certaines cotations proposent également d’évaluer d’autres critères tels que la durée de l’impact en cas de survenance ou les modalités de découverte. C’est l’un des principes de la méthode de cotation AMDEC par exemple. Son principe est d’évaluer les 3 critères « Sévérité », « Occurrence » et « Modalités de découverte » et de multiplier les 3 critères pour trouver la valeur du risque brut. On obtient ainsi un classement des risques bruts par une cotation arithmétique.

Evaluer l’efficacité du dispositif de maîtrise des risques

Le DMR est composé d’éléments permettent de réduire les risques bruts de l’entité. La façon dont l’entité est organisée en fonctions et processus tout d’abord est à prendre en compte. Une correcte séparation des fonctions est dans ce cas de nature à réduire le risque. Dans le cas d’un processus achats, l’affectation à des fonctions différentes le choix du fournisseur, la négociation commerciale, la passation de la commande,  la réception de la commande et le règlement de la facture est de nature à éviter les malversations.

La qualité du dispositif documentaire est également très importante : politique générale, procédures, notes d’instruction, check-list… est également à prendre en compte ainsi que le dispositif de contrôle permanent et périodique : contrôle opérationnels au fil de l’eau (homme ou logiciel), contrôles hiérarchiques ou réalisés par des fonctions centrées sur une nature de risque (à distance à l’aide de requêtes sur les systèmes métiers ou des bases de données, de logiciels de déclaration d’incident, de remontée des résultats de contrôles hiérarchiques réguliers ou de campagnes de contrôle thématiques…), contrôles périodiques réalisés par des fonctions spécialisées internes ou externes à l’organisation. D’autres critères peuvent également jouer un rôle important dans la réduction de risques, tels que l’existence d’indicateurs de risque, de reportings hiérarchiques et vers des fonctions spécialisées, l’existence d’un plan de continuité d’activité, de plans d’action associés aux incidents déclarés de progrès, d’actions de formation…

La méthode consiste à évaluer les éléments du DMR à l’aide de grilles de cotation puis de réduire la valeur du risque brut par diminution des notes obtenues. On obtient alors, de même que précédemment, un classement des risques nets arithmétique. Si un risque net ainsi calculé est jugé acceptable, le DMR correspondant est réputé suffisant. Par contre, dans le cas contraire, des actions de renforcement de ce dernier doivent être engagées. La priorité étant bien entendu la recherche de réduction des risques nets les plus élevés.

Manager le dispositif au quotidien

 

Au quotidien, le management des risques est, à l’image du management de la qualité, un dispositif vertueux (cf. la roue de Deming) qui nécessite une animation permanente pour en faire une activité normale d’un responsable d’entité et non pas supplémentaire, en plus de son travail opérationnel… Cette animation passe par la reconnaissance de l’intérêt de la chose, par des actions de sensibilisation et de formation, l’établissement de tableaux de bord montrant l’évolution d’indicateurs de risques et les économies générées par la non survenance de certains sinistres, la conduite d’actions de réduction des risques impliquant des changement de pratique, d’organisation, de procédures…

Conclusion

Au travers de cet article et des exemples présentés, nous avons essayé de montrer que le management des risques fait partie intégrante du travail de tout responsable et que ce management maximise les chances pour celui-ci que l’entité dont il a la responsabilité atteigne les objectifs qui lui sont fixés. Ceci s’applique donc également à vous qui lisez cet article… Nous espérons vivement vous avoir conforté dans cette conviction !

 

Audit mutualisé des prestataires, un retour d'expériences

HP Maders et Y Theillet, Revue Banque, avril 2011

 

Contrôle des prestations externalisées - Des banques mutualisent leurs audits

La règlementation impose aux banques d’auditer régulièrement le dispositif de maîtrise des risques de leurs prestataires externes. Pour faciliter ces contrôles, l’Office de Coordination Bancaire et Financière (OCBF) a lancé depuis 2008 une démarche mutualisée d’audit des prestataires communs à plusieurs de ses membres. Après trois années d’expérience, le bilan est positif.

Dans le secteur bancaire, le recours à l’externalisation de certaines activités est devenu pratique courante. Il en est ainsi de la tenue de compte conservation, de l’infogérance et de l’exploitation informatique, du traitement des moyens de paiement, etc. C‘est pourquoi se sont développés ces dernières années des groupes spécialisés nationaux et internationaux offrant leurs prestations à la plupart des établissements bancaires, petits et grands.

Mais cette pratique n’est pas sans présenter certains risques. Aussi le régulateur est-il intervenu dès 2005 pour aménager le règlement 97-02 relatif au contrôle interne en imposant aux banques des exigences spécifiques en vue de s’assurer de l’efficacité du Dispositif de Maîtrise des Risques (DMR) des prestations externalisées. Dans l’absolu, la règlementation impose notamment aux banques d’auditer régulièrement leurs prestataires, ce qui, tant pour les banques que pour les prestataires, peut générer de nombreuses missions d’audit. Au regard du temps et des compétences nécessaires à la réalisation de ces missions, sans oublier les budgets correspondants, il n’est pas étonnant que les banques soient parfois en difficulté pour remplir cette obligation et que les prestataires soient inquiets de devoir mobiliser leurs équipes pour répondre aux missions d’audit diligentées tout au long de l’année  par une multitude de banques.

Une pratique née en 2008

Face à ce constat partagé, les directeurs du contrôle interne  de banques, membres de la commission des contrôles permanents et périodiques de lOCBF, se sont engagés, en 2008, dans une démarche mutualisée originale et appréciée à la fois de leur direction générale, des prestataires de services et des autorités de tutelle. Cette démarche consiste pour un groupe de banques à confier à un cabinet de conseil spécialisé la réalisation de l’audit d’un ou plusieurs prestataires communs.

Trois audits mutualisés ont ainsi été réalisés à ce jour et un quatrième est en préparation : en 2008, 18 banques adhérentes de l’OCBF ont audité un éditeur de progiciel bancaire intégré ; en 2009, 13 banques ont audité deux prestataires de la filière de traitement des chèques ; en 2010, 13 banques ont mutualisé leurs contrôles sur six prestataires (fabrication / personnalisation / traitement) intervenant dans trois filières de traitement de la carte ; en 2011, l’OCBF proposera une nouvelle mission mutualisée aux banques adhérentes dont le thème pourrait être celui de la tenue de compte conservation.

Un protocole en trois phases

Concrètement, la mise en œuvre d’un audit mutualisé suit un protocole maintenant bien rdé et parfaitement orchestré par l’OCBF. Il se déroule en trois phases successives sur une période de six mois.

La première phase a pour objectif la constitution d’un groupe de travail composé de 5 à 6 directeurs du contrôle interne, tous membres de la commission des contrôles permanents et périodiques de l’OCBF. Cette commission, composée de directeurs de l’audit ou du contrôle permanent de banques adhérentes, est co-animée par Dominique Godin, Directeur du contrôle et de la sécurité du Crédit Suisse France et Yves Theillet, Directeur administratif et financier de l’OCBF.

Le groupe de travail désigne l’un de ses membres dont la mission sera de superviser la rédaction du cahier des charges de l’audit, la consultation de cabinets de la place possédant les compétences requises et le choix du cabinet. Ce dernier, choisi parmi les réponses à l’appel d’offres sur la base d’une évaluation multicritères, est le plus approprié au dire du groupe à la réalisation de la mission d’audit. C’est pour cette raison que les trois audits ont été effectués par des cabinets différents. Au sein du groupe les banques échangent non seulement sur les référentiels de contrôle, mais également sur les coordonnées des cabinets spécialisés de la place.

La seconde phase consiste à proposer aux établissements potentiellement concernés par l’audit d’y participer effectivement dans le but de partager les coûts entre le plus grand nombre possible d’établissements. Le rôle de l’OCBF est ici primordial car il faut proposer l’audit aux directions générales des banques adhérentes pour lesquelles la mutualisation ne s’impose pas naturellement et qu’il convient de convaincre du bien fondé de la démarche. A contrario, pour quelques établissements, cette pratique est bien ancrée, certains ayant participé aux trois audits proposés. Il est important de souligner que le lancement d’un audit et de ses travaux préparatoires (première phase) n’a de sens qu’après avoir identifié un minimum de banques intéressées par cette mutualisation.

La troisième phase a pour objectif de faciliter la réalisation de l’audit, d’en suivre le déroulement, de demander d’éventuels approfondissements et d’en valider les résultats. Un comité de pilotage restreint est créé, il est l’interlocuteur privilégié du cabinet pendant la durée de l’audit et a pour objectif de faciliter l’entrée en relation avec les prestataires, dont la sensibilité aux obligations de la règlementation bancaire est variable. Le comité est composé de 5 à 6 directeurs du contrôle interne, l’un d’entre eux en dirige les travaux et l’OCBF en assure la logistique. Les représentants du cabinet ont pour interlocuteur privilégié le binôme composé d’un banquier expert du domaine à auditer et d’un représentant de l’OCBF.

Après trois années d’expérience, l’heure est venue de faire un premier bilan de cette pratique et d’en valoriser les avantages.

Pour les banques, ceux-ci sont nombreux :

  • échanges d’expériences dans le cadre de l’élaboration du cahier des charges de l’audit ;

  • connaissance des bonnes pratiques organisationnelles observées par les auditeurs avec garantie d’anonymat pour les banques concernées ;

  • mutualisation des coûts de réalisation de la mission ;

  • augmentation du périmètre d’audit couvert dans le plan d’audit annuel indépendamment de la taille de l’équipe d’audit interne, voire possibilité de bénéficier d’audit dans des domaines dans lesquels l’équipe d’audit interne n’a pas les compétences techniques ;

  • présentation mutualisée des résultats à l’ensemble des banques, mais présentations individuelles des points spécifiques relatifs à chaque banque aux directions générales et directions métiers concernées ;

  • meilleure couverture des obligations réglementaires.

Pour les prestataires audités, cette démarche diminue le nombre de missions d’audit externes, et permet une meilleure disponibilité des équipes internes pour se concentrer sur leur propre programme de contrôle interne. En outre, elle donne une meilleure connaissance des besoins et attentes des banques de petite taille, notamment en matière de reporting.

Les limites et contraintes des audits mutualisé

En revanche, il est certain que les trois missions d’audit réalisées ont demandé des efforts et de la disponibilité aux parties prenantes. Ainsi, à chaque mission, les directeurs du contrôle interne des banques ont dû consacrer du temps à la définition du cahier des charges de l’audit, au processus de sélection du cabinet, au suivi et à la validation des travaux réalisés. Ils ont également dû convaincre leurs directions générales du bien-fondé de la démarche et de son financement qui souvent doit être assuré hors budget. Le directeur pilote de la mission assume une charge réelle de supervision (facilitation, orientation, revue et finalisation) portant parfois sur plusieurs prestataires, nécessitant un engagement et des disponibilités fortes pendant toute l’exécution de la mission, en plus de ses responsabilités quotidiennes.

Les prestataires audités, eux, doivent accepter qu’un cabinet mandaté par ses clients vienne l’auditer et gérer la difficulté de réalisation d’une mission d’audit en cas de sous-traitance en cascade.

Une pratique restant à développer à grande échelle

Alors même que les audits mutualisés sont encore peu développés, ils recueillent une grande satisfaction des banques adhérentes de l’OCBF qui y ont recours. Il reste maintenant à déployer cette approche auprès d’un nombre de banques plus important et sur une plus grande diversité de thèmes, afin de capitaliser sur le succès des trois premières expériences.

Portrait - L’Office de Coordination Bancaire et Financière

Depuis 60 ans, l’Office de Coordination Bancaire et Financière (OCBF), association professionnelle indépendante ancrée dans la place financière, réunit des professionnels de la banque et de la finance notamment pour favoriser les échanges et les réflexions des directions générales. Une cellule de veille composée de permanents informe les adhérents et assure un appui logistique dans un environnement juridique et réglementaire en pleine mutation. L’OCBF compte à ce jour 135 établissements adhérents. Une structure OCBF-Services et Formation est plus particulièrement dédiée à la mutualisation de services communs.

Témoignage - Jean-Luc Masselin, Directeur Contrôle Permanent, ABN AMRO France

La Banque Neuflize OBC offre à ses clients un service de banque privée incluant les services bancaires traditionnels dont les chèques. Très orientée client, la banque s’appuie sur son groupe (ABN AMRO) et des prestataires spécialisés pour la production de certains services. La charge des audits induits est lourde et c’est avec intérêt que nous avons appuyé et participé aux offres d’audit mutualisé de l’OCBF.  Après avoir collaboré à la rédaction du cahier des charges, nous avons été choisis pour piloter l’audit mutualisé de prestataires chèques par le groupe de banques constitué par l’OCBF.

L’expérience s’est avérée intéressante et très économique. L’effet de mutualisation a ses contraintes, mais le cahier des charges est enrichi, chaque audit peut être approfondi et les auditeurs pertinents apportent expertise, rapidité d’exécution et confidentialité à la démarche. Les conclusions sont directement exploitables pour le rapport annuel, le référentiel de sécurité chèques et les destinataires internes et externes. Nos opérationnels chèques, sécurité générale et systèmes d’information, comme les prestataires eux-mêmes, ont apprécié le professionnalisme de l’audit ainsi que le caractère pragmatique des points levés.

En synthèse, nous avons apprécié de participer à une démarche innovante permettant pour un coût maîtrisé de contribuer significativement à la réalisation de nos objectifs de qualité et de conformité.

Témoignage - Adrien Rackelboom, Responsable de l’Audit Interne, Rothschild & Cie Banque

Rothschild & Cie Banque propose à ses clients une offre de banque privée couvrant notamment les moyens de paiement. Convaincu par l’intérêt de la démarche d’audit mutualisé, Rothschild & Cie Banque a été partie prenante aux trois premières missions, intégrant les différents groupes de pilotage.

Au-delà de l’intérêt règlementaire, la supervision et le contrôle de la qualité de la production des prestations externalisées doivent être des enjeux intégrés à la gestion des risques des banques. Mais l’élargissement du périmètre de contrôle exige des ressources supplémentaires parfois difficiles à mobiliser.

Les avantages de la démarche mutualisée sont multiples :

  • constituer un groupe d’établissements bancaires offrant l’avantage de convaincre plus facilement les prestataires d’accepter notre démarche d’audit ;

  • partager l’expérience et les connaissances des différents intervenants des banques participant à l’audit et construire ainsi un cahier des charges complet et de qualité ;

  • apporter les ressources nécessaires grâce à la gestion de la mission par un cabinet de conseil ; mettre en avant des risques identifiés à travers les faiblesses de son prestataire.

Cependant, cette démarche impose également des contraintes :

  • cette mutualisation oblige parfois à exclure du périmètre des travaux des particularismes de certaines banques participantes. Il faut donc mesurer le niveau de risque des points non couverts et les prendre en charge dans son propre plan d’audit ;

  • l est nécessaire d’anticiper la charge financière lors des phases budgétaires, celle-ci pouvant être bien en amont de l’engagement de la mission ;

  • enfin, il faut organiser l’audit de suite avec les banques participantes afin de vérifier la mise en œuvre effective des recommandations par le prestataire audité.

Globalement, l’audit mutualisé des prestations essentielles externalisées offre une excellente opportunité pour les établissements de petite et moyenne taille d’améliorer la couverture des risques liés à leurs activités.

bottom of page