Le contrôle permanent, facteur-clé de succès du dispositif de contrôle interne et de maîtrise des risques pour l’activité bancaire et assurantielle

Imposée par la réglementation, -arrêté du 3 novembre 2014 pour les établissements financiers et dispositions de Solvency 2 pour le secteur assurantiel - la mise en place d’un dispositif de contrôle permanent constitue en outre pour les entités de ces secteurs, un enjeu majeur de sécurisation et de compétitivité de leurs activités.

Le contrôle permanent

Cette exigence fait d’ailleurs l’objet de sanctions, prononcées contre certains Etablissements financiers : procédures non mises à jour, indépendance du chargé de contrôle de second niveau.

Qu’entend-on par contrôle permanent ?

Le contrôle permanent constitue l’une des briques incontournable d’un dispositif de contrôle interne. Ce niveau de contrôle comprend deux étages indissociables : le contrôle permanent de niveau 1 et le contrôle permanent de niveau 2. Le contrôle permanent interagit en totale complémentarité avec le contrôle périodique assuré traditionnellement par l’Inspection Générale ou l’Audit interne[1] .

Contrôle permanent : une mission et un rôle bien délimités

Une mission qui s’exerce à 2 niveaux

La mission principale du contrôle permanent selon la réglementation est de « s’assurer de la conformité, de la sécurité et de la validation des opérations réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques » (article 13 de l’arrêté du 3/11/2014). Cette mission s’effectue aux 2 niveaux du dispositif de contrôle permanent.  Concrètement :

  • le contrôle permanent de niveau 1 recense les contrôles réalisés par les opérationnels au fil de l’eau complété par les contrôles de leur hiérarchie. Ces contrôles peuvent selon les établissements être centralisés dans une cellule dédiée, déchargeant ainsi, les opérationnels de ces tâches de contrôle. L’objectif visé est de professionnaliser la filière.
  • le contrôle permanent de niveau 2 comprend des « agents, au niveau des services centraux et locaux, exclusivement dédiés à cette fonction » (article 13 de l’arrêté du 3/11/2014), totalement indépendant du niveau 1 (Art 14 dudit arrêté). La mission dévolue à ce niveau de contrôle est d’une part de s’assurer de la fiabilité des contrôles réalisés par le niveau 1 mais également de diligenter ses propres contrôles. 

…et un rôle du contrôle permanent également bien défini

Le rôle principal dévolu au contrôle permanent s’analyse selon deux axes :

  • le premier est d’assurer un fonctionnement central du dispositif de contrôle interne les plus efficace et efficient possibles. Ainsi, les 2 niveaux du contrôle permanent interagissent afin de s’assurer que les opérations réalisées par les opérationnels au fil de l’eau soient le plus sécurisées possibles ;
  • le second est d’informer les organes de gouvernance des résultats des contrôles réalisés et de faire valider outre le plan de contrôle annuel, les plans de remédiations aux dysfonctionnements relevés.

Le Contrôle Permanent, acteur incontournable de la gestion et de la maitrise des risques

L’approche par les risques, une démarche devenue évidente…

L’approche les risques se matérialise par une démarche itérative structurée. Elle permet d’établir une (ou plusieurs) cartographie des risques. Cette dernière peut s’analyser comme une analyse prospective permettant d’identifier les différentes situations de risques (crédit, non-conformité, opérationnels…) susceptibles d’impacter les activités de l’établissement.

Le point de départ consiste à identifier les différents processus métiers de l’entreprise. Une fois, cette étape réalisée, il s’agit de déterminer les différents risques susceptibles de venir atténuer l’efficacité et l’efficience des processus en place. L’identification des risques se réalisent généralement d’une part à l’aune de l’expérience des opérationnels mais également de manière prospective (avancées technologiques, sanctions…) par les différents acteurs du contrôle. Les risques sont alors évalués à partir de leur fréquence et de leur impact.

Différentes méthodes permettent de déterminer les conséquences de survenance (financières, retard opérationnel, image ou réputation…).

Focus sur le Dispositif de Maîtrise des Risques (DMR)

Une fois ces étapes réalisées, il va s’agir d’évaluer le Dispositif de Maitrise des Risques (DMR) en place. Le DMR permet de prévenir et de gérer les risques auxquels sont confrontés les établissements financiers. La quantification de l’efficacité de ce dispositif constitue la principale difficulté à surmonter. En effet, comment évaluer l’efficacité d’une procédure, d’une politique de séparation des tâches… Là aussi, diverses méthodes font légion. Toutefois, aucune ne s’est imposée comme la Méthode à appliquer. Pour autant, la bonne approche du DMR s’avère comme incontournable car son appréciation va permettre de déterminer le risque résiduel à couvrir.

Au final, la réalisation d’une cartographie des risques s’avère un pré requis pour l’approche par les risques afin de pouvoir mettre en place une stratégie de prévention, atténuation voire suppression des risques identifiés.

…afin de définir des actions de prévention et de détection des risques les plus ciblées possibles

Une fois la cartographie des risques réalisée, il convient de s’interroger sur la stratégie la plus pertinente à mettre en place pour couvrir le (ou les) risque (s) résiduel[2](s). Plusieurs solutions sont  alors envisageables :

  • Accepter le risque (surveillance de l’évolution du risque) ;
  • Prévenir le risque (Identification et analyse des causes de risques)
  • Diminuer les conséquences du risque (identification des dysfonctionnements majeurs) ;

D’une manière générale, il conviendra d’établir un plan de contrôle annuel portant sur les risques prioritaires. Ce plan de contrôle a pour objectif de vérifier la réalité et l’efficacité des éléments du DMR mis en place par rapport aux risques identifiés.  Les contrôles peuvent être réalisés par des acteurs internes aux processus, ou des personnes indépendantes. Concrètement des plans de contrôle de niveau 1 et de niveau 2 pourront être définis. Conformément aux 3 objectifs du contrôle interne, les plans de contrôle peuvent porter sur :

  • Les produits ou le respect des processus
  • Les informations (comptables et financières) issues des processus
  • Le respect de la règlementation…

En conclusion, la démarche Processus Métier-Risques-Contrôles – PRC– s’impose aujourd’hui comme la démarche à appliquer dans une optique de rationalisation des contrôles, le tout dans un souci de sécurisation du Produit Net Bancaire – PNB. Toutefois, il ne faut pas occulter les avancées technologiques notamment le Data Mining. Ainsi, il sera possible très rapidement de  traiter et de croiser un nombre de données très important pour cibler de manière quasi chirurgicale le périmètre des contrôles. Ceci devrait permettre également de :

  • Piloter très précisément le dispositif grâce à une planification et un suivi des contrôles intégrés,
  • Exploiter les résultats de contrôles les plus pertinents,
  • Et de mettre en place en temps réel des reportings adaptés.

Au total, le métier de contrôleur permanent devrait évoluer d’actions de contrôle à réaliser vers des tâches d’analyse et de  pilotage très poussées. La mise en place d’un dispositif de contrôle permanent avec de tels outils très sophistiqués deviendrait presque un jeu.


[1] Appellation différente selon les établissements mais dont les missions sont identiques selon la définition de  l’institute of internal auditors (IIA), l’audit interne « est une activité indépendante et objective qui donne à une organisation une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à créer de la valeur ajoutée ».

[2] Par exemple, identifier les dysfonctionnements et les erreurs, les failles des systèmes d’information, déceler des schémas de fraude dont les risques liés à l’externalisation de prestations essentielles.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *