L’arrêté du 3 novembre 2014 relatif au contrôle interne requiert la mise en œuvre d’un dispositif de contrôle dans les établissements bancaires, pour garantir leur conformité à la réglementation en vigueur. Parmi les risques expressément cités par l’arrêté, on retrouve les mesures prudentielles désormais largement encadrées par les ratios réglementaires, les exigences sur l’information comptable et financière et leur mécanisme d’audit, le suivi des rémunérations, ou les attentes – récemment renforcées – de lutte contre le blanchiment et le financement du terrorisme. Néanmoins, pour assurer une conformité globale et un contrôle d’ensemble comme le suggèrent les dispositions générales, il y a beaucoup d’autres risques à éviter et de textes à respecter.
L’exercice pour les risques non explicitement caractérisés dans l’arrêté est plus compliqué car les points de contrôle se font plus diffus : il y a moins de repères réglementaires. En effet, si les directives des régulateurs peuvent sembler pesantes en supervision prudentielle ou pour la lutte antiblanchiment, elles ont l’avantage de paver le chemin de bonnes pratiques, d’exigences incontournables et de reporting détaillés, qui cadrent le dispositif de contrôle.
De la théorie à la pratique
Les équipes de conformité et contrôle interne disposent d’outils bien connus pour couvrir l’ensemble de l’activité. Il y a d’abord la cartographie des processus, sur laquelle s’appuie celle des risques. Ces derniers sont mesurés, en fréquence et criticité, classifiés et soumis à des plans d’actions et de contrôle, pour les réduire d’abord, pour maîtriser les impacts résiduels ensuite. Les meilleurs établissements mettent en place des tableaux de bord et des revues pour suivre l’efficacité du dispositif. Si la démarche théorique est ainsi décrite, la mise en œuvre reste toujours un challenge.
Une première difficulté consiste à s’adapter à une conjoncture qui évolue. L’activité bancaire, en ces temps de crise, s’adapte, se réinvente, dans les produits comme dans les modes de commercialisation. Elle s’écarte du modèle traditionnel basé d’abord sur la performance du bilan pour intégrer toujours plus de revenus issus du compte de résultat. Ensuite, la réglementation évolue à un rythme soutenu, pour un nombre exponentiel de règles édictées par des régulateurs nationaux et désormais aussi européens. Enfin, avec la complexité de l’activité et des réglementations, les exigences à respecter sont devenues transverses, impactant plusieurs processus et mobilisant des intervenants de nombreux départements. Il en résulte des dispositifs de contrôle interne souvent compliqués, parfois dépassés.
Une nouvelle approche, centrée sur les données
Longtemps, le focus a été mis sur les points de contrôle et la traçabilité de leur réalisation dans le cours de l’action. La cartographie, outil majeur du service conformité cité plus haut, traduit cet état d’esprit, en positionnant les risques et contrôles dans l’organisation. Si le secteur de l’industrie a également recours à la pratique, on y observe désormais aussi une approche centrée sur les données, offrant une vision plus intégrée. Il s’agit de construire une base de données reprenant l’ensemble des exigences réglementaires, pour les adresser aux différentes équipes qui les mettent en œuvre. Les contrôles sont alors exprimés au regard de chaque exigence, ainsi que leurs résultats, qu’ils soient mesurés dans le cours de l’action ou en dehors de celui-ci (voir Encadré).
La base de données peut être utilisée de diverses manières. Tout d’abord, elle donne accès à la réglementation, découpée en exigences mesurables, portée à la connaissance des équipes opérationnelles de façon ciblée et personnalisée. Cela redonne du savoir : chacun peut appliquer la règle avec intelligence, plutôt qu’un contrôle dont on ne connaît pas la raison. En outre, en déroulant l’historique des textes, les évolutions à prendre en compte pour être à jour apparaissent plus nettement. Mais surtout, la base associe directement chaque contrôle, puis l’historique des vérifications, aux règles exprimées. Ainsi, entre la règle et la preuve, il n’y a pas la rupture de transversalité dont souffre la méthode de la cartographie, surtout quand sa rédaction est confiée à des sachants qui ne peuvent être toujours présents pour l’expliquer dans l’activité au quotidien. Le lien avec le processus se fait naturellement : la vérification est programmée directement par l’opérateur, sinon par un observateur, à un instant donné dans l’activité. La mesure de risque résiduel, si elle ne découle pas directement de l’analyse de l’exigence, peut résulter d’une revue des résultats de vérification, et des écarts mesurés. Ainsi, pour l’audit ou la restitution, la base d’exigences, de contrôles et de preuves intègre toutes les données nécessaires.
![[Web Only] Tarifs bancaires : les banques amortissent l’inflation](http://www.revue-banque.fr/binrepository/480x320/0c0/0d0/none/9739565/MEBW/gettyimages-968963256-frais-bancaires_221-3514277_20240417171729.jpg "[Web Only] Tarifs bancaires : les banques amortissent l’inflation")
