Le contrôle permanent et l'audit interne bancaires entre indépendance et complémentarité

En 2005, les services de contrôle au sein des établissements bancaires furent sensiblement impactées par la publication d’un arrêté modifiant le règlement CRBF 97-02 alors pierre angulaire en matière d’obligations et d’organisation du contrôle interne. Ce virage réglementaire consacra un principe essentiel, à savoir la séparation des fonctions entre le contrôle permanent et le contrôle périodique, et exigea des entités assujetties la création d’un département de la conformité. En 2014, l’arrêté du 3 novembre de la même année remplace le règlement CRBF 97-02 pour transposer en droit français les prescriptions européennes relatives aux exigences de fonds propres. L’indépendance des fonctions de contrôle bancaires y est bien-sûr confirmée mais aussi confortée, avec la mise en place d’une filière risque désormais réclamée par les textes.

 

 

La réglementation, aussi précise soit-elle, n’empêche pas les débats à son propos, voire quelque fois la confusion dans les esprits quant à sa mise en œuvre. Concernant les fonctions de contrôle, c’est peut-être plus sur l’organisation du contrôle permanent, entre 1er niveau et 2nd niveau, que sur son indépendance à l’égard du contrôle périodique, que les marges d’interprétation ne sont pas épuisées. Le contrôle permanent et le contrôle périodique en effet coexistent selon une frontière tangible puisqu’il est interdit aux deux fonctions d’être présentes dans une seule et même direction. En l’occurrence, l’inspection générale d’une banque est placée directement sous la responsabilité de la direction générale, ou mieux de la présidence du Comité d’audit, le contrôle permanent de 2nd niveau étant quant à lui une composante de la direction des risques et le 1er niveau concernant l’ensemble des directions opérationnelles. Ainsi, cette organisation matérialise l’adage selon lequel le contrôle interne est l’affaire de tous !

 

 

Si les fonctions de contrôle permanent de 2nd niveau et périodique, cette dernière étant  également appelée audit interne, sont indépendantes, elles n’en sont pas moins complémentaires. Toutes deux s’inscrivent dans un même objectif : la maîtrise des risques. Le contrôle permanent de 2nd niveau a la charge de coordonner les contrôles mis en œuvre par les directions opérationnelles et de s’assurer de leur bonne exécution, d’identifier le cas échéant des actions correctives à réaliser pour lever des insuffisances détectées, de réaliser ses propres vérifications pour apporter une dimension transverse à un système de contrôle de 1er niveau qui par définition est parcellisé entre toutes les fonctions de l’entreprise. L’audit interne, lui, évalue la conformité, l’efficacité et l’efficience des dispositifs de couverture des risques. Il doit s’assurer à la fois que les contrôles prévus sont réalisés (conformité), que ceux-ci permettent l’identification d’anomalie et leur correction (efficacité), que les contrôles tant de 1er niveau que de 2nd niveau sont pertinents et adéquats par rapport aux risques qu’ils sont censés couvrir (efficience).

 

 

Sans indépendance l’audit interne existe très peu. Comment évaluer avec objectivité ce qui nous touche directement, de près comme de loin ? Garantir son indépendance ne signifie pas non plus la réclusion. La complémentarité est ce qui permet à l’audit interne d’être à la fois indépendant vis-à-vis des métiers audités sans leur être trop éloigné. S’agissant du contrôle permanent de 2nd niveau, c’est pour l’auditeur à la fois un interlocuteur privilégié et un point d’audit incontournable. Concrètement, l’audit interne a tout intérêt en début de chaque mission à s’entretenir avec le contrôle de 2nd niveau pour obtenir des informations sur l’activité auditée, les process à l’œuvre, les contrôles en place. Ces informations sont d’autant plus de qualité que la Direction des risques à laquelle appartient le contrôle permanent de 2nd niveau est également indépendante des directions opérationnelles auditées. Puis, l’auditeur interne évaluant l’ensemble des dispositifs de maîtrise des risques, ses investigations concernent également les travaux du contrôle permanent de 2nd niveau. Pour cette partie, il est plutôt requis de s’y consacrer en fin de mission une fois que les process et les contrôles de 1er niveau ont été  identifiés et examinés.

 

  

Les autorités de supervision sont très sensibles et regardantes sur la façon dont les établissements bancaires s’assurent que les fonctions de contrôle sont indépendantes. Les bonnes intentions formalisées dans des chartes et autres politiques ne suffisent pas au plein exercice de l’indépendance telle que prévue par les textes. Le contrôle permanent de 2nd niveau et l’audit interne doivent ainsi être les acteurs de leur propre indépendance, ceci nécessitant une complémentarité des fonctions qui dépasse le seul cadre de la conformité. 

 

 

Retour à l'accueil

Écrire commentaire

Commentaires: 1
  • #1

    HERVE Lyzia (mardi, 20 juin 2017 11:47)

    Bonjour

    Cet article précise très bien les attendus de l'organisation en matière de contrôle - notamment dans les grandes structures intégrant une activité bancaire -
    En phase de réorganisation régulière des structures - il est important de rappeler ces fondamentaux -
    Merci !!