par Chandara Ok | 16 Sep 2022 | Méthodes et outils de Conformité
Modèle indépendant dit « anglo-saxon » ou modèle intégré dit « français » : lequel adopter pour organiser les 3 niveaux de contrôle ? Quel est le plus efficace ? Quel est le plus conforme aux nouvelles exigences règlementaires ?
En matière de contrôle des risques et de conformité, la notion des « 3 niveaux de contrôle des risques » peut se comprendre selon deux lectures :
… et bien-sûr toutes les solutions intermédiaires.
Au-delà du débat purement sémantique, il s’agit en fait de de 2 philosophies différentes du contrôle interne avec des conséquences importantes en matière d’organisation et de pilotage. Par sa réglementation bancaire spécifique, la France est depuis longtemps un cas particulier, qu’est venu préciser par ailleurs le récent arrêté du 25/02/2021.
Alors, quelles différences entre ces deux modèles ? Existe-t-il un modèle plus efficace et plus conforme par rapport aux derniers textes ? Quelles sont les conditions pour passer de l’un à l’autre ?
SOMMAIRE
L’introduction dans le règlement français 97/02 en 2005 de la notion de ‘contrôle permanent distincte du contrôle périodique, avait suscité des interrogations quant aux conséquences pratiques.
L’apparition d’un second niveau de contrôle a remis en cause le rôle historique des métiers (de 1er niveau) et de l’audit (devenu 3ème niveau). Par la suite, les réformes Bâle II puis Bâle III ont introduit, sur le plan international, des concepts assez proches de celui en place en France sans toutefois être identiques.
Chacun des 3 niveaux est donc légitime à réaliser des contrôles … mais alors quels contrôles ? Les mêmes ? Des contrôles différents ? Dans quelles conditions ? …
La question est soulevée principalement au sein du contrôle permanent : quelle est l’articulation entre les fonctions clés de 2ème niveau et les métiers de 1er niveau ?
Et même si le problème est aujourd’hui moins fréquent, on observe encore, çà et là, des duplications de tâches entre les auditeurs du contrôle périodique et les fonctions en charge du contrôle permanent de 2ème niveau.
La première approche consiste à simplement répartir voire dupliquer les contrôles de risque entre les 3 groupes d’acteurs :
Le 1er niveau effectuant des contrôles fréquents et granulaires,
Le 2ème niveau des contrôles moins fréquents et moins granulaires,
Le 3ème niveau enfin effectuant des vérifications selon un plan d’audit triennal ou quadriennal.
En prenant une image dans le domaine militaire, la banque peut être représentée par la forteresse médiévale ci-dessous. Elle doit se défendre contre des risques qui l’entourent en se dotant de 3 murailles concentriques qui représentent les 3 niveaux de contrôle.
Source : Chandara OK pour l’ESBanque
Dans ce schéma, la banque s’organise pour repousser les risques selon une défense en ligne.
Source : Chandara OK pour l’ESBanque
Chaque acteur évalue ses risques, bâtit sa propre muraille et maintient sa ligne de défense contre les chocs de risque (flèches en orange). Certains de ces risques, avec une intensité identique ou atténuée, vont franchir la 1er ligne pour buter contre la 2ème ligne tenue par les fonctions clés de 2ème niveau. Celles-ci vont à leur tour essayer de capter ou d’atténuer ces risques … ; ainsi de suite jusqu’à la 3ème ligne.
Beaucoup de banques françaises ont adopté cette défense en ligne dans un premier temps, avant d’évoluer progressivement. Certaines continuent encore cette méthode aujourd’hui car elle est assez simple mais … est-elle efficace et surtout est-elle conforme par rapport aux exigences réglementaires ?
Cette approche est aussi celle auparavant favorisée dans le monde anglo-saxon et que la littérature technique désigne par le terme « 3 lines of defence ». Pour être totalement juste, ce « modèle anglo-saxon» a néanmoins évolué ces dernières années pour se rapprocher progressivement du modèle plus intégré évoqué plus loin, dans une position intermédiaire que l’on peut qualifier d’hybride.
A l’opposé du modèle précédent de défense sur 3 lignes, il s’agit ici d’une défense en profondeur, à partir d’une architecture et d’une organisation du contrôle interne unifiées.
Source : Chandara OK pour l’ESBanque
On peut considérer ici qu’il n’y a qu’une seule ligne de défense structurée avec 3 acteurs qui occupent des rôles différents mais complémentaires, les 2 premiers niveaux fonctionnant ensemble et formant le dispositif de contrôle permanent :
Pour rester dans l’image militaire, l’audit inspecte périodiquement les fondations et la solidité de la muraille ainsi que les moyens et la stratégie de défense mise en œuvre.
Dans cette logique, la fonction clé « audit » ne consiste donc pas à réaliser périodiquement des contrôles permanents.
Le 3ème niveau ne doit pas dupliquer ce que fait ou devrait faire le 2ème niveau, sous peine de gâcher les ressources et d’alourdir les activités. On peut identifier ce genre de dérive lorsqu’une mission d’audit est centrée sur des contrôles dits « sur la masse », c’est-à-dire portant sur le contrôle du 1er niveau. Elle devrait plutôt apprécier la façon dont le 2ème niveau organise et surveille le 1er niveau. C’est bien-sûr plus délicat et plus enrichissant que de simplement déployer des contrôles de type « check-list »
A cette question, l’analyse et la pratique de terrain dans une grande variété de structures bancaires conduisent à favoriser le modèle intégré.
En plein milieu de la pandémie du COVID, l’arrêté du 25/02/2021 vient confirmer ce choix en apportant les précisions suivantes quant au rôle des acteurs du contrôle interne :
Extraits de l’arrêté du 25/02/2021 :
«Les entreprises assujetties disposent, selon des modalités adaptées à leur taille, à la nature et à la complexité de leurs activités, de trois niveaux de contrôle distincts :
a) Le premier niveau de contrôle est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.
b) Le deuxième niveau de contrôle est assuré par des agents au niveau des services centraux et locaux, exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues…
c) Le troisième niveau de contrôle est assuré par la fonction d’audit interne composée d’agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième (…) »
Au-delà des seuls aspects réglementaires, le tableau ci-dessous synthétise les principaux avantages et inconvénients intrinsèques des deux modèles :
Source : Chandara OK pour l’ESBanque
Le modèle de défense en ligne présente surtout l’avantage de la facilité et de la rapidité de mise en œuvre, au détriment d’une certaine rigidité qui se révèle pénalisante dans le contexte actuel où tout évolue vite, tant du point de vue réglementaire que du contexte socio-économique.
A contrario, le modèle de défense intégrée est plus complexe à mettre en place. Il nécessite, pour bien faire, de (re)penser son dispositif de contrôle interne et de réussir à entraîner non seulement une adhésion large, mais aussi une discipline collective.
Il implique aussi une conviction et une volonté fortes des dirigeants et que l’on décline dans des politiques écrites précises : particulièrement une charte de contrôle interne décrivant clairement les obligations réciproques entre le 1er et le 2ème niveau.
Tous ces préalables, qui peuvent être perçus a priori comme des contraintes, sont aussi des opportunités pour harmoniser et faire évoluer son contrôle interne, parfois figé depuis longtemps.
Du point de vue réglementaire, l’arrêté du 25/02/2021 focalise la vigilance du 2ème niveau sur la qualité du 1er niveau et celle du 3ème niveau sur le dispositif de contrôle permanent dans son ensemble. Il évoque aussi l’interdépendance entre les 3 acteurs en vue d’une (seule) défense de la banque, ce qui milite pour le modèle intégré.
Le modèle de défense intégrée (« modèle français ») se révèle être le meilleur compromis et donc le choix à privilégier. Il est non seulement celui suggéré indirectement par l’arrêté du 25/02/2021, mais aussi, une fois les efforts initiaux consentis, la solution qui se révèle la plus performante et la plus souple.
Un autre avantage, et non des moindres, est qu’il oblige à une plus forte implication des dirigeants et à davantage de communication entre les équipes. La mise en œuvre d’une contrainte réglementaire converge alors vers un bénéfice opérationnel.
Pour les établissements encore dans le modèle « défense en ligne », il s’agirait donc de muter vers le « modèle intégré », tout en profitant de ce chantier pour lancer une mise à plat généralement salutaire. Pour ceux qui y sont déjà, ce dispositif doit continuer à évoluer avec des progrès continus.
Pour les filiales françaises de groupes étrangers, anglo-saxons ou non, cette doctrine du contrôle interne bancaire peut être parfois vue comme singulière, et même parfois ne pas être comprise. Cette situation conduit alors à de longs débats avec la maison-mère. La pratique de terrain montre néanmoins que le « modèle intégré » est généralement compatible avec des habitudes anglo-saxonnes plus proches du « modèle en ligne », à condition de fournir, çà et là, au groupe quelques travaux complémentaires.
Auteur
Chandara Ok
Conseil en gouvernance et maîtrise des risques, Intervenant-formateur pour le Cycle Expert Conformité de L’ESBanque
Rédaction WEB : JUST DEEP CONTENT
--------------------------------
p/o Virginie Gastine Menou
RISQUES ET VOUS
https://www.linkedin.com/company/risques-et-vous
✍🏼Proposer une offre de job : https://www.graces.community/recruteur
💈 Consulter les offres qui vous correspondent : https://www.graces.community/candidat
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.