3 Niveaux de contrôle : quel modèle adopter et comment être conforme à l’arrêté du 25/02/2021 ?

par Chandara Ok | 16 Sep 2022 | Méthodes et outils de Conformité

‍

‍

Modèle indépendant dit « anglo-saxon » ou modèle intégré dit « français » : lequel adopter pour organiser les 3 niveaux de contrôle ? Quel est le plus efficace ? Quel est le plus conforme aux nouvelles exigences règlementaires ?

En matière de contrôle des risques et de conformité, la notion des « 3 niveaux de contrôle des risques » peut se comprendre selon deux lectures :

• soit un modèle avec 3 lignes de contrôle assurées par 3 acteurs de façon indépendante, souvent appliqué dans le monde anglo-saxon, que l’on appelle aussi « modèle anglo-saxon » pour simplifier.
• ou bien un modèle avec un contrôle homogène plus intégré dans lequel 3 acteurs y occupent chacun un rôle complémentaire, que l’on trouve assez souvent en France, que l’on peut désigner de « modèle français » ou modèle intégré.

… et bien-sûr toutes les solutions intermédiaires.

Au-delà du débat purement sémantique, il s’agit en fait de de 2 philosophies différentes du contrôle interne avec des conséquences importantes en matière d’organisation et de pilotage. Par sa réglementation bancaire spécifique, la France est depuis longtemps un cas particulier, qu’est venu préciser par ailleurs le récent arrêté du 25/02/2021.

Alors, quelles différences entre ces deux modèles ? Existe-t-il un modèle plus efficace et plus conforme par rapport aux derniers textes ? Quelles sont les conditions pour passer de l’un à l’autre ?

SOMMAIRE

• Modèle anglo-saxon ou modèle intégré : un choix portant sur la philosophie et l’organisation du contrôle interne
• Quel modèle est plus efficace et permet d’être en conformité avec la réglementation ?

Modèle anglo-saxon ou modèle intégré : un choix portant sur la philosophie et l’organisation du contrôle interne

L’introduction dans le règlement français 97/02 en 2005 de la notion de ‘contrôle permanent distincte du contrôle périodique, avait suscité des interrogations quant aux conséquences pratiques.

L’apparition d’un second niveau de contrôle a remis en cause le rôle historique des métiers (de 1er niveau) et de l’audit (devenu 3ème niveau).  Par la suite, les réformes Bâle II puis Bâle III ont introduit, sur le plan international, des concepts assez proches de celui en place en France sans toutefois être identiques.

Chacun des 3 niveaux est donc légitime à réaliser des contrôles … mais alors quels contrôles ? Les mêmes ? Des contrôles différents ? Dans quelles conditions ? …

La question est soulevée principalement au sein du contrôle permanent : quelle est l’articulation entre les fonctions clés de 2ème niveau et les métiers de 1er niveau ?

Et même si le problème est aujourd’hui moins fréquent, on observe encore, çà et là, des duplications de tâches entre les auditeurs du contrôle périodique et les fonctions en charge du contrôle permanent de 2ème niveau.

La défense en ligne ou « modèle anglo-saxon »

La première approche consiste à simplement répartir voire dupliquer les contrôles de risque entre les 3 groupes d’acteurs :

Le 1er niveau effectuant des contrôles fréquents et granulaires,

Le 2ème niveau des contrôles moins fréquents et moins granulaires,

Le 3ème niveau enfin effectuant des vérifications selon un plan d’audit triennal ou quadriennal.

En prenant une image dans le domaine militaire, la banque peut être représentée par la forteresse médiévale ci-dessous. Elle doit se défendre contre des risques qui l’entourent en se dotant de 3 murailles concentriques qui représentent les 3 niveaux de contrôle.

Source : Chandara OK pour l’ESBanque

‍

Dans ce schéma, la banque s’organise pour repousser les risques selon une défense en ligne.

Source : Chandara OK pour l’ESBanque

‍

Chaque acteur évalue ses risques, bâtit sa propre muraille et maintient sa ligne de défense contre les chocs de risque (flèches en orange). Certains de ces risques, avec une intensité identique ou atténuée, vont franchir la 1er ligne pour buter contre la 2ème ligne tenue par les fonctions clés de 2ème niveau. Celles-ci vont à leur tour essayer de capter ou d’atténuer ces risques … ; ainsi de suite jusqu’à la 3ème ligne.

Beaucoup de banques françaises ont adopté cette défense en ligne dans un premier temps, avant d’évoluer progressivement. Certaines continuent encore cette méthode aujourd’hui car elle est assez simple mais … est-elle efficace et surtout est-elle conforme par rapport aux exigences réglementaires ?

Cette approche est aussi celle auparavant favorisée dans le monde anglo-saxon et que la littérature technique désigne par le terme « 3 lines of defence ». Pour être totalement juste, ce « modèle anglo-saxon» a néanmoins évolué ces dernières années pour se rapprocher progressivement du modèle plus intégré évoqué plus loin, dans une position intermédiaire que l’on peut qualifier d’hybride.

Le modèle intégré ou « modèle français »

A l’opposé du modèle précédent de défense sur 3 lignes, il s’agit ici d’une défense en profondeur, à partir d’une architecture et d’une organisation du contrôle interne unifiées.

Source : Chandara OK pour l’ESBanque

‍

On peut considérer ici qu’il n’y a qu’une seule ligne de défense structurée avec 3 acteurs qui occupent des rôles différents mais complémentaires, les 2 premiers niveaux fonctionnant ensemble et formant le dispositif de contrôle permanent :

• En 1er niveau : des métiers qui assurent la défense sur le terrain (contrôle permanent de 1er niveau), chacun dans son secteur d’activité avec ses spécificités propres mais en respectant des règles structurantes communes dont le 2ème niveau en est le gardien.

• En 2ème niveau: des fonctions clés dotées d’équipes spécialisées (assurant un contrôle permanent de 2ème niveau) moins nombreuses, chargées de piloter les risques dont elles ont la charge. Leur rôle est donc essentiellement tourné vers le 1er niveau. Il comporte deux aspects :
• veiller au bon fonction du contrôle permanent de 1er niveau, au regard des politiques en vigueur et des modalités auparavant convenues avec les  métiers (profilage des risques, choix des points de contrôle, formalisme, restitution des contrôles…). Cette vigilance repose notamment sur un exercice conjoint de la cartographie des risques, une vérification de la qualité des contrôles permanents de 1er niveau (« contrôle de contrôle ») et complétée par d’autres contrôles ciblés.
• assurer des travaux complémentaires permettant un pilotage plus complet des risques, tels que : la revue des incidents, la consolidation et l’analyse des risques ainsi que les reportings vers les décideurs ou les pouvoirs publics …

• En 3ème niveau : la fonction clé « audit » assure le contrôle périodique de l’ensemble, c’est-à-dire :
• l’existence, la conformité, le fonctionnement et la qualité de l’ensemble de dispositif de contrôle permanent selon les politiques de l’entreprise
• ainsi que, le cas échéant, des règles de la maison-mère.

Pour rester dans l’image militaire, l’audit inspecte périodiquement les fondations et la solidité de la muraille ainsi que les moyens et la stratégie de défense mise en œuvre.

Dans cette logique, la fonction clé « audit » ne consiste donc pas à réaliser périodiquement des contrôles permanents.

Le 3ème niveau ne doit pas dupliquer ce que fait ou devrait faire le 2ème niveau, sous peine de gâcher les ressources et d’alourdir les activités. On peut identifier ce genre de dérive lorsqu’une mission d’audit est centrée sur des contrôles dits « sur la masse », c’est-à-dire portant sur le contrôle du 1er niveau. Elle devrait plutôt apprécier la façon dont le 2ème niveau organise et surveille le 1er niveau. C’est bien-sûr plus délicat et plus enrichissant que de simplement déployer des contrôles de type « check-list »

Quel modèle est plus efficace et permet d’être en conformité avec la réglementation ?

A cette question, l’analyse et la pratique de terrain dans une grande variété de structures bancaires conduisent à favoriser le modèle intégré.

En plein milieu de la pandémie du COVID, l’arrêté du 25/02/2021 vient confirmer ce choix en apportant les précisions suivantes quant au rôle des acteurs du contrôle interne :

Extraits de l’arrêté du 25/02/2021 :

«Les entreprises assujetties disposent, selon des modalités adaptées à leur taille, à la nature et à la complexité de leurs activités, de trois niveaux de contrôle distincts :

a) Le premier niveau de contrôle est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.

b) Le deuxième niveau de contrôle est assuré par des agents au niveau des services centraux et locaux, exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues…

c) Le troisième niveau de contrôle est assuré par la fonction d’audit interne composée d’agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième (…) »

Au-delà des seuls aspects réglementaires, le tableau ci-dessous synthétise les principaux avantages et inconvénients intrinsèques des deux modèles :

Source : Chandara OK pour l’ESBanque

‍

Le modèle de défense en ligne présente surtout l’avantage de la facilité et de la rapidité de mise en œuvre, au détriment d’une certaine rigidité qui se révèle pénalisante dans le contexte actuel où tout évolue vite, tant du point de vue réglementaire que du contexte socio-économique.

A contrario, le modèle de défense intégrée est plus complexe à mettre en place. Il nécessite, pour bien faire, de (re)penser son dispositif de contrôle interne et de réussir à entraîner non seulement une adhésion large, mais aussi une discipline collective.

Il implique aussi une conviction et une volonté fortes des dirigeants et que l’on décline dans des politiques écrites précises : particulièrement une charte de contrôle interne décrivant clairement les obligations réciproques entre le 1er et le 2ème niveau.

Tous ces préalables, qui peuvent être perçus a priori comme des contraintes, sont aussi des opportunités pour harmoniser et faire évoluer son contrôle interne, parfois figé depuis longtemps.

Du point de vue réglementaire, l’arrêté du 25/02/2021 focalise la vigilance du 2ème niveau sur la qualité du 1er niveau et celle du 3ème niveau sur le dispositif de contrôle permanent dans son ensemble. Il évoque aussi l’interdépendance entre les 3 acteurs en vue d’une (seule) défense de la banque, ce qui milite pour le modèle intégré.

Le modèle de défense intégrée (« modèle français ») se révèle être le meilleur compromis et donc le choix à privilégier. Il est non seulement celui suggéré indirectement par l’arrêté du 25/02/2021, mais aussi, une fois les efforts initiaux consentis, la solution qui se révèle la plus performante et la plus souple.

Un autre avantage, et non des moindres, est qu’il oblige à une plus forte implication des dirigeants et à davantage de communication entre les équipes. La mise en œuvre d’une contrainte réglementaire converge alors vers un bénéfice opérationnel.

Pour les établissements encore dans le modèle « défense en ligne », il s’agirait donc de muter vers le « modèle intégré », tout en profitant de ce chantier pour lancer une mise à plat généralement salutaire. Pour ceux qui y sont déjà, ce dispositif doit continuer à évoluer avec des progrès continus.

Pour les filiales françaises de groupes étrangers, anglo-saxons ou non, cette doctrine du contrôle interne bancaire peut être parfois vue comme singulière, et même parfois ne pas être comprise. Cette situation conduit alors à de longs débats avec la maison-mère. La pratique de terrain montre néanmoins que le « modèle intégré » est généralement compatible avec des habitudes anglo-saxonnes plus proches du « modèle en ligne », à condition de fournir, çà et là, au groupe quelques travaux complémentaires.

Auteur
Chandara Ok

Conseil en gouvernance et maîtrise des risques, Intervenant-formateur pour le Cycle Expert Conformité de L’ESBanque

Rédaction WEB : JUST DEEP CONTENT

‍

--------------------------------

p/o Virginie Gastine Menou

RISQUES ET VOUS

http://www.risquesetvous.fr/

https://www.linkedin.com/company/risques-et-vous

✍🏼Proposer une offre de job : https://www.graces.community/recruteur

💈 Consulter les offres qui vous correspondent : https://www.graces.community/candidat

‍