ACPR : Des obligations nouvelles pour le secteur bancaire en matière de contrôle interne

À compter du 28 juin 2021, de nouvelles obligations en matière de contrôle interne s’appliquent au secteur bancaire (révision de l’arrêté du 3 novembre 2014).

De nouvelles dispositions relatives à la gestion du risque informatique

• Le nouvel arrêté contient de nouvelles exigences en matière de gestion du risque informatique. Ces dernières renvoient à la stratégie et aux ressources informatiques, au bon fonctionnement des opérations et à la gestion des changements informatiques. L’arrêté est par ailleurs également plus complet sur la gestion de la sécurité informatique, de même que sur le rôle des différents niveaux de contrôle interne concernant la gestion de ce risque spécifique.
• En parallèle, les dispositions relatives à la continuité d’activité ont aussi été révisées et complétées, pour mieux mettre en avant les différentes actions à mener pour garantir cette continuité.

De nouvelles obligations en matière de gouvernance et de contrôle interne

• La révision de l’arrêté permet de transposer certaines dispositions de CRD 5 relatives aux rémunérations applicables depuis le 29 décembre 2020 et à compter du 26 juin 2021 pour les entreprises d’investissement.
• Elle introduit des obligations nouvelles concernant la capacité des établissements à agréger leurs données relatives aux risques conformément aux principes du Comité de Bâle sur le contrôle bancaire (BCBS 239). Ces principes – exactitude, exhaustivité, intégrité des données notamment - ont pour but d’améliorer la gestion des risques et la prise de décision au sein des banques.
• En cas d’externalisation de prestations de services par les établissements, les modalités d’information de l’ACPR sont revues et ces derniers sont désormais tenus d’élaborer un registre recensant de manière exhaustive leurs dispositifs d’externalisation.
• Autre évolution, les cycles d’audit interne devront avoir une fréquence minimale de cinq ans et être proportionnés aux risques identifiés.
• S’agissant de la politique de validation des nouveaux produits, les rôles respectifs de la fonction de gestion des risques et de la fonction de vérification de la conformité dans l’analyse et l’évaluation ex-ante des risques associés aux opérations liées aux nouveaux produits ou changements significatifs, sont étendus.
• En outre, les établissements doivent établir des procédures encadrant la désignation et la révocation du responsable de la fonction de vérification de la conformité et du responsable de la fonction d’audit interne.
• Par ailleurs, le texte précise les types de conflits d’intérêts devant être gérés par les établissements, en distinguant d’une part, les conflits au niveau de l’établissement, d’autre part, les conflits entre les intérêts privés du personnel et ceux de l’établissement.
• Enfin, certaines notions ont été clarifiées et notamment la structuration des dispositifs de contrôle interne selon trois niveaux de contrôle. Elle précise désormais clairement l’articulation entre les fonctions de contrôle interne (gestion des risques, vérification de la conformité, audit interne) et les notions de contrôle permanent et périodique.

Une évolution importante de l’environnement réglementaire

L’arrêté du 3 novembre 2014 relatif au contrôle interne vient d’être révisé. Il comprend des dispositions nouvelles qui contribuent à la transposition des dispositions de la directive CRD 5 en matière de rémunérations, assurer ou consolider la conformité du cadre français aux orientations de l’Autorité bancaire européenne (ABE) relatives respectivement à l’externalisation, à la gouvernance interne et à la gestion du risque informatique (EBA/GL/2019/04), ou mieux articuler certaines de ses dispositions.

Un nouvel arrêté « trans-sectoriel », commun au secteur de la banque, des établissements de paiement, des services d’investissement ainsi que de l’assurance, relatif au dispositif et au contrôle interne en matière de lutte contre le blanchiment et le financement du terrorisme et de gel des avoirs et d'interdiction de mise à disposition ou d'utilisation des fonds ou ressources économiques avait au préalable été adopté le 6 janvier 2021.Du fait de ce nouveau texte, les dispositions relatives à la LCBFT qui figuraient jusque-là dans l’arrêté du 3 novembre 2014 ont été abrogées.

p/o Virginie Gastine Menou

RISQUES ET VOUS

✍🏼 Proposer une offre de job : 

💈 Consulter les offres qui vous correspondent :