Rapport sur le contrôle interne – 2014
Annexe à la lettre du Secrétaire général de l’Autorité de contrôle prudentiel et de résolution
à la Directrice générale de l’Association française des établissements de crédit et des entreprises d’investissement
Novembre 2014
Rapport sur le contrôle interne
(Rapport établi en application des articles 42, 43 et 43-1
du règlement n°97-02 du Comité de la réglementation bancaire et financière)
Sommaire
Préambule
Ce rapport a pour objet de rendre compte de l’activité du contrôle interne au cours de l’exercice écoulé et de retracer les dispositifs de mesure, de surveillance, d’encadrement des risques auxquels l’établissement est exposé et de diffusion d’information à leur sujet.
Les éléments ci-après mentionnés le sont à titre indicatif dans la mesure où ils s’avèrent pertinents au vu de l’activité et de l’organisation de l’établissement. Ils sont complétés par toute autre information de nature à permettre une appréciation du fonctionnement du système de contrôle interne et une évaluation des risques effectifs de l’établissement.
Compte tenu de l’entrée en vigueur en fin d’année de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR, les établissements assujettis peuvent, pour la dernière fois au titre de l’exercice 2014, produire leurs rapports de contrôle interne conformément aux dispositions du règlement du Comité de la règlementation bancaire et financière n° 97-02, qui est abrogé par l’arrêté susmentionné. Par conséquent, les références données ci-après sont celles du règlement CRBF n° 97-02.
Le présent document s’appuie sur une version « fusionnée » des rapports établis en application des articles 42, 43 et 43-1 du règlement n° 97-02. Toutefois, les établissements qui le souhaitent peuvent continuer de remettre des rapports distincts dès lors que ces derniers couvrent l’ensemble des éléments mentionnés ci-après.
Les derniers documents transmis à l’organe de surveillance et, le cas échéant, au comité des risques sur la mesure des risques auxquels l’établissement est exposé doivent être inclus dans le présent rapport (tableaux de bord internes).
Par ailleurs, il est précisé que les documents examinés par l’organe de surveillance dans le cadre de l’examen de l’activité et des résultats du contrôle interne, en application du dernier alinéa de l’article 39 du règlement n° 97-02, doivent être adressés au Secrétariat général de l’Autorité de contrôle prudentiel et de résolution (SGACPR) sans attendre les extraits des procès-verbaux des réunions au cours desquelles ils sont examinés et qui doivent également être transmis au SGACPR dès qu’ils sont disponibles.
N.B. : lorsque l’établissement fait l’objet d’une surveillance sur une base consolidée et/ou d’une surveillance complémentaire au titre des conglomérats financiers, les rapports sur le contrôle interne comprennent une information relative aux conditions dans lesquelles le contrôle interne est assuré au niveau de l’ensemble du groupe et/ou du conglomérat. Lorsque le dispositif de contrôle interne d’une filiale est totalement intégré au dispositif du groupe, il n’est pas nécessaire de remettre un rapport relatif à l’organisation du contrôle interne pour cette filiale. En revanche les dispositifs de mesure, de surveillance et d’encadrement des risques doivent être exposés pour chaque établissement assujetti.
Présentation générale des activités exercées et des risques encourus
par l’établissement
Description des activités :
description synthétique des activités exercées ;
pour les nouvelles activités :
description détaillée des nouvelles activités exercées par l’établissement au cours du dernier exercice (par métiers et/ou zones géographiques et/ou filiales…),
présentation des procédures définies pour ces nouvelles activités,
description du contrôle interne des nouvelles activités ;
description des changements organisationnels ou humains importants et des projets significatifs lancés ou menés au cours du dernier exercice.
1.2. Présentation des principaux risques générés par les activités exercées par l’établissement :
description, formalisation et mise à jour de la cartographie des risques ;
description des actions mises en œuvre sur les risques identifiés par la cartographie ;
présentation des informations quantitatives et qualitatives des risques présentés dans les états de synthèse transmises aux dirigeants effectifs, à l’organe de surveillance, et le cas échéant au comité des risques et au comité ad hoc permettant d’expliciter la portée des mesures utilisées pour évaluer le niveau des risques encourus et fixer les limites (article 37 du règlement n° 97-02).
Modifications significatives apportées à l’organisation du dispositif
de contrôle interne
Lorsque l’organisation du dispositif de contrôle interne ne présente pas de changements significatifs, elle peut être présentée de manière synthétique dans une annexe ou en communiquant la charte de contrôle interne en vigueur.
Nota bene : Pour l’exercice 2014, cette partie devra notamment inclure une description des adaptations prises ou à entreprendre par l’établissement pour se mettre en conformité avec les nouvelles dispositions introduites par la transposition de la directive CRDIV et par l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR.
2.1. Au dispositif de contrôle permanent (y compris l’organisation du contrôle de l’activité
à l’étranger et des activités externalisées) :
description des changements significatifs dans l’organisation du dispositif de contrôle permanent (y compris les principales actions projetées dans le domaine du contrôle permanent article 42-1 f) du règlement n° 97-02) : préciser notamment l’identité, le rattachement hiérarchique et fonctionnel du responsable de contrôle permanent ainsi que les autres fonctions éventuellement exercées par ce dernier au sein de l’établissement ou au sein d’autres entités du même groupe ;
description des changements significatifs dans l’organisation du dispositif de contrôle de la conformité : préciser notamment l’identité, le rattachement hiérarchique et fonctionnel du responsable de la conformité ainsi que les autres fonctions éventuellement exercées par ce dernier au sein de l’établissement ou au sein d’autres entités du même groupe ;
description des changements significatifs dans l’organisation du dispositif de lutte contre le blanchiment des capitaux et le financement du terrorisme – LCB/FT ;
description des changements significatifs dans l’organisation de la fonction de gestion des risques : préciser notamment l’identité, le positionnement hiérarchique et fonctionnel du responsable de la fonction de gestion des risques ainsi que les autres fonctions éventuellement exercées par ce dernier au sein de l’établissement ou au sein d’autres entités du même groupe.
2.2. Au dispositif de contrôle périodique (y compris l’organisation du contrôle de l’activité
à l’étranger et des activités externalisées) :
identification, rattachement hiérarchique et fonctionnel du responsable de contrôle périodique ;
principales actions projetées dans le domaine du contrôle périodique (plan d’audit… article 42-1 f) du règlement n° 97-02).
Gouvernance
Nota bene : Pour l’exercice 2014, cette partie devra notamment inclure une description des adaptations prises ou à entreprendre par l’établissement pour se mettre en conformité avec les nouvelles dispositions introduites par la transposition de la directive et par l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR.
3.1. Implication des organes dirigeants dans le contrôle interne
3.1.1. Modalités d’information de l’organe de surveillance :
modalités d’information de l’organe de surveillance sur les mesures prises pour assurer le contrôle des activités externalisées et des risques en résultant (cf. article 39 c) du règlement n° 97-02) ;
modalités d’information de l’organe délibérant des conditions dans lesquelles les limites fixées sont respectées, lorsqu’il n’est pas associé à la fixation de ces limites (cf. article 39 6e alinéa du règlement n° 97-02) ;
modalités d’information de l’organe de surveillance, de l’organe central, ainsi que, le cas échéant, du comité des risques en cas de survenance d’incidents significatifs au sens de l’article 17-ter (cf. article 38.1 du règlement n° 97-02) ;
modalités d’information de l’organe de surveillance, de l’organe central et, le cas échéant, du comité des risques sur les anomalies significatives détectées par le dispositif de suivi et d’analyse en matière de LCB/FT ainsi que sur les insuffisances de ce dispositif (cf. article 38.1 du règlement n° 97-02) ;
l’organe de surveillance (ou le comité des risques) a-t-il demandé au responsable en charge de la fonction de gestion des risques de lui rendre compte de l’exercice de ses missions ? Si oui, sur quels sujets? (cf. article 11-8 du règlement n° 97-02) ;
modalités d’information de l’organe de surveillance et, le cas échéant, du comité des risques, par les responsables du contrôle périodique, de l’absence d’exécution des mesures correctrices décidées (cf. article 9-1 b) du règlement n° 97-02) ;
conclusions des contrôles effectués portés à la connaissance de l’organe de surveillance, et en particulier éventuelles défaillances relevées, et mesures décidées pour y remédier.
3.1.2. Modalités d’information des dirigeants effectifs :
modalités d’information des dirigeants effectifs en cas de survenance d’incidents significatifs au sens de l’article 17-ter (cf. article 38.1 du règlement n° 97-02) ;
modalités d’information des dirigeants effectifs sur les anomalies significatives détectées par le dispositif de suivi et d’analyse en matière de LCB/FT ainsi que sur les insuffisances de ce dispositif (cf. article 38.1 du règlement n° 97-02) ;
modalités d’information par la fonction de gestion des risques de l’exercice de ses missions aux dirigeants effectifs ;
modalités d’alerte, par le responsable en charge de la fonction de gestion des risques, de toute situation susceptible d’avoir des répercussions significatives sur la maîtrise des risques (Cf. article 11-8 du règlement n° 97-02).
3.1.3. Diligences effectuées par les organes dirigeants :
description des diligences effectuées par les dirigeants effectifs et l’organe de surveillance pour vérifier l’efficacité des dispositifs et procédures de contrôle interne.
3.1.4. Traitement des informations par l’organe de surveillance :
dates auxquelles l’organe de surveillance a examiné l’activité et les résultats du contrôle interne au cours de l’exercice écoulé ;
dans le cadre de l’examen par l’organe de surveillance des incidents significatifs révélés par les procédures de contrôle interne, principales insuffisances constatées, enseignements tirés de l’analyse et mesures prises le cas échéant pour y remédier (cf. article 39 al 1 du règlement n° 97-02).
3.2. Politique et pratiques de rémunération (y compris pour les filiales et succursales situées
à l’étranger)
Nota bene : Pour l’exercice 2014, cette partie devra notamment inclure une description des adaptations prises ou à entreprendre par l’établissement pour se mettre en conformité avec les nouvelles dispositions introduites par la transposition de la directive et par l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’ACPR.
Cette partie ne concerne pas les établissements de paiement et les établissements de monnaie électronique.
Cette partie peut faire l’objet d’un rapport distinct.
3.2.1. Gouvernance de la politique de rémunération :
description des principes généraux de la politique de rémunération définie en application de l’article L. 511-72 du code monétaire et financier (modalités et date d’adoption, date de mise en œuvre, modalités de revue) ainsi que, le cas échéant, l’identité des consultants externes dont les services ont été utilisés pour définir la politique de rémunération (cf. article 43-1- 1° du règlement n° 97-02) ;
date de constitution, composition, mandat et compétences du comité de rémunération.
3.2.2. Principales caractéristiques de la politique de rémunération :
description de la politique de rémunération de l’établissement notamment (cf. article 43-1- 2° du règlement n° 97-02) :
des critères utilisés pour mesurer la performance et ajuster la rémunération au risque,
des critères définis pour définir le lien entre rémunération et performance,
de la politique en matière d’étalement des rémunérations,
de la politique de rémunérations garanties,
des critères utilisés pour déterminer la proportion des montants en espèces par rapport à d’autres formes de rémunération ;
description de la politique de rémunération des personnels des unités chargées de la validation et de la vérification des opérations (cf. articles 7 et 31-4 du règlement n° 97-02) ;
modalités de prise en compte de l’ensemble des risques dans la détermination de l’assiette de rémunération variable (y compris du risque de liquidité inhérent aux activités concernées ainsi que du capital nécessaire eu égard aux risques encourus) (article 31-3 du règlement n° 97-02).
3.2.3. Informations relatives aux rémunérations des dirigeants effectifs et des personnes dont les activités professionnelles ont une incidence significative sur le profil de risque de l’entreprise (article 43-1- 3° du règlement n° 97-02) :
Indiquer :
les catégories de personnels concernés ;
les montants globaux des rémunérations correspondant à l’exercice, répartis entre part fixe et part variable, et le nombre de bénéficiaires, indiquer également ces informations par domaine d’activités ;
les montants globaux et forme des rémunérations variables, répartis entre paiements en espèces, en actions et titres adossés à des actions, et autres (indiquer la période d’acquisition ou de durée de détention minimale des titres – cf. article 31-4-4° du règlement n° 97-02) ;
les montants globaux des rémunérations différées, réparties entre rémunérations acquises et non acquises (cf. article 31-4-4° du règlement n° 97-02) ;
les montants globaux des rémunérations différées attribués au cours de l’exercice, versés ou réduits, après ajustements en fonction des résultats ;
les paiements au titre de nouvelles embauches ou indemnités de licenciement et le nombre de bénéficiaires ;
les garanties d’indemnités de licenciement accordées au cours de l’exercice, le nombre de bénéficiaires et la somme la plus élevée accordée à ce titre à un seul bénéficiaire.
3.2.4. Transparence et contrôle de la politique de rémunération :
modalités de vérification de l’adéquation entre la politique de rémunération et les objectifs de maîtrise des risques ;
modalités de publication des informations relatives à la politique et aux pratiques de rémunération.
Résultats des contrôles périodiques effectués au cours de l’exercice écoulé
(y compris pour les activités à l’étranger et les activités externalisées)
risques et/ou entités ayant fait l’objet d’une vérification du contrôle périodique au cours de l’exercice écoulé ;
principales insuffisances relevées ;
mesures correctives engagées pour remédier aux insuffisances relevées, date de réalisation prévisionnelle de ces mesures et état d’avancement de leur mise en œuvre à la date de rédaction du présent rapport ;
modalités de suivi des recommandations résultant des contrôles périodiques (outils, personnes en charge) et résultats du suivi des recommandations ;
enquêtes réalisées par le corps d’inspection de la maison-mère, des organismes extérieurs (cabinets extérieurs, etc.), résumé des principales conclusions et précisions sur les décisions prises pour pallier les éventuelles insuffisances relevées.
Recensement des opérations avec les dirigeants et actionnaires principaux
(au sens de l’article 5 de l’arrêté du 23 décembre 2013 relatif au régime prudentiel des sociétés de financement)
Pour les seules sociétés de financement, joindre une annexe comprenant :
|
