Rapport sur le contrôle interne – 2016
Annexe à la lettre du Secrétaire général de l’Autorité de contrôle prudentiel et de résolution
à la Directrice générale de l’Association française des établissements de crédit et des entreprises d’investissement
Juillet 2016
Rapport sur le contrôle interne
(Rapport établi en application des articles 258 à 266 de l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution)
Sommaire
Préambule
Ce rapport a pour objet de rendre compte de l’activité du contrôle interne au cours de l’exercice écoulé et de retracer les dispositifs de mesure, de surveillance, d’encadrement des risques auxquels l’établissement est exposé et de diffusion d’information à leur sujet.
Les éléments ci-après mentionnés le sont à titre indicatif dans la mesure où ils s’avèrent pertinents au vu de l’activité et de l’organisation de l’établissement. Ils sont complétés par toute autre information de nature à permettre une appréciation du fonctionnement du système de contrôle interne et une évaluation des risques effectifs de l’établissement.
Le présent document s’appuie sur une version « fusionnée » des rapports établis en application des articles 258 à 266 de l’arrêté du 3 novembre 2014. Toutefois, les établissements qui le souhaitent peuvent continuer de remettre des rapports distincts dès lors que ces derniers couvrent l’ensemble des éléments mentionnés ci-après.
Les derniers documents transmis par les dirigeants effectifs à l’organe de surveillance et, le cas échéant, au comité des risques, en application de l’article 253 de l’arrêté du 3 novembre 2014, sur l’analyse et le suivi des risques auxquels l’établissement est exposé doivent être inclus dans le présent rapport (tableaux de bord internes).
Par ailleurs, il est précisé que les documents examinés par l’organe de surveillance dans le cadre de l’examen de l’activité et des résultats du contrôle interne, en application des articles 252 et 253 de l’arrêté du 3 novembre 2014, doivent être adressés au Secrétariat général de l’Autorité de contrôle prudentiel et de résolution (SGACPR), ou à la Banque centrale européenne (BCE) selon les cas, sans attendre les extraits des procès-verbaux des réunions au cours desquelles ils sont examinés et qui doivent également être transmis au SGACPR ou à la BCE selon les cas dès qu’ils sont disponibles.
La rédaction est en français. Par exception, les rapports des établissements soumis à la supervision directe de la BCE peuvent être rédigés en anglais, à l’exception des parties relevant des champs de compétence en propre de l’ACPR (parties 7, 8, 19, 20, 22 et annexe 3).
N.B. : lorsque l’établissement fait l’objet d’une surveillance sur une base consolidée et/ou d’une surveillance complémentaire au titre des conglomérats financiers, les rapports sur le contrôle interne comprennent une information relative aux conditions dans lesquelles le contrôle interne est assuré au niveau de l’ensemble du groupe et/ou du conglomérat. Lorsque le dispositif de contrôle interne d’une filiale est totalement intégré au dispositif du groupe, il n’est pas nécessaire de remettre un rapport relatif à l’organisation du contrôle interne pour cette filiale. En revanche les dispositifs de mesure, de surveillance et d’encadrement des risques doivent être exposés pour chaque établissement assujetti.
Présentation générale des activités exercées et des risques encourus
par l’établissement
Description des activités :
description synthétique des activités exercées ;
cartographie synthétique des activités de négociation sur instruments financiers exercées (pour les établissements assujettis au titre Ier de la loi n°2013-672 du 26 juillet 2013 de séparation et de régulation des activités bancaires) ;
pour les nouvelles activités :
description détaillée des nouvelles activités exercées par l’établissement au cours du dernier exercice (par métiers et/ou zones géographiques et/ou filiales…),
présentation des procédures définies pour ces nouvelles activités,
description du contrôle interne des nouvelles activités ;
description des changements organisationnels ou humains importants et des projets significatifs lancés ou menés au cours du dernier exercice.
1.2. Présentation des principaux risques générés par les activités exercées par l’établissement :
description, formalisation et mise à jour de la cartographie des risques ;
description des actions mises en œuvre sur les risques identifiés par la cartographie ;
présentation des informations quantitatives et qualitatives des risques présentés dans les états de synthèse transmises aux dirigeants effectifs, à l’organe de surveillance, et le cas échéant au comité des risques et au comité ad hoc permettant d’expliciter la portée des mesures utilisées pour évaluer le niveau des risques encourus et fixer les limites (cf. article 230 de l’arrêté du 3 novembre 2014).
1.3. Présentation de la stratégie et de la politique en matière de risques :
description des processus mis en place pour détecter, gérer, suivre et déclarer chaque risque significatif (cf. article L.511-55 du Code monétaire et financier) ;
préciser le cadre d’appétence pour le risque, ses modalités de définition et de révision (cf. article L.511-93 du Code monétaire et financier).
Modifications significatives apportées à l’organisation du dispositif
de contrôle interne
Lorsque l’organisation du dispositif de contrôle interne ne présente pas de changements significatifs, elle peut être présentée de manière synthétique dans une annexe ou en communiquant la charte de contrôle interne en vigueur.
2.1. Au dispositif de contrôle permanent (y compris l’organisation du contrôle de l’activité
à l’étranger et des activités externalisées) :
description des changements significatifs dans l’organisation du dispositif de contrôle permanent (y compris les principales actions projetées dans le domaine du contrôle permanent, cf. article 259 f) de l’arrêté du 3 novembre 2014) : préciser notamment l’identité, le rattachement hiérarchique et fonctionnel du responsable de contrôle permanent ainsi que les autres fonctions éventuellement exercées par ce dernier au sein de l’établissement ou au sein d’autres entités du même groupe ;
description des changements significatifs dans l’organisation du dispositif de contrôle de la conformité : préciser notamment l’identité, le rattachement hiérarchique et fonctionnel du responsable de la conformité ainsi que les autres fonctions éventuellement exercées par ce dernier au sein de l’établissement ou au sein d’autres entités du même groupe ;
description des changements significatifs dans l’organisation des comités des risques, des nominations et des rémunérations (le cas échéant) : préciser notamment la date de constitution, la composition, la durée du mandat, les modalités de fonctionnement et les compétences de chaque comité ;
description des changements significatifs dans l’organisation du dispositif de lutte contre le blanchiment des capitaux et le financement du terrorisme – LCB/FT ;
description des changements significatifs dans l’organisation de la fonction de gestion des risques : préciser notamment l’identité, le positionnement hiérarchique et fonctionnel du responsable de la fonction de gestion des risques ainsi que les autres fonctions éventuellement exercées par ce dernier au sein de l’établissement ou au sein d’autres entités du même groupe ;
description synthétique des modifications apportées à l’ensemble du dispositif de contrôle permanent pour assurer le respect du titre Ier de la loi n°2013-672 du 26 juillet 2013 de séparation et de régulation des activités bancaires pour les établissements assujettis.
2.2. Au dispositif de contrôle périodique (y compris l’organisation du contrôle de l’activité
à l’étranger et des activités externalisées) :
identification, rattachement hiérarchique et fonctionnel du responsable de contrôle périodique ;
description des changements significatifs dans l’organisation du dispositif d’audit interne ;
principales actions projetées dans le domaine du contrôle périodique (plan d’audit… cf. article 259 f) de l’arrêté du 3 novembre 2014).
Gouvernance
3.1. Implication des organes dirigeants dans le contrôle interne
3.1.1. Modalités d’information de l’organe de surveillance et, le cas échéant, du comité des risques :
modalités d’information de l’organe de surveillance ainsi que, le cas échéant, du comité des risques sur les mesures prises pour assurer le contrôle des activités externalisées et des risques en résultant (cf. article 253 c) de l’arrêté du 3 novembre 2014) ;
modalités d’approbation des limites par l’organe de surveillance ainsi que, le cas échéant, par le comité des risques (cf. article 224 de l’arrêté du 3 novembre 2014) ;
modalités d’information de l’organe de surveillance, de l’organe central, ainsi que, le cas échéant, du comité des risques en cas de survenance d’incidents significatifs au sens de l’article 98 (cf. article 245 de l’arrêté du 3 novembre 2014) ;
modalités d’information de l’organe de surveillance, de l’organe central et, le cas échéant, du comité des risques sur les anomalies significatives détectées par le dispositif de suivi et d’analyse en matière de LCB/FT ainsi que sur les insuffisances de ce dispositif (cf. article 246 de l’arrêté du 3 novembre 2014) ;
si nécessaire, modalités d’information de l’organe de surveillance, ou le cas échéant du comité des risques, par le responsable de la fonction de gestion des risques, en précisant les sujets concernés (cf. article 77 de l’arrêté du 3 novembre 2014) ;
modalités d’information de l’organe de surveillance et, le cas échéant, du comité des risques, par les responsables du contrôle périodique, de l’absence d’exécution des mesures correctrices décidées (cf. article 26 b) de l’arrêté du 3 novembre 2014) ;
conclusions des contrôles effectués portés à la connaissance de l’organe de surveillance ainsi que, le cas échéant, du comité des risques, et en particulier éventuelles défaillances relevées, et mesures décidées pour y remédier (cf. article 243 de l’arrêté du 3 novembre 2014).
3.1.2. Modalités d’information des dirigeants effectifs :
modalités d’information des dirigeants effectifs en cas de survenance d’incidents significatifs au sens de l’article 98 de l’arrêté du 3 novembre 2014 (cf. article 245 de l’arrêté du 3 novembre 2014) ;
modalités d’information des dirigeants effectifs sur les anomalies significatives détectées par le dispositif de suivi et d’analyse en matière de LCB/FT ainsi que sur les insuffisances de ce dispositif (cf. article 246 de l’arrêté du 3 novembre 2014) ;
modalités d’information par le responsable de la fonction de gestion des risques de l’exercice de ses missions aux dirigeants effectifs (cf. article 77 de l’arrêté du 3 novembre 2014) ;
modalités d’alerte des dirigeants effectifs, par le responsable de la fonction de gestion des risques, de toute situation susceptible d’avoir des répercussions significatives sur la maîtrise des risques (cf. article 77 de l’arrêté du 3 novembre 2014).
3.1.3. Diligences effectuées par les dirigeants effectifs et l’organe de surveillance :
description des diligences effectuées par les dirigeants effectifs et l’organe de surveillance pour vérifier l’efficacité des dispositifs et procédures de contrôle interne (cf. articles 241 à 243 de l’arrêté du 3 novembre 2014).
3.1.4. Traitement des informations par l’organe de surveillance :
modalités d’examen du dispositif de gouvernance et d’évaluation périodique de son efficacité (cf. article L.511-59 du Code monétaire et financier) ;
modalités d’approbation et de révision régulière des stratégies et politiques en matière de risques (cf. article L.511-60 du Code monétaire et financier) ;
modalités de détermination des orientations et du contrôle de la mise en œuvre des dispositifs de surveillance afin de garantir une gestion efficace et prudente de l’établissement (cf. article L.511-67 du Code monétaire et financier) ;
modalités d’adoption et de révision des principes généraux de la politique de rémunération et de sa mise en œuvre (cf. article L.511-72 du Code monétaire et financier) ;
dans le cadre de l’examen par l’organe de surveillance des incidents significatifs révélés par les procédures de contrôle interne, principales insuffisances constatées, enseignements tirés de l’analyse et mesures prises le cas échéant pour y remédier (cf. article 252 de l’arrêté du 3 novembre 2014) ;
dates auxquelles l’organe de surveillance a examiné l’activité et les résultats du contrôle interne au cours de l’exercice écoulé ;
dates d’approbation des limites globales de risques par l’organe de surveillance, après consultation le cas échéant du comité des risques (cf. article 224 de l’arrêté du 3 novembre 2014).
3.2. Politique et pratiques de rémunération (y compris pour les filiales et succursales situées
à l’étranger)
Nota bene : Pour l’exercice 2016, cette partie devra inclure une description des adaptations prises par l’établissement pour se mettre en conformité avec les nouvelles dispositions introduites par les orientations de l’EBA sur les politiques de rémunération, dont l’entrée en vigueur est prévue au 1er janvier 2017.
Cette partie ne concerne pas les établissements de paiement et les établissements de monnaie électronique (cf. article 273 de l’arrêté du 3 novembre 2014).
Cette partie peut faire l’objet d’un rapport distinct.
3.2.1. Gouvernance de la politique de rémunération :
date de constitution, composition, durée du mandat, modalités de fonctionnement et compétences du comité de rémunération visé à l’article L.511-102 du Code monétaire et financier et à la partie 2.4.2 des Orientations EBA ;
description des principes généraux de la politique de rémunération définie en application de l’article L. 511-72 du Code monétaire et financier (modalités et date d’adoption, date de mise en œuvre, modalités de revue) ainsi que, le cas échéant, l’identité des consultants externes dont les services ont été utilisés pour définir la politique de rémunération (cf. article 266 de l’arrêté du 3 novembre 2014) ;
description du rôle des fonctions risques, conformité et support dans la conception et la mise en œuvre de la politique de rémunération (cf. paragraphes 30, 32 à 35, 54 à 56 des Orientations EBA)
date et relevé des conclusions de l’évaluation interne destinée à s’assurer du respect de la politique et des procédures en matière de rémunérations adoptées par l’organe de surveillance (cf. article L.511-74 du Code monétaire et financier).
3.2.2. Principales caractéristiques de la politique de rémunération :
description de la politique de rémunération de l’établissement notamment (cf. article 266 de l’arrêté du 3 novembre 2014) :
des critères (relatifs, absolus, quantitatifs, qualitatifs) utilisés pour mesurer la performance et ajuster la rémunération au risque (cf. paragraphe 194 des Orientations EBA),
des critères (relatifs, absolus, quantitatifs, qualitatifs) définis pour définir le lien entre rémunération et performance (cf. paragraphe 194 des Orientations EBA),
de la politique en matière d’étalement des rémunérations,
de la politique de rémunérations variables garanties exceptionnellement accordées dans les conditions prévues à l’article L.511-77 du Code monétaire et financier,
des critères utilisés pour déterminer la proportion des montants en espèces par rapport à d’autres formes de rémunération ;
des critères utilisés pour déterminer les montants en cas de résiliation anticipée du contrat de travail, sous réserve des dispositions applicables du code du travail (cf. paragraphe 144 des Orientations) ;
de la politique en place pour prévenir le contournement de la réglementation par le personnel à travers les mécanismes de couverture individuelle (cf. partie 10.1 des Orientations)
le cas échéant, description et périmètre des exemptions prévues aux articles 198 et 199 de l’arrêté du 3 novembre 2014 appliquées par l’établissement ;
description de la politique de rémunération des personnels des unités chargées de la validation et de la vérification des opérations (cf. articles 15 de l’arrêté du 3 novembre 2014, L. 511-71 et L. 511-75 du Code monétaire et financier et parties 12 et 14.1.3 des Orientations EBA) ;
modalités de prise en compte de l’ensemble des risques dans la détermination de l’assiette de rémunération variable (y compris des risques de liquidité inhérents aux activités concernées ainsi que du capital nécessaire eu égard aux risques encourus) (cf. articles L. 511-76, L.511-77, L. 511-82 et L. 511-83 du Code monétaire et financier et paragraphes 202, 218 des Orientations EBA) ainsi que l’impact de la politique de rémunération sur le capital et la liquidité (cf. paragraphes 109 et 111 des Orientations EBA) ;
date de la communication à l’ACPR, ou à la BCE selon les cas, du plafond de la part variable proposé à l’assemblée générale compétente (pour rappel, l’assemblée générale compétente pour les employés d’une filiale est celle de la filiale et non pas celle de l’entreprise-mère) et liste des personnes concernées par le plafonnement de la part variable de la rémunération et justification des choix, en application de l’article L.511-78 du Code monétaire et financier et de la section 2.3 des Orientations EBA, et mention de toute éventuelle réduction du plafond en application du paragraphe 43 des Orientations EBA.
3.2.3. Informations relatives aux rémunérations des dirigeants effectifs et des personnes dont les activités professionnelles ont une incidence significative sur le profil de risque de l’entreprise (cf. articles 202 ou, le cas échéant, 199, et au 5°) de l’article 266 de l’arrêté du 3 novembre 2014, ainsi qu’à l’article R.511-18 du Code monétaire et financier) :
Indiquer :
les catégories de personnels concernés ;
les montants globaux des rémunérations correspondant à l’exercice, répartis entre part fixe et part variable, et le nombre de bénéficiaires, indiquer également ces informations par domaine d’activités ;
les montants globaux et forme des rémunérations variables, répartis entre paiements en espèces, en actions et droits de propriété équivalents, et autres instruments mentionnés aux articles 52 ou 63 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 ou autres instruments susceptibles d'être totalement convertis en instruments de fonds propres de base ou amortis (indiquer la période d’acquisition ou de durée de détention minimale des titres) (cf. articles L. 511-81, R.511-22 et R. 511-23 du Code monétaire et financier) ;
les montants globaux des rémunérations différées, réparties entre rémunérations acquises et non acquises (cf. article R.511-18 du Code monétaire et financier) ;
les montants globaux des rémunérations différées attribués au cours de l’exercice, versés ou réduits, après ajustements en fonction des résultats (cf. article R.511-18 du Code monétaire et financier) ;
les paiements au titre de nouvelles embauches ou indemnités de licenciement et le nombre de bénéficiaires (cf. article R.511-18 du Code monétaire et financier) ;
les garanties d’indemnités de licenciement accordées au cours de l’exercice, le nombre de bénéficiaires et la somme la plus élevée accordée à ce titre à un seul bénéficiaire (cf. article R.511-18 du Code monétaire et financier) ;
les méthodes employées pour les calculs d’actualisation (cf. articles 203 à 210 de l’arrêté du 3 novembre 2014).
la rémunération totale de chaque dirigeant effectif ainsi que celle du responsable de la fonction de gestion des risques et, le cas échéant, du responsable de la conformité (cf. article 266 de l’arrêté du 3 novembre 2014)
3.2.4. Transparence et contrôle de la politique de rémunération :
modalités de vérification de l’adéquation entre la politique de rémunération et les objectifs de maîtrise des risques, notamment compte tenu de la taille et de l’importance systémique de l’établissement ainsi que de la nature, l’échelle et de la complexité de ses activités, en tenant compte du principe de proportionnalité (cf. article 4 de l’arrêté du 3 novembre 2014) ;
modalités de publication des informations relatives à la politique et aux pratiques de rémunération prévues par l’article 450 du règlement 575/2013 du Parlement européen et du Conseil du 26 juin 2013 (cf. articles 267 et 268 de l’arrêté du 3 novembre 2014 et partie 4 des Orientations de l’EBA).
Résultats des contrôles périodiques effectués au cours de l’exercice écoulé (cf. article 17 de l’arrêté du 3 novembre 2014)
(y compris pour les activités à l’étranger et les activités externalisées)
planning des missions (risques et/ou entités ayant fait l’objet d’une vérification du contrôle périodique au cours de l’exercice écoulé), état d’achèvement et ressources allouées en jour-homme ;
principales insuffisances relevées ;
mesures correctives engagées pour remédier aux insuffisances relevées, date de réalisation prévisionnelle de ces mesures et état d’avancement de leur mise en œuvre à la date de rédaction du présent rapport ;
modalités de suivi des recommandations résultant des contrôles périodiques (outils, personnes en charge) et résultats du suivi des recommandations ;
enquêtes réalisées par le corps d’inspection de la maison-mère, des organismes extérieurs (cabinets extérieurs, etc.), résumé des principales conclusions et précisions sur les décisions prises pour pallier les éventuelles insuffisances relevées.
Recensement des opérations avec les dirigeants effectifs, les membres de l’organe de surveillance et les actionnaires principaux (cf. articles 113 et 259 g) de l’arrêté du 3 novembre 2014)
Joindre une annexe comprenant :
caractéristiques des engagements ayant fait l’objet d’une déduction des fonds propres prudentiels : identité des bénéficiaires, type de bénéficiaires – personne physique ou personne morale, actionnaire, dirigeant ou membre de l’organe de surveillance –, nature des engagements, montant brut, déductions éventuelles et pondération, date de leur mise en place et date d’échéance ;
nature des engagements envers des actionnaires principaux, des dirigeants effectifs et des membres de l’organe de surveillance, n’ayant pas fait l’objet d’une déduction en raison soit des dates auxquelles ont été conclus ces engagements, soit de la notation ou de la cotation attribuée aux bénéficiaires des engagements. Néanmoins, il n’apparaît pas nécessaire de mentionner les engagements dont le montant brut n’excède pas 3 % des fonds propres de l’établissement.
Processus d’évaluation de l’adéquation du capital interne
Ce dispositif n’est pas obligatoire pour les établissements inclus dans une consolidation et qui sont exonérés de l’assujettissement aux ratios de gestion sur base sociale ou sous consolidée.
description du périmètre des activités pertinentes pour l’étude de l’adéquation du capital interne, et de l’approche utilisée pour déterminer la matérialité des risques ;
description des méthodologies employées pour la mesure, l’évaluation et l’agrégation des risques pour quantifier le capital interne (horizons d’analyse, approche par la valeur économique, description des modèles et paramètres de calcul…) ;
description des systèmes et procédures mis en place pour s’assurer que le montant et la répartition du capital interne sont adaptés à la nature et au niveau des risques auquel l’établissement est exposé (avec un accent particulier sur les risques non pris en compte par le pilier 1) (cf. article 96 de l’arrêté du 3 novembre 2014) ;
niveau et définition du capital interne alloué aux risques pour l’exercice écoulé en expliquant les principales différences entre le capital interne et le capital réglementaire, ainsi que les méthodes et hypothèses utilisées pour l’allocation du capital au sein de l’établissement ;
prévisions du niveau de capital interne ;
simulations de crise réalisées aux fins d’évaluation de l’adéquation du capital interne : description des hypothèses et principes méthodologiques retenus ainsi que des résultats obtenus ;
modalités de contrôle prévues afin de vérifier que ces systèmes et procédures demeurent adaptés à l’évolution du profil de risques de l’établissement ;
documentation formalisant le process de validation de l’adéquation du capital interne, des hypothèses et méthodologies utilisées dans le process et formalisant l’intégration de ce process dans la stratégie globale de l’établissement.
Risque de non conformité (hors risque de blanchiment des capitaux
et de financement du terrorisme)
7.1. Formation du personnel aux procédures de contrôle de la conformité et information immédiate du personnel concerné des modifications pouvant intervenir dans les textes applicables aux opérations réalisées (cf. articles 39 et 40 de l’arrêté du 3 novembre 2014)
7.2. Évaluation et maîtrise du risque de réputation
7.3. Autres risques de non-conformité (déontologie bancaire et financière…)
|
