Flash BankNews n°68 | Poursuite de la refonte du contrôle interne bancaire

Les trois arrêtés apportent des modifications significatives en matière de :

• contrôle interne ;
• surveillance prudentielle ; et
• exigences prudentielles.

Dans le cadre de cet article, nous nous focaliserons uniquement sur l’arrêté modifiant le dispositif de contrôle interne. A l’exception de l’article 241-2 qui est entré en vigueur le lendemain de sa publication au Journal officiel de la République française, l’ensemble des dispositions entrent en vigueur le 28 juin 2021. Les entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution devront se conformer à cet arrêté d’ici cette date.  

L’objectif de l’arrêté publié le 6 mars 2021 est de mettre à jour l’arrêté du 3 novembre 2014 en matière de contrôle interne afin de prendre en compte certaines dispositions ayant été adoptées au niveau international et européen mais également de s’adapter à certaines pratiques de place. Il vise à apporter des précisions et des modifications sur :

• les notions d’établissement important et d’agrégation de données sur les risques ;
• les trois niveaux de contrôle interne ;
• le dispositif de gestion de continuité de l’activité ;
• les contrats et les dispositifs d’externalisation ; et
• la gestion du risque informatique.

Les notions d’établissement important et d’agrégation de données sur les risques

L’arrêté publié le 6 mars 2021 sur le dispositif de contrôle interne consacre à l’article 1 les notions d’établissement important et d’agrégation de données sur les risques.

L’établissement important se définit comme « un établissement de crédit reconnu comme important conformément à l’article 6 du Règlement (UE) n°1024/2013 ». Pour rappel, l’importance d’un établissement est appréciée sur la base des critères suivants :

• la taille ;
• l'importance pour l’économie de l’Union ou d’un Etat membre participant ; et
• l'importance des activités transfrontalières de l’établissement.

Quant à l’agrégation de données sur les risques, elle se définit comme : « la définition, la collecte et le traitement des données sur les risques permettant aux établissements de mesurer leurs résultats au regard de leur appétit pour le risque ».

L’article 4 de l’arrêté publié le 6 mars 2021 modifiant l’arrêté du 3 novembre 2014 sur le dispositif de contrôle interne apporte également des précisions concernant les politiques devant être mises en place par les établissements importants concernant l’agrégation des données sur les risques. Désormais, des politiques dédiées doivent être mises en place à ce sujet. Elles doivent prendre en considération les éléments suivants :

• la mise en place de mesures visant à assurer l’exactitude, l’intégrité et l’exhaustivité des données sur les risques ;
• la mise en place d’une structure de données uniforme ou homogène, le cas échéant à l’échelle du groupe, pour identifier sans équivoque les données sur les risques ;
• les données agrégées sur les risques sont disponibles en temps utile ; et
• les capacités d’agrégation des données sont suffisamment adaptables pour répondre à des demandes ponctuelles.

Les établissements importants doivent également définir les responsabilités pour toutes les étapes du processus d’agrégation des données sur les risques et les contrôles liés aux processus mis en place. Les rôles et les responsabilités relatifs à la propriété et à la qualité des données doivent également faire l’objet de définition.

Les établissements n’étant pas reconnus comme des établissements importants sont également soumis à ces modalités qui peuvent faire l’objet d’adaptation en fonction de leur taille, de leur nature et de la complexité de leur activité.

En consacrant les deux notions que sont l’établissement important et l’agrégation de données sur les risques, le législateur renforce le dispositif de contrôle interne des établissements assujettis vis-à-vis de la gestion des risques.

Les trois niveaux de contrôle interne 

L’arrêté publié le 6 mars 2021 clarifie la distinction entre les trois niveaux de contrôle interne devant être mis en place au sein des établissements assujettis.

En premier lieu, l’arrêté rappelle les objectifs de ces trois niveaux de contrôle :

• les deux premiers niveaux de contrôle assurent le contrôle permanent de la conformité, de la sécurité et de la validation des opérations réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques ;
• le troisième niveau de contrôle assure, au moyen d’enquêtes, le contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l’efficacité et du caractère du dispositif des deux premiers niveaux de contrôle.

En second lieu, l’arrêté rappelle les missions des agents devant exercer ces contrôles :

• le premier niveau de contrôle est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.
• le deuxième niveau de contrôle est assuré par des agents au niveau des services centraux et locaux, exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues. Ce deuxième niveau de contrôle est assuré par la fonction de vérification de la conformité et la fonction de gestion des risques. L’arrêté publié le 6 mars 2021 vient préciser que les agents exerçant des contrôles de deuxième niveau doivent être indépendants des unités qu’ils contrôlent.
• le troisième niveau de contrôle est assuré par la fonction d’audit interne composée d’agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième niveau. L’arrêté précise que les moyens affectés à la fonction d’audit interne doivent être suffisants pour mener un cycle complet d’investigations de l’ensemble des activités sur un nombre d’exercices aussi limité que possible qui ne saurait excéder cinq ans. La fréquence et les priorités des cycles d’audit doivent être proportionnées aux risques identifiés au sein des établissements assujettis.

L’arrêté publié le 6 mars vient préciser que des procédures internes doivent encadrer la nomination et la révocation du responsable de chaque niveau de contrôle. En formalisant des procédures dédiées, le législateur veut affirmer la distinction entre le premier et le second niveau de contrôle. L’arrêté précise également que si au regard de la taille, de la nature et de la complexité des activités de l’entreprise assujettie, la distinction entre le responsable du contrôle de risque de non-conformité et le responsable de la fonction de gestion des risques ne se justifie pas, ce dernier est chargé également de veiller à la cohérence et à l’efficacité du contrôle du risque de non-conformité.

Les précisions apportées aux trois niveaux de contrôle interne permettent d’améliorer son efficacité.

Le dispositif de gestion de continuité de l’activité

En matière de gestion de continuité de l’activité, des précisions sont apportées sur :

• la procédure d’analyse quantitative et qualitative des impacts de perturbations graves sur les activités des établissements assujettis ;
• le plan d’urgence et de poursuite de l’activité ;
• le plan de reprise d’activité ; et
• les tests devant être réalisés sur le dispositif de gestion de continuité d’activité.

L’arrêté précise également que les établissements assujettis doivent disposer d’un dispositif de gestion de la continuité d’activité validé par l’organe de surveillance. Ce dernier doit être mis en œuvre par les dirigeants effectifs.

L’objectif de ce dispositif de gestion de la continuité d’activité est de permettre aux établissements assujettis d’assurer leur capacité à maintenir leurs services, notamment informatiques, de manière continue et à limiter leurs pertes en cas de perturbation grave.

Les contrats et les dispositifs d’externalisation

L’arrêté publié le 6 mars 2021 apporte des précisions concernant les contrats et les dispositifs d’externalisation.

En cas de signature d’un contrat d’externalisation portant sur des prestations de services ou d’autres tâches opérationnelles essentielles ou importantes ou lorsqu’une activité externalisée est devenue une prestation de service ou une tâche opérationnelle essentielle ou importante, les établissements assujettis doivent informer l’Autorité de contrôle prudentiel et de résolution en lui adressant, une fois par an, une extraction du registre des dispositifs d’externalisation.

Les établissements vont devoir créer un registre des dispositifs d’externalisation. Ce registre devra distinguer les dispositifs d’externalisation portant sur des prestations de services ou des tâches opérationnelles essentielles ou importantes et les dispositifs d’externalisation d’autres activités.

La gestion du risque informatique 

L’arrêté publié le 6 mars 2021 a inséré un nouveau titre dédié à la gestion du risque informatique dans l’arrêté du 3 novembre relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution. L’insertion de ce nouveau titre vient consacrer l’importance de la gestion du risque informatique dans le dispositif de contrôle interne des établissements assujettis.

Pour rappel, cet arrêté définit le risque informatique se définit comme « le risque de perte résultant d’une inadéquation ou d’une défaillance affectant l’organisation, le fonctionnement, le changement ou la sécurité du système d’information. Le risque informatique est un risque opérationnel ».

Les établissements assujettis doivent établir une stratégie en matière informatique afin de répondre aux objectifs de leur stratégie d’affaires. Les dirigeants effectifs et l’organe de surveillance doivent s’assurer que les ressources allouées sont suffisantes pour que les missions relatives à la gestion des opérations informatiques, à la sécurité du système d’information ainsi qu’à la continuité d’activités puissent être assurées.

La gestion des risques informatiques au sein des établissements doit être organisée de façon à :

• identifier le risque informatique auquel elles sont exposées pour l’ensemble de leurs actifs informatiques et de leurs données utilisées pour leurs différentes activités opérationnelles, de support ou de contrôle ;
• évaluer ce risque, au regard de leur appétit pour le risque, en tenant compte des menaces et des vulnérabilités connues ;
• adopter des mesures adéquates de réduction du risque informatique, y compris des contrôles ;
• surveiller l’efficacité de ces mesures et informer les dirigeants effectifs et l’organe de surveillance de leur bonne exécution.

Un contrôle interne des risques informatiques doit être mis en place au sein des établissements afin d’assurer une maîtrise de ces risques. Une politique de sécurité du système d’information doit être établie par écrit. Elle détermine les principes mis en œuvre pour protéger la confidentialité, l’intégrité et la disponibilité de leurs informations et des données de leurs clients, de leurs actifs et services informatiques. Cette politique est fondée sur une analyse des risques et approuvée par les dirigeants effectifs et l’organe de surveillance.

Les établissements assujettis doivent formaliser et mettre en œuvre des mesures de sécurité physique et logique adaptées à la sensibilité des locaux, des actifs et services informatiques, ainsi que des données. Ils doivent également mettre en œuvre un programme de sensibilisation et de formations régulières, soit au moins une fois par an, à la sécurité du système d’information au bénéfice de tous les personnels et des prestataires externes, et en particulier de leurs dirigeants effectifs.

L’arrêté publié le 6 mars 2021 vient renforcer le dispositif de contrôle interne de l’arrêté du 3 novembre 2014 en clarifiant ou en apportant des précisions sur certains dispositifs comme les niveaux de contrôle, la gestion de la continuité d’activité ainsi que les contrats et dispositifs d’externalisation. Certaines notions sont précisées comme l’établissement important et l’agrégation de données sur les risques. Pour terminer, cet arrêté consacre également la gestion du risque informatique comme partie intégrante du dispositif de contrôle interne.