Mme Marie-Agnès Nicolet

Gouvernance et contrôle interne
Table ronde
Conférence ASSFOR
10 Février 2015
Marie-Agnès NICOLET
Regulation Partners
Présidente fondatrice
35, Boulevard Berthier 75017 Paris
[email protected]
+33.6.58.84.77.40 / +33.1.46.22.65.34
Copyright Regulation Partners
1/ L’évolution des fonctions de contrôle
En 2006, le règlement CRBF 97.02 a
modifié l’organisation des structures
en instaurant une séparation plus
claire entre contrôle permanent et
contrôle périodique, en rendant
obligatoire la fonction de conformité
et en instaurant une obligation de
contrôler les PSEE
Le Règlement CRB
90.08 a rendu
obligatoire la
fonction de
responsable du
contrôle interne
1990 à 1998 Les grandes étapes
L’obligation de nommer un déclarant et
correspondant TRACFIN date de 1990
En 2010 une filière
Risque est mise en
place dans le but de
coordonner
l’ensemble des
dispositifs de
surveillance des
risques
en 1996 d’un Livre Blanc sur la sécurité
des systèmes d’information (RSSI).
1996/1998: nécessité d’un RCSI pour les
PSI (règlement CMF)
Le CRBF 97.02 détaille les dispositifs de
contrôle à mettre en place
Février 2015
Copyright Regulation Partners
En 2014, l’arrêté du 3
novembre 2014 relatif
au contrôle interne des
entreprises du secteur
de la banque, des
services de paiement et
des services
d’investissement
soumises au contrôle
de l’ACPR, est venu se
substituer au CRBF
n°97-02
La filière risques
devient fonction de
gestion des risques.
Définition de
nouveaux risques
2
2/ Les différentes fonctions risques et contrôle
o Articulation des responsabilités (avant l’arrêté du 3
novembre)
Organe délibérant
Comité d’audit
Reporting sur les
recommandations non
suivies d’effet
Possibilité de
reporting direct
Organe exécutif
Contrôle périodique
Contrôle permanent de 2nd niveau / Filière Risques
Responsable du
contrôle
permanent
Février 2015
Responsable de la
conformité
Responsable de la
filière risque
Copyright Regulation Partners
3
2/ Les différentes fonctions risques et contrôle
o Articulation des responsabilités (après l’arrêté du 3 nov.2014)
Organe de
surveillance
Comité des Risques
Reporting sur les
recommandations non
suivies d’effet
Dirigeants effectifs
Contrôle permanent de 2nd niveau / Fonction de gestion des Risques
Responsable du
contrôle
permanent
Février 2015
Responsable du
contrôle de la
conformité
Responsable de la
fonction de
gestion des
Risques
Copyright Regulation Partners
Contrôle périodique
4
2/ Les différentes fonctions risques et contrôle
o Positionnement des fonctions de contrôle
Les responsables du contrôle permanent/périodique
Les responsables
mentionnés aux articles 16
et 17 (contrôle permanent
et périodique) rendent
compte de l’exercice de
leurs missions aux
dirigeants effectifs et à
l’organe de surveillance
ainsi que, le cas échéant,
au Comité des Risques (art.
23)
Février 2015
Le responsable du contrôle de la conformité
Le responsable du contrôle
de la conformité rend
également compte
directement à l’organe de
surveillance et, le cas
échéant, au Comité des
Risques (art.31)
Copyright Regulation Partners
5
2/ Les différentes fonctions de contrôle
Arrêté du 3 novembre 2014: Impact sur la fonction de gestion des risques
Rappel CRBF 97-02
Arrêté du 3 novembre 2014
« Chapitre IV La surveillance des risques par la filière
risques » art. 11-8
« Chapitre IV La surveillance des risques par la fonction de
gestion des Risques » art. 76/77/83
Lorsqu'il n'est pas membre de l'organe exécutif, le
responsable de la filière risques est directement rattaché à
cet organe et ne doit effectuer aucune opération
commerciale, financière ou comptable.
Lorsqu’il n’est pas dirigeant effectif, le responsable de la
fonction de gestion des Risques est directement rattaché aux
dirigeants effectifs et n’effectue aucune opération commerciale,
financière ou comptable.
Le responsable de la filière risques rend compte de l'exercice
de ses missions à l'organe exécutif et l'alerte de toute
situation susceptible d'avoir des répercussions significatives
sur la maîtrise des risques.
Lorsque ce dernier ou l'organe délibérant l'estiment
nécessaire, il rend également directement compte à
l'organe délibérant ou, le cas échéant, au comité d'audit.
Lorsque la taille d'une entreprise assujettie ou les
circonstances le justifient, le responsable du contrôle
permanent assure la coordination de tous les dispositifs qui
participent à la filière risques.
Février 2015
Le responsable de la fonction de gestion des risques rend
compte de l'exercice de ses missions aux dirigeants effectifs et
les alerte de toute situation susceptible d'avoir des
répercussions significatives sur la maîtrise des risques.
Si nécessaire, en cas d’évolution des risques, il peut rendre
directement compte à l’organe de surveillance et, le cas
échéant, au comité des risques, sans en référer aux dirigeants
effectifs.
Il communique à l’organe de surveillance et, le cas échéant, au
comité des Risques toute information nécessaire à l’exercice des
missions de ces derniers ou que ceux-ci lui demandent.
Il ne peut être démis de ses fonctions sans l’accord préalable de
l’organe de surveillance et il peut, le cas échéant, en appeler
directement sur ce point à celui-ci.
Les entreprises assujetties mettent en place une procédure ou
adaptent les procédures existantes afin de satisfaire aux
dispositions de l’alinéa précédent.
Copyright Regulation Partners
6
2/ Les différentes fonctions de contrôle
 Les établissements doivent disposer d’une cartographie des
risques y compris des risques prédictifs actualisée régulièrement
et qui (Art.102 Arrêté du 3/11/14) :
•Prend en compte l’ensemble des risques encourus
•Est établie par entité ou ligne de métier, au niveau auquel est exercée, le
cas échéant, la surveillance consolidée ou complémentaire
•Evalue l’adéquation des risques encourus par rapport aux évolutions de
l’activité.
•Identifie les actions en vue de maîtriser les risques encourus
(renforcement des dispositifs de contrôle permanent, mise en œuvre des
systèmes de surveillance et de maîtrise des risques, définition des plans
d’urgence et continuité de l’activité)
•S’assure de la cohérence et de l’efficacité des plans de continuité de
l’activité dans le cadre d’un plan global défini par l’organe de
surveillance et mis en œuvre par les dirigeants effectifs (art. 215 c)
Février 2015
Copyright Regulation Partners
7
2/ Les différentes fonctions risques et contrôle
o Définition des niveaux de contrôle : Contrôle Permanent et Contrôle
Périodique, 1er et 2nd niveaux
Contrôle
périodique
Audit
interne /
Inspection
2èmeniveau
Contrôle
permanent
2ème niveau
1er niveau
1er niveau
Février 2015
Coordination des
contrôles
permanents
Fonctions dédiées et indépendantes
réalisant les contrôles réguliers
Gestion des Risques
Conformité
Sécurité financière
Contrôle Permanent
Contrôle par la hiérarchie
Contrôle intégré aux processus, par les opérationnels
et systèmes IT (contrôles manuels et automatisés)
Copyright Regulation Partners
8
2/ Les différentes fonctions de contrôle
o Les facteurs clés de succès d’un contrôle permanent
de second niveau :
Dans le cas d’une décentralisation des contrôles
de second niveau, la mise en place d’un contrôle
qualité au niveau central,
La construction de plans de contrôle permanents
qui permettent de couvrir la totalité du périmètre
en une année environ,
La mise en place d’une fonction de coordination
qui ne se limite pas à définir une méthodologie et
à consolider les résultats,
La formalisation des contrôles permanents de
second niveau.
Février 2015
Copyright Regulation Partners
9
3/ Les risques à couvrir
Définition des risques à couvrir
o Les établissements financiers sont confrontés à plusieurs types de risques :
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
1.
2.
3.
Février 2015
Le risque de crédit
Le risque de taux d'intérêt global
Le risque de liquidité
Le risque de concentration
Le risque résiduel
Le risque d'intermédiation
Le risque de règlement-livraison
Le risque de marché (y compris de change)
Le risque de base
Le risque de dilution
Le risque de titrisation
Ajouts de l’arrêté du 3 novembre 2014
Le risque systémique
Le risque lié au modèle
Le risque de levier excessif
Le risque de non-conformité
Le risque juridique
Le risque opérationnel
Copyright Regulation Partners
10
3/ Les risques à couvrir
o Focus sur le risque de liquidité
Risque de liquidité version CRBF 97-02
Risque de liquidité version arrêté du 3.11.14
Définition:
Définition:
Risque de ne pas pouvoir faire face à ses engagements ou
de ne pas pouvoir dénouer ou compenser une position en
raison de la situation du marché, dans un délai déterminé
et à coût raisonnable (art.4 j )
Risque de ne pas pouvoir faire face à ses engagements ou
de ne pas pouvoir dénouer ou compenser une position en
raison de la situation du marché ou de facteurs
idiosyncratiques, dans un délai déterminé et à coût
raisonnable (Art. 10 h)
Gestion du risque de liquidité :
Gestion du risque de liquidité :
Mettre en place des politiques et des procédures
adaptées à la taille de l'établissement, à la nature et à la
complexité des activités exercées, et aux risques
encourus, pour mesurer et gérer leur risque de liquidité
sur une base permanente et prospective (art.31)
Février 2015
Disposer de stratégies, politiques, procédures, systèmes,
outils et de limites solides, permettant de détecter,
mesurer, gérer et suivre le risque de liquidité sur
différentes périodes, allant du court terme, y compris
intra-journalières, au long terme, de manière à maintenir
des coussins adéquats de liquidité et à ne pas présenter
une transformation excessive. Ces échéances, fixées par
l’entreprise assujettie, constituent l’horizon de temps
modélisable (art. 148).
Copyright Regulation Partners
11
3/ Les risques à couvrir
o Focus sur le risque de liquidité
Risque de liquidité version CRBF 97-02
Risque de liquidité version arrêté du 3.11.14
Gestion du risque de liquidité :
Émettre différents scénarios permettant de
mesurer le risque de liquidité sur une base
permanente.
Mettre en place des plans d’urgence permettant
de faire face à toute crise de liquidité (Article 31).
Gestion du risque de liquidité :
Envisager des scénarios relatifs aux positions de liquidité
et aux facteurs d’atténuation du risques (art. 168).
Élaborer, en tenant compte des résultats des scénarios,
des plans d’urgence formalisés efficaces leur permettant
de se préparer à faire face à des situations de crises (art.
175).
Informer immédiatement l’ACPR de toute modification
importante de leur position de liquidité actuelle ou
prévisionnelle ainsi que de tout dépassement des limites.
Les informations, relatives à leurs stratégies, politiques,
procédures, systèmes, outils, plans d’urgence et résultats
des scénarios, sont communiqués à l’ACPR (art. 186).
Février 2015
Copyright Regulation Partners
12
3/ Les risques à couvrir
o Focus sur le risque de marché
Risque de marché version CRBF 97-02
Risque de marché version arrêté du 3.11.14
Définition :
Définition :
Risques de position des titres de créance ou de propriété
pour les établissements ayant un portefeuille de
négociation (art. 4 f faisait référence aux articles 292-1 et
292-2 de l’arrêté du 20.02.2007). Ces risques
comprennent:
• Le risque de taux
• Le risque de variation de prix des titres de propriété
• les risques optionnels qui y sont attachés
Février 2015
Risques mentionnés aux articles 325 à 377 du règlement
(UE) n°575/2013. Cela fait référence:
 Provisions pour exigences sur base consolidée
 Exigences de fonds propres pour risque de position
 Positions nettes sur des titres de créance
 Exigence de fonds propres applicable aux titres
de créance autres que des positions de
titrisation
 Exigence de fonds propres applicable aux
positions de titrisation
 Exigences de fonds propres applicable au
portefeuille de négociation en corrélation
 Exigence de fonds propres pour risque spécifique
pour les positions couvertes par des dérivés de crédit
 Exigences de fonds propres applicables aux positions
prises dans des OPC
Copyright Regulation Partners
13
3/ Les risques à couvrir
o Focus sur le risque de marché (y compris le risque de change)
Risque de marché version CRBF 97-02
Risque de marché version arrêté du 3.11.14
Gestion du risque de marché :
Gestion du risque de marché :
Mettre en œuvre des politiques et des processus qui leur
permettent de détecter, de mesurer et de gérer toutes les
causes et tous les effets significatifs des risques de
marché (art.122).
Mettre en place des systèmes de suivi des opérations
effectuées pour le compte propre de l'établissement qui
permettent (art. 25) :
• D'enregistrer, au moins quotidiennement, les
opérations de change et les opérations portant sur
leur portefeuille de négociation,
• De calculer leurs résultats,
• De déterminer les positions selon la même périodicité
• De mesurer, au moins quotidiennement, les risques
résultant des positions du portefeuille de négociation
ainsi que l'adéquation des fonds propres de
l'entreprise.
Disposer de systèmes de suivi des opérations effectuées
pour le compte propre de l'établissement qui permettent
(art.123) :
• D'enregistrer, à tout le moins quotidiennement, les
opérations de change et les opérations portant sur
leur portefeuille de négociation,
• De calculer leurs résultats,
• De déterminer les positions selon la même périodicité
• De mesurer, à tout le moins quotidiennement, les
risques résultant des positions du portefeuille de
négociation ainsi que l'adéquation des fonds propres
de l'entreprise
Appréhender de manière complète et précise les
différentes composantes du risque (art.124).
Février 2015
Copyright Regulation Partners
14
3/ Les risques à couvrir
o Focus sur le risque de marché (y compris le risque de change)
Risque de marché version CRBF 97-02
Risque de marché version arrêté du 3.11.14
Gestion du risque de marché :
Gestion du risque de marché :
Évaluer de façon régulière les risques qu'elles
encourent en cas de fortes variations des
paramètres d'un marché ou d'un segment de
marché (art. 27).
Évaluer de façon régulière les risques qu'elles
encourent en cas de fortes variations des
paramètres d'un marché ou d'un segment de
marché (art. 127).
Exercer un contrôle périodique sur la validité et la
cohérence des paramètres et des hypothèses
retenus pour cette évaluation des risques de
marché (art. 27).
Exercer un contrôle périodique sur la validité et la
cohérence des paramètres et des hypothèses
retenus pour cette évaluation des risques de
marché (art. 128).
Les résultats de ces mesures sont communiqués à
l'organe exécutif qui en informe l'organe
délibérant afin d'apprécier les risques de
l'entreprise notamment par rapport à ses fonds
propres et ses résultats. (Article 27).
Les résultats de ces mesures sont communiqués
aux dirigeants effectifs et à l’organe de
surveillance et, le cas échéant, au comité des
risques, afin d'apprécier les risques de l'entreprise
notamment par rapport à ses fonds propres et ses
résultats (art. 129).
Février 2015
Copyright Regulation Partners
15
3/ Les risques à couvrir
o Les risques nouvellement définis par l’arrêté du 3 novembre 2014
Le risque de base
 Définition : risque de pertes résultant d’une évolution de la valeur d’un contrat à terme
sur un indice boursier ou d’un autre produit dérivé de cet indice boursier, non
entièrement conforme à celle des actions qui le composent (Art. 10 v)
Le risque de dilution
 Définition : risque que le montant d’une créance se trouve réduit par l’octroi au débiteur
de crédits, sous la forme de liquidités ou sous une autre forme (Art. 10 w).
Le risque de titrisation
 Définition : risque induit par les opérations de titrisation dans lesquelles l’entreprise
assujettie intervient en qualité d’investisseur, d’initiateur ou de sponsor, y compris les
risques de réputation tels que ceux survenant en liaison avec des structures ou des
produits complexes (Art. 10 y).
Le risque systémique
 Définition : risque de perturbation du système financier susceptible d’avoir de graves
répercussions négatives sur le système financier et l’économie réelle (Art. 10 z).
Février 2015
Copyright Regulation Partners
16
3/ Les risques à couvrir
Le risque lié au modèle
 Définition : perte susceptible d’être subie du fait de décisions pouvant être fondées
principalement sur les résultats de modèles internes, en raison d’erreurs dans la
mise au point, leur mise en œuvre ou leur utilisation (Art. 10 aa).
Le risque de levier excessif
 Définition : risque de vulnérabilité d’un établissement de crédit ou d’une entreprise
d’investissement, résultant d’une levier ou d’un levier éventuel pouvant nécessiter la
prise de mesures correctives non prévues par le plan d’entreprise, y compris une
vente en urgence d’actifs pouvant se solder par des pertes ou une réévaluation des
actifs restants (Art. 10 ab).
 Gestion du risque de levier excessif :
• Prendre des mesures prudentes à l’égard du risque de levier excessif qui
tiennent compte de possibles augmentations du risque de levier excessif
résultant d’une diminution de leurs fonds propres du fait de pertes attendues ou
réalisées.
• Résister à un éventail de situations de crise en ce qui concerne le risque de
levier excessif (Art. 212). (non applicable aux sociétés de financement)
Février 2015
Copyright Regulation Partners
17