Les contrôles sont perçus comme contraignants, incomplets voir inefficaces. Cependant, afin de faire face à un environnement de plus en plus régulé et réglementé, il est primordial de disposer de contrôles efficients, qui permettront de mitiger les risques auxquels les acteurs sont exposés,  tout en étant en adéquation avec la règlementation en vigueur.

Pour rappel, le contrôle interne s’inscrit dans le cadre réglementaire strict imposé aux établissements bancaires (règlement CRBF 97-02 modifié par l’arrêté du 3 novembre 2014). Il se compose de deux types de contrôles : le contrôle périodique et le contrôle permanent.

La mission principale de ce dernier est de « s’assurer de la conformité, de la sécurité, de la validation des opérations réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques  ».

Le contrôle permanent se décompose en deux lignes de défense :

• Première ligne de défense : les opérationnels sont les premiers responsables de la maîtrise de leurs risques et les premiers acteurs du contrôle permanent. Il est mis en œuvre par les collaborateurs et/ou leur hiérarchie et/ou des équipes de contrôle n’opérant pas les processus qu’elles contrôlent.
• Deuxième ligne de défense : Par la mise en œuvre effective des normes édictées, des procédures définies, des méthodes et des contrôles demandés, il incombe à la Direction Risques et à la Direction Conformité de vérifier de façon permanente que la sécurité et la maîtrise des risques des opérations sont assurées, sous la responsabilité du management opérationnels.

Le contrôle périodique quant à lui intervient comme troisième ligne de défense. Cette dernière assure une mission de contrôle périodique strictement indépendante des métiers, comme du contrôle permanent. Elle contribue à la protection du Groupe, en exerçant de manière indépendante son rôle de troisième ligne de défense sur l’ensemble des entités du Groupe et dans tous les domaines. Ces contrôles sont menés par l’Audit Interne et l’Inspection Générale.

Pour répondre au mieux à la mise en œuvre d’un dispositif de contrôle permanent, il convient d’adopter une démarche en 3 grandes étapes  :

• Identifier les activités et processus sur l’ensemble du périmètre du groupe bancaire  ;
• Identifier les risques par processus  ;
• Identifier les contrôles nécessaires (de niveau 1 et de niveau 2) pour réduire les risques à un niveau acceptable («  risque résiduel  »).

En revanche, la mise en œuvre unique d’un contrôle permanent est-elle suffisante  ? Malheureusement non  : afin de disposer d’un contrôle exhaustif et efficient, il est nécessaire d’embarquer tous les collaborateurs, afin de les sensibiliser et les accompagner dans la détection et la prévention des risques  : en instaurant une culture du risque au sein de l’entreprise par exemple.

Un enjeu réglementaire et stratégique majeur pour les groupes bancaires, devant trouver écho auprès des équipes opérationnelles

Si le contrôle permanent représente un enjeu majeur pour les groupes bancaires, il est souvent fragilisé dans sa mise en œuvre opérationnelle.

De la définition du dispositif à son élaboration, celui-ci peut souffrir d’un manque d’adhésion de la part des différents acteurs opérationnels, souvent dû à une absence de culture du risque au sein des services impactés. Il peut aussi souffrir d’un déficit d’image, du fait de sa perception par les équipes opérationnelles comme un organe de surveillance, non pas des risques, mais des acteurs.

La diffusion d’une culture du risque au sein d’une organisation doit s’articuler à l’échelle de l’ensemble des strates hiérarchiques. Le dispositif de contrôle permanent doit bénéficier d’un sponsorship fort, à même de mobiliser les collaborateurs et susciter la prise de conscience de l’enjeu stratégique de sa mise en œuvre. S’il est avant tout appliqué en réponse à une contrainte réglementaire, le Contrôle Interne présente pour autant de nombreux avantages opérationnels à partager auprès des équipes pour favoriser l’adhésion au projet et pérenniser ainsi le dispositif.

De plus, pour garantir son fonctionnement à long terme et l’atteinte de ses objectifs initiaux, le dispositif de contrôle permanent doit être adapté à la réalité opérationnelle. Son dimensionnement doit à la fois permettre de couvrir les contraintes réglementaires, sans pour autant en devenir une pour les différents services, et de prendre en compte les spécificités ainsi que les problématiques de chaque service.

Enfin, il doit faire l’objet d’une revue régulière durant son exploitation et au fur et à mesure des évolutions de l’organisation et de la réglementation, le but étant de s’assurer de la pertinence des contrôles et actions mises en œuvre.

Mobiliser les collaborateurs autour de l’application d’un dispositif de contrôle permanent

Afin d’impliquer les collaborateurs dans une démarche de contrôle permanent, Hector Advisory a identifié trois axes majeurs  :

1. Diffuser une culture du risque au sein de l’organisation

La première clé de mobilisation des collaborateurs dans le cadre d’une démarche de contrôle permanent est la diffusion d’une culture du risque au sein de l’organisation.

En effet, le premier objectif du contrôle permanent reste de s’assurer que les risques identifiés inhérents à l’activité bancaire soient sous maîtrise et, qu’à défaut, l’organisation soit en mesure de détecter à temps leur survenance.

Pour ce faire il est essentiel de sensibiliser les collaborateurs à cette finalité et ainsi de les responsabiliser par rapport à leur activité tout en apportant du sens aux actions de contrôle récurrentes réalisées. Expliciter la finalité des contrôles permet d’expliquer leur nécessité et ainsi d’éviter qu’ils ne soient perçus comme une tâche fastidieuse destinée à la surveillance des équipes plutôt qu’au pilotage des risques opérationnels et à la sécurisation de l’activité.

Cela passe notamment par un sponsorship important à tous les niveaux hiérarchiques. Souvent portés par les directions risques et/ou audit interne, les dispositifs de contrôles permanent doivent trouver des relais opérationnels auprès des managers. Ces derniers sont les garants du bon fonctionnement de leurs services et ainsi du respect des contraintes réglementaires et stratégiques à l’échelle du groupe.

Par ailleurs, un dispositif bien pensé – au service des objectifs des équipes opérationnelles, qui garantit la qualité de la production et qui participe au pilotage de l’activité – sera également mieux diffusé.

2. Faire converger les enjeux stratégiques et règlementaires avec les enjeux opérationnels

Le dispositif de contrôle permanent doit être décliné de manière à constituer un vecteur d’opportunités. Il est essentiel qu’il soit aligné avec la réalité opérationnelle et ne devienne pas une contrainte et, in fine, une surcharge pour les équipes. Si le dispositif en place n’est pas en phase avec la stratégie de l’entreprise d’une part, et avec les enjeux opérationnels d’autre part, celui-ci ne remplit alors que partiellement son rôle, ne représentant pour l’entreprise qu’un outil de surveillance sans réelle valeur ajoutée, et pouvant s’avérer contraignant et chronophage pour les équipes.

Son regard sur l’activité interne en fait un véritable outil d’aide à la décision, à même de détecter les axes d’optimisation éventuels en amont, et de mettre en œuvre les actions adéquates pour améliorer la maîtrise de l’activité. Il doit en effet permettre aux directions opérationnelles d’assurer la qualité de traitement de leurs actes de gestion et de contribuer à la constitution des outils de pilotage et de suivi de ces directions, à la formalisation ou à la mise à jour de la documentation métier essentielle à la sécurisation de l’activité, mais aussi à la simplification de process, en participant à dresser un panorama de l’activité capable de mettre en lumière les tâches à faible valeur ajoutée et ainsi réorienter l’activité vers des tâches plus stratégiques.

3. Challenger le dispositif en place au gré des évolutions règlementaires et organisationnelles

Enfin, le dispositif de contrôle permanent ne doit pas faire office de structure intangible. Sur la durée, il est essentiel qu’il soit pleinement aligné avec la structure changeante de l’organisation, en plus de s’adapter en continu aux évolutions des exigences réglementaires. Un dispositif n’évoluant pas finirait irrémédiablement par être inadapté et entrainerait alors une surcharge d’activité pour les équipes opérationnelles et une perte de valeur ajoutée et de vision stratégique pour l’organisation. Il doit être prévu dès sa mise en œuvre des variables d’ajustement pour répondre aux évolutions potentielles de la structure de l’organisation et de la réglementation en vigueur sans pour autant devoir faire l’objet d’une restructuration totale.

Si un dispositif de contrôle permanent correctement conçu dès sa mise en œuvre présente de nombreux avantages, cela ne correspond pas toujours à la réalité des organisations qui peuvent rencontrer des difficultés dans son application quotidienne, entrainant ainsi une remise en cause du dispositif et de sa pertinence.

Une telle situation n’est pas pour autant sans solutions. Hector accompagne de nombreuses organisations dans la revue des dispositifs en place et peut vous accompagner dans la relance d’un dispositif défaillant.