Les 280 articles de l’arrêté du 3 novembre 2014 relatif au contrôle interne, qui abroge la réglementation CRBF 97-02 modifiée du 21 février 1997, impactent l’organisation du contrôle interne des établissements assujettis. Les établissements soumis aux dispositions de l’arrêté sont multiples : les établissements de crédit (y compris les succursales d’EC de pays tiers), les sociétés de financement, les entreprises d’investissement autres que les sociétés de gestion de portefeuille, les adhérents de chambres de compensation, les teneurs de comptes conservateurs, les établissements de paiement et les établissements de monnaie électronique.

Une des modifications les plus discutées concerne la gouvernance de ces établissements et notamment la mise en place de comités spécialisés. Toutefois, le nouvel arrêté redéfinit aussi les besoins d’encadrement de 14 risques auxquels sont exposés les établissements ; certains risques déjà décrits dans le CRBF 97-02, mais aussi de nouveaux en termes de réglementation (mentionnés aux articles 79 à 87 de la CRD 4).

Les évolutions du dispositif de gouvernance

Tout n’est pas nouveau pour les établissements concernés, mais le dispositif réglementaire est largement renforcé. En effet, l’arrêté met l’accent sur la nécessité pour les établissements assujettis de se doter d’un « dispositif de gouvernance solide » marqué notamment par l’extension des attributions de l’organe de surveillance.  Les limites et seuils sont à fixer par le comité des risques (dont le rôle est précisé dans l’arrêté), et à valider par le conseil d’administration. Un dépassement de limite globale est à notifier à ce comité, et un dépassement de seuil doit faire l’objet d’une communication auprès de l’Autorité du Contrôle Prudentiel et de Résolution (ACPR) dans le cas français.

Le suivi de ces risques repose désormais sur quatre axes formels: les politiques, les procédures, les limites (internes et globales) et les seuils d’alerte auprès du régulateur. La réglementation détaille en outre des demandes de suivi opérationnel impactant les processus de la fonction de gestion des risques, mais aussi ceux des fronts et back office.

Des dispositions concernant la gouvernance en matière de liquidité ont également été insérées.

La mesure et la gestion des risques

Cet arrêté impacte la direction des risques des établissements assujettis de façon transverse. Les nouveautés apportées, ainsi que l’ancienneté du règlement que l’arrêté remplace, impliquent une revue intégrale du processus de suivi des risques.

Le périmètre de risques devant être couverts par le dispositif de contrôle interne a été élargi aux risques de contrepartie, résiduel, de concentration, de base, de titrisation, de levier excessif ainsi qu’aux risques systémiques et liés au modèle. Le risque de règlement-livraison (antérieurement risque de règlement) fait l’objet, quant à lui, de dispositions autonomes. Concernant le risque de marché, l’arrêté précise la nécessité de disposer d’un capital interne permettant de couvrir les risques de marché significatifs non soumis à des exigences de fonds propres.

Afin de mieux maîtriser le risque de liquidité, l’organe de surveillance doit se prononcer au moins une fois par an sur le périmètre de gestion du risque de liquidité et, dans le cas où un comité des risque a été mis en place, ce dernier procède à un examen régulier des méthodologies internes et des hypothèses sous-jacentes. Les niveaux de tolérance au risque de liquidité et les limites définies sont communiqués à l’Autorité de Contrôle Prudentiel et de Résolution. Les établissements assujettis ont également pour obligation de tester leurs procédures d’alerte et leurs plans de rétablissement de la liquidité.

Le dispositif s’inscrit dans le cadre du package élargi du CRD4 ainsi que des attentes de la Banque Centrale Européenne (BCE) en terme de mise en place de Risk Assessment Framework (RAF) dans le cadre du Mécanisme de Surveillance Unique (MSU) et du Supervisory Review and Evaluation Process (SREP).

L’encadrement des rémunérations

L’arrêté définit également un principe de proportionnalité propre à l’encadrement des rémunérations, dépendant de la taille de bilan de l’entreprise et, le cas échéant, de celui du groupe auquel elle appartient (inférieure ou supérieure à dix milliards d’euros), et précise la formule du taux d’actualisation de 25 % de la rémunération variable, qui reprend les orientations de l’Autorité bancaire européenne. Les mesures liées à l’encadrement des rémunérations sont définies aux articles L 511-57 à L511-88 du CMF.

L’arrêté précise par ailleurs les modalités d’actualisation de la rémunération variable des personnes mentionnées à l’article L 511-71 : dirigeants effectifs, preneurs de risque, personnes exerçant une fonction de contrôle ainsi que tout salarié qui, au vu de ses revenus globaux, se trouve dans la même tranche de rémunération, dont les activités professionnelles ont une incidence significative sur le profil de risque de l’entreprise ou du groupe.

Mise en place de projets dédiés

Il nous apparaît intéressant de profiter du texte pour dresser un état des lieux de la gestion des risques au sein de l’établissement, notamment en menant les actions suivantes :

  • Effectuer une revue effective et renforcer les processus de suivi et d’encadrement des risques de ces entités,
  • Développer le pilotage mis en œuvre par les établissements, notamment concernant la liquidité.

En résumé, l’arrêté du 3 novembre 2014 relatif au contrôle interne représente une évolution importante de la réglementation et de l’encadrement des risques des établissements assujettis. Celui-ci nécessite la mise en place de projets dédiés pour veiller à son respect. De plus, un tel projet aura des conséquences bénéfiques sur le pilotage de l’activité dans son ensemble.