Le contrôle périodique ou la troisième ligne de défense est certes une obligation réglementaire pour les établissements assujettis du secteur financier mais elle ne doit pas être vue que comme une contrainte mais au contraire comme la dernière ligne de défense permettant de se prémunir des risques de non-conformité et notamment de potentielles sanctions des superviseurs.

Par Nicolas Vetriak, président fondateur, et Christine Wrucka, directeur de division, Novaminds

Les fonctions de contrôle et les enjeux réglementaires

Tel que défini à l’article 12 de l’Arrêté du 3 novembre 2014 relatif au contrôle interne (modifié par l’Arrêté du 25 février 2021), les établissements assujettis doivent se doter, selon des modalités adaptées à leur taille, à la nature et à la complexité de leurs activités, de trois niveaux de contrôle distincts :

i) Le premier niveau de contrôle assuré par des agents exerçant des activités opérationnelles ii) Le deuxième niveau de contrôle assuré par des agents exclusivement dédiés à la gestion des risques y compris le risque de non-conformité ; iii) Le troisième niveau de contrôle assuré par la fonction d’audit interne composée d’agents distincts de ceux réalisant les contrôles de premier et deuxième niveau.

Les deux premiers niveaux de contrôle assurent le contrôle permanent, le troisième niveau de contrôle assure le contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l’efficacité et du caractère approprié des dispositifs et de la correcte exécution de la fonction contrôle permanent.

Depuis plusieurs années, de nouveaux acteurs proposant des services de paiement ont émergé dans le périmètre du secteur financier et sont venus compléter l’offre des établissements de crédit : les établissements de paiement (EP), les établissements de monnaie électronique (EME) et plus récemment les prestataires de services d’actifs numériques (PSAN).

L’émergence de ces nouveaux acteurs a nécessité, majoritairement depuis 2007, de compléter le corpus législatif existant (directives, ordonnances, décrets, lois) afin de réguler leurs activités.

Un contrôle périodique pertinent se doit d’être vivant et en réponse aux aléas extérieurs (réglementation, concurrence…)

Les exigences de l’ACPR liées à l’obtention de l’agrément pour les EP et EME et à son maintien nécessitent la mise en oeuvre de dispositifs permettant à l’établissement d’être en conformité avec ces exigences, le dispositif de contrôle interne en étant la pierre angulaire majeure.

Pour les PSAN, conformément aux exigences de l’AMF, l’enregistrement nécessite de se conformer à la réglementation relative à la lutte contre le blanchiment de capitaux et le financement du terrorisme (LCB/FT) alors que l’agrément nécessite de compléter ce dispositif, notamment par la mise en oeuvre plus globale du contrôle interne. 

Les enjeux de la délégation du contrôle périodique

Lorsque l’on tient compte de la séparation des fonctions de contrôle telles que décrites précédemment, il s’avère que lorsque la taille de l’entreprise assujettie ne permet pas de confier les responsabilités du contrôle permanent et du contrôle périodique à des personnes différentes, ce qui est le cas de nombreux acteurs du paiement, la fonction d’exécution du contrôle périodique, en général confiée à l’audit interne des établissements, peut être déléguée à des prestataires extérieurs de services sous la responsabilité notamment d’un dirigeant effectif de l’établissement (article 21 de l’Arrêté du 3 novembre 2014).

L’enjeu pour les établissements assujettis qui délèguent cette fonction réside dans le choix du prestataire :
• en s’assurant de la capacité du prestataire, au-delà de la compétence nécessaire des auditeurs sur les thématiques contrôlées, à répondre aux exigences liées à la fonction contrôle périodique notamment en termes de protection de la confidentialité des informations et documents fournis par l’établissement, de continuité d’activité (disposer d’un plan d’urgence et de poursuite d’activité), de sauvegarde sécurisée des échanges et des preuves, en lien avec les contrôles réalisés (a minima sur une période de cinq années après la fin de chaque année de contrôle),
• et en encadrant la prestation par un contrat conforme aux exigences réglementaires, signé entre l’établissement délégataire et le prestataire et déclaré au superviseur. Un point d’attention : cette prestation externalisée, critique ou importante au sens des lignes directrices de l’EBA du 25 février 2019, nécessite la mise en oeuvre de diligences et de clauses contractuelles avec le prestataire, en adéquation avec ce niveau de risques, sans oublier l’insertion d’une clause d’audit permettant à l’établissement, mais également au superviseur, d’avoir accès aux informations relatives à la prestation, y compris sur place.

Les enjeux de la démarche du contrôle périodique délégué

• En premier lieu, s’accorder sur la méthodologie d’audit (la méthodologie d’audit de l’IFACI étant une référence) : délais pour fournir les documents, disponibilité des audités tout en respectant les impératifs opérationnels, exigences liées à la traçabilité des preuves, formalisation des contrôles, échanges contradictoires, modalités des contrôles sur place/pièces…
• En second lieu, disposer d’un plan d’audit proportionné, cohérent avec la taille et la criticité des services proposés et des thématiques contrôlées.

Pour les EP/EME, le plan d’audit, en général étalé sur trois ans, concerne l’ensemble des thématiques qui encadrent l’activité de paiement de l’établissement ainsi que ses fonctions supports. Selon leur criticité, certaines thématiques seront contrôlées tous les ans (ex. LCB/FT), d’autres pourront l’être une fois durant les trois ans (ex. hygiène).

Pour les PSAN enregistrés, le contrôle périodique à date ne concerne que le dispositif LCB/FT.
• Les campagnes de contrôle sont alors planifiées (lettre de mission), et en début de chaque campagne, l’avancement de la mise en oeuvre des recommandations précédemment émises est vérifié.
• À la fin de chaque campagne, un échange contradictoire est réalisé avec les audités afin de :

  • - s’assurer de leur compréhension des résultats et des recommandations émises,
  • - valider la priorité des recommandations, la deadline de réalisation et la fonction en charge de la mise en oeuvre.


Dans le contexte de la délégation du contrôle périodique, l’enjeu majeur pour les acteurs des paiements est de trouver le partenaire qui, au-delà de son expertise et de son impartialité, tiendra compte de façon proportionnée du degré de maturité de l’établissement, de sa taille et de sa capacité à mettre en oeuvre les recommandations émises.

Ainsi, en complément de sa connaissance des réglementations qui encadrent les différentes typologies d’acteurs de paiement, le prestataire d’audit se doit d’avoir une parfaite compréhension des activités de l’établissement audité. Une relation transparente entre l’audité et l’auditeur est fondamentale pour réaliser un contrôle périodique de qualité.

Au-delà de la contrainte, cet exercice doit permettre aux établissements, grâce à la pertinence des recommandations émises, d’être confiant sur la conformité de leurs dispositifs et ainsi poursuivre plus sereinement le développement de leur activité.

LES POINTS CLÉS

Le contrôle périodique, complémentaire au contrôle permanent, est fondamental pour garantir la conformité des dispositifs de contrôle interne. Les établissements de paiement (EP), les établissements de monnaie électronique (EME), et plus récemment les prestataires de services d’actifs numériques (PSAN) n’ont pas toujours la taille critique et l’organisation pour assurer cette fonction en interne qui est alors déléguée.
Pour la déléguée, cela nécessite de s’assurer que le prestataire d’audit qui le prend en charge :

  • •  bénéficie de l’expertise escomptée (activités de paiement, législations encadrant les thématiques contrôlées),
  • •  est en mesure de répondre aux exigences réglementaires liées à cette activité,
  • •  est un tiers de confiance, en capacité de réaliser un contrôle périodique de qualité, proportionné à la taille et à l’activité de l'établissement. 


SUR LES AUTEURS

Nicolas Vetriak, président fondateur de Novaminds, est ingénieur et titulaire d’un MBA en finance internationale, diplômé de l’ENPC. Il dispose d’une longue expérience, d’abord dans des fonctions à responsabilités opérationnelles en risk management puis dans le conseil en stratégie et organisation, avec la donnée au coeur de ses interventions.

Christine Wrucka, directeur de division chez Novaminds, est de formation informatique. Après un parcours de responsable de projets informatiques au sein d’un grand compte bancaire, Christine intervient depuis plus de vingt ans dans le conseil pour le secteur financier, en conformité réglementaire, gestion des risques et contrôle interne.

Prochains rendez-vous

02 octobre 2024
Sommet du Droit en Entreprise
La rencontre des juristes d'entreprise
DÉJEUNER ● CONFÉRENCES ● DÎNER ● REMISE DE PRIX

Voir le site »

02 octobre 2024
Rencontres du Droit Social
Le rendez-vous des acteurs du Droit social
CONFÉRENCES ● DÉJEUNER  

Voir le site »

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

{emailcloak=off}

GUIDE ET CLASSEMENTS

> Guide 2024