Accueil
Envoyer
Imprimer
Partager
Enablon propose une analyse des modalités d’application des propositions du rapport.
Selon Enablon, le rapport Lagarde comporte trois grands types de propositions :
Enablon considère que le rapport Lagarde comporte des avancées nécessaires en matière de renforcement du contrôle interne. Ce rapport en tant que première analyse n’adresse pas précisément les modalités d’application qui sont indispensables à toute amélioration des dispositifs de contrôle interne. Dans ce document, Enablon analyse la capacité de mise en œuvre des mesures préconisées par le rapport et propose des pistes de réflexions.
Selon Enablon, le rapport Lagarde comporte trois grands types de propositions :
- Des propositions dont l’objet est de renforcer une réglementation et des pratiques déjà existantes.
- Des propositions dont les modalités sont facilement applicables et qui devraient se traduire par une amélioration immédiate mais néanmoins limitée des niveaux de contrôle interne dans le milieu bancaire.
- Des propositions dont les applications auront un impact déterminant et qui nécessitent des précisions dans leur application.
Enablon considère que le rapport Lagarde comporte des avancées nécessaires en matière de renforcement du contrôle interne. Ce rapport en tant que première analyse n’adresse pas précisément les modalités d’application qui sont indispensables à toute amélioration des dispositifs de contrôle interne. Dans ce document, Enablon analyse la capacité de mise en œuvre des mesures préconisées par le rapport et propose des pistes de réflexions.
|
Analyse des modalités de mise en œuvre du Rapport Lagarde |
|||
|
Article |
Sous-article |
Efficacité |
Mise en œuvre |
|
4.1 |
Diffusion des termes écrits à chaque opérateur |
Ø |
Ø Ø Ø |
|
4.1 |
Renforcer les dispositifs de contrôle interne : suivi des transactions, etc. |
Ø Ø |
Ø Ø |
|
4.1 |
Indépendance entre le front et le middle office |
Ø Ø Ø |
Ø Ø |
|
4.2 |
Création d’une cartographie de risque par ligne métier |
Ø Ø |
Ø |
|
4.3 |
Création d’un département dédié |
Ø Ø Ø |
Ø Ø |
|
4.4 |
Comités composés de personnalités indépendantes |
Ø Ø |
Ø Ø |
|
4.5 |
Hausse des sanctions applicables |
Ø |
Ø Ø |
© Enablon 2008
Des propositions dont l’objet est de renforcer une réglementation et des pratiques déjà existantes.
Le rapport de Christine Lagarde propose de renforcer un certain nombre de textes et pratiques déjà en place.
Une des pistes de l’article 4.3 consiste à inciter « les établissements d’une certaine taille ou présentant un profil de risque spécifique (…) à créer un département dédié à cette mission. ». Les départements dédiés à cette mission existent déjà dans la plupart des grands établissements financiers. Il s’agit des départements d’audit et contrôle interne dont les attributions recouvrent déjà la lutte contre la fraude interne. La recommandation du rapport Lagarde entérine un état de fait et crée une nouvelle hiérarchisation des risques avec une primauté de la lutte contre la fraude interne par rapport aux autres risques opérationnels.
« La mise en place de règles spécifiques en fonction de la typologie des établissements bancaires est nécessaire : les établissements bancaires ayant une double vocation avec activité de marchés à risque et activité de banque de détail devraient répondre à des exigences de maîtrise des risques plus importants (niveau d’exposition au risque, dispositifs et fonds propres). Ce type d’établissement touche en effet « l’économie réelle » et les impacts sont plus importants. Si l’on reprend les événements récents, ce qui entraîne une prise de conscience généralisée, c’est que l’activité d’une personne puisse mettre en péril l’emploi de plus de 100 000 salariés, l’épargne de 10 millions de comptes de particuliers et le financement des dizaines de milliers d’entreprises. » précise Philippe Tesler, co-fondateur d’Enablon
L’article 4.1 propose par ailleurs que « les termes écrits devraient systématiquement définir précisément les opérations permises à chaque opérateur. Ils permettraient de s’assurer que la nature et le montant des instruments financiers utilisés s’inscrivent bien à l’intérieur des limites fixées et de la stratégie définie par l’établissement ». C’est déjà souvent le cas pour beaucoup d’établissements. Pour être efficaces, ces propositions doivent être doublées de barrières techniques qui ne laissent pas de place à l’interprétation et la subjectivité des intervenants de marché.
Le rapport par ailleurs dans le même article insiste sur la nécessité de mieux sécuriser le système d’information « les systèmes d’information doivent être correctement sécurisés, afin d’éviter les intrusions. ». Cette proposition ne donne toutefois pas d’éléments concrets. A l’instar des travaux réalisés sur les normes comptables internationales, une réflexion inter-bancaire sur les normes de sécurité informatique permettrait de garantir des pratiques homogènes, comparables et efficaces.
Des propositions dont les modalités sont facilement applicables et qui devraient se traduire par une amélioration immédiate mais néanmoins limitée.
Les points les plus faciles à mettre en œuvre et qui correspondent déjà d’ailleurs aux pratiques de certains grands acteurs du marché, concernent à l’article « 4.1 Renforcer les dispositifs internes de contrôle des établissements ». Il s’agit notamment des pratiques liées à un meilleur suivi des transactions (le suivi des engagements plus précis, meilleures pistes d’audits, meilleure analyse des erreurs de traitement, documentation des termes et conditions des opérations nouées avec les contreparties externes, etc.) Implémentées de manière systématique, celles-ci devraient permettre de combler les failles les plus immédiates en matière de contrôle transactionnel. Elles font partie des suggestions faciles à mettre en œuvre dont les bénéfices seront immédiats.
Les mesures relatives aux sanctions applicables aux établissements quant à elles peuvent avoir un effet dissuasif efficace mais leurs modalités d’application doivent être très précisément définies. Selon Philippe Tesler, co-fondateur d’Enablon « cela permettrait d’éviter un phénomène de ‘double pénalisation’ des établissements bancaires, qui reviendrait à pénaliser deux fois les établissements ayant mis en œuvre un dispositif de maîtrise des risques mais ayant encouru une perte dans un monde où le risque zéro n’existe pas. »
Des propositions dont les applications auront un impact déterminant et qui nécessitent des précisions dans leur application.
Une des recommandations importantes du rapport consiste à renforcer l’efficacité du contrôle interne par une plus grande implication des instances de gouvernance des établissements. (4.4 Impliquer pleinement la direction et l’encadrement des établissements dans le contrôle des risques).
Le rapport Lagarde propose deux pistes : des nouvelles obligations de reporting sur les risques opérationnels et les dispositifs de contrôles auprès des organes sociaux ainsi qu’auprès de la Commission bancaire. Et que « compte tenu de la complexité des opérations effectuées, les organes sociaux mettent en place des comités composés en partie de personnalités indépendantes et dédiés à la surveillance des risques et du contrôle interne. Ces comités examineraient les résultats des travaux des différentes filières de contrôle interne et prépareraient les délibérations des instances dirigeantes de l’établissement sur ces questions. »
Nous considérons que ces recommandations sont positives dans une optique de gouvernance et transparence des établissements, cependant celles-ci ne devraient pas avoir un impact significatif sur l’amélioration des dispositifs de contrôle interne. En effet, cette mesure nous paraît difficile à mettre en œuvre car pour être efficace elle nécessite trois conditions préalables difficiles à réunir :
1. L’expertise: l’existence d’une population d’experts formés à la fois aux problématiques de contrôle interne et aussi de détection des fraudes. Cette population est encore trop peu nombreuse pour couvrir les besoins des établissements bancaires concernés par une telle mesure. A l’instar des cycles avancés de formation aux techniques de trading, des cycles de formation aux méthodes de régulation restent à inventer.
2. Le temps : l’évaluation des niveaux de maîtrise des risques ainsi que les dispositifs de contrôles ne se suffit pas d’une simple revue/prise de décision classique. Elle demande une analyse poussée et chronophage souvent incompatible avec la disponibilité des membres consultés dans le cadre des différents comités mis en place.
3. Quid des processus de vérification ? Pour que ces comités soient véritablement efficaces, il faut qu’ils puissent diligenter des processus de vérification indépendants sur les informations de contrôle et d’audit remontées par les équipes internes de l’établissement.
En résumé, l’efficacité de cette mesure dépend essentiellement des moyens mis en œuvre. Si la mise en place de comités de gestion des risques est utile dans une logique de gouvernance et de transparence, le rapport ne précise pas les moyens à mettre en œuvre. Or ceux-ci feront toute la différence.
Enablon propose d’étudier les modalités de recours à des intervenants extérieurs de type commissaires aux comptes, certificateurs, conseils spécialisés, dans une logique de prolongement et vérification des travaux traités dans le cadre des « comités de surveillance des risques et du contrôle interne ».
Le rapport attire l’attention sur le fait que « la forte intégration internationale des activités de marché (rend) souhaitable que des réflexions du même ordre aient lieu aux niveaux européen et international, de façon à ce que des standards homogènes puissent s’appliquer à l’ensemble des intervenants. » (article 4.6). Cette initiative nous paraît indispensable au niveau international. Celle-ci nous semble difficile à mettre en œuvre sans volonté politique très forte. Une démarche au niveau européen semble la plus à même à déboucher sur des propositions concrètes.
Enfin, une des recommandations les plus opérationnelles du rapport Lagarde vise à l’amélioration de la qualité des systèmes de reporting interne : « la qualité des systèmes de reporting interne des établissements devrait être renforcée, en s’assurant que les informations transmises correspondent bien aux besoins des différents niveaux hiérarchiques ou de contrôle. »
L’entrée en vigueur de Bâle II s’est traduite par des efforts importants des établissements bancaires en matière d’amélioration des systèmes de reporting, mais qui restent néanmoins parfois insuffisants. La mise en œuvre effective de cette recommandation passe par le déploiement de systèmes d’information qui permettent une double approche : l’application systématique de processus de contrôle humain ainsi que la mise à disposition de ces informations à tous les niveaux de responsabilité. Aujourd’hui plus de 40% des principaux établissements bancaires français se sont déjà engagés dans cette direction.
« Au-delà de la combinaison systématique d’une approche quantitative et qualitative des risques, nous sommes persuadés que seule une approche intégrée permet de casser les « silos » de management des risques et donc d’assurer un niveau de maîtrise des risques efficace. Pour cela, nous proposons de réfléchir à la mise en œuvre d’indicateurs normalisés de maîtrise des risques comprenant à la fois pour chaque risque opérationnel : ses évaluations quantitatives, les informations sur les pertes avérées (risques réalisés), l’évaluation de l’efficacité des dispositifs de contrôle interne et l’analyse de l’audit interne » conclut Philippe Tesler.
A propos d’Enablon
Enablon est un éditeur de solutions logicielles de maîtrise de risques financiers, environnementaux et juridiques.
Enablon est un acteur de référence du monde bancaire : premier éditeur de solutions de contrôle permanent et un des leaders sur le marché de la gestion des risques et de l’audit interne.
Les solutions Enablon sont utilisées par plus de 70% des entreprises du CAC 40 et de nombreuses entreprises internationales. Aujourd’hui 42% des grands établissements bancaires français utilisent les solutions Enablon.
Philippe Tesler, co-fondateur et Directeur du Développement d'ENABLON
www.enablon.com
Le rapport de Christine Lagarde propose de renforcer un certain nombre de textes et pratiques déjà en place.
Une des pistes de l’article 4.3 consiste à inciter « les établissements d’une certaine taille ou présentant un profil de risque spécifique (…) à créer un département dédié à cette mission. ». Les départements dédiés à cette mission existent déjà dans la plupart des grands établissements financiers. Il s’agit des départements d’audit et contrôle interne dont les attributions recouvrent déjà la lutte contre la fraude interne. La recommandation du rapport Lagarde entérine un état de fait et crée une nouvelle hiérarchisation des risques avec une primauté de la lutte contre la fraude interne par rapport aux autres risques opérationnels.
« La mise en place de règles spécifiques en fonction de la typologie des établissements bancaires est nécessaire : les établissements bancaires ayant une double vocation avec activité de marchés à risque et activité de banque de détail devraient répondre à des exigences de maîtrise des risques plus importants (niveau d’exposition au risque, dispositifs et fonds propres). Ce type d’établissement touche en effet « l’économie réelle » et les impacts sont plus importants. Si l’on reprend les événements récents, ce qui entraîne une prise de conscience généralisée, c’est que l’activité d’une personne puisse mettre en péril l’emploi de plus de 100 000 salariés, l’épargne de 10 millions de comptes de particuliers et le financement des dizaines de milliers d’entreprises. » précise Philippe Tesler, co-fondateur d’Enablon
L’article 4.1 propose par ailleurs que « les termes écrits devraient systématiquement définir précisément les opérations permises à chaque opérateur. Ils permettraient de s’assurer que la nature et le montant des instruments financiers utilisés s’inscrivent bien à l’intérieur des limites fixées et de la stratégie définie par l’établissement ». C’est déjà souvent le cas pour beaucoup d’établissements. Pour être efficaces, ces propositions doivent être doublées de barrières techniques qui ne laissent pas de place à l’interprétation et la subjectivité des intervenants de marché.
Le rapport par ailleurs dans le même article insiste sur la nécessité de mieux sécuriser le système d’information « les systèmes d’information doivent être correctement sécurisés, afin d’éviter les intrusions. ». Cette proposition ne donne toutefois pas d’éléments concrets. A l’instar des travaux réalisés sur les normes comptables internationales, une réflexion inter-bancaire sur les normes de sécurité informatique permettrait de garantir des pratiques homogènes, comparables et efficaces.
Des propositions dont les modalités sont facilement applicables et qui devraient se traduire par une amélioration immédiate mais néanmoins limitée.
Les points les plus faciles à mettre en œuvre et qui correspondent déjà d’ailleurs aux pratiques de certains grands acteurs du marché, concernent à l’article « 4.1 Renforcer les dispositifs internes de contrôle des établissements ». Il s’agit notamment des pratiques liées à un meilleur suivi des transactions (le suivi des engagements plus précis, meilleures pistes d’audits, meilleure analyse des erreurs de traitement, documentation des termes et conditions des opérations nouées avec les contreparties externes, etc.) Implémentées de manière systématique, celles-ci devraient permettre de combler les failles les plus immédiates en matière de contrôle transactionnel. Elles font partie des suggestions faciles à mettre en œuvre dont les bénéfices seront immédiats.
Les mesures relatives aux sanctions applicables aux établissements quant à elles peuvent avoir un effet dissuasif efficace mais leurs modalités d’application doivent être très précisément définies. Selon Philippe Tesler, co-fondateur d’Enablon « cela permettrait d’éviter un phénomène de ‘double pénalisation’ des établissements bancaires, qui reviendrait à pénaliser deux fois les établissements ayant mis en œuvre un dispositif de maîtrise des risques mais ayant encouru une perte dans un monde où le risque zéro n’existe pas. »
Des propositions dont les applications auront un impact déterminant et qui nécessitent des précisions dans leur application.
Une des recommandations importantes du rapport consiste à renforcer l’efficacité du contrôle interne par une plus grande implication des instances de gouvernance des établissements. (4.4 Impliquer pleinement la direction et l’encadrement des établissements dans le contrôle des risques).
Le rapport Lagarde propose deux pistes : des nouvelles obligations de reporting sur les risques opérationnels et les dispositifs de contrôles auprès des organes sociaux ainsi qu’auprès de la Commission bancaire. Et que « compte tenu de la complexité des opérations effectuées, les organes sociaux mettent en place des comités composés en partie de personnalités indépendantes et dédiés à la surveillance des risques et du contrôle interne. Ces comités examineraient les résultats des travaux des différentes filières de contrôle interne et prépareraient les délibérations des instances dirigeantes de l’établissement sur ces questions. »
Nous considérons que ces recommandations sont positives dans une optique de gouvernance et transparence des établissements, cependant celles-ci ne devraient pas avoir un impact significatif sur l’amélioration des dispositifs de contrôle interne. En effet, cette mesure nous paraît difficile à mettre en œuvre car pour être efficace elle nécessite trois conditions préalables difficiles à réunir :
1. L’expertise: l’existence d’une population d’experts formés à la fois aux problématiques de contrôle interne et aussi de détection des fraudes. Cette population est encore trop peu nombreuse pour couvrir les besoins des établissements bancaires concernés par une telle mesure. A l’instar des cycles avancés de formation aux techniques de trading, des cycles de formation aux méthodes de régulation restent à inventer.
2. Le temps : l’évaluation des niveaux de maîtrise des risques ainsi que les dispositifs de contrôles ne se suffit pas d’une simple revue/prise de décision classique. Elle demande une analyse poussée et chronophage souvent incompatible avec la disponibilité des membres consultés dans le cadre des différents comités mis en place.
3. Quid des processus de vérification ? Pour que ces comités soient véritablement efficaces, il faut qu’ils puissent diligenter des processus de vérification indépendants sur les informations de contrôle et d’audit remontées par les équipes internes de l’établissement.
En résumé, l’efficacité de cette mesure dépend essentiellement des moyens mis en œuvre. Si la mise en place de comités de gestion des risques est utile dans une logique de gouvernance et de transparence, le rapport ne précise pas les moyens à mettre en œuvre. Or ceux-ci feront toute la différence.
Enablon propose d’étudier les modalités de recours à des intervenants extérieurs de type commissaires aux comptes, certificateurs, conseils spécialisés, dans une logique de prolongement et vérification des travaux traités dans le cadre des « comités de surveillance des risques et du contrôle interne ».
Le rapport attire l’attention sur le fait que « la forte intégration internationale des activités de marché (rend) souhaitable que des réflexions du même ordre aient lieu aux niveaux européen et international, de façon à ce que des standards homogènes puissent s’appliquer à l’ensemble des intervenants. » (article 4.6). Cette initiative nous paraît indispensable au niveau international. Celle-ci nous semble difficile à mettre en œuvre sans volonté politique très forte. Une démarche au niveau européen semble la plus à même à déboucher sur des propositions concrètes.
Enfin, une des recommandations les plus opérationnelles du rapport Lagarde vise à l’amélioration de la qualité des systèmes de reporting interne : « la qualité des systèmes de reporting interne des établissements devrait être renforcée, en s’assurant que les informations transmises correspondent bien aux besoins des différents niveaux hiérarchiques ou de contrôle. »
L’entrée en vigueur de Bâle II s’est traduite par des efforts importants des établissements bancaires en matière d’amélioration des systèmes de reporting, mais qui restent néanmoins parfois insuffisants. La mise en œuvre effective de cette recommandation passe par le déploiement de systèmes d’information qui permettent une double approche : l’application systématique de processus de contrôle humain ainsi que la mise à disposition de ces informations à tous les niveaux de responsabilité. Aujourd’hui plus de 40% des principaux établissements bancaires français se sont déjà engagés dans cette direction.
« Au-delà de la combinaison systématique d’une approche quantitative et qualitative des risques, nous sommes persuadés que seule une approche intégrée permet de casser les « silos » de management des risques et donc d’assurer un niveau de maîtrise des risques efficace. Pour cela, nous proposons de réfléchir à la mise en œuvre d’indicateurs normalisés de maîtrise des risques comprenant à la fois pour chaque risque opérationnel : ses évaluations quantitatives, les informations sur les pertes avérées (risques réalisés), l’évaluation de l’efficacité des dispositifs de contrôle interne et l’analyse de l’audit interne » conclut Philippe Tesler.
A propos d’Enablon
Enablon est un éditeur de solutions logicielles de maîtrise de risques financiers, environnementaux et juridiques.
Enablon est un acteur de référence du monde bancaire : premier éditeur de solutions de contrôle permanent et un des leaders sur le marché de la gestion des risques et de l’audit interne.
- Enablon Continuous Assessment permet d’améliorer l’efficacité du contrôle interne et répondre aux contraintes réglementaires du CRBF 97-02 modifié.
- Enablon Internal Audit permet d’informatiser, automatiser et fiabiliser l’ensemble des activités d’audit.
- Enablon Risk Management permet d’évaluer, gérer et maîtriser les risques opérationnels.
Les solutions Enablon sont utilisées par plus de 70% des entreprises du CAC 40 et de nombreuses entreprises internationales. Aujourd’hui 42% des grands établissements bancaires français utilisent les solutions Enablon.
Philippe Tesler, co-fondateur et Directeur du Développement d'ENABLON
www.enablon.com
