N’échappant pas à cette tendance, les Banques font elles aussi appel à des structures externes afin de leur confier, moyennant rémunération, des activités non stratégiques ou non rentables. Par exemple, le traitement des chèques est une activité très souvent externalisée par les Banques car elle engendre une charge de saisie importante et à faible valeur ajoutée.
Mais attention, l’externalisation d’une activité n’évite pas son contrôle.
En effet, le CRBF 97-02 a évolué (Arrêté du 2 juillet 2007) pour apporter des précisions sur les contrôles à mettre en place sur les activités externalisées dites « essentielles ». Ces évolutions visent à garantir le principe de « non transfert de la responsabilité » de la Banque sur le prestataire externe.
Dans ce cadre, les Banques doivent revoir leurs systèmes de contrôle interne dans une optique de mesure, de suivi et de maîtrise des risques liés aux activités externalisées. Les contrôles doivent notamment porter sur :
De facto, l’externalisation d’activités doit donner lieu à un contrat écrit entre le prestataire externe et l’établissement client. Ce contrat doit prévoir une clause donnant droit à des audits réguliers et à une communication des diligences effectuées par le contrôle permanent et le contrôle périodique sur les activités externalisées.
Au regard des ces dispositions règlementaires, quelles sont les bonnes pratiques observées sur la place dans le cadre d’activités externalisées auprès de prestataires communs ?
Compte tenu du marché des prestataires assez concentré, les banques ont bien souvent recours à des prestataires communs. A titre d’exemple on peut citer BRINKS Evolution pour le transport de fonds ou EXPERIAN pour le traitement des chèques qui drainent une part de marché très importante sur leurs activités respectives.
Dans ce contexte, la mise en place d’une démarche collective d’audit des prestataires pourrait permettre un gain de temps et de productivité, pour chaque établissement.
Cette démarche d’optimisation de l’audit des activités externalisées intéresse de plus en plus les Directions de l’inspection des grandes Banques. Ainsi des groupes de travail se sont constitués de façon mutualisée entre plusieurs banques afin de définir les modalités de planification, de réalisation et de suivi des audits des prestataires.
Le groupe de travail réfléchit à la mise en place d’une structure de gouvernance, d’un plan d’audit commun et d’une cartographie des risques car le recours à des audits mutualisés doit s’inscrire dans un cadre commun de maîtrise des risques de chaque établissement sans omettre de respecter les principes de confidentialité de chaque Banque.
Cependant, à ce jour, rien n’a encore été clairement défini et différentes démarches sont envisagées pour la mise en œuvre d’audits mutualisés :
Quelles pourraient être les conclusions de ce groupe de travail ?
La mise en place opérationnelle d’un système d’audit des activités externalisées, reposant sur des audits partagés entre les délégants ou bien sur une équipe commune aux délégants, semblerait la plus logique et la plus simple à mettre en œuvre. Cependant celle solution présente des risques d’aboutir à d’éventuels conflits d’intérêt sur le déroulement des audits, sur les conclusions et sur la mise en œuvre des plans d’actions. De ce fait, des divergences entre les établissements pourraient nuire au bon déroulement des audits.
La réalisation des audits par des tiers mandatés, extérieurs à chaque banque, apparaîtrait alors comme la solution à privilégier à condition de bien spécifier la responsabilité de chaque établissement par clauses contractuelles.
Mais alors faudrait-il dans ce cas prévoir l’audit des prestations des tiers mandatés ?
En effet, dans le cas de contrôle annuel des activités externalisées, les auditeurs externes pourraient être considérés comme des prestataires de service intellectuel du Contrôle Interne. L’activité de contrôle étant nécessairement « essentielle » elle rentrerait donc dans le périmètre des activités à auditer !
Dans ces conditions, la tâche du Groupe de travail semble ardue pour aboutir à un consensus sur une solution pragmatique et opérante afin de ne pas déporter la lourdeur des activités externalisées sur les fonctions de contrôle.
Sia Conseil
Décryptez les enjeux stratégiques des services financiers : inance.sia-conseil.com
Mais attention, l’externalisation d’une activité n’évite pas son contrôle.
En effet, le CRBF 97-02 a évolué (Arrêté du 2 juillet 2007) pour apporter des précisions sur les contrôles à mettre en place sur les activités externalisées dites « essentielles ». Ces évolutions visent à garantir le principe de « non transfert de la responsabilité » de la Banque sur le prestataire externe.
Dans ce cadre, les Banques doivent revoir leurs systèmes de contrôle interne dans une optique de mesure, de suivi et de maîtrise des risques liés aux activités externalisées. Les contrôles doivent notamment porter sur :
- la garantie de qualité pour un fonctionnement normal de service.
- la mise en place d’un plan de continuité de service par le prestataire (engagement sur les délais de reprise).
- la protection des informations confidentielles.
De facto, l’externalisation d’activités doit donner lieu à un contrat écrit entre le prestataire externe et l’établissement client. Ce contrat doit prévoir une clause donnant droit à des audits réguliers et à une communication des diligences effectuées par le contrôle permanent et le contrôle périodique sur les activités externalisées.
Au regard des ces dispositions règlementaires, quelles sont les bonnes pratiques observées sur la place dans le cadre d’activités externalisées auprès de prestataires communs ?
Compte tenu du marché des prestataires assez concentré, les banques ont bien souvent recours à des prestataires communs. A titre d’exemple on peut citer BRINKS Evolution pour le transport de fonds ou EXPERIAN pour le traitement des chèques qui drainent une part de marché très importante sur leurs activités respectives.
Dans ce contexte, la mise en place d’une démarche collective d’audit des prestataires pourrait permettre un gain de temps et de productivité, pour chaque établissement.
Cette démarche d’optimisation de l’audit des activités externalisées intéresse de plus en plus les Directions de l’inspection des grandes Banques. Ainsi des groupes de travail se sont constitués de façon mutualisée entre plusieurs banques afin de définir les modalités de planification, de réalisation et de suivi des audits des prestataires.
Le groupe de travail réfléchit à la mise en place d’une structure de gouvernance, d’un plan d’audit commun et d’une cartographie des risques car le recours à des audits mutualisés doit s’inscrire dans un cadre commun de maîtrise des risques de chaque établissement sans omettre de respecter les principes de confidentialité de chaque Banque.
Cependant, à ce jour, rien n’a encore été clairement défini et différentes démarches sont envisagées pour la mise en œuvre d’audits mutualisés :
- Des audits réalisés par une équipe commune aux délégants
- Des audits partagés entre les délégants (chaque délégant a la responsabilité d’un audit)
- Des audits réalisés par des tiers mandatés
Quelles pourraient être les conclusions de ce groupe de travail ?
La mise en place opérationnelle d’un système d’audit des activités externalisées, reposant sur des audits partagés entre les délégants ou bien sur une équipe commune aux délégants, semblerait la plus logique et la plus simple à mettre en œuvre. Cependant celle solution présente des risques d’aboutir à d’éventuels conflits d’intérêt sur le déroulement des audits, sur les conclusions et sur la mise en œuvre des plans d’actions. De ce fait, des divergences entre les établissements pourraient nuire au bon déroulement des audits.
La réalisation des audits par des tiers mandatés, extérieurs à chaque banque, apparaîtrait alors comme la solution à privilégier à condition de bien spécifier la responsabilité de chaque établissement par clauses contractuelles.
Mais alors faudrait-il dans ce cas prévoir l’audit des prestations des tiers mandatés ?
En effet, dans le cas de contrôle annuel des activités externalisées, les auditeurs externes pourraient être considérés comme des prestataires de service intellectuel du Contrôle Interne. L’activité de contrôle étant nécessairement « essentielle » elle rentrerait donc dans le périmètre des activités à auditer !
Dans ces conditions, la tâche du Groupe de travail semble ardue pour aboutir à un consensus sur une solution pragmatique et opérante afin de ne pas déporter la lourdeur des activités externalisées sur les fonctions de contrôle.
Sia Conseil
Décryptez les enjeux stratégiques des services financiers : inance.sia-conseil.com