3.4 Contrôle interne
Le dispositif de contrôle du groupe repose sur trois niveaux de contrôle conformément à la réglementation bancaire et aux saines pratiques de gestion : deux niveaux de contrôle permanent et un niveau de contrôle périodique, ainsi que la mise en place de filières de contrôle intégrées conformément aux dispositions arrêtées par le directoire de BPCE.
L’organisation du contrôle permanent dans le Groupe est précisée dans la charte de Contrôle interne (mise à jour le 23 juillet 2020) en paragraphe 3 et dans la charte DRCCP (mise à jour le 9 décembre 2021) en paragraphes 2 et 5 conformément à l’arrêté du 3 novembre 2014 (revu le 25 février 2021) notamment à l’article 12.
En matière de gouvernance l’évaluation du dispositif de contrôle permanent relève du Comité de Coordination du Contrôle Interne Groupe (ou 3CI ou CCFC dans sa déclinaison locale).
Le dispositif de contrôle permanent repose sur la taxonomie des contrôles qui intègre les définitions des modalités de contrôle.
Le dispositif comporte deux types de contrôles de niveau 1 (première ligne de défense LOD1) réalisés par les agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées :
le niveau 1.1 est constitué de contrôles de production (détection d’anomalies de production, respect des règles et procédures internes) habituellement effectués sur une base continue ;
le niveau 1.2 est constitué de contrôles visant à identifier les risques/le respect des règles/des procédures réalisés par les hiérarchiques (un contrôle hiérarchique implique un contrôle distinct de celui qui l’a fait) ou par une équipe distincte dédiée au contrôle de niveau 1. La formalisation des procédures et modes opératoires décrivant les activités opérationnelles contrôlées sont du ressort de la première ligne de défense.
Le dispositif comporte également deux types de contrôles de niveau 2 (seconde ligne de défense LOD2) assurés par des agents au niveau des services centraux et locaux :
le niveau 2.1 est constitué de contrôles visant à vérifier que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues. Ils sont réalisés par les agents de services exclusivement dédiés à la gestion des risques, à la vérification de la conformité, de sécurité, de contrôle permanent ou de fonctions spécialisées qui n’exercent pas de contrôle de niveau 1 : Ces contrôles sont formalisés et donnent lieu à une évaluation ;
le niveau 2.2 concerne les contrôles de dispositif globaux ou des contrôles de qualité exercés par chaque filière métiers d’un établissement en tant que tête de Groupe ou de BPCE en tant qu’organe central. Ces contrôles sont formalisés et donnent lieu à une évaluation. La DRG a mis en place au dernier trimestre 2022, un pôle dédié à la réalisation de contrôles permanents de la filière risques et des activités sensibles de son périmètre.
En En cohérence avec la charte des Risques, Conformité et Contrôle Permanent Groupe, il est recommandé de mettre en place une fonction de coordination des contrôles permanents dans chaque établissement ou établissement tête de groupe qui couvre la totalité du périmètre Risques/Conformité/Sécurité. En l’absence de service dédié, ces missions relèvent du Directeur des Risques, de la Conformité et du Contrôle Permanent ou du Directeur des risques et du Directeur de la Conformité, étant entendu que le Dirigeant Effectif désigné demeure responsable de la cohérence et de l’efficacité du contrôle, au sens de l’arrêté du 3 novembre 2014 modifié par l’arrêté du 25 février 2021.
Au Secrétariat général, le département Coordination des contrôles permanents groupe a pour mission essentielle de coordonner les dispositifs de contrôle permanent de niveau 1 et 2 du groupe. Dans ce cadre, il :
propose des normes et des guides méthodologiques relatifs à l’exercice du contrôle permanent dans le Groupe BPCE ;
s’assure que les établissements respectent les normes de dispositif à savoir le document Cadre du contrôle permanent – déclinaison opérationnelle de la charte du contrôle interne –, et la norme d’échantillonnage du contrôle qui s’appuie sur des échantillons représentatifs et aléatoires ; pour ce faire, l’ensemble des plans annuels de contrôles des établissements de banques de détail sont centralisés et analysés chaque année ;
accompagne les métiers dans la revue des contrôles et dans leur complétude de couverture des risques. Les différents référentiels de contrôle permanent sont pilotés, constamment mis à jour et enrichis dans l’outil ;
réalise le reporting consolidé des résultats de contrôles pour le comité de contrôle interne groupe ;
La culture du contrôle a été renforcée par la mise en place d’une Certification en contrôle permanent des métiers de la banque et des assurances validée par l’organisme externe France Compétence. Cette certification s’adresse à la filière contrôle permanent de niveau 1 et de niveau 2 mais également aux métiers de LOD2.
Le périmètre du dispositif de contrôle Groupe a été étendu aux entités de BPCE Assurance et Payments. Ce groupe d’entités a rejoint la plateforme Priscop.
Deux nouvelles normes sont venues compléter le dispositif :
- la Norme Documentation des contrôles permanents Groupe qui porte sur la formalisation de leurs attendus, des modalités de contrôle et des informations nécessaires au contrôleur en charge de la réalisation des contrôles.
- la Norme sur les principes de restitution des résultats de contrôles en 3CI/CCFC.
De nouveaux reportings ont été développés pour permettre aux établissements de suivre l’avancement du plan annuel de contrôle
un sharepoint permettant d’évaluer, via un rating, la qualité du dispositif de contrôle permanent d’un établissement face à ses risques prioritaires a été mis en œuvre ;
une mission de revue a été lancée sur la qualité et la complétude de la documentation des contrôles sur le périmètre des contrôles communs à tous les établissements, avec l’objectif de porter cette documentation dans la plateforme Priscop ;
le référentiel de contrôles proposé aux établissements s’est enrichi, notamment par des contrôles de second niveau.
La direction des Risques Groupe et le Secrétariat général Groupe sont responsables du contrôle permanent au niveau du groupe et la direction de l’Inspection générale Groupe du contrôle périodique.
Dans les établissements affiliés et les filiales, les fonctions de contrôle permanent et périodique, soumises au dispositif de surveillance bancaire, sont, dans le cadre de filières de contrôle intégrées fonctionnellement, rattachées aux directions centrales de contrôle de BPCE et de manière hiérarchique à l’exécutif de leur entité.
un avis conforme sur les nominations et les retraits des responsables des fonctions de contrôle permanent ou périodique chez les affiliés et filiales directes ;
l’édiction de normes par l’organe central consignées dans des référentiels, la définition ou l’approbation de plans de contrôle.
L’ensemble de ce dispositif a été approuvé par le directoire de BPCE le 7 décembre 2009 et présenté au comité d’audit du 16 décembre 2009 et au conseil de surveillance de BPCE. La charte des risques, de la conformité et du contrôle permanent a été revue décembre 2021 et le corpus normatif est composé de trois chartes groupe couvrant l’ensemble des activités.
La charte du contrôle interne groupe est la charte faîtière. Elle s’appuie sur deux chartes spécifiques :
Le président du directoire de BPCE est chargé d’assurer la cohérence et l’efficacité du dispositif de contrôle interne. Un comité de coordination du contrôle interne groupe (CCCIG) se réunit périodiquement sous sa présidence.
Ce comité a vocation à traiter l’ensemble des questions relatives à la cohérence et à l’efficacité du dispositif de contrôle interne du Groupe, ainsi qu’aux résultats issus des travaux de maîtrise des risques et de contrôle interne et des suites qui leur sont données.
valider la charte du contrôle interne groupe, la charte des risques, de la conformité et des contrôles permanents groupe et la charte de la filière audit interne groupe ;
procéder à la revue des tableaux de bord et reporting des résultats des contrôles groupe et présenter les actions et les résultats de la coordination des contrôles permanents ;
valider les plans d’action à mettre en œuvre afin d’avoir un dispositif groupe cohérent et efficient de contrôle permanent et faire un état d’avancement des mesures correctrices décidées suite aux recommandations de l’Inspection générale groupe et des autorités de supervision nationale ou européenne et aux préconisations des fonctions de contrôle permanent ;
effectuer la revue du dispositif de contrôle interne groupe, identifier les zones de dysfonctionnements, proposer des solutions adaptées afin de renforcer la sécurisation des établissements et du Groupe ;
décider de toutes actions ou mesures à caractère transversal visant à renforcer le contrôle interne du groupe ;
s’assurer de la cohérence entre le renforcement des zones de contrôles permanents et les zones de risques identifiées dans la macro-cartographie consolidée.
Les membres du comité de direction générale en charge des Risques (direction des Risques Groupe) et de la Conformité et des Contrôles permanents (Secrétariat général) ainsi que l’Inspecteur général du Groupe sont membres de ce comité. Le cas échéant, ce comité peut entendre des responsables opérationnels, sur les mesures prises par eux en vue de mettre en application les recommandations issues des corps de contrôle internes comme externes.
Conformément aux responsabilités qui incombent à l’organe central et en raison des règles de solidarité collective, l’Inspection générale groupe est chargée de vérifier périodiquement le bon fonctionnement de tous les établissements du groupe et fournit à leurs dirigeants une assurance raisonnable de leur solidité financière.
Elle s’assure dans ce cadre de la qualité, l’efficacité, la cohérence et du bon fonctionnement de leur dispositif de contrôle ainsi que de la maîtrise de leurs risques. Le périmètre de l’Inspection générale couvre tous les risques, tous les établissements et toutes les activités, y compris celles qui sont externalisées.
Ses objectifs prioritaires sont d’évaluer et de rendre compte aux organes exécutifs et délibérants des entités et du groupe :
de l’adéquation et du respect des politiques et des procédures au regard de l’appétit aux risques des entités ;
de la fiabilité ainsi que de l’intégrité des informations comptables et des informations de gestion ;
de la cohérence, de l’adéquation et du bon fonctionnement des dispositifs d’évaluation et de maîtrise des risques ;
de l’intégrité des processus garantissant la fiabilité des méthodes et techniques des entités, ainsi que des hypothèses et des sources d’information utilisées pour ses modèles internes ;
de la qualité et de l’utilisation des outils de détection et d’évaluation des risques et les mesures prises pour les atténuer ;
de la sécurité des systèmes d’information et de leur adéquation au regard des exigences réglementaires ;
Rattachée au président du directoire, la direction de l’Inspection générale groupe exerce ses missions de manière indépendante des directions opérationnelles et de contrôle permanent.
Afin de pouvoir exercer sa mission et contribuer efficacement à la promotion d’une culture du contrôle, l’Inspecteur général groupe participe, sans voix délibérative, aux comités clefs de l’organe central relatifs à la maîtrise des risques.
Comme indiqué plus haut, l’Inspecteur général est membre du Comité de coordination du contrôle interne groupe et est invité permanent du Comité des risques du conseil de surveillance et du Comité d’audit de BPCE, du Comité des risques et du Comité d’audit de Natixis et des principales filiales du groupe (pôle SEF, Banque Palatine, Oney, Crédit Foncier, BPCE International).
Pour remplir sa mission, l’Inspection générale groupe établit et tient à jour un inventaire du périmètre d’audit du groupe, qui est défini en coordination avec les audits internes des établissements du groupe.
Elle s’assure que l’ensemble des établissements, des activités et des risques correspondants est couvert par des audits complets, réalisés selon des cycles dont la périodicité est définie en fonction du niveau de risques global de chaque établissement ou de chaque activité et qui ne doit pas dépasser cinq ans pour les activités bancaires.
Dans ce cadre, l’Inspection générale groupe prend en compte non seulement ses propres interventions, mais aussi celles réalisées par les autorités de tutelle et les directions d’audit interne, en appliquant le principe de subsidiarité.
Le plan d’audit annuel est défini avec le président du directoire de BPCE, présenté en Comité de coordination du contrôle interne groupe et en Comité des risques du conseil de surveillance. Par ailleurs, il fait l’objet d’une communication aux superviseurs nationaux et européens.
Les missions de l’Inspection générale groupe donnent lieu à la formulation de recommandations priorisées par ordre d’importance, lesquelles font l’objet d’un suivi régulier au minimum semestriel.
L’Inspection générale rend compte des conclusions de ses travaux aux dirigeants des entreprises auditées et à leur organe de surveillance. Elle rend aussi compte au président du directoire, au Comité des risques du conseil de surveillance et au conseil de surveillance de BPCE. Elle fournit à ces derniers un reporting sur la mise en œuvre de ses recommandations majeures, de celles de l’Autorité de contrôle prudentiel et de résolution ainsi que de celles du Mécanisme de surveillance unique (MSU). Elle veille à l’exécution dans des délais raisonnables des mesures correctrices décidées dans le cadre du dispositif de contrôle interne conformément à l’article 26 de l’arrêté du 3 novembre 2014 modifié sur le contrôle interne et peut saisir le Comité des risques du conseil de surveillance en l’absence d’exécution de ces mesures.
L’Inspecteur général groupe entretient, au sein de l’organe central, des relations régulières et procède à des échanges d’informations avec les responsables des unités qui composent le périmètre d’inspection et plus particulièrement avec les directions en charge du contrôle de second niveau.
Il appartient aux responsables de ces directions d’informer rapidement l’Inspecteur général de tout dysfonctionnement ou de tout incident majeur dont ils ont connaissance. De même, l’Inspecteur général ainsi que les directeurs des Risques groupe et de la Conformité et Sécurité groupe s’informent rapidement et réciproquement du lancement de toute inspection ou de toute procédure disciplinaire des autorités de tutelle ou plus généralement de tout contrôle externe dont ils ont connaissance.
La réalisation du plan d’audit 2022 a été marquée par la reprise des missions sur site et la poursuite du rattrapage des missions à l’international.
L’Inspection générale groupe a réalisé 93 % de son plan d’audit (versus 82 % en 2021) soit 71 des 75 missions prévues dont six supplémentaires ajoutées dans l’année.
La nouvelle organisation de la filière liée au projet Pléiade a été mise en place pour la deuxième vague de missions avec la création de l’audit interne de Natixis CIB et le rattachement fonctionnel des audits CIB, NIM, BPCE Assurances et Natixis Algérie à l’Inspection générale BPCE.
Le dispositif d’alerte revu en 2021 pour accompagner les établissements/métiers dans la convergence vers le « 0 recommandation en retard tous émetteurs confondus », a été déployé dans les établissements et a fait l’objet d’un pilotage renforcé par l’Inspection générale groupe. Elle assure ainsi un suivi trimestriel des recommandations des Superviseurs et un suivi semestriel des recommandations émises par elle-même. Elle a fait un suivi de l’ensemble des recommandations émises par la troisième ligne de défense sur le Groupe (Audits internes, Inspection générale groupe, l’ex-Inspection générale Natixis et Superviseurs) au 31 décembre 2022.
La direction de l’Inspection générale groupe exerce ses responsabilités dans le cadre d’un fonctionnement en filière métier. Ses modalités de fonctionnement – à des fins de surveillance consolidée et d’utilisation optimale des moyens –, sont précisées dans une charte approuvée par le directoire de BPCE le 7 décembre 2009 ; cette dernière a fait l’objet d’une refonte validée le 12 décembre 2022.
Cette organisation a pour but d’assurer la couverture de toutes les unités opérationnelles ou fonctionnelles du groupe sur un nombre d’exercices raisonnable en fonction du risque associé, ainsi qu’une complémentarité efficace entre les interventions des audits internes des entités.
Les directions d’audit interne des affiliés et des filiales directes sont rattachées à l’Inspection générale groupe par un lien fonctionnel fort et, de manière hiérarchique, à l’exécutif de leur entité.
Ces liens sont strictement dupliqués au niveau de chaque entreprise du groupe, elle-même maison mère.
Ce lien fonctionnel fort repose sur des règles de fonctionnement et l’édiction de normes d’audit interne groupe applicables par l’ensemble de la filière. Il se matérialise notamment par les éléments suivants :
l’existence d’une charte d’audit groupe unique au sein du groupe. Elle définit la finalité, les pouvoirs, les responsabilités et l’organisation générale de la filière audit interne dans le dispositif global de contrôle interne et s’applique à toutes les entreprises du groupe surveillées sur base consolidée ; cette charte est déclinée en normes thématiques (ressources d’audit, audit du réseau commercial, missions, suivi des recommandations…) ;
la nomination ou le retrait de fonction des directeurs de l’audit interne des affiliés ou filiales directes sont soumis à l’avis conforme et préalable de l’Inspecteur général du Groupe BPCE ;
les évaluations annuelles des directeurs sont transmises au directeur de l’Inspecteur général du Groupe BPCE ;
l’Inspection générale groupe s’assure que les directions de l’audit interne des entités disposent des moyens nécessaires à l’exercice de leur mission et la bonne couverture du plan pluriannuel d’audit ;
les programmes pluriannuels et annuels des directions de l’audit interne des établissements du groupe sont arrêtés en accord avec l’Inspection générale groupe qui est tenue régulièrement informée de leur réalisation ou de toute modification du périmètre ;
l’Inspection générale groupe émet un avis formalisé dans un courrier et éventuellement des réserves sur le plan pluriannuel d’audit, la qualité des travaux et rapports d’audit qui lui ont été communiqués ainsi que sur les moyens alloués tant en nombre que sur les compétences ;
la direction de l’audit interne applique les normes et méthodes définies et diffusées par l’Inspection générale groupe de BPCE et se réfère aux Guides d’audit qui sont par principe communs à l’ensemble des auditeurs de la filière audit interne ;
dans le cadre de ses missions d’audit sur place, l’Inspection générale groupe de BPCE vérifie périodiquement le respect des normes d’audit interne groupe au sein des entreprises du groupe ;
les évolutions 2022 de la charte portent principalement sur la réaffirmation du lien fort entre les audits internes locaux et l’Inspection générale groupe, l’indépendance des directeurs d’audit, le renforcement des dispositifs d’évaluation des travaux d’audits et l’intégration de la notion de RSE.
les copies des rapports annuels des entités établis en application des articles 258 à 264 de l’arrêté A-2014-11-03 modifié sur le contrôle interne ;
les présentations faites par les directeurs d’audit interne aux comités des risques ainsi que les comptes rendus de ces réunions ;
les présentations faites à l’organe de surveillance au titre de l’activité et des résultats du contrôle interne ainsi que les extraits des procès-verbaux des réunions au cours desquelles ils ont été examinés.
Les règles régissant le pilotage de la ligne métier inspection entre Natixis et l’organe central s’inscrivent dans le cadre de la filière audit interne du groupe.
En corollaire du projet Pléiade de restructuration des métiers du Groupe BPCE, l’élargissement du périmètre d’intervention du pôle Normes & Méthodes s’est poursuivi au cours de l’année 2022 avec la montée en charge progressive sur les domaines hors retail, notamment les activités du nouveau pôle GFS (Global Financial Services, ex-Natixis), la poursuite du suivi des recommandations en lien avec les superviseurs, et la participation aux travaux de révision de la charte de la filière audit interne mentionnée ci-avant ainsi que de la norme Missions (validée par le Comité de direction générale BPCE le 25/10/2022). La norme Missions intègre désormais l’évaluation de la qualité de traitement des données dans l’approche des risques (au travers d’un data quality assessment et sur le fondement des principes BCBS 239). Elle réaffirme également le principe du maintien de la piste d’audit et de la traçabilité des traitements data effectués.
En avril 2022, l’organisation du pôle Data a été revue avec un nouveau manager et l’arrivée de nouveaux profils comme un Data Engineer. L’ambition du pôle est de renforcer son positionnement au sein de la direction de l’inspection, de mettre en place une infrastructure data robuste par de nouveaux outils, faciliter l’exploitation des données au service de l’audit en accentuant son automatisation, et d’augmenter la productivité. De nouvelles techniques data ont fait leur apparition en 2022 pour accroitre la part de l’audit reposant sur l’analyse de données tel que l’exploration du NLP (Natural Language Processing) pour l’analyse en masse des comptes rendus de comités
L’activité de l’équipe MOA est restée concentrée dans la mise en œuvre du nouvel outil de gestion des missions d’audit OMEGA en remplacement de SAIG-RECO. La migration des données s’est effectuée correctement en octobre et les différents modules (intégrant notamment les plans d’audit pluriannuels et le risk assessment des directions d’audit interne des établissements ainsi que le suivi des recommandations) ont été mis en production conformément au plan de charge fixé.