3.4 Contrôle interne
Le dispositif de contrôle du Groupe repose sur trois niveaux de contrôle conformément à la réglementation bancaire et aux saines pratiques de gestion : deux niveaux de contrôle permanent et un niveau de contrôle périodique, ainsi que la mise en place de filières de contrôle intégrées conformément aux dispositions arrêtées par le directoire de BPCE.
Dispositif de contrôle permanent
L’organisation du contrôle permanent dans le Groupe est précisée dans la charte de Contrôle interne (mise à jour le 23 juillet 2020) en paragraphe 3 et dans la charte DRCCP (mise à jour le 9 décembre 2021) en paragraphes 2 et 5 conformément à l’arrêté du 3 novembre 2014 (revu le 25 février 2021) notamment à l’article 12.
Le dispositif de contrôle permanent repose sur la taxonomie des contrôles qui intègre les définitions des modalités de contrôle.
Le dispositif comporte deux types de contrôles de niveau 1 (première ligne de défense LOD1) réalisés par les agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées :
le niveau 1.1 est constitué de contrôles de production (détection d’anomalies de production, respect des règles et procédures internes) habituellement effectués sur une base continue ;
le niveau 1.2 est constitué de contrôles visant à identifier les risques/le respect des règles/des procédures réalisés par les hiérarchiques (un contrôle hiérarchique implique un contrôle distinct de celui qui l’a fait) ou par une équipe distincte dédiée au contrôle de niveau 1. La formalisation des procédures et modes opératoires décrivant les activités opérationnelles contrôlées sont du ressort de la première ligne de défense.
Le dispositif comporte également deux types de contrôles de niveau 2 (seconde ligne de défense LOD2) assurés par des agents au niveau des services centraux et locaux :
le niveau 2.1 est constitué de contrôles visant à vérifier que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues. Ils sont réalisés par les agents de services exclusivement dédiés à la gestion des risques, à la vérification de la conformité, de sécurité, de contrôle permanent ou de fonctions spécialisées qui n’exercent pas de contrôle de niveau 1 : Ces contrôles sont formalisés et donnent lieu à une évaluation ;
le niveau 2.2 concerne les contrôles de dispositif globaux ou des contrôles de qualité exercés par chaque filière métiers d’un établissement en tant que tête de Groupe ou de BPCE en tant qu’organe central. Ces contrôles sont formalisés et donnent lieu à une évaluation.
En cohérence avec la charte des Risques, Conformité et Contrôle Permanent Groupe, il est recommandé de mettre en place une fonction de coordination des contrôles permanents dans chaque établissement ou établissement tête de Groupe qui couvre la totalité du périmètre Risques/Conformité/Sécurité. En l’absence de service dédié, ces missions relèvent du Directeur des Risques, de la Conformité et du Contrôle Permanent ou du Directeur des risques et du Directeur de la Conformité, étant entendu que le Dirigeant Effectif désigné demeure responsable de la cohérence et de l’efficacité du contrôle, au sens de l’arrêté du 3 novembre 2014 modifié par l’arrêté du 25 février 2021.
Au Secrétariat général, le département Coordination des contrôles permanents groupe a pour mission essentielle de coordonner les dispositifs de contrôle permanent de niveau 1 et 2 du Groupe. Dans ce cadre, il :
propose des normes et des guides méthodologiques relatifs à l’exercice du contrôle permanent dans le Groupe BPCE ;
s’assure que les établissements respectent les normes de dispositif à savoir le document Cadre du contrôle permanent – déclinaison opérationnelle de la charte du contrôle interne –, et la norme d’échantillonnage du contrôle qui s’appuie sur des échantillons représentatifs et aléatoires ; pour ce faire, l’ensemble des plans annuels de contrôles des établissements de banques de détail sont centralisés et analysés chaque année ;
accompagne les métiers dans la revue des contrôles et dans leur complétude de couverture des risques. Les différents référentiels de contrôle permanent sont pilotés, constamment mis à jour et enrichis dans l’outil ;
réalise le reporting consolidé des résultats de contrôles pour le comité de contrôle interne groupe ;
Les principales évolutions du dispositif de contrôle permanent pour 2021 concernent :
la poursuite de l’automatisation des plans annuels de contrôle dans l’outil groupe et la mise en place d’un module dans Priscop permettant de suivre la fiabilsation des contrôles de niveau 1 par le niveau 2 ;
l’élargissement de la couverture des liens risques-contrôles notamment avec l’insertion de contrôles portés dans d’autres outils groupe (Drive, Norkom, Vigiclient) ;
le renforcement du corpus de normes de contrôle permanent avec notamment la mise à jour de la note Cadre du contrôle permanent, la norme Taxonomie des contrôles, la norme Plan annuel de contrôle, la norme Plans d’action de contrôle permanent et la norme Documentation des contrôles. Des mesures d’accompagnement des métiers et de conduite du changement sont également mis en œuvre ;
construction d’un rating du dispositif de contrôle permanent au niveau du Groupe BPCE afin de fournir en 2022 une vision synthétique et consolidée des résultats des contrôles permanents sur les risques groupe.
Contrôle périodique (niveau 3)
Conformément aux responsabilités qui incombent à l’organe central et en raison des règles de solidarité collective, l’Inspection générale groupe est chargée de vérifier périodiquement le bon fonctionnement de tous les établissements du Groupe et fournit à leurs dirigeants une assurance raisonnable de leur solidité financière.
Elle s’assure dans ce cadre de la qualité, l’efficacité, la cohérence et du bon fonctionnement de leur dispositif de contrôle permanent ainsi que de la maîtrise de leurs risques. Le périmètre de l’Inspection générale couvre tous les risques, tous les établissements et toutes les activités, y compris celles qui sont externalisées.
Ses objectifs prioritaires sont d’évaluer et de rendre compte aux organes exécutifs et délibérants des entités et du Groupe :
de la cohérence, de l’adéquation et du bon fonctionnement des dispositifs d’évaluation et de maîtrise des risques ;
Rattachée au président du directoire, la direction de l’Inspection générale groupe exerce ses missions de manière indépendante des directions opérationnelles et de contrôle permanent.
Afin de pouvoir exercer sa mission et contribuer efficacement à la promotion d’une culture du contrôle, l’Inspecteur général groupe participe, sans voix délibérative, aux comités clefs de l’organe central relatifs à la maîtrise des risques.
Comme indiqué plus haut, l’Inspecteur général est membre du comité de coordination du contrôle interne groupe et est invité permanent du comité des risques du conseil de surveillance et du comité d’audit de BPCE, du comité des risques et du comité d’audit de Natixis et des principales filiales du Groupe (pôle SEF, Banque Palatine, Oney, Crédit Foncier, BPCE International).
Pour remplir sa mission, l’Inspection générale groupe établit et tient à jour un inventaire du périmètre d’audit du Groupe, qui est défini en coordination avec les audits internes des établissements du Groupe.
Elle s’assure que l’ensemble des établissements, des activités et des risques correspondants est couvert par des audits complets, réalisés selon des cycles dont la périodicité est définie en fonction du niveau de risques global de chaque établissement ou de chaque activité et qui ne doit pas dépasser cinq ans pour les activités bancaires.
Dans ce cadre, l’Inspection générale groupe prend en compte non seulement ses propres interventions, mais aussi celles réalisées par les autorités de tutelle et les directions d’audit interne.
Le plan d’audit annuel est défini avec le président du directoire de BPCE, présenté en comité de coordination du contrôle interne groupe et en comité des risques du conseil de surveillance. Par ailleurs, il fait l’objet d’une communication aux superviseurs nationaux et européens.
Les missions de l’Inspection générale groupe donnent lieu à la formulation de recommandations priorisées par ordre d’importance, lesquelles font l’objet d’un suivi régulier au minimum semestriel.
L’Inspection générale rend compte des conclusions de ses travaux aux dirigeants des entreprises auditées et à leur organe de surveillance. Elle rend aussi compte au président du directoire, au comité des risques du conseil de surveillance et au conseil de surveillance de BPCE. Elle fournit à ces derniers un reporting sur la mise en œuvre de ses recommandations majeures, de celles de l’Autorité de contrôle prudentiel et de résolution ainsi que de celles du Mécanisme de surveillance unique (MSU). Elle veille à l’exécution dans des délais raisonnables des mesures correctrices décidées dans le cadre du dispositif de contrôle interne conformément à l’article 26 de l’arrêté du 3 novembre 2014 modifié sur le contrôle interne et peut saisir le comité des risques du conseil de surveillance en l’absence d’exécution de ces mesures.
L’Inspecteur général groupe entretient, au sein de l’organe central, des relations régulières et procède à des échanges d’informations avec les responsables des unités qui composent le périmètre d’inspection et plus particulièrement avec les directions en charge du contrôle de second niveau.
Il appartient aux responsables de ces directions d’informer rapidement l’Inspecteur général de tout dysfonctionnement ou de tout incident majeur dont ils ont connaissance. De même, l’Inspecteur général ainsi que les directeurs des Risques groupe et de la Conformité et Sécurité groupe s’informent rapidement et réciproquement du lancement de toute inspection ou de toute procédure disciplinaire des autorités de tutelle ou plus généralement de tout contrôle externe dont ils ont connaissance.
L’Inspection générale groupe a construit son plan d’audit en augmentant l’intensité d’audit sur les zones de risques les plus importantes, grâce à un risk assessment refondu qui permet une identification plus fine des risques du Groupe (utilisation de la data) enfin en combinant les missions par unité auditable et les missions transverses.
Elle a réalisé 82 % de son plan d’audit. Elle a procédé à quelques adaptations notamment en raison des contraintes de déplacement, ou de l’existence de missions du régulateur sur la même période.
Le dispositif d’alerte a été revu pour accompagner les établissements/métiers dans la convergence vers le « 0 recommandation en retard tous émetteurs confondus » en dissuadant tout retard et en encourageant les actions de remédiation.
Dans ce cadre renforcé, elle a assuré un suivi trimestriel des recommandations des Superviseurs et un suivi semestriel des recommandations émises par elle-même et l’Inspection générale de Natixis. Elle a fait un suivi de l’ensemble des recommandations émises par la troisième ligne de défense sur le Groupe (Audits internes, Inspection générale groupe, Inspection générale Natixis et Superviseurs) au 31 décembre 2021.
La direction de l’Inspection générale groupe exerce ses responsabilités dans le cadre d’un fonctionnement en filière métier. Ses modalités de fonctionnement à des fins de surveillance consolidée et d’utilisation optimale des moyens –, sont précisées dans une charte approuvée par le directoire de BPCE le 7 décembre 2009, mise à jour au mois de juillet 2018.
Cette organisation a pour but d’assurer la couverture de toutes les unités opérationnelles ou fonctionnelles du Groupe sur un nombre d’exercices raisonnable en fonction du risque associé, ainsi qu’une complémentarité efficace entre les interventions des audits internes des entités.
Les directions d’audit interne des affiliés et des filiales directes sont rattachées à l’Inspection générale groupe par un lien fonctionnel fort et, de manière hiérarchique, à l’exécutif de leur entité.
Ces liens sont strictement dupliqués au niveau de chaque entreprise du Groupe, elle-même maison mère.
Ce lien fonctionnel fort repose sur des règles de fonctionnement et l’édiction de normes d’audit interne groupe applicables par l’ensemble de la filière. Il se matérialise notamment par les éléments suivants :
l’existence d’une charte d’audit groupe unique au sein du Groupe. Elle définit la finalité, les pouvoirs, les responsabilités et l’organisation générale de la filière audit interne dans le dispositif global de contrôle interne et s’applique à toutes les entreprises du Groupe surveillées sur base consolidée ; cette charte est déclinée en normes thématiques (ressources d’audit, audit du réseau commercial, missions, suivi des recommandations…) ;
la nomination ou le retrait de fonction des directeurs de l’audit interne des affiliés ou filiales directes sont soumis à l’avis conforme et préalable de l’Inspecteur général du Groupe BPCE ;
les évaluations annuelles des directeurs sont transmises au directeur de l’Inspecteur général du Groupe BPCE ;
l’Inspection générale groupe s’assure que les directions de l’audit interne des entités disposent des moyens nécessaires à l’exercice de leur mission et la bonne couverture du plan pluriannuel d’audit ;
les programmes pluriannuels et annuels des directions de l’audit interne des établissements du Groupe sont arrêtés en accord avec l’Inspection générale groupe ; l’Inspection générale groupe est tenue régulièrement informée de leur réalisation ou de toute modification du périmètre ;
l’Inspection générale groupe émet un avis formalisé dans un courrier et éventuellement des réserves sur le plan pluriannuel d’audit, la qualité des travaux et rapports d’audit qui lui ont été communiqués ainsi que sur les moyens alloués tant en nombre que sur les compétences ;
la direction de l’Audit interne applique les normes et méthodes définies et diffusées par l’Inspection générale groupe de BPCE et se réfère aux Guides d’audit qui sont par principe communs à l’ensemble des auditeurs de la filière audit interne ;
dans le cadre de ses missions d’audit sur place, l’Inspection générale groupe de BPCE vérifie périodiquement le respect des normes d’audit interne groupe au sein des entreprises du Groupe.
les copies des rapports annuels des entités établis en application des articles 258 à 264 de l’arrêté A-2014-11-03 modifié sur le contrôle interne ;
les présentations faites par les directeurs d’audit interne aux comités des risques ainsi que les comptes rendus de ces réunions ;
les présentations faites à l’organe de surveillance au titre de l’activité et des résultats du contrôle interne ainsi que les extraits des procès-verbaux des réunions au cours desquelles ils ont été examinés.
Les règles régissant le pilotage de la ligne métier inspection entre Natixis et l’organe central s’inscrivent dans le cadre de la filière audit du Groupe.
La réorganisation de l’Inspection générale groupe, entamée en 2020 dans le cadre du projet OPAL, s’est poursuivie en 2021. L’élargissement du périmètre d’intervention du département Méthodes-Data et MOA s’est accompagné d’un renforcement des équipes et d’un redéploiement interne des fonctions.
L’équipe Data a poursuivi son plan de recrutement au cours de l’année 2021 et a étendu son périmètre d’intervention. L’animation de la data au sein de la filière s’est poursuivie. Par ailleurs, aidé par l’arrivée de nouveaux profils, le niveau d’expertise technique s’est renforcé avec la multiplication des cas d’usage de data science. Les projets de data science visent à améliorer les travaux d’audit en termes de valeur ajoutée et de productivité.
Consécutivement à la réorganisation des fonctions supports liée au projet OPAL, le champ d’action de l’équipe Méthode s’est également élargi. Deux nouveaux collaborateurs sont venus renforcer l’effectif pour mieux couvrir les activités de marché, de financement et d’investissement de Natixis ainsi que le domaine informatique. Par ailleurs, elle vient en soutien du chantier OMEGA (Audit Management Solution en remplacement de SAIG-RECO), pour lequel l’Inspection générale assure le business ownership en collaboration avec les directeurs de l’audit interne.
Outre ses responsabilités de support de l’outil de gestion des recommandations du Groupe BPCE (SAIG-RECO) actuel, l’équipe MOA a très largement intensifié sa mission d’assistance dans la gestion et le suivi du chantier OMEGA. Elle assure la mise en qualité des données liées aux risk assessment (RA) des établissements. Elle accompagne également les directeurs d’audit des établissements du réseau pour la production du RA et plan d’audit 2022 dans le nouvel outil. Parallèlement, elle poursuit son travail d’assistance dans la recherche de solutions d’outils permettant de répondre aux besoins de la direction.
Organisation des filières de contrôle intégrées
La direction des Risques et le Secrétariat général sont responsables du contrôle permanent au niveau du Groupe et la direction de l’Inspection générale groupe du contrôle périodique.
Dans les établissements affiliés et les filiales, les fonctions de contrôle permanent et périodique, soumises au dispositif de surveillance bancaire, sont, dans le cadre de filières de contrôle intégrées fonctionnellement, rattachées aux directions centrales de contrôle de BPCE et de manière hiérarchique à l’exécutif de leur entité.
un avis conforme sur les nominations et les retraits des responsables des fonctions de contrôle permanent ou périodique chez les affiliés et filiales directes ;
l’édiction de normes par l’organe central consignées dans des référentiels, la définition ou l’approbation de plans de contrôle.
L’ensemble de ce dispositif a été approuvé par le directoire de BPCE le 7 décembre 2009 et présenté au comité d’audit du 16 décembre 2009 et au conseil de surveillance de BPCE. La charte des risques a été revue en 2020 et 2021 et le corpus normatif est composé de trois chartes groupe couvrant l’ensemble des activités.
La charte du contrôle interne groupe est la charte faîtière. Elle s’appuie sur deux chartes spécifiques :
Comité de coordination du contrôle interne
Le président du directoire de BPCE est chargé d’assurer la cohérence et l’efficacité du dispositif de contrôle interne. Un comité de coordination du contrôle interne groupe (CCCIG) se réunit périodiquement sous sa présidence.
Ce comité a vocation à traiter l’ensemble des questions relatives à la cohérence et à l’efficacité du dispositif de contrôle interne du Groupe, ainsi qu’aux résultats issus des travaux de maîtrise des risques et de contrôle interne et des suites qui leur sont données.
valider la charte du contrôle interne groupe, la charte des risques, de la conformité et des contrôles permanents groupe et la charte de la filière audit interne groupe ;
procéder à la revue des tableaux de bord et reporting des résultats des contrôles groupe et présenter les actions et les résultats de la coordination des contrôles permanents ;
valider les plans d’action à mettre en œuvre afin d’avoir un dispositif groupe cohérent et efficient de contrôle permanent et faire un état d’avancement des mesures correctrices décidées suite aux recommandations de l’Inspection générale groupe et des autorités de supervision nationale ou européenne et aux préconisations des fonctions de contrôle permanent ;
effectuer la revue du dispositif de contrôle interne groupe, identifier les zones de dysfonctionnements, proposer des solutions adaptées afin de renforcer la sécurisation des établissements et du Groupe ;
décider de toutes actions ou mesures à caractère transversal visant à renforcer le contrôle interne du Groupe ;
s’assurer de la cohérence entre le renforcement des zones de contrôles permanents et les zones de risques identifiées dans la macro-cartographie consolidée.
Les membres du comité de direction générale en charge des Risques (direction des Risques) et de la Conformité et des Contrôles permanents (Secrétariat général) ainsi que l’Inspecteur général du Groupe sont membres de ce comité. Le cas échéant, ce comité peut entendre des responsables opérationnels, sur les mesures prises par eux en vue de mettre en application les recommandations issues des corps de contrôle internes comme externes.