B. UNE INSUFFISANTE AUTODISCIPLINE DES ACTEURS
Le
contrôle des opérations bancaires et financières est au
coeur de la régulation financière internationale. Dans ces
conditions, il n'est pas surprenant que le contrôle interne apparaisse
comme le dispositif fondamental d'un monde financier plus stable.
Les différentes crises monétaires et financières
témoignent systématiquement de défaillances graves de
cette catégorie de contrôles de gestion, ce qui justifie
pleinement le raffinement de la réflexion et de la législation
sur le contrôle interne au sein des intermédiaires bancaires et
financiers.
Mais, le passage des intentions ou des réglementations à un
contrôle interne systématique et effectif est susceptible de
rencontrer de graves résistances et se heurte à un dilemme
systémique, le risque d'irresponsabilité.
1. Le développement des règles concernant le contrôle interne
La volonté de développer les contrôles internes, qui n'est pas nouvelle, a connu dernièrement un regain de vitalité dont témoigne de façon très illustrative les travaux menés par le Comité de Bâle sur le contrôle bancaire, comité qui, au sein de la BRI, constitue, autour des hauts représentants des autorités de contrôle et des banques centrales du groupe des Dix, l'enceinte d'élaboration de la réglementation bancaire. Celui-ci a établi au mois de janvier 1998 une série de recommandations permettant d'évaluer la qualité des systèmes de contrôle interne 36( * ) .
Résumé des recommandations du Comité de Bâle sur le contrôle interne
D'emblée, le Comité place ses recommandations au
coeur
des efforts engagés pour améliorer le contrôle des banques
et les présente comme susceptibles d'être utilisées par les
superviseurs extérieurs pour évaluer les contrôles internes
des établissements financiers.
Selon le Comité, les contrôles internes doivent permettre de
s'assurer de la qualité de la gestion bancaire dans une perspective de
long terme mais aussi du respect par les banques des réglementations
d'intérêt général.
Les principes d'organisation du contrôle interne recommandés par
le Comité sont au nombre de 14.
Répartition des responsabilités et diffusion de la
culture de contrôle :
Principe n° 1
: Le conseil d'administration a la
responsabilité d'approuver les stratégies, d'apprécier les
risques, de fixer les niveaux de risques acceptables et de s'assurer que les
directions des services prennent les mesures nécessaires à
l'identification et au contrôle de ces risques.
Principe n° 2 :
Les directions des services ont la
responsabilité de mettre en oeuvre sur ce point les décisions des
administrateurs et d'en contrôler l'effectivité.
Principe n° 3 :
Les administrateurs et les directions des
services ont la responsabilité de promouvoir des normes
d'intégrité élevées et la culture du contrôle
interne à tous les niveaux de l'établissement.
Evaluation des risques
:
Principe n° 4 :
Les directions des services doivent
s'assurer que l'ensemble des facteurs de risques, internes ou externes, sont
identifiés et évalués.
Principe n° 5 :
Les directions des services doivent
veiller à l'actualisation permanente des risques.
Les activités de contrôle :
Principe n° 6 :
Les activités de contrôle
doivent faire intégralement partie des opérations quotidiennes de
la banque et doivent inclure : des examens à haut niveau, un
contrôle approprié de chaque département ou division, des
contrôles physiques, un système précis d'approbation et de
délégation, un système rigoureux de vérification.
Principe n° 7 :
Les directions des services doivent
veiller à une séparation appropriée des tâches et
à ce que les personnels n'exercent pas de responsabilités
supposant des conflits d'intérêts. Ceux-ci doivent être
identifiés, réduits et surveillés.
Information et communication
:
Principe n° 8 :
Les directions des services doivent
s'assurer de la disponibilité des données opérationnelles
et financières internes et de leur exhaustivité. Une même
solution s'impose s'agissant des données pertinentes concernant
l'environnement extérieur. L'information doit être digne de
confiance, à jour et accessible.
Principe n° 9
: Les directions des services doivent
établir des canaux de communication effectifs au sein des banques.
Principe n° 10 :
Elles doivent veiller à la
qualité et à la sécurité des systèmes de
communication.
Surveillance
:
Principe n° 11
: Les directions des services doivent
surveiller en permanence l'effectivité des contrôles internes et
les risques majeurs doivent être surveillés sur une base
quotidienne.
Principe n° 12 :
Il faut instituer un audit interne des
systèmes de contrôle interne confié à des personnels
compétents et qualifiés chargés de rapporter directement
au conseil d'administration et aux directions.
Principe n° 13 :
Les déficiences du
contrôle interne doivent être rapidement identifiées et
corrigées.
L'évaluation des systèmes de contrôle interne par
les autorités de supervision :
Principe n° 14 :
Les superviseurs doivent exiger des
banques, quelle que soit leur taille, qu'elles disposent d'un système
efficace de contrôle interne adapté à leur situation de
risques et à la nature et à la complexité de leur
activité. En cas de défaillance des banques sur ce point, les
superviseurs doivent entreprendre des actions afin d'obtenir une
amélioration immédiate de la situation.
Les recommandations du Comité de Bâle prolongent des
réflexions précédentes qui se sont traduites dans des
textes réglementaires.
La législation européenne
s'est ainsi
inquiétée du contrôle interne des établissements de
crédit.
Il faut citer l'article 13-2 de la
directive n° 89-646 du
15 décembre 1989
visant à la coordination des
dispositions législatives, réglementaires et administratives
concernant l'accès à l'activité des établissements
de crédit et son exercice.
"
Les autorités compétentes de l'Etat membre d'origine
exigent que tout établissement de crédit dispose d'une bonne
organisation administrative et comptable et de procédures de
contrôle interne adéquates. "
De même, l'article 3-6 de la
directive n° 92-30 du 6 avril
1992
sur la surveillance des établissements de crédit sur une
base consolidée prévoit :
" Les autorités compétentes prescrivent, dans l'ensemble
des entreprises incluses dans le champ de la surveillance sur une base
consolidée à laquelle est soumise un établissement de
crédit en application des paragraphes 1 et 2, l'institution de
procédures de contrôle interne adéquates pour la production
des informations et renseignements utiles aux fins de l'exercice de la
surveillance sur une base consolidée. "
La France
a, quant à elle, adopté une telle
réglementation spécifique avec le règlement
n° 97-02 du 21 février 1997 relatif au contrôle
interne des établissements de crédit.
Il édicte une obligation imposant aux établissements de
crédit de se doter d'un contrôle interne qu'il définit
comme devant comprendre :
"
a) un système de contrôle des opérations et des
procédures internes ;
b) Une organisation comptable et du traitement de l'information ;
c) des systèmes de mesure des risques et des résultats ;
d) des systèmes de surveillance et de maîtrise des risques ;
e) un système de documentation et d'information.
Le règlement traite l'ensemble des questions que pose tout
système de contrôle interne.
Son organisation doit assurer l'effectivité du contrôle interne
à travers la mise en oeuvre de moyens suffisants et une
indépendance réelle, conférée aux structures de
contrôle.
Il doit pouvoir se référer à des données comptables
exactes, exhaustives et accessibles ce qui justifie que le titre III du
règlement édicte des règles d'organisation comptable et de
traitement de l'information.
Il doit également pouvoir s'appuyer sur des systèmes fiables de
mesure des risques et des résultats. Le titre IV du règlement
comporte plusieurs règles concernant les unes les risques de
crédit, les autres les risques de marché, les troisièmes
le risque de taux d'intérêt global, les dernières le risque
de règlement.
Le contrôle interne suppose aussi la mise en place de systèmes de
surveillance et de maîtrise des risques.
Il est enfin prévu que l'organisation du contrôle interne soit un
élément d'appréciation pour les contrôleurs externes
et qu'à ce titre, notamment, la Commission bancaire soit destinataire,
au moins une fois par an, de deux rapports imposés aux
établissements de crédit, l'un sur les conditions dans lesquelles
le contrôle interne est assuré, l'autre sur la mesure et la
surveillance des risques par chaque établissement.