Rôle de la surveillance et du contrôle internes dans la gestion des risques L exemple du domaine bancaire Bernard Milliet bernard-milliet@bluewin milliet@bluewin.ch Haute école de gestion de Genève 7 mars 2008 1
Plan du cours Risques dans les banques et l industrie : points communs et différences Gestion et contrôle des risques Fonctions et principes i de governance Système de contrôle interne e Cadre du SCI dans le domaine bancaire SCI dans les entreprises 2
Le risque dans le domaine financier Banque Commerce / industrie i A un rôle d intermédiation en matière de risques Prend délibérément des risques de marché et de crédit Réputation / confiance Toutes les entreprises Risques stratégiques Risques opérationnels Supporte des risques liés au domaine d activité (ex. aviation, chimie) Évite les risques financiers (en général) 3
Résultats des banques 1993-2006 35 30 25 20 15 10 5 0-5 1993 1995 1997 1999 2001 2003 2005 Perte nette Bénéfice brut Bénéfice net Les banques suisses BNS, chiffres en Mias CHF 4
Etapes principales de la gestion et du contrôle des risques 1. Stratégie des risques 2. Gérer les risques 1. Identifier les risques potentiels 2. Mesurer le risque (probabilité x impact) 3. Maîtriser le risque inhérent 3. Système de contrôle des risques et de mesure de la performance 5 5
6
Mesures de gestion du risque Risque total éviter éliminer réduire transférer Tlé Tolérance au risque La tolérance est fonction de la capacité de l entreprise (fonds propres) ainsi que de la volonté délibérée de prise de risque (sans risques pas de revenu) 7
8
9
Gérer le risque Comment le processus de gestion du risque s intègre-t-il dans une entreprise Qui est responsable de la gestion du risque Quels sont les principes pour assurer que les risques correspondent aux caractéristiques de l entreprise 10
Entités et principes Assemblée générale Gouvernance d entreprise Conseil d administration Mécanismes de contrôle Direction et séparation de pouvoir Organe de révision («check and balances» ) Révision interne (audit Responsabilité interne) («responsibility» & Compliance «accountability») Contrôle des risques Système de contrôle Parties prenantes interne (SCI) («stakeholders») GBS Autorité étatique de surveillance (CFB pour les banques) 11
Commission fédérale des banques Organe de révision selon le CO Assemblée générale Rapport sur l audit Mandat / prudentiel et sur l audit des comptes annuels ainsi que devoir d annonce Société d audit Audit prudentiel et financier auprès de l établissement Rencontres avec le management Devoir d annonce Mandat / Rapports Désignation de la Direction Haute surveillance / Rapport sur la gestion Audit des comptes selon le CO Rapport sur l audit du SCI Conseil d administration Comité du CA : - comité d audit Election / Rapport de gestion Direction Mise en œuvre et contrôle du SCI Révision interne Audit du SCI Eléments du système de contrôle interne (SCI) au sein de l établissement bancaire : Mesures organisationnelles Fonction de Compliance Fonction de Contrôle des risques Mesures techniques 12 Contrôles directs par la hiérarchie
Exemple - Théorie de l agence relation actionnaires - dirigeants Une relation d'agence est «un contrat t par lequel l une ou plusieurs personnes (le principal) engage une autre personne (l'agent) pour exécuter en son nom une tâche quelconque qui implique une délégation d'un dun certain pouvoir de décision à l'agent» (Jensen et Meckling, 1976). Cette relation pose problème du fait de la divergence d'intérêt et de l'asymétrie d'information entre les deux parties, lesquelles ll engendrent des coûts d'agence : les dépenses de surveillance et d'incitation les coûts d'assurance le coût d'opportunité (écart entre le résultat de l'action pour le principal et le comportement optimal pour le principal) Le problème est alors de déterminer la forme d'organisation qui minimise les coûts d'agence 13
Théorie de l agence - Hauts salaires (I) Les actionnaires doivent pouvoir faire entendre leur opinion sur la politique de rémunération des administrateurs et des principaux dirigeants. La composante en actions de la rémunération des administrateurs, des principaux dirigeants et des salariés doit être soumise à l approbation des actionnaires. Principes de gouvernement d entreprise de l Organisation de Coopération et de Développement Economiques (OCDE), 2004 14
Théorie de l agence - Hauts salaires (II) Améliorer la transparence (communiquer d avantage que requis par les règles de cotation) Renforcer le lien entre rémunération et performance pour aligner véritablement les intérêts des actionnaires et des dirigeants Votation de l Assemblée générale sur la politique de rémunération des instances dirigeantes des sociétés cotées Recommandations Etude Ethos nov. 2006 15
Instruments Conseil d administration d i ti (CA) et ses tâches inaliénables (716a CO) Relations entre le CA et la Direction Moyens pour le CA de surveiller la gestion et le fonctionnement de l entreprise Mesures et fonctions devant être mises en place au sein de l entreprise par la direction (le management) pour assurer l atteinte des objectifs 16
Conseil d administration (Cm 9-53) Administrateurs compétents Compréhension des affaires et des développements ainsi que risques liés (p. ex. juridiques) Administrateurs indépendants Capacité de poser des questions «qui dérangent» sans être partie prenante Comités spécialisés (audit [Cm 32.53]; rémunération) Décharger le CA et préparer pour lui certains dossiers Le CA doit assumer son rôle et rapporter aux propriétaires, les actionnaires 17
18
Direction opérationnelle (Cm 80-126) La Direction est responsable de la mise en œuvre de la stratégie La Direction doit mettre en place le système de contrôle interne (SCI) et montrer l exemple l (culture SCI) La Direction doit rapporter au Conseil d administration sur la gestion de l établissement (y. c. informations sur la gestion des risques, le compliance et le SCI) 19
20
Révision interne (Audit interne) La Révision i interne (inspectorat t ou audit interne) d une banque ne fait pas partie du système de contrôle interne stricto sensu. En effet, son rôle n est pas de contrôler de manière continue des opérations mais plutôt de vérifier l existence et l efficience du SCI et de proposer des recommandations d amélioration. Elle est directement subordonnée au Conseil d administration, ce qui garantit l indépendance de ses recommandations par rapport à la Direction. Il s agit donc d un outil important du CA. (Cm 54-79) 21
Instances de Contrôle interne Fonction de Compliance (cm 100-112) Assurer que l établissement respecte la loi, les directives et ait un comportement éthique Fonction de Contôle des risques (Cm 113-126) Assurer que l établissement connaisse les risques et les gère en fonction de ses capacités Fonction de Controlling Assurer la connaissance des coûts et de la rentabilité des activités déployées par l établissement Fonction de Contrôle interne Assurer un contrôle indépendant des activités réalisées 22
Système de contrôle interne La confiance n exclut pas le contrôle Le terme «contrôle interne» est une traduction littérale de l anglais de «internal control». En francophonie, le contrôle interne est souvent mal compris car, culturellement, le «contrôle» stricto sensu y est socialement mal perçu. En tenant compte du sens réel de «internal control», une traduction ti plus adéquate serait «maîtrise des activités». En effet, le contrôle interne comprend toutes les mesures mises en place pour atteindre les objectifs poursuivis i par l établissement. Naturellement, parmi ces multiples mesures, l activité de contrôle stricto sensu existe. Dans ce cas, cet outil n est pas une fin en soi, mais un moyen parmi d autres. 23
SCI (2) Un système de contrôle interne efficace et de qualité est une composante essentielle de la gestion d un établissement et constitue le fondement d un fonctionnement sûr et prudent d une organisation bancaire (Comité de Bâle). Le SCI est un élément central d une gestion moderne d une banque et constitue la base d une gestion des risques adaptée. 24
SCI à trois niveaux Système de contrôle interne d un établissement bancaire (niveaux I à III) Contrôle de premier niveau I.a. Contrôle interne au niveau de la ligne I.b. Monitoring par le management Contrôle de second niveau Fonction Compliance II. Instances de contrôle interne Fonction Risk management Fonction Controlling Fonction Contrôle interne Contrôle de troisième niveau III. Révision interne Contrôle par l autorité CFB Audit externe 25
26
The TEID (Threat-Event-Ignorance-Damage) Model B. Milliet & E. Fragnière 27
Balance entre risques et contrôles Risques excessifs Non respect des lois et réglementation (compliance) Scandales entachant la réputation de l établissement t Pertes financières importantes dans les domaines des crédit et des opérations de marché Mauvaise qualité des décisions du management Contrôles excessifs Augmentation de la complexité pe des opérations Accroissement d activités sans valeur ajoutée Augmentation de la bureaucratie Réduction de la productivité Assurance raisonnable 28
Assurance raisonnable Un niveau «absolu» d assurance a n est pas possible car : C est prohibitif au niveau des coûts Le management peut «passer au dessus» des contrôles internes Il peut y avoir une collusion entre employés L erreur humaine existe 29
Fraude interne Economic crime survey 2005 Switzerland (PWC) 30
«Whistleblowing» Système permettant t aux collaborateurs d annoncer d éventuelles irrégularités au sein de l entreprise Mise à disposition d une ligne téléphonique Protections des «whistleblowers» Procédure claire et connue par tous Objectif : identifier des problèmes qui ne seraient pas découverts par le SCI conventionnel 31
Cadre du SCI dans les banques «Cadre pour les systèmes de contrôle interne dans les organisations bancaires» (Comité de Bâle sur le contrôle bancaire - 1998) Encouragement à l application de saines pratiques de gestion des risques Circulaire «Surveillance et contrôle internes» (Commission fédérale des banques - 2006) Mise en œuvre en suisse, avec la possibilité de dérogation «comply pyor explain» 32
Cause des défaillances / pertes (I) Faible culture de contrôle Politique salariale et de promotion Responsabilité et structure organisationnelle Surveillance par la direction et culture de contrôle (P 1-3) Source PWC + Comité de Bâle 33
Cause des défaillances / pertes (II) Mauvaise évaluation des risques, notamment lors d opérations très rentables Absence de réévaluation des risques lorsque l environnement change Absence d évaluation des risques lors de l introduction d une nouvelle activité Reconnaissance et évaluation des risques (P 4) Source PWC + Comité de Bâle 34
Cause des défaillances / pertes (III) Séparation de fonctions pas adéquate Responsable à la foi du «Front» et du «Back» Manque de réaction de la part de la direction supérieure Activité de contrôle et séparation des tâches (P 5 6) Source PWC + Comité de Bâle 35
Cause des défaillances / pertes (IV) Information n a na pas atteint la bonne personne Information n était pas correcte Politique et procédure communiquées mais pas comprises Information et communication (P 7-9) Source PWC + Comité de Bâle 36
Cause des défaillances / pertes (V) Pas de suivi de l efficacité du SCI Manque de réaction Processus s d audit dit trop fragmenté Réviseurs sans compétences nécessaires Suivi inadéquat des points des contrôles internes par la direction Surveillance des activités et correction des déficiences (P 10-12) Source PWC + Comité de Bâle 37
Surveillance étatique Évaluation des systèmes de contrôle interne par les autorités prudentielles (P 13) Exiger que les banques disposent d un SCI adéquat et efficace Réglementation (Circ.-CFB 06/6) Intervention en conséquence si l autorité constate que le SCI n est pas adéquat ou efficace Surveillance + mesures de contrainte 38
SCI dans les entreprises Source : L expert comptable suisse 2006/11, p. 842, «Questionnaire d autoévaluation du SCI» - Stéhphane Gard et Alain Guillaume, KPMG 39