Présentation de la matrice de la gouvernance
A l’instar de Pigé (2008), nous pensons que l’audit et le contrôle ne constituent pas une fin en soi mais contribuent à la mise en oeuvre d’une bonne gouvernance de l’organisation.
Comme le souligne Pigé, le champ de la gouvernance n’est pas restreint aux dirigeants et à la réduction du conflit potentiel entre ces derniers et les actionnaires mais intègre « l’ensemble des mécanismes qui contribuent à aligner la réalité du fonctionnement d’une organisation sur les objectifs qui lui sont assignés ».
Partant, ces mécanismes sont contractuels (comme vu précédemment, au sens de Charreaux qui considère que l’organisation est un noeud de contrats), le contrôle ayant pour objectif de vérifier que les contrats passés entre les divers membres de l’organisation sont correctement exécutés.
Ces mécanismes sont aussi institutionnels : dans le domaine que nous étudions, la réglementation définit l’architecture des contrôles.
Enfin, la dimension réputationnelle, certes difficile à appréhender, revêt une importance capitale dans le cas de l’industrie bancaire. Comme le souligne Pigé, la direction ne doit pas se contenter de prévoir et mettre en oeuvre des mécanismes de contrôle mais doit aussi respecter une certaine éthique, instaurer un climat de confiance, une véritable culture du contrôle. Cette dernière doit partir des plus hautes instances pour être reconnue et acceptée par l’ensemble des acteurs. La mutation dans l’exercice du contrôle que connaît l’industrie bancaire, avec les évolutions réglementaires, doit aussi passer par une transformation des mentalités. Après la mise en place de toutes les structures dédiées au contrôle, l’organe exécutif doit aussi insuffler une véritable volonté managériale en donnant une véritable place au contrôle interne.
Notre matrice de la gouvernance tient compte de tous ces facteurs et définit les principes stratégiques essentiels du contrôle interne, son architecture décisionnelle (via la délimitation des responsabilités) et opérationnelle (via la circulation de l’information). L’organisation du contrôle interne qui est synthétisée dans cette matrice repose sur une acceptation en interne d’une fonction de contrôle des risques indépendante des divisions opérationnelles et des enjeux de pouvoir afférents. Elle nécessite de la part de l’organe exécutif, une politique de risque clairement établie, une circulation de l’information, une délimitation des responsabilités, l’instauration d’une culture du contrôle et des mécanismes de suivi dans le cas de défaillances du contrôle permanent.
La matrice, ci-après, synthétise les contrôles clés relatifs à la gouvernance du contrôle interne.
Les contrôles permanents sous l’angle de la typologie des risques
L’organisation doit privilégier un partage des rôles clair et cohérent avec les principes réglementaires. Il s’agit de bien délimiter les périmètres couverts par les contrôles, de procéder à une classification exhaustive des risques contrôlés et des méthodologies employées. Ainsi, sous l’effet des évolutions de la réglementation, le contrôle interne est devenu plus précis et surtout plus formalisé.
Comme déjà vu précédemment, le socle réglementaire du contrôle interne est commun à tous les établissements français. Charge à chaque établissement d’organiser son dispositif de contrôle pour répondre aux exigences réglementaires. Le découpage des risques et l’adaptation aux risques encourus peuvent varier d’un établissement à un autre70 et passent par une nécessaire hiérarchisation des risques. L’objectif est d’éviter que certains domaines soient oubliés ou, au contraire, qu’il y ait trop de points de recouvrements (chacun compte sur l’autre pour effectuer les contrôles et finalement personne ne s’en occupe). Tous les domaines d’activité doivent être couverts, un de nos interlocuteurs en charge du pilotage des risques a ainsi qualifié la mise en oeuvre du contrôle permanent de « déploiement tentaculaire ».
Dans l’établissement étudié, le périmètre d’application du contrôle interne a été défini selon trois grandes familles de risques : risques de contrepartie, risques financiers, risques opérationnels. Une répartition des responsabilités relative à la mesure et à la surveillance des risques est définie pour chaque direction-métier selon les exigences réglementaires : les contrôles permanents de premier et deuxième niveau sont effectués par les entités opérationnelles et la Direction des risques, le contrôle périodique (« contrôle des contrôles ») est confié à l’inspection générale, indépendante des structures et activités qu’elle vérifie, selon un plan quadriennal.
Par souci de synthèse et pour ne pas surcharger les matrices ici présentées, nous avons choisi de ne présenter que les contrôles permanents de premier et deuxième niveau. En effet, ces derniers constituent la clef de voûte du dispositif. Ils sont, naturellement, soumis à l’Inspection Générale, habilitée à en vérifier périodiquement le bon fonctionnement, et qui ne peut concourir à la formation de règles internes ou à leur mise en oeuvre opérationnelle.
Les contrôles permanents du risque de contrepartie
Le risque de contrepartie comprend les risques de crédit issus du bilan et du hors bilan à partir d’informations qualitatives et quantitatives relatives à la clientèle (banque commerciale) et au portefeuille bancaire71. L’affectation du portefeuille bancaire du risque de crédit est faite au regard des critères réglementaires déterminant le régime d’exigence en fonds propres (voir le chapitre 2). Le portefeuille bancaire, dans lequel est enregistrée la plupart des transactions à moyen et long termes donne lieu à une exigence de fonds propres au titre du risque de crédit72. Cette affectation repose sur la logique selon laquelle les éléments du portefeuille bancaire, assortis d’un risque de crédit, méritent un régime différent d’adéquation des fonds propres comparativement au portefeuille de négociation que nous aborderons dans la section suivante relative aux risques financiers.
Le risque de crédit clientèle
Les indicateurs clés concernent ici un établissement utilisant les méthodes IRB avancées comme option de méthode de calcul des fonds propres (voir chapitre 2, section 2.3). Il s’agit désormais de s’assurer que les équipes commerciales respectent leurs niveaux de délégation, niveaux corrélés avec le profil de risque du client, l’opération concernée et les collatéraux engagés. L’objectif du contrôle interne est alors de vérifier que le système de notation répond aux exigences fixées par le régulateur et que les équipes opérationnelles respectent le schéma délégataire.
Afin de faciliter la compréhension des indicateurs clés, nous allons définir quelques notions utilisées dans la matrice.
Le système de notation de la banque commerciale est décliné selon trois typologies de notes :
– La note « personne » qui mesure le risque de défaut de la contrepartie, à court-terme, et porte la probabilité de défaut (PD) à un an. Elle permet d’apprécier le risque client, de suivre le portefeuille et de réaliser les calculs réglementaires.
– La note « d’octroi », qui évalue le risque à terme porté par un engagement (notion de perte attendue ou EL), utilise des informations liées au client et à la transaction. Elle sert aux décisions d’octroi et porte le schéma délégataire.
– La note « d’engagement » qui consiste en la mise à jour de la note d’octroi au cours de la vie du crédit, elle sert au suivi du risque des engagements dans le temps et à la matérialisation du défaut.
Le risque de crédit du portefeuille bancaire
Le portefeuille bancaire a pour objectif de garantir la régularité du produit net bancaire à moyen terme et d’optimiser les fonds propres alloués, sous contrainte de risque. Les points de contrôles clés reposent sur l’adéquation des intentions de gestion avec la classification dans le portefeuille bancaire et sur la correcte adéquation des positions avec les principes de gestion du compartiment moyen et long terme. Privilégiant la régularité des revenus et la préservation de la marge d’intérêt, ce portefeuille répond à des normes de volumétrie, de choix de support et de taux de rotation. N’étant pas détenues dans l’intention de profiter à court terme de l’évolution des cours, les lignes de ce portefeuille ont vocation à être détenues durablement. Lastabilité du portefeuille sera appréciée par la mesure d’un taux de rotation et de la volatilité. Les limites sont calculées en terme de volumétrie maximale du compartiment, de taux de rotation du portefeuille apprécié sur 12 mois glissants, de volatilité, de sensibilité économique pour une variation de taux donnée. A cela s’ajoute des limites communes au portefeuille bancaire et au portefeuille de négociation (voir infra) : limites risques-pays, limite par contrepartie individuelle, par catégorie de notation et par secteur économique.
La matrice des contrôles permanents et des risques financiers
Dans cette matrice sont proposés les contrôles clés par typologie de risques : taux, marché, liquidité et règlement, change. Les risques de taux, liquidité et change sont analysés par le Comité de gestion de bilan sur un base statique (i.e jusqu’à l’extinction des opérations de bilan et de hors-bilan existantes à la date d’analyse) et dynamique (intégrant des prévisions d’activité sur l’exercice en cours et les trois exercices suivants). Le Comité de gestion de bilan suit aussi l’évolution des ratios réglementaires, assure le respect des limites en réorientant les activités commerciales ou en validant des opérations financières appropriées.
Un socle de limites est défini : limites réglementaires, limites propres au groupe bancaire et enfin, limites propres à l’entité du groupe. Les limites relatives aux ratios réglementaires74 portent sur le coefficient de liquidité et le ratio d’adéquation des fonds propres. Les limites relatives au risque de taux sont calculées selon une méthodologie de sensibilité de la valeur économique des fonds propres définie par le régulateur75 (indicateurs Bâle II). A cela s’ajoute une limite de la sensibilité du résultat brut d’exploitation qui permet de calculer l’impact d’une variation de taux à court terme et à long terme sur le résultat.
Les procédures de backtesting constituent un élément important de contrôle ex-post et consistent à réinjecter dans le modèle les paramètres observés réellement afin de mesurer l’écart entre, d’une part, le comportement réel et, d’autre part, le comportement modélisé avec les paramètres observés.
Le risque de marché est mesuré via le portefeuille de négociation, en général réservé aux instruments financiers détenus à des fins de prises de bénéfices à court terme (« intention de négociation ») ou en vue de couvrir d’autres éléments du portefeuille de négociation, ces instruments doivent être liquides et valorisés au prix de marché (Prato, 2006).