Fonctions de contrôle indépendantes

Cadre réglementaire

Pour la direction effective, des fonctions de contrôle indépendantes efficaces et permanentes constituent des instruments nécessaires à l'accomplissement optimal de ses tâches. Les constats et avis des fonctions de contrôle indépendantes doivent être traduits par la direction effective sous la forme de mesures visant à renforcer la structure de gestion, l’organisation ou le contrôle interne.

Il n'existe pas de domaines d'activité de l'établissement de crédit qui, pour des raisons personnelles, commerciales ou financières, soient écartés de la portée des fonctions de contrôle (p.ex. activités off-shore).

Trois lignes de défense

Les relations entre, d’une part, les unités commerciales et d’exploitation et, d’autre part, les fonctions de contrôle indépendantes sont parfois définies comme formant le modèle des trois lignes de défense de l’établissement de crédit (three lines of defence model):

  • les unités commerciales et d’exploitation (y compris le front office) forment la première ligne de défense de l’établissement, à laquelle il revient d’identifier les risques posés par chaque opération et de respecter les procédures et les limites posées;
  • la seconde ligne de défense comprend les fonctions de contrôle que sont la fonction de gestion des risques et la fonction de compliance, qui sont chargées de s’assurer que les risques ont été identifiés et gérés par les unités commerciales et d’exploitation (et le front office), selon les règles et procédures prévues;
  • la troisième ligne de défense est constituée de l’audit interne qui s’assure, entre autres, du respect des procédures par les première et deuxième lignes de défense.

Fonction de compliance

La fonction de compliance est chargée de veiller au respect des règles légales et/ou réglementaires d’intégrité et de conduite qui s’appliquent aux établissements de crédit. La fonction de compliance a ainsi pour objectif d’éviter que l’établissement de crédit ne subisse les conséquences, en termes de perte de réputation ou de crédibilité susceptible de causer un grave préjudice financier, du non-respect de dispositions légales et réglementaires ou tenant à la déontologie du métier de banquier (risque de compliance). La fonction de compliance est expliquée plus en détail dans la circulaire NBB_2012_14.

Les exigences spécifiques concernant l'expertise dans le chef des responsables de la fonction de compliance sont déterminées par le règlement de la BNB du 6 février 2018. Selon ce règlement, les responsables de la fonction de compliance doivent également, à partir de leur nomination, prendre part à un programme de formation d'une durée minimale de 40 heures tous les trois ans. Les établissements de crédit veillent également à ce que les autres responsables de la fonction de conformité participent à un tel programme de formation d'une durée minimale de 20 heures tous les trois ans. Les exigences en matière de formation continue sont précisées dans la note explicative du règlement précité et de la communication FSMA_2018_05.

Fonction de gestion des risques

Cadre réglementaire

La fonction de gestion des risques veille à ce que tous les risques significatifs soient détectés, mesurés et correctement déclarés. Elle a accès à toutes les unités opérationnelles et autres unités internes susceptibles de générer des risques potentiels, ainsi qu'aux filiales et entreprises liées. Elle doit disposer d’un statut approprié et une position centrale correspondante dans l'organisation de l’établissement. La fonction de gestion des risques participe activement à l’élaboration de la stratégie en matière de risque de l’établissement ainsi qu’à toutes les décisions de gestion ayant une incidence significative en matière de risque et peut fournir une vue complète de toute la gamme des risques auxquels est exposé l’établissement. Le rôle de la fonction de gestion des risques est précisé dans le document EBA/GL/2017/11, orientations 170-182.

La fonction de gestion des risques est dirigée par un membre du comité de direction dont cette responsabilité est la seule fonction. Pour les établissements de crédit qui ne sont pas des établissements d'importance significative, l'autorité de contrôle peut toutefois autoriser que cette fonction soit confiée à un cadre supérieur, à condition qu'il n'y ait pas de conflit d'intérêt dans le chef de cette personne.

Moyennant l’autorisation de l’autorité de contrôle, les fonctions de gestion des risques et de compliance, qui constituent la seconde ligne de défense de l’établissement de crédit, pourraient, de façon cohérente, relever de la responsabilité d’un même membre du comité de direction de l’établissement de crédit, en l’occurrence le responsable de la fonction de gestion des risques, sans que cela conduise à une quelconque forme de hiérarchisation entre les deux fonctions concernées. Il s'indique toutefois de s’assurer que chaque fonction demeure clairement séparée au sein de l’établissement.

Fonction d'audit interne

Une fonction d’audit interne efficace donne de manière indépendante à l’organe légal d’administration et au comité de direction une certitude raisonnable quant à la qualité et à l’efficacité du contrôle interne, de la gestion des risques, ainsi que des systèmes et processus de bonne gouvernance de l’établissement.

La fonction d'audit interne rapporte directement à l'organe légal d'administration, le cas échéant par l'intermédiaire du comité d’audit, et tient le comité de direction ou la direction effective informés de ses constats. La fonction d'audit interne est expliquée plus en détail dans le règlement du 19 mai 2015 et la circulaire NBB_2015_21.

Indépendance

Les trois fonction de contrôle précitées doivent être indépendantes, ce qui doit à tout le moins se matérialiser dans le statut de la fonction concernée au sein de l’établissement (séparation hiérarchique et organisationnelle), les prérogatives qui lui sont attribuées (moyens et accès au sein de l’établissement) et les modalités de rémunération de ses responsables et du personnel qui est affecté à son exercice (répondant à des objectifs autres que commerciaux et déterminés, nécessairement, de manière indépendante des performances relatives aux domaines d’activités contrôlés).

Les responsables des fonctions de deuxième ligne peuvent rapporter directement ‑ le cas échéant par l'intermédiaire du comité d’audit ou des risques - à l'organe légal d'administration. Cet accès direct, à savoir sans devoir passer préalablement par le comité de direction, est nécessaire pour permettre à l’organe légal d’administration d’exercer plus étroitement sa fonction de surveillance en ce qui concerne la mise en œuvre de la stratégie qui a été définie et le fonctionnement de l’établissement.

Dans le cadre de sa fonction de surveillance, l'organe légal d'administration vérifie périodiquement, et au moins une fois par an, si les fonctions de contrôle indépendantes opèrent correctement. À cet effet, il se fait produire à intervalles réguliers un rapport de la direction effective, sans préjudice de l'examen direct des informations pertinentes fournies par les fonctions visées, le cas échéant par l'intermédiaire des comités consultatifs spécialisés constitués à cet effet par l'organe légal d'administration.

Les responsables des fonctions de contrôle indépendantes ne peuvent être démis de leur fonction que par l'organe légal d'administration. Il est, en effet, essentiel que l'organe légal d'administration soit le seul organe habilité à démettre un tel responsable dès lors que ses fonctions impliquent un contrôle de la manière dont le comité de direction s’acquitte de ses missions.

Dans le cas où il serait envisagé de démettre un responsable d’une fonction de contrôle indépendante, l’établissement doit en informer préalablement l’autorité de contrôle afin de permettre à celle-ci de vérifier le bien-fondé des motifs justifiant la révocation et, le cas échéant, d’examiner si la gouvernance de l’établissement ne requiert pas l’adoption de mesures particulières.