4.4.3.1. Aspects généraux
4.4.3.1.1. Trois lignes de défense
4:149 Les relations entre, d’une part, les unités commerciales et d’exploitation et, d’autre part, les fonctions de contrôle indépendantes sont parfois définies comme formant le modèle des trois lignes de défense de la société (three lines of defence model) :
- les unités commerciales et opérationnelles (y compris le front office) forment la première ligne de défense de la société, à laquelle il revient d’identifier les risques posés par chaque opération et de respecter les procédures et les limites posées ;
- la seconde ligne de défense comprend la fonction de gestion des risques et la fonction de compliance, qui sont chargées de s’assurer que les risques ont été identifiés et gérés par les unités opérationnelles, selon les règles et procédures prévues ;
- la troisième ligne de défense est constituée de l’audit interne qui s’assure, entre autres, du respect des procédures par les première et deuxième lignes de défense.
4:150 Les fonctions de gestion des risques, de compliance et d’audit interne constituent les instruments nécessaires à l’accomplissement optimal de la mission de surveillance dévolue à l’organe légal d’administration dans sa fonction de surveillance. Elles forment un ensemble cohérent de fonctions de contrôle transversales entre lesquelles une coordination est nécessaire. Ces fonctions de contrôle étant contiguës, elles harmonisent leurs activités et veillent à un échange adéquat d’informations pertinentes. Les fonctions de gestion des risques et de vérification de la conformité sont contrôlées par la fonction d’audit interne.
4:151 Il n'existe pas de domaines d'activité de la société qui, pour des raisons personnelles, commerciales ou financières, sont écartés de la portée des fonctions de contrôle (p.ex. activités off-shore).
4:152 S’agissant de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT), la Loi anti-blanchiment prévoit que les sociétés doivent désigner une ou plusieurs personnes chargées de la mise en œuvre et du pilotage du dispositif de LBC/FT (l’ « AMLCO »). Il est renvoyé aux orientations de l’EBA concernant le rôle et les responsabilités de l’AMLCO (EBA/GL/2022/05) et au site web AML de la BNB pour plus d’informations à ce sujet[1].
4.4.3.1.2. Responsables des fonctions de contrôle et cumul de fonctions de contrôle
4:153 Les responsables des fonctions de contrôle indépendantes sont mis en place à un niveau hiérarchique adéquat leur conférant l’autorité et le statut nécessaires pour s’acquitter de leurs responsabilités.
4:154 Les responsables de fonctions de contrôle occupent en principe leur fonction à titre exclusif, c’est-à-dire sans cumuler avec une autre fonction de contrôle (et encore moins avec une unité ou fonction opérationnelle). Toutefois, pour les sociétés de bourse de petite taille et les sociétés de bourse qui peuvent le justifier sur la base des critères de proportionnalité, la BNB accepte qu’une même personne cumule les fonctions de responsable de la gestion des risques et de la compliance à condition que (i) il n’y a pas de conflit d’intérêts entre ces 2 fonctions de contrôle (en particulier, pas de situation de type « maker/checker » ou « développeur/contrôleur »), (ii) cette personne dispose des connaissances et de l’expérience nécessaire dans ces 2 domaines et (iii) cette personne dispose du temps nécessaire pour effectuer correctement ces 2 fonctions.
4.4.3.1.3. Indépendance des fonctions de contrôle
4:155 Les 3 fonctions de contrôle doivent être indépendantes, ce qui doit à tout le moins se matérialiser dans leur statut, leurs prérogatives, les modalités de rémunération de ses responsables et du personnel qui est affecté à son service et leur accès direct à l’organe légal d’administration (sans devoir passer par la direction effective). Nonobstant la responsabilité globale de l’organe légal d’administration, les responsables des fonctions de contrôle indépendantes sont indépendants des lignes d’activité ou des unités opérationnelles qu’ils contrôlent. À cet effet, nonobstant un reporting fonctionnel à un membre de la direction effective ou, le cas échéant, du comité de direction[2], les responsables des fonctions de gestion des risques, de compliance et d’audit interne rendent des comptes et répondent de leurs actes directement auprès de l’organe légal d’administration. Leurs performances sont également évaluées par l’organe légal d’administration.
4:156 Pour plus d’informations, il est renvoyé au § 156 des orientations EBA/GL/2021/14 qui précise les conditions à remplir pour que les fonctions de contrôle soient considérées comme indépendantes.
4.4.3.1.4. Ressources des fonctions de contrôle
4:157 Les fonctions de contrôle indépendantes disposent de ressources suffisantes (moyens humains et informatiques) pour s’acquitter de leurs missions de manière indépendante et adéquate. Les responsables de fonctions de contrôle veillent à ce que leurs équipes disposent des qualifications et des compétences nécessaires. Pour plus d’informations, il est renvoyé aux §§ 157 et 158 des orientations EBA/GL/2021/14.
4.4.3.1.5. Méthodologie et accès
4:158 La méthodologie et les procédures suivies par les 3 fonctions de contrôle sont appropriées compte tenu de la nature, la taille et la complexité des activités de la société et fixées par écrit.
4:159 Les fonctions de contrôle ont accès à toutes les lignes d’activité et à toutes les unités internes susceptibles de créer des risques, ainsi qu’aux filiales et sociétés affiliées pertinentes. Elles interagissent avec les unités opérationnelles et leurs interactions doivent permettre de réaliser l’objectif général que l’ensemble du personnel soit conscientisé à l’importance de la gestion des risques.
4.4.3.1.6. Reporting
Rapports réguliers à l’organe légal d’administration
4:160 Les responsables des fonctions gestion des risques, de compliance et d'audit interne font directement rapport à l’organe légal d’administration, au moins une fois par an, sur l'exécution de leur mission, avec information à la direction effective (le cas échéant, au comité de direction). Cet accès direct, à savoir sans devoir passer préalablement par la direction effective, est nécessaire pour permettre à l’organe légal d’administration d’exercer plus étroitement sa fonction de surveillance en ce qui concerne la mise en œuvre de la stratégie qui a été définie et le fonctionnement de la société.
4:161 Ce rapport d'activités à l’organe légal d’administration peut se faire via le comité des risques... Lorsqu’en plus du comité des risques, un comité d’audit a également été constitué, la répartition recommandée est que les fonctions de gestion des risques et compliance rapportent au comité des risques et la fonction d’audit interne au comité d'audit[3] .
4:162 Le rapport d'activités (au moins) annuel des fonctions de contrôle indépendantes doit :
1° rendre compte des travaux conduits par la fonction de contrôle indépendante durant la période écoulée ;
2° indiquer clairement les défaillances identifiées ; et
3° émettre des recommandations sur la manière d'y remédier.
Rapports d’initiative
4:163 L'article 34 de la loi de contrôle des sociétés de bourse prévoit que, lorsque des événements particuliers le justifient, les responsables des fonctions gestion des risques et compliance font part d'initiative à l’organe légal d’administration, sans devoir en référer à la direction effective (le cas échéant au comité de direction), de préoccupations et l'avertissent, le cas échéant, en cas d'évolution des risques affectant ou susceptible d'affecter la société, notamment de porter atteinte à sa réputation.
4.4.3.1.7. Evaluation périodique
4:164 Dans le cadre de sa fonction de surveillance, l'organe légal d'administration vérifie périodiquement, et au moins une fois par an, si les fonctions de contrôle indépendantes opèrent correctement. À cet effet, il se fait produire à intervalles réguliers un rapport de la direction effective, sans préjudice de l'examen direct des informations pertinentes fournies par les fonctions visées, le cas échéant par l'intermédiaire des comités consultatifs spécialisés constitués à cet effet par l'organe légal d'administration. S’agissant de la fonction compliance, l'organe légal d’administration doit évaluer le fonctionnement de la fonction de conformité sur la base d'un modèle prédéfini expliqué dans la circulaire NBB_2019_15 en respectant la date de collecte indiquée dans les communications BNB relatives au reporting qualitatif.
4.4.3.1.8. Démission
4:165 Conformément à l’article 62, §2 de loi de contrôle des sociétés de bourse, les responsables des fonctions de contrôle indépendantes ne peuvent pas être démis de leurs fonctions sans l’accord préalable de l’organe légal d’administration dans sa fonction de surveillance. Dans le cas où il serait envisagé de démettre un responsable d’une fonction de contrôle indépendante, la société doit en informer immédiatement la BNB afin de permettre à celle-ci de vérifier le bien-fondé des motifs justifiant la révocation et, le cas échéant, d’examiner si la gouvernance de la société ne requiert pas l’adoption de mesures particulières.
[1] Voir : Prévention du blanchiment de capitaux et du financement du terrorisme | nbb.be.
[2] Le reporting fonctionnel à un dirigeant effectif consiste à rapporter les activités de la fonction de contrôle indépendante concernée, sans que ce dirigeant ne puisse intervenir dans le processus de décision (pas de rôle hiérarchique). Le dirigeant effectif est aussi en charge de fixer, en concertation avec l’organe légal d’administration et/ou ses comités spécialisés, les ressources humaines et matérielles (informatiques…) nécessaires pour que la fonction de contrôle indépendante effectue correctement ses missions et à assurer le suivi des questions liées aux ressources.
[3] Il est indiqué, dans la circulaire NBB_2019_15, que la fonction compliance rapporte à l’organe légal d’administration via le comité d’audit. Ce reporting doit être lu aujourd’hui comme renvoyant dans la plupart des cas à l’organe légal d’administration via le comité des risques, même si un reporting via le comité d’audit peut aussi être considéré comme conforme.