4.1 CADRE D’EXERCICE
Le contrôle interne s’inscrit dans le cadre réglementaire strict imposé aux établissements bancaires.
En France, les conditions d’exercice du contrôle interne des établissements bancaires découlent de l’Arrêté du 3 novembre 2014 modifié par l’arrêté du 25 février 2021. Ce texte, qui régit les établissements de crédit et les entreprises d’investissement, définit la notion de contrôle interne et spécifie un certain nombre d’obligations relatives à la mesure et à l’encadrement des différents risques des activités des entreprises concernées, ainsi que les procédures par lesquelles l’organe de surveillance doit évaluer les conditions d’exercice du contrôle interne.
Le Comité de Bâle a défini les quatre principes – Indépendance, Universalité, Impartialité, Adéquation des moyens aux missions – qui doivent prévaloir dans l’exercice du contrôle interne des établissements de crédit.
Le Conseil d’administration veille à ce que le groupe Société Générale ait un dispositif de gouvernance solide et une organisation claire avec :
des procédures efficaces de détection, de gestion, de suivi et de déclaration des risques auxquels le Groupe pourrait être exposé.
Pour mettre en œuvre ce dispositif, il donne mandat à la Direction générale du Groupe qui a en charge de décliner les orientations stratégiques du Groupe.
Le Comité d’audit et de contrôle interne est un comité du Conseil d’administration plus particulièrement en charge de préparer les décisions du Conseil d’administration en matière de supervision du contrôle interne.
À ce titre, il reçoit les Reportings de la Direction générale sur le contrôle interne du Groupe. Il suit la mise en œuvre des plans de remédiation, lorsqu’il estime que le niveau de risque est justifié.
Toutes les activités du groupe Société Générale sont encadrées par des règles et procédures regroupées en un ensemble documentaire appelé la « Documentation normative », regroupé au sein du Code Société Générale qui :
décrit les règles de gestion et de fonctionnement interne propres à chaque métier et chaque activité.
définissent la gouvernance du groupe Société Générale, l’organisation et les missions de ses Business Units et Services Units, ainsi que les principes de fonctionnement des dispositifs et processus transverses (Codes de conduite, chartes…) ;
posent le cadre de fonctionnement d’une activité, les principes et les règles de gestion applicables aux produits et services rendus à la clientèle et définissent les procédures internes.
Le Code Société Générale a force de loi interne. Il relève de la responsabilité du Secrétaire général du Groupe.
S’ajoutent au Code Société Générale les procédures opérationnelles propres à chacune des activités du Groupe. Les règles et procédures en vigueur sont conçues de façon à respecter les règles de base du contrôle interne telles que :
Par nature multiples et évolutifs, les risques sont présents dans l’ensemble des processus de l’entreprise. À cet égard, les dispositifs de maîtrise des risques et de contrôle jouent un rôle clé dans la capacité de la Banque à atteindre ses objectifs.
Le dispositif de contrôle interne se caractérise par l’ensemble des moyens qui permettent de s’assurer que les opérations réalisées, l’organisation et les procédures mises en place sont conformes :
aux règles internes et aux orientations définies par l’organe de Direction de l’entreprise dans sa fonction exécutive.
s’assurer de l’adéquation et du bon fonctionnement des processus internes, notamment ceux concourant à la sauvegarde des actifs ;
garantir la fiabilité, l’intégrité et la disponibilité des informations financières et de gestion ;
l’exhaustivité du périmètre des contrôles, qui concernent tous les types de risques et s’appliquent à toutes les entités du Groupe ;
la responsabilité individuelle de chaque collaborateur et de chaque manager dans la maîtrise des risques qu’il prend ou supervise, et le contrôle des opérations qu’il traite ou qui sont placées sous sa responsabilité ;
la responsabilité des fonctions, au titre de leur expertise et de leur indépendance, dans la définition de contrôles normatifs et, pour trois d’entre elles, l’exercice d’un contrôle permanent de niveau 2 ;
Le dispositif de contrôle interne repose sur le modèle des « trois lignes de défense », en accord avec les textes du Comité de Bâle et de l’Autorité Bancaire Européenne :
la première ligne de défense est composée de l’ensemble des collaborateurs et du management opérationnel du Groupe, dans les Business Units et les Services Units pour leurs opérations propres.
Le management opérationnel est responsable des risques, prend en charge leur prévention et leur gestion – entre autres, par la mise en place de moyens de contrôle permanent de niveau 1, ainsi que la mise en place des actions correctives ou palliatives en réponse aux éventuelles déficiences constatées par les contrôles et/ou dans le cadre du pilotage des processus ;
la deuxième ligne de défense est assurée par les fonctions risques et conformité, ainsi que par la fonction finance pour l’année 2021 (à compter de l’exercice 2022, la fonction finance relèvera de la première ligne de défense).
Dans le dispositif de contrôle interne, il incombe à ces fonctions de vérifier de façon permanente que la sécurité et la maîtrise des risques des opérations sont assurées, sous la responsabilité du management opérationnel, par la mise en œuvre effective des normes édictées, des procédures définies, des méthodes et des contrôles demandés.
Ces fonctions fournissent ainsi l’expertise nécessaire pour définir sur leurs domaines respectifs les contrôles et les autres moyens de maîtrise des risques à mettre en œuvre par la première ligne de défense, et veiller à leur bon fonctionnement ; assurer une mission de contrôle permanent de niveau 2 sur l’ensemble des risques du Groupe, en s’appuyant notamment sur les contrôles qu’elles ont définis, ainsi que ceux définis, le cas échéant, par d’autres fonctions d’expertise (par ex., achats, juridique, fiscal, ressources humaines, sécurité des systèmes d’information, etc.), ainsi que par les métiers ;
la troisième ligne de défense est assurée par la SU IGAD, qui comprend l’Audit interne et l’Inspection générale. Elle assure une mission de contrôle périodique strictement indépendant des métiers comme du contrôle permanent ;
une coordination du contrôle interne, rattachée à un Directeur général délégué pour l’année 2021 et au Directeur général à compter de 2022, assurée au niveau du Groupe et relayée dans chacun des pôles et Directions centrales.
La cohérence et l’efficacité de l’ensemble du dispositif de contrôle interne sont pilotées par un Directeur général délégué pour l’année 2021 et le Directeur général à compter de 2022.
Le Comité de coordination du contrôle interne Groupe (CCCIG) a pour objectif de donner une vision consolidée du dispositif de contrôle interne du Groupe et des risques non financiers de chaque deuxième ligne de défense, de l’évaluer en termes d’efficacité, de cohérence et d’exhaustivité, de prendre des actions correctives et suivre leur exécution.
Il est présidé par le Directeur général et réunit le Directeur des risques, le Directeur financier, le Directeur de la conformité, le Directeur des systèmes d’information Groupe, l’Inspecteur général et le Directeur de la coordination du contrôle interne.
Le Comité de coordination du contrôle interne Groupe s’est réuni à neuf reprises en 2021. Il a examiné les sujets suivants :
revue de l’efficacité du contrôle permanent dans les Service Units Risques, Conformité et Finance, ainsi que de la capacité des fonctions Risques et Conformité à exercer leur rôle de deuxième ligne de défense pour le Groupe ;
examen du tableau de bord trimestriel de contrôle permanent du Groupe, préalablement à sa communication au Comité d’audit et de contrôle interne du Conseil d’administration ;
revues transverses sur les contrôles en matière de cybersécurité et sur le contrôle des prestations de services externalisées.
Le Comité de coordination du contrôle interne par Direction générale de supervision (CCCIS) a pour objectif, d’effectuer une revue régulière du dispositif de contrôle interne et des risques non financiers de chaque BU/SU de la première ligne de défense, de l’évaluer en termes d’efficacité, de cohérence et d’exhaustivité, de prendre des actions correctives et suivre leur exécution.
Il est présidé par le représentant de la Direction générale (Directeur général, Directeur général délégué ou Directeur général adjoint) en charge du périmètre sous revue, et réunit le Directeur des risques, le Directeur financier, le Directeur de la conformité, le Directeur des systèmes d’information Groupe, l’Inspecteur général et le Directeur de la coordination du contrôle interne ainsi que les Responsables des Business Units et des Services Units concernées par l’ordre du jour.
L’organisation mise en place au niveau du Groupe pour coordonner l’action des différents acteurs du contrôle interne est déclinée au sein de chaque Business Unit (BU) et Service Unit (SU). L’ensemble des BU et SU du Groupe sont dotées de Comités de coordination du contrôle interne. Présidés par le responsable de la BU ou de la SU, ces comités réunissent les responsables des fonctions de contrôle permanent et périodique compétents pour la BU ou la SU, ainsi que des représentants du Directeur de la coordination du contrôle interne du Groupe et des responsables des fonctions de contrôle de niveau Groupe.
le contrôle permanent de niveau 1, logé au sein des métiers, qui est le socle du contrôle permanent du Groupe. Il a pour finalité de garantir, au niveau opérationnel, la sécurité, la qualité, la régularité et la validité des transactions ;
le contrôle permanent de niveau 2, indépendant des métiers, relève de trois Directions, la Direction des risques, la Direction financière, et la Direction de la conformité.
La Direction générale a initié en 2018 un programme de transformation du contrôle permanent du Groupe, qui lui est directement rattaché. À travers un ensemble d’actions touchant les normes, les méthodes, les outils et procédures, la formation, etc., ce programme visait à consolider la culture de contrôle et à optimiser la maîtrise des risques, contribuant ainsi à améliorer la qualité et la fiabilité des services rendus à nos clients et partenaires. En 2021, ce programme a été finalisé et clôturé, et le transfert des activités pérennes vers des équipes d’exploitation a été achevé.
Exercés dans le cadre des opérations, au sein des BU et des SU, les contrôles permanents de niveau 1 permettent de garantir la sécurité et la qualité des transactions et des opérations. Ces contrôles sont définis comme un ensemble de dispositions constamment mis en œuvre pour assurer, au niveau opérationnel, la régularité, la validité, et la sécurité des opérations effectués.
de toute combinaison d’actions et/ou de dispositifs, susceptibles de limiter la probabilité de survenance d’un risque ou d’en réduire les conséquences pour l’entreprise : il s’agit notamment de contrôles effectués sur une base régulière et permanente par les métiers ou par des systèmes automatisés pendant le traitement des transactions, de règles et de contrôles de sécurité – automatisés ou non – faisant partie du traitement des opérations, ou de contrôles inclus dans les procédures opérationnelles. Des dispositifs d’organisation (par exemple, séparation des fonctions) ou de gouvernance, des actions de formation, lorsqu’ils contribuent directement à maîtriser certains risques, relèvent également de cette catégorie ;
de contrôles réalisés par les managers : les responsables hiérarchiques vérifient le correct fonctionnement des dispositifs placés sous leur responsabilité. À ce titre, ils sont dans l’obligation d’appliquer régulièrement des procédures formalisées pour s’assurer que les employés respectent les règles et procédures et que les contrôles de niveau 1 sont effectués efficacement.
Définis par une entité du Groupe au sein de son périmètre, les contrôles de niveau 1 comprennent les contrôles – automatisés ou non – intégrés au traitement des opérations, les contrôles de proximité inclus dans les modes opératoires, les règles de sécurité, etc. Ils sont réalisés, dans le cadre de leurs activités quotidiennes, par les agents directement en charge d’une activité ou par leur hiérarchie, avec pour objectifs :
d’assurer la bonne application des procédures en vigueur et la maîtrise de l’ensemble des risques afférents aux processus, aux opérations et/ou aux comptes ;
Les contrôles permanents de niveau 1 sont établis par la hiérarchie et évitent, autant que possible, les situations d’autocontrôle. Ils sont définis dans les procédures et doivent être tracés, sans nécessairement être formalisés (par exemple, dans le cas de contrôles automatisés préventifs rejetant les opérations non conformes aux règles programmées dans le système).
Afin de coordonner le dispositif de gestion des risques opérationnels et du contrôle permanent de niveau 1, les BU/SU déploient un département spécifique appelé « CORO » pour Controls & Operational Risks Office function (Département des contrôles et de gestion des risques opérationnels).
le périmètre visé inclut l’ensemble des contrôles permanents de niveau 1 y compris notamment les contrôles de supervision managériale et les contrôles effectués par des équipes dédiées ;
cette revue et ces vérifications ont pour objectif de donner un avis sur (i) l’effectivité des contrôles de niveau 1, (ii) la qualité de leur réalisation, (iii) leur pertinence (notamment, en termes de prévention des risques), (iv) la définition de leurs modes opératoires, (v) la pertinence des plans de remédiation mis en œuvre suite à la détection d’anomalies, et la qualité de leur suivi, et de concourir ainsi à l’évaluation de l’efficacité des contrôles de niveau 1.
Le contrôle permanent de niveau 2, contrôle des contrôles, est exercé par des équipes indépendantes des opérationnels.
Ces contrôles sont réalisés au niveau central par les équipes de contrôle dédiées au sein de la Direction des risques (RISQ/CTL), de la Direction de la conformité (CPLE/CTL) et de la Direction financière (DFIN/CTL), et au niveau local par les équipes de contrôles de niveau 2 dans les BU/SU ou entités.
Placée sous l’autorité de l’Inspecteur général, la Direction Inspection générale et Audit (IGAD) constitue la troisième ligne de défense du Groupe.
La Direction Inspection générale et Audit est composée de l’Inspection générale (IGAD/INS), des Départements de l’audit (IGAD/AUD) et d’une fonction support (IGAD/COO). Pour remplir ses objectifs, la Direction du contrôle périodique du Groupe est dotée de moyens adaptés, proportionnés aux enjeux, tant au plan qualitatif que quantitatif. Au total, elle comprend environ 1 100 collaborateurs.
L’Inspecteur général est rattaché directement au Directeur général du Groupe, avec lequel il a des réunions régulières. L’Inspecteur général rencontre aussi régulièrement le Président du Conseil d’administration. Le Comité d’audit et de contrôle interne (CACI) ainsi que le Comité des risques entendent l’Inspecteur général à leur initiative ou à sa demande sur tout sujet. L’Inspecteur général participe aux réunions du Comité d’audit et de contrôle interne et du Comité des risques (CR). De plus, des réunions bilatérales se tiennent entre l’Inspecteur général et les Présidents de ces Comités.
L’Inspection générale et l’Audit contribuent au dispositif de contrôle interne du Groupe. Ils exercent un mandat d’audit interne via leur mission. En tant que troisième ligne de défense au sein du Groupe, IGAD est strictement indépendant des métiers et du contrôle permanent.
La fonction d’audit interne exercée par IGAD est définie conformément aux standards de l’IIA (Institute of Internal Auditors), comme une activité indépendante et objective qui donne au Groupe une assurance sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer et contribue à créer de la valeur ajoutée. À travers l’exercice de ce mandat, l’Inspection et l’Audit interne aident le Groupe à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle et de gouvernement d’entreprise en faisant des propositions pour renforcer leur efficacité.
L’Inspection générale et l’Audit interne exercent un rôle essentiel dans le dispositif de gestion des risques du Groupe et peuvent en évaluer l’ensemble des composantes.
Dans le cadre de ce mandat, l’Inspection générale et l’Audit interne évaluent la qualité de la gestion des risques au sein du périmètre audité, la pertinence et l’efficacité du dispositif de contrôle permanent ainsi que la sensibilité aux risques du management et le respect des règles de conduite et pratiques professionnelles attendues.
Si l’Audit exerce strictement une fonction d’audit interne, l’Inspection générale peut, au-delà de cette fonction, être amenée à réaliser d’autres types de travaux tels que tout type de mission d’analyse ou d’étude, à être impliquée dans l’évaluation de projets stratégiques ou enfin à intervenir sur des sujets spécifiques à la demande de la Direction générale. Ces missions, limitées en termes d’allocation de ressources, s’inscrivent dans un cadre garantissant le respect des critères d’éthique définis par les Standards de l’Institute of Internal Auditors (IIA) pour les travaux de la troisième ligne de défense.
L’Inspection générale assure aussi un rôle d’animation et de supervision du déploiement des initiatives en matière d’analyse de données sur l’ensemble du périmètre de l’Inspection et de l’Audit interne. Cette mission est assurée à travers un laboratoire de données dédié (INS/DAT), placé sous la responsabilité d’un Inspecteur principal. L’Inspection générale assure aussi un rôle de coordination des relations d’IGAD avec les régulateurs.
IGAD comporte, en central, six départements d’audit distincts. Chacun est placé sous la supervision d’un Responsable de l’Audit interne et a la responsabilité de l’audit interne sur un périmètre d’activités du Groupe. Une organisation matricielle permet de couvrir les principaux sujets transversaux à l’échelle du Groupe. En France, les équipes d’Audit interne sont rattachées hiérarchiquement à l’Inspecteur général. Au sein de l’Audit interne, les responsables d’audit basés dans les succursales à l’étranger ou filiales sont rattachés hiérarchiquement au responsable de l’entité locale. Néanmoins pour l’exercice de leur fonction d’audit interne ils sont placés sous la supervision hiérarchique du responsable d’audit interne en charge de leur périmètre.
L’Inspection générale et l’Audit interne travaillent ensemble sur l’évaluation annuelle des risques pour concevoir le plan d’intervention pour l’année à venir. Les équipes d’IGAD coopèrent régulièrement dans le cadre de missions conjointes. Elles émettent des préconisations afin de remédier aux causes des manquements identifiés et, plus généralement, d’améliorer la gestion des opérations et la maîtrise des risques du Groupe. Elles ont ensuite la responsabilité d’en contrôler la mise en œuvre.