Les sanctions pour tester l'efficacité des dispositifs
Pour toute prise de connaissance en matière d’audit, la nature des irrégularités régulièrement relevées par les autorités de contrôle est une donnée intéressante en complément de la cartographie des risques. En effet, les sanctions prononcées à l’encontre d’organisations illustrent des anomalies effectives comparativement à la gestion des risques qui est centrée sur des évènements incertains. Autrement dit, l’auditeur interne peut s’appuyer sur des éléments factuels pour orienter ses travaux. Il peut notamment apprécier l’efficacité des dispositifs en œuvre au sein de son organisation au regard des sanctions prononcées à l’égard d’autres entités. Mais pour cela, encore faut-il connaître les peines prononcées par les institutions compétentes. Le recueil de jurisprudence de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR), disponible en consultation sur Internet[1] est à ce titre une base documentaire des plus fructueuses pour l’audit interne. Certes, cette publication ne concerne que le secteur bancaire. Mais sur bon nombre de sujets, les remarques émises dans le cadre de la supervision des banques sont tout à fait transposables à d’autres secteurs d’activité pour l’identification des risques potentiels.
Les manquements habituellement relevés par les autorités concernant la fonction conformité
Au-delà des aspects spécifiques et réglementaires, une mission d’audit peut être enrichie de tout retour d’expériences extrait de contrôles externes. Pour illustrer les avantages de pratiquer ainsi, les manquements habituellement relevés par l’ACPR concernant la fonction conformité sont un bon exemple de l’exploitation qui peut en être faite par l’audit interne. Les carences ainsi ordinairement identifiées sont les suivantes :
- les procédures traitant des processus employés par le Département conformité sont inadaptées, obsolètes, voire inexistantes ;
- les moyens humains affectés à la fonction conformité sont insuffisants pour traiter l’ensemble des tâches ;
- la connaissance du client, point réglementaire essentiel pour les banques mais non moins pertinent pour tout autre secteur, est mal documentée ;
- la vigilance du Département de la conformité fait défaut compte de traitement insuffisant des erreurs constatées au sein de la structure. Cette situation ne favorise pas l’identification si nécessaire d’irrégularité et donc de prendre les actions correctives en conséquence ;
- les contrôles de conformité menés par les collaborateurs dédiés à cette tâche ne sont pas suffisamment formalisés.
Exploitation par l'audit interne des anomalies détectées concernant la fonction conformité
Sur base de ces cinq constats, l’auditeur interne peut intégrer dans son programme de mission relatif à la fonction de conformité les points d’audit suivants :
- existe-t-il un corps procédural en lien avec la cartographie des risques de non-conformité ? Si oui, les procédures sont-elles accessibles par les personnes concernées, et régulièrement actualisées ?
- les ressources humaines dédiées au contrôle de la conformité sont-elles suffisantes et disposent-elles de moyens adaptés au regard du champ réglementaire auquel est soumise l’organisation ?
- les informations et données relatives à la clientèle sont-elles collectées et conservées pour servir la connaissance par l’entité de ses clients et ainsi lui permettre d’accroître sa performance commerciale ?
- les incidents opérationnels sont-ils répertoriés et classés par nature, avec une catégorisation réservée à la conformité, pour que soient identifiées les anomalies susceptibles d’être des irrégularités ?
- la fonction conformité dispose-t-elle d’un plan spécifique et révisé annuellement pour le pilotage des activités de contrôle et nécessitant leur formalisation ?
On apprend des irrégularités des autres
Les rapports d’activité et les publications des autorités de contrôle quelles qu’elles soient représentent une source d’informations intéressantes pour apprécier les implications en matière de conformité concernant une organisation. En plus des positions et des interprétations des pouvoirs publics sur des sujets réglementaires, l’auditeur interne a tout intérêt à connaître les sanctions prononcées par les institutions compétentes. Certes, on apprend de ses erreurs, mais aussi des irrégularités des autres. Considérant également que le risque ne se définit pas mieux qu’une fois réalisé, les sanctions prononcées par les autorités de contrôle sont autant de manifestation permettant d’en accroître la connaissance, donc d’être plus amène de déterminer les dispositifs de couverture adéquats.
Écrire commentaire
Belhis (lundi, 26 février 2018 09:50)
Intéressé par cette forrmation a distance.... quelles sont les modalités d'inscription ? Cordialement.