Quotidien finance innovation, innovation financière journal
Financial Year with Finyear
 
 
 
 


              

Maîtrise des risques et contrôle des activités externalisées des banques


Secteur bancaire - Maîtrise des risques et contrôle des activités externalisées : difficultés et meilleures pratiques pour y remédier




Compass Management Consulting, le leader mondial du conseil basé sur des techniques d’analyse comparative, constate que la diversité et la multiplicité des activités externalisées posent de plus en plus de problèmes de contrôle et de maîtrise des risques aux délégataires.

La sophistication des systèmes de contrôle interne des banques entraîne aujourd’hui de plus grandes difficultés pour mener à bien ces processus. La réglementation bancaire a encore récemment rappelé aux établissements bancaires que toutes leurs activités externalisées demeurent sous leur entière responsabilité (CRB 97-02 V chap. 2, revu et complété le 14 janvier 2009). Cela signifie qu’ils devraient supporter les pertes engendrées par un détournement frauduleux, une défaillance informatique ou encore des erreurs comptables par exemple survenus chez un prestataire, exactement comme si cela s’était passé dans leurs propres murs.

En matière d’externalisation, des standards ont été définis, telle que la certification SAS 70 de l’American Institute of Certified Public Accountants. Menée par des auditeurs externes, elle valide l’effectivité et la qualité des contrôles réalisés par un prestataire de services extérieur. Néanmoins, cette certification ne paraît pas entièrement suffire à assurer que ces contrôles correspondent tout à fait aux exigences du délégataire.

C’est que souvent, le problème se situe d’abord chez le délégataire lui-même : les règles de contrôle sont quelquefois dispersées et mal documentées, elles sont mal connues des différents personnels amenés à interagir avec les prestataires extérieurs. Réciproquement, les responsables de suivi des risques ne sont ni assez nombreux, ni assez régulièrement impliqués dans la définition et la révision des SLA* (Service Level Agreement) conclus avec les prestataires.

Dans ces conditions, le prestataire risque de mal comprendre le sens de certains contrôles, la teneur de certaines exigences, ceci pouvant conduire à des négligences non voulues, qui ne seront détectées qu’une fois les incidents survenus. Dans ces conditions, il peut être intéressant d’avoir recours à des standards comme l’ISO/CEI 27002 ou Coso/Cobit (Control objectives for information & related technology), qui fournissent tout à la fois une manière de passer en revue les principaux éléments du système de contrôle interne existant, tant chez le délégataire que chez son prestataire, ainsi qu’un cadre prédéfini en termes de gouvernance. A partir de ce cadre, il est possible de préciser les responsabilités respectives d’un prestataire et de son client en termes de systèmes d’information (Cobit) et de maturité du système de contrôle (Coso).

Il paraît alors indispensable de distinguer différents niveaux de contrôle :
- Niveau 1 : contrôles réguliers opérationnels
- Niveau 2 : évaluations périodiques
- Niveau 3 : contrôle des contrôles

Le niveau 3 ne peut en aucun cas être délégué au prestataire, tandis que la réalisation du niveau 1 lui est forcément confiée. Entre les deux, le point critique concerne particulièrement le niveau 2, qui doit être exercé de manière fréquente et donc, de la manière la plus commode, à demeure chez le prestataire auquel il ne peut néanmoins être pleinement délégué.

Dans ces conditions, il est indispensable que le délégataire soit à même de fixer très précisément les contrôles qu’il entend voir exercer et dont il lui sera relativement facile de vérifier l’application.

Il paraît surtout crucial de procéder à une mise en place et à une consolidation des principales règles de contrôle interne – celles par rapport auxquelles un établissement n’est en aucun cas disposer à transiger – non seulement pour les inclure formellement dans les cahiers des charges conclus avec les prestataires mais pour en confier la pleine application aux managers concernés, tant chez les prestataires que chez le délégataire. Il importe que le contrôle ne soit pas seulement exercé au titre d’une supervision mais qu’il participe pleinement des tâches courantes de gestion.

Cela, qui s’entend évidemment à titre interne, au sein d’un établissement bancaire, devient crucial dans le cadre d’opérations externalisées.
*niveaux d’engagement

Par Guillaume Almeras, Directeur Banque Compass Management Consulting

Jeudi 9 Septembre 2010
Notez




Nouveau commentaire :
Twitter

Your email address will not be published. Required fields are marked *
Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *



Recevez la newsletter quotidienne


évènements


Lettres métiers


Livres Blancs