Mise en place du dispositif de Contrôle interne pour un établissement de paiement d’envergure européenne
Mise en place du dispositif de Contrôle interne pour un établissement de paiement d’envergure européenne
Introduction
Les deux grands contextes dont la liberté de circulation des hommes et des capitaux et l’extension de la demande sont les deux fils conducteurs de l’évolution du marché européen. À force de vouloir gérer les flux monétaires engendrés par ce phénomène, de nombreux pays s’avancent dans la bancarisation de l’économie. A bien des égards d’autres pays, la France constitue un exemple typique avec un taux de bancarisation de 99%. Cette situation déclenche et favorise la multiplication des transactions de marchandises et entraîne, par la suite, une diversification des moyens et services de paiement.
D’un autre côté, la conjoncture européenne prend une tournure importante dans l’intégration régionale. De nouveaux dispositifs réglementaires de grande envergure concernant l’unification européenne ont été mis en œuvre. Les pays membres de l’Union se sont montrés persuasifs quant à l’unification monétaire et douanière et l’introduction de la monnaie électronique. Mais la directive sur le service de paiement (SEPA) portant instauration d’un espace de paiement unique dans la zone euro est la plus décisive dans ce contexte, son objectif étant d’unifier le marché européen sous une plateforme unique de paiement. Ici, l’enjeu est de taille, en conséquence, les acteurs augmentent en donnant naissance aux nouveaux entrants non bancaires : les établissements de paiement.
Les établissements de paiement rentrent dans la catégorie des acteurs non bancaires. Ils proposent des services similaires aux prestations bancaires traditionnelles comme l’octroi des crédits mais apporte aussi des prestations innovantes comme les opérations de paiement. Ceci conduira le système bancaire vers un état plus complexe qu’auparavant et entraînera la mise en concurrence des acteurs bancaires, financiers et non bancaires. Du côté des clients, la concurrence équilibrera le prix des prestations à un niveau nettement compétitif et leur accordera le choix entre les services les moins coûteux. Du côté des établissements, le problème se pose sur la qualité de la relation entre les banques et les établissements de paiement. Si ces derniers appartiennent à une banque, ils peuvent facilement réussir leur affaire. Au contraire, des difficultés pourraient compromettre les activités d’un établissement de paiement indépendant. En plus de cela, les exigences en matière d’agrément européen pourraient retarder leur démarrage.
Face à ces controverses, force est de constater la manifestation d’un besoin de conformité réglementaire. Elle conditionne l’accession à l’Espace Économique Européenne, la régularité des prestations, la confiance des partenaires et l’assurance des clients. Aussi, il faut entendre la manifestation d’un besoin de maîtrise des processus internes au sein des établissements de paiement. Elle détermine la création de valeur à long terme, la meilleure gestion de la performance et l’amélioration continue. Et enfin, il importe de considérer la manifestation d’un besoin d’une organisation interne efficace. Elle encadre le pilotage des activités, la division des responsabilités et l’efficacité d’un système d’information.
Ces trois manifestations reflètent fidèlement les objectifs du contrôle interne mais leur transformation en plan d’action se confronte à un certain nombre de difficultés rattachées au statut de l’établissement, à ses activités et à la dimension de son marché. Alors, comment améliorer la maitrise des activités, l’efficacité opérationnelle et l’utilisation efficiente des ressources dans un établissement fournisseur de service de paiements œuvrant sur le marché européen, en recourant à un dispositif de pilotage de gestion et en se soumettant aux obligations de conformité aux lois et règlements nationaux et communautaires dans le cadre de l’espace économique européen ?
L’analyse de cette question fait apparaître les intérêts mêmes du sujet. D’un côté, il soutient un intérêt académique dans le sens où l’ensemble des sections proposées fortifie les compétences déjà acquises en matière de finance et de pilotage de la gestion. Il apporte aussi des connaissances additionnelles sur le système européen qui est actuellement en pleine phase d’harmonisation et d’unification. En outre, ce sujet renforce aussi les aisances professionnelles en matière de contrôle interne. Autrement dit, il forge les expériences professionnelles en matière d’organisation, de contrôle, de comptabilité et de communication.
À cet égard, le traitement du sujet repose sur un plan à trois grandes parties. La première partie entend la prise de connaissance du contexte dans lequel travaille un établissement de paiement. Des explications sur l’évolution réglementaire et communautaire encadrant son activité seront proposées, suivies du développement de la nécessité du contrôle interne dans tous ses aspects. Vient ensuite la deuxième partie proposant le repérage des conditions clés à l’instauration du contrôle interne. Elle évoque la classification des opérations menées par l’établissement et l’énumération des procédures supports aux services de paiement et décrit la manière de gérer les moyens de paiement. Enfin, la troisième partie traite effectivement la phase opérationnelle de l’implémentation du dispositif de contrôle interne au sein de l’établissement de paiement. Elle se focalisera sur la mise en place d’une organisation interne, la description de l’évaluation des risques et la conception d’outils de suivi et d’information sur le contrôle interne.
Plan détaillé
Partie 1: Prise de connaissance de l’environnement d’un établissement de paiement
Section 1. Les dispositifs réglementaires et communautaires régissant les établissements de paiement
- Contexte légal et réglementaire
- Les directives communautaires et nationales encadrant les activités des EP
- Le passeport européen de services de paiement
- La disposition de la loi de sécurité financière
- Description des caractéristiques des établissements de paiement
- Les conditions d’agreement d’un établissement de paiement
- L’exercice des activités rentrant dans le cadre des services de paiement
- Les services autres qu’une activité de paiement
- La surveillance des activités des établissements de paiement
Section 2: La nécessité du contrôle interne dans la gestion des performances des établissements de paiement
- Définition du contrôle interne
- Selon les experts-comptables
- Selon le Comité de Règlementation Bancaire et Financière
- Selon le COSO
- Les directives incitant l’instauration du contrôle interne pour les établissements de paiement
- Les dispositions prévues par la 4ème et la 7ème directive comptable de la Commission européenne
- Les dispositions prévues par la 8eme directive sur le contrôle légal des comptes
- La lutte anti-blanchiment et le contrôle interne
Partie 2: Repérage des conditions clés pour la mise en place du contrôle interne au sein d’un établissement de paiement
Section 1: Classification des prestations de service de paiement d’un établissement
- Les services adossés à un compte
- Les services non adossés à un compte
Section 2: Prise de connaissance des procédures supports aux services de paiement
- les services connexes aux services de paiement
Les opérations de change
Les services de garde
L’enregistrement et le traitement des données
Le service de garantie d’exécution des opérations de paiement
- l’octroi de crédit
Les opérations de crédit autorisées aux établissements de paiement
Les opérations de crédit réservées aux établissements de crédit
Section 3: Technique de gestion des moyens et instruments de paiement
- Gestion et suivi des moyens et instruments de paiement internes
- Gestion des moyens et instruments de paiement internationaux
Partie 3: Implémentation des outils de contrôle et de gestion
Section 1: La mise en place d’une organisation interne efficace
- Présentation d’une organisation type d’un établissement de paiement d’agrément européen
Les subdivisions des services
Les attributions des responsables
- Formation d’une organisation de pilotage du contrôle interne
Les responsables et leurs attributions
L’orientation de la politique des ressources humaines
Les modes opératoires et les outils à concevoir
Le système d’information relatif au contrôle interne
Section 2: Implémentation des procédures d’évaluation des risques
- Les risques de non conformité juridique
Cartographie des facteurs de risques juridiques
Outils de suivi de la maîtrise des risques
- Les risques opérationnels liés aux activités
Cartographie des facteurs de risques opérationnels
Matrice de suivi
Section 3: Conception des outils de suivi et d’informations sur le contrôle interne
- Les questionnaires relatifs au contrôle interne
Sur la gouvernance
Sur l’activité de contrôle
Sur l’organisation comptable et financière
Sur la communication
- Tableau de suivi de l’évolution de la maîtrise des risques
Conclusion
Bibliographie
Annexes
PARTIE 1. PRISE DE CONNAISSANCE DE L’ENVIRONNEMENT D’UN ETABLISSEMENT DE PAIEMENT
Dans la mise en place d’un système de contrôle interne, il est judicieux de porter l’attention sur une connaissance parfaite des volets juridiques et techniques qui caractérisent la gestion de l’entreprise et son secteur d’activité. Pour le cas d’un établissement de paiement qui fait l’objet de la présente étude, l’étude de ces volets ne se limite plus au contexte national mais doit, par contre, couvrir un contexte européen. C’est la raison qui explique l’ossature de cette première partie qui propose des explications et des analyses sur les dispositifs réglementaires et communautaires régissant les établissements de paiement, dans un premier temps, et sur la nécessité d’un contrôle interne dans la gestion de leur performance, dans un second temps.
Section 1. Les dispositifs réglementaires et communautaires régissant les établissements de paiement
- Contexte légal et réglementaire
- Les directives communautaires et nationales encadrant les activités des EP
La manifestation de la volonté de l’unification monétaire et la création d’un espace de paiement unique passent par la promulgation d’un certain nombre de directives mises en place par les législateurs européens. Ces dispositions régissent généralement les institutions, les services et les moyens de paiement, telles qu’elles sont décrites dans les paragraphes qui suivent.
- La directive sur la transaction frontalière
L’introduction de l’euro en 1999 a promis aux investisseurs un renforcement de la liberté de circulation des capitaux et aux consommateurs une possibilité de comparaison des tarifs des produits sur des marchés plus étendus tout en optimisant le coût des échanges. Par contre, le coût élevé des transactions obture ces espérances. Par conséquent, les législateurs interviennent et mettent en place la directive sur les virements transfrontaliers prévoyant des exigences minimales en matière d’informations et d’exécution des virements. C’est l’une des premières directives qui manifestent l’initiation à la création d’un espace unique de paiement sur le plan européen.
- La directive sur la monnaie électronique[1]
Afin d’optimiser les coûts de transaction dans les virements transfrontaliers, les législateurs européens se sont convenus d’un encadrement de l’utilisation de la monnaie électronique dans les échanges. La première directive sur la monnaie électronique a été promulguée à cet effet. L’objectif est de créer un cadre homogène fixant les modalités d’utilisation de la monnaie électronique, la création de nouveaux établissements et de règles prudentielles et de contrôle. Mais compte tenu de l’intensification des virements et de la diversification des usages de la monnaie, une deuxième directive a été introduite et a apporté des aménagements et des modifications.
- La directive SEPA[2]
La directive des services de paiement est le fer de lance de la création de l’espace unique de paiement européen. Elle cristallise les efforts de l’unification monétaire des dirigeants européens et concrétise leur intention de tirer profit des avancées technologiques pour optimiser les échanges. En outre, la directive SEPA établit un cadre renforcé permettant de :
- Faciliter les virements transfrontaliers
- Renforcer et régulariser la concurrence entre les acteurs (banques + EP)
- Réduire les coûts de transaction
- Créer un espace unique de paiement en euros
En se fondant sur ces explications, la directive SEPA atteste la théorie de la création d’une zone monétaire optimale parce qu’elle permet de régulariser les transactions économiques entre les pays membres, de renforcer la liberté de circulation des flux et des capitaux et la mobilité des travailleurs et engendre des avantages fiscaux aux opérateurs économiques (TVA intracommunautaire, par exemple).
- L’ordonnance du 15 juin 2009
En France, la transposition de la directive SEPA est prévue par l’ordonnance 2009-866 du 15 juin 2009, mise en vigueur depuis le mois novembre 2009. Les dispositions de cette ordonnance ont été codifiées dans le code monétaire et financier dans les articles L521-1 et suivants. A titre d’exemple, il convient de citer l’article L522-1 de ce code qui établit la définition les établissements de paiement comme personnes morales fournissant des services de paiement mentionnés dans l’article L314-1 et autres que des établissements de crédit.
La transposition des directives relève aussi du champ d’application d’un certain nombre de textes et d’instructions dont les plus connus sont le règlement 2002-13 du Comité de Régulation Bancaire et Financière et le règlement de l’AMF.
- Le passeport européen de services de paiement
En sus de l’agrément qui donne aux établissements de paiement l’autorisation et la compétence d’exercer les services de paiement en France, la notion de passeport européen est de rigueur pour ceux qui réalisent des transactions au niveau de l’espace économique européen.
Le passeport européen autorise les sociétés agréées à exercer des services de paiement dans l’Espace Economique Européen suivant les deux régimes suivants :
- Le régime de libre prestation de service permettant à un opérateur économique ayant obtenu une agrégation dans un Etat membre de l’union à offrir des services de paiement à un autre Etat membre d’une manière temporaire sans être obligé de s’y établir définitivement
- Le régime de libre établissement accordant à un opérateur économique de réaliser une activité économique d’une façon stable et continue par le biais de l’implantation d’une succursale dans un pays d’accueil pourvu qu’il soit membre de l’union de l’EEE.
Pour qu’un établissement agréé en France puisse exercer des services de paiement dans l’EEE, une demande doit être envoyée à l’ACP qui la transmet à son tour à son homologue dans le pays d’accueil. Une fois qu’elle sera acceptée, l’établissement pourra mener ses activités. La démarche prend un sens inverse pour un établissement agréé dans un état membre de l’EEE qui envisage d’entreprendre les mêmes services en France.
Afin d’illustrer la compétence octroyée par un passeport européen, le schéma suivant propose les structures possibles d’un EP ayant songé à fournir des services de paiement dans un autre pays dans l’EEE.
Schéma 1. Les structures possibles d’un EP ayant octroyé un passeport européen
- La disposition de la loi de sécurité financière
La promulgation de la loi de sécurité financière est l’acte par lequel les législateurs français sont tentés d’anticiper les mauvaises répercussions de la réalisation des hypothèses du marché efficient sur l’économie. Elle accorde pleine compétence à l’Autorité de régulation (AMF) et précise les termes d’un renforcement du cadre du contrôle interne au sein d’une société y compris les établissements de paiement.
En vertu de l’article 2, la loi précise globalement le rôle de l’AMF envers les sociétés et les actionnaires en mentionnant que : « L’Autorité des marchés financiers, autorité publique indépendante dotée de la personnalité morale, veille à la protection de l’épargne investie dans les instruments financiers et tous autres placements donnant lieu à appel public à l’épargne, à l’information des investisseurs et au bon fonctionnement des marchés d’instruments financiers. Elle apporte son concours à la régulation de ces marchés aux échelons européen et international ». Ceci établit à la fois le pouvoir de contrôle de l’AMF envers les établissements de paiement mais aussi son influence sur la régulation des virements transfrontaliers.
En outre, la loi de sécurité financière constitue aussi un texte de renforcement du contrôle légal des comptes et de la transparence. Le Titre III apporte un ensemble de dispositions permettant de moderniser ce contrôle légal et d’améliorer la transparence dans les entreprises en sus des dispositions diverses. Cela explique, en partie, l’importance de ce texte aux yeux des professionnels comptables, des auditeurs et des contrôleurs internes ainsi qu’au reste des parties prenantes d’un établissement de paiement. Cette loi est aussi à l’origine de la conception du guide de référence en matière de contrôle interne que l’AMF a édité et proposé aux entreprises faisant appel public à l’épargne.
- Description des caractéristiques des établissements de paiement
- Les conditions d’agrément d’un établissement de paiement
L’exercice des activités de paiement exige l’octroi d’un agrément auprès de l’Autorité de Régulation en France, comme dans d’autres pays membres de l’EEE.
En France, lorsqu’une société envisage d’entreprendre des services de paiement, elle doit s’adresser en premier temps à la Direction des Agréments, des Autorisations et de Régularisation au sein de l’ACP pour une prise de contact. A ce titre, un document d’avant projet de 5 à 10 pages est nécessairement envoyé. Les deux parties discuterons de cet avant –projet pendant la séance de prise de contact et une fois validé, il est demandé à la société de remplir le dossier d’agrément. La demande remplie est envoyée à la même direction sous trois exemplaires afin que l’ACP et la Banque de France l’examinent conjointement avant de donner une réponse. Le processus d’examen de la demande prend 3 à 6 mois avant d’aboutir à l’octroi de l’agrément. (Contenu de la demande d’agrément en annexe).
L’agrément divise les établissements de paiement en deux statuts différents :
- les prestataires de services de paiement
- les intermédiaires de services de paiement incluant les agents de paiement et les intermédiaires en opérations de banque et service de paiement
En 2014, la France compte 22 établissements de paiement (personne morale/société) ayant un agrément de l’ACPR et 250 établissements détenant un passeport européen dont 7 sont des succursales, 11 des entités qui ont recours à des agents et 232 des entités fournissant une libre prestation de services.
- L’exercice des activités rentrant dans le cadre des services de paiement
Les activités qu’un établissement de paiement agréé a le droit de mener sont celles mentionnées dans l’article L314-1-II du CMF. Elles sont issues de la transposition des activités définies dans la directive SEPA dans la réglementation française incluant les éléments de la liste suivante :
« 1° Les services permettant le versement d’espèces sur un compte de paiement et les opérations de gestion d’un compte de paiement ;
2°les services permettant le retrait d’espèces sur un compte de paiement et les opérations de gestion d’un compte de paiement ;
3° L’exécution des opérations de paiement suivantes associées à un compte de paiement :
- Les prélèvements, y compris les prélèvements autorisés unitairement,
- Les opérations de paiement effectuées avec une carte de paiement ou un dispositif similaire
- Les virements, y compris les ordres permanents
4° L’exécution des opérations de paiement suivantes associées à une ouverture de crédit
- Les prélèvements, y compris les prélèvements autorisés unitairement,
- Les opérations de paiement effectuées avec une carte de paiement ou un dispositif similaire ;
- Les virements, y compris les ordres permanents ;
5° L’émission des instruments de paiement et/ou l’acquisition d’ordres de paiement ;
6° Les services de transmission de fonds ;
7° L’exécution d’opérations de paiement lorsque le consentement du payeur est donné au moyen de tout dispositif de télécommunication, numérique ou informatique, et que le paiement est adressé à l’opérateur du système ou du réseau de télécommunication informatique, agissant uniquement en qualité d’intermédiaire entre l’utilisateur de services de paiement et le fournisseur de biens ou services ».
- Les services autres qu’une activité de paiement
Afin d’éviter toute confusion due à la diversification des opérations effectuées dans le règlement des transactions, l’article L-314-1-III introduit la définition des activités qui ne sont pas considérées comme une activité de paiement. Il s’agit de :
« 1° La réalisation d’opérations fondées sur l’un des documents suivants, tiré du prestataire de services de paiement, en vue de mettre des fonds à la disposition du bénéficiaire :
- Un titre de service sur support papier ;
- Un chèque de voyage sur support papier ;
- Un mandat postal sur support papier tel que défini par l’union postale universelle ;
2° La réalisation des opérations de paiement liées au service d’actifs et de titres, notamment de celles réalisées sur un compte sur livret, sur un compte mentionné au titre II du livre II, sur un compte à terme ou sur un compte-titre mentionné au chapitre Ier du titre 1er du livre II et sur un compte espèces qui lui est spécifiquement associé ».
- La surveillance des activités des établissements de paiement
Les établissements de paiement sont sous surveillance directe de la Banque de France qui est le premier garant de la sécurité des systèmes de paiement. Dans ce sens, elle est tenue de vérifier si les moyens techniques envisagés et mis en œuvre par la société sont suffisants pour sécuriser ses activités. Cette vérification porte sur les éléments suivants :
- Les instruments de paiement proposés à la clientèle et gérés par la société au titre de la fourniture de service de paiement
- Les opérations de paiement réalisées à cet effet
- Les installations informatiques et techniques servant à la gestion intégrée des activités
- Les ressources humaines et les moyens organisationnels déployés en vue d’assurer la bonne gestion des prestations proposées par la société
Certains traits de cette vérification seront traités dans les sections portant sur l’implémentation du contrôle interne.
De surcroit, il faut remarquer que l’ACP prend part, mais d’une façon indirecte, à la surveillance des activités des EP. En commençant par les démarches de la demande d’agrément jusqu’à la vérification du respect de la lutte anti-blanchiment et du financement des terrorismes, la contribution des différentes directions de l’ACP est décisive, surtout, sur le volet réglementaire. Elle aide les établissements de paiement à entreprendre toutes les mesures nécessaires conduisant au respect des dispositifs légaux tels que le CMF, en étroite collaboration avec d’autres institutions telles que le TRACFIN.
Section 2: La nécessité du contrôle interne dans la gestion des performances des établissements de paiement
- Définition du contrôle interne
Le contrôle interne est un outil de pilotage de performance instauré dans une entreprise depuis l’évolution du management. Sa définition nait d’une reprise successive des préceptes avancés d’un prédécesseur à un autre. Les experts-comptables, les groupes d’auditeurs et les institutions de régulation et de standardisation ont largement contribué à la formulation de cette définition.
- Selon les experts-comptables
La première définition formulée par les experts-comptables en 1962 précise que le contrôle interne est une mesure prise par une entreprise découlant de son choix stratégique, des méthodes et des moyens mis en œuvre afin de prévenir et de révéler opportunément les erreurs et les fraudes dans plusieurs volets de la gestion. En 1977, elle a été reprise dans l’ouvrage intitulé « le contrôle interne » qui délimite le contrôle interne comme « l’ensemble des sécurités contribuant à la maîtrise de l’entreprise. Il a pour but d’un côté d’assurer la protection, la sauvegarde du patrimoine et la qualité de l’information, de l’autre l’application des instructions de la Direction et de favoriser l’amélioration des performances. Il se manifeste par l’organisation, les méthodes et les procédures de chacune des activités de l’entreprise, pour maintenir la pérennité de celle-ci ». En vertu de cette définition, le contrôle interne est un dispositif impliquant une organisation, des méthodes et des procédures qui ont pour but d’assurer l’efficacité de la gestion de l’entreprise en vue d’améliorer la performance.
- Selon le Comité de Règlementation Bancaire et Financière
La définition du contrôle interne par le CRBF comprend deux étapes. En 1990, le Comité précise que les établissements de crédit sont tenus de mettre en place un système de contrôle interne dont les objectifs sont clairement définis par le règlement 98/08 :
- « vérifier que les opérations réalisées par l’établissement ainsi que l’organisation et les procédures internes sont conformes aux dispositions législatives et réglementaires en vigueur, aux normes et usages professionnels et déontologiques et aux orientations de l’organe exécutif ;
- vérifier que les limites fixées en matière de risques, notamment de contrepartie, de change, de taux d’intérêt ainsi que d’autres risques de marché, sont strictement respectées ;
- veiller à la qualité de l’information comptable et financière, en particulier aux conditions d’enregistrement, de conservation et de disponibilité de cette information. »
Selon ce règlement, le contrôle interne repose donc sur un objectif de conformité aux lois et règlements, à la maitrise opérationnelle, à la transparence et à la disponibilité des informations comptables et financières.
En 1997, la Comité apporte des clarifications sur les conditions de mise en place d’un système de contrôle interne. A ce propos, le règlement 97/02 précise que la gestion du dispositif de contrôle interne repose sur un système de contrôle des opérations et des procédures internes, sur une organisation comptable et de traitement de l’information, sur des systèmes de mesure des risques et des résultats, sur des systèmes de surveillance et de maitrise des risques, sur un système de documentation et d’information et sur un système de surveillance des flux d’espèces et de titres. Sur cette base, l’évolution de la définition du contrôle interne prend plus d’envergure que celle formulée par les experts-comptables. Le comité émet plus de précisions sur les systèmes et l’organisation qui participeront à l’effectivité de la gestion de cet outil de pilotage.
- Selon le COSO
En 2002, une loi renforçant les mesures de contrôle dans une société a été promulguée aux Etats-Unis. La loi Sarbanes-Oxley apporte des définitions précises sur la mise en place et les composantes du dispositif de contrôle interne dans une société en se basant sur le modèle créé par le Committee Of Sponsoring Organizations (COSO). Ce modèle est composé de cinq composantes en contingence avec les opérations, les informations financières et la conformité ainsi qu’aux différents processus de la gestion d’entreprise. Les cinq composantes clés sur lesquelles repose le modèle COSO incluent l’environnement de contrôle, l’évaluation des risques, les activités de contrôle, l’information et la communication ainsi que le pilotage. Schématiquement, le modèle COSO se présente comme suit :
Figure 1 : Modèle COSO des composantes du contrôle interne
Ce schéma représente la manière dont l’entreprise mettra en œuvre le contrôle interne. A chaque processus, l’environnement de contrôle doit être bien défini avant de modéliser la gestion des risques. Ensuite, le contrôleur interne procède à la réalisation des activités de contrôle afin de détecter les risques, de limiter leur profusion et d’élaborer des recommandations permettant de les maitriser. Ces résultats sont ensuite portés à l’attention des dirigeants et des responsables de l’entreprise à travers des séances de communication et des supports d’informations adéquats. Enfin, la performance est acquise. Cette procédure vise à atteindre les objectifs de maitrise opérationnelle, de conformité et de qualité des informations financières.
- Les directives incitant l’instauration du contrôle interne pour les établissements de paiement
- Les dispositions prévues par la 4ème et la 7ème directive comptable de la Commission européenne
En 2002, la Commission européenne a procédé à la mise en œuvre d’un plan d’action qui prévoit conjointement une modernisation du droit de société et un renforcement de la gouvernance d’entreprise. A cet effet, elle a stipulé, à travers la 4ème et la 7ème directive comptable, que les sociétés […] faisant appel public à l’épargne doivent, chaque année, faire une description des principales caractéristiques des systèmes de contrôle interne et de gestion des risques […] dans le cadre du processus d’établissement de l’information financière ou, au niveau consolidé, en relation avec le processus d’établissement des comptes consolidés. […] ». Même si ce dispositif n’a pas vocation à être imposé à toute société, une grande partie des établissements de paiement est concernée. Il s’agit, essentiellement, des établissements multi-activité qui exercent les métiers d’un banquier tout en proposant des services de paiement à leurs clients et en fournissant des activités de gestion de portefeuille d’actions sur l’EEE.
- Les dispositions prévues par la 8ème directive sur le contrôle légal des comptes
En 2005, le Conseil et le Parlement européen ont instauré la 8ème directive sur le contrôle légal des comptes. Elle prévoit que les sociétés d’intérêt public sont tenues de constituer un comité d’audit. Son rôle peut être assigné à l’organe de direction de l’entreprise si la législation nationale d’un Etat membre le prévoit. Essentiellement, ce comité d’audit est à la charge du suivi du processus d’élaboration de l’information financière, du suivi de l’efficacité des systèmes de contrôle interne et de l’audit internet, le cas échéant, et de la gestion des risques de la société. En outre, il doit porter à la connaissance du comité les faiblesses majeures révélées pendant le contrôle légal effectué par un commissaire aux comptes, si celles-ci ont un rapport avec l’élaboration des comptes financiers.
Ces deux dispositions ont été renforcées par l’article L522-6 CMF et le règlement 97/02 du CRBF qui exigent la mise en place de procédures efficaces de détection, de gestion, de contrôle et de déclaration des risques et d’un dispositif interne au sein d’un établissement de paiement.
- La lutte anti-blanchiment et le contrôle interne
La lutte anti-blanchiment est une politique instaurée pour lutter contre le financement des activités terroristes. Les virements constituent une des sources principales que les fraudeurs utilisent pour blanchir leur argent. A cet effet, le contrôle interne est censé apporter une solution permettant de prévenir contre cet aléa. Les établissements de paiement sont tenus de concevoir un dispositif LAB/LAT en conformité avec les indications du titre VI du livre V du CMF. Cela constitue, en partie, un des objectifs de conformité du contrôle interne, sous peine d’une sanction pécuniaire grave comme le gel des avoirs en banque d’un établissement de paiement.
Partie 2. Le repérage des conditions clés pour la mise en place du contrôle interne au sein d’un établissement de paiement
Le contrôle interne repose sur les objectifs de conformité et de performance opérationnelle des activités que l’établissement entreprend. Une prise de connaissance générale de ces deux volets a été proposée dans la première partie. Celle-ci a abouti au regroupement et à la synthèse des dispositifs légaux et réglementaires qui régissent les activités des établissements de paiement. Elle a aussi mis l’accent sur la notion de contrôle interne, les éléments qui le composent et la précision sur l’obligation légale qui impose sont instauration au sein d’un tel établissement. Après cela, un repérage des conditions clés encadrant sa mise en place s’impose. Ceci fera l’objet de la présente partie qui tente d’apporter plus d’explications sur les prestations de services de paiement, le diagnostic des procédures supports et les techniques de gestion des moyens et instruments de paiement.
Section 1. Classification des prestations de services de paiement
Principalement, la loi propose deux grandes catégories de prestations que les établissements de paiement sont habilités à entreprendre : les services adossés à un compte de paiement et les services non adossés à un compte de paiement.
En vertu de l’article L314-1 du CFM, créé par l’ordonnance n°2009-866 du 15 juillet 2009, un compte de paiement est défini comme « un compte détenu au nom d’une ou plusieurs personnes, utilisé aux fins de l’exécution d’opération de paiement ». Ce compte peut être un compte bancaire fourni par un établissement bancaire qui propose un service de paiement. Il peut aussi être un compte de paiement non bancaire fourni par un établissement de paiement non bancaire. Depuis la création de la procédure mobile banking, les comptes de paiement fonctionnent habituellement via internet et peuvent être gérés de façon plus rapide avec les nouveaux équipements de télécommunication comme les Smartphones.
- Les services adossés à un compte de paiement
Il y a au moins quatre types de prestations qui entrent dans la catégorie des services adossés à un compte de paiement :
- Versement et retrait d’espèces sur le compte de paiement
Les EP fournissent des services de versement et de retrait d’espèces tels qu’ils sont fournis par les établissements bancaires. Il s’agit d’un dépôt ou d’un retrait de numéraire réalisé traditionnellement auprès d’un guichet d’une agence bancaire/EP ou encore dans un guichet automatique de banque. Cette opération est instantanément créditée ou débitée sur le compte du client ou du bénéficiaire à la date du dépôt ou du retrait. Dans ce sens, le débiteur ou le créditeur se voit disposer d’un compte de paiement.
- Opération de paiement par virement, prélèvement ou carte
Une opération de virement est un transfert de fonds déposés dans un compte vers un autre compte par un simple jeu d’écriture. Elle implique manifestement la création d’un compte de paiement soit pour le bénéficiaire, soit pour le débiteur. Le virement est une opération interne si les deux comptes sont gérés par un même établissement. Il est devenu une opération nécessitant un service de place dans le cas contraire. En outre, il y a aussi les virements internationaux qui dépassent les frontières géographiques de la banque ou de l’EP du débiteur. Si ces opérations s’effectuent en dehors de l’EEE, l’appellation virement international est plus commode. Par contre, s’il s’agit d’un ordre de transaction libellée euro entre des comptes de paiement tenus par des EP localisés dans l’EEE, elles sont appelées « virements SEPA ».
D’autres opérations de paiement se font aussi par prélèvement. Il s’agit ici d’un service de paiement visant à débiter le compte de paiement d’un payeur à l’issue d’une opération de paiement initiée par le bénéficiaire sur la base du consentement donné par le payeur au bénéficiaire, au prestataire de services de paiement du bénéficiaire ou au propre prestataire de services de paiement du payeur. Le transfert se fait aussi par un simple jeu d’écriture qui nécessite donc la disposition d’un compte de paiement pour chacune des deux parties.
De surcroit, beaucoup d’opérations de paiement utilisent actuellement la carte bancaire. Actuellement, le taux de bancarisation est très élevé en France et comme il s’avère difficile pour les clients de faire des retraits fréquents sur leur compte, le paiement par carte bancaire est donc une option inévitable. Les clients y ont recours pour payer leur créditeur comme les commerçants et les assureurs. Il leur est alors exigé d’avoir un compte de paiement afin de constituer les crédits et de débiter les créances.
- Emission d’instruments de paiement
Les EP sont autorisés à émettre un titre qui va constituer un moyen de paiement autre que la remise en espèce à la disposition de ses clients. Les cartes bancaires et les chéquiers sont les exemples les plus connus à ce sujet. Sur la base de cette émission, l’EP doit s’assurer que le client à qui il accorde un ou plusieurs instruments de paiements dispose d’un compte de paiements, de préférence tenu par lui-même, et que ce compte est nécessairement débité en concurrence des opérations de paiement réalisées ou à réaliser.
- Acquisition d’un ordre de paiement
L’ordre de paiement rejoint l’opération de virement et l’opération de versement parce qu’il se définit comme une instruction donnée à un EP de transférer ou de payer un fonds à un bénéficiaire désigné. Au moment où l’EP procède à cette acquisition, il faut qu’une vérification a priori ait été effectuée et donne des informations fiables sur l’avoir du bénéficiaire de l’ordre de paiement. Cela implique que le bénéficiaire ait un compte de paiement à débiter géré par l’établissement lui-même et que les caractéristiques de ce compte remplissent les conditions nécessaires à cette acquisition.
- Les services non adossés à un compte de paiement
Les activités des EP intègrent aussi des opérations de paiement non adossées à un compte de paiement. A ce point, il importe de citer le service de transmission de fonds, l’intermédiation d’une opération de paiement et l’octroi d’un crédit à titre accessoire.
- Transmission de fonds
Les services proposés par les EP couvrent aussi l’opération de transmission de fonds. Il s’agit ,ici, d’un service de paiement pour lequel le payeur envoie les fonds à transférer à un bénéficiaire ou à un autre EP agissant en son nom sans avoir recouru à la création d’un compte de paiement au sein de l’établissement. Ce non adossement à un compte de paiement le distingue du virement mais il implique à l’établissement de procéder à une communication des informations selon les principes du COSI ou Communication Systématique d’informations des transmissions de fonds, auprès du TRACFIN, en vertu de l’article D561-31-1 du CMF.
- Intermédiation d’opérations de paiement
Au-delà des services présentés précédemment, les EP ont la possibilité de fournir une prestation de service d’intermédiation dans les opérations de paiement. A ce propos, il lui est exigé un dispositif informatique numérique, ou de télécommunication, par lequel se passe l’ordre de paiement entre le payeur et le fournisseur de biens et services avec lequel il est lié par un contrat de transaction. Dans ce cas, les deux parties du contrat de transaction peuvent ne pas avoir un compte de paiement au sein de l’EP qui agit seulement en qualité d’intermédiaire parce qu’il n’y a aucun besoin de créditer ou de débiter un compte. Les deux parties du contrat ont déjà leur compte de paiement dans d’autres établissements de paiement. L’intermédiaire est donc tenu d’engager une relation avec les autres établissements de paiement pour faciliter l’intermédiation.
- Octroi de crédit à titre accessoire
Les EP peuvent proposer une certaine forme de crédit liée aux opérations de paiement mais de façon plus limitée que les établissements bancaires. En revanche, cette forme de crédit doit être octroyée dans le respect des conditions énoncées par les textes. A cet égard, il faut que le crédit accordé soit rendu dans 12 mois au maximum et qu’il soit destiné à des opérations de paiement par virement, par prélèvement ou par carte. Ce qui revient à dire que l’octroi de crédit est une opération accessoire à un service de paiement par virement, par prélèvement ou par carte que le client a déjà souscrit auprès de l’établissement. A noter que le crédit peut se faire avec le compte courant du client et n’exige pas la souscription à un nouveau compte et que les montants débités dans les comptes clients ne peuvent pas être transformés en crédit tel que les banques le font.
Section 2. Prise de connaissance des procédures supports aux services de paiement
Dans la section précédente, les explications ont été peu à peu orientées vers l’analyse détaillée des processus liés aux services de paiement. Les points qui y sont présentés concernent généralement les principales activités qu’un établissement de paiement fournit. Mais il faut se rappeler que les services supports contribuent aussi et surtout à la bonne gestion de ces activités. C’est pourquoi une analyse détaillée de ces services supports sera proposée dans cette section. Elle fait d’abord référence aux services connexes aux activités de paiement et aboutira à l’appréhension de l’octroi de crédit.
- Les services connexes au service de paiement
Les opérations de change, le service de garde des valeurs mobilières et du produit financier, l’enregistrement et le traitement des données et le service de garantie d’exécution d’opération de paiement sont tous considérés comme des services connexes aux activités d’un EP. L’analyse de ces services est inscrite dans la réalisation de l’objectif du contrôle interne axé sur la performance opérationnelle et la maitrise des processus. Les paragraphes suivants proposent donc les caractéristiques des services connexes au service de paiement
- Les opérations de change : les EP réalisent éventuellement des opérations de paiement libellé en monnaie étrangère soit de la part de leur client, soit de la part d’autres EP avec qui ils sont en relation. Ils échangent donc les devises en monnaie avec laquelle les autres opérations de paiement seront libellées. C’est la raison qui explique la fonction support de l’opération de change pour un EP.
- Service de garde de valeurs mobilières : le client d’un EP peut lui confier des titres. Il procède alors à une ouverture de compte de titre dans lequel les titres seront conservés en contrepartie d’un droit de garde. L’EP retire son droit de garde une fois par an en sus des autres sources de revenus comme les commissions. Dans certains cas, les titres peuvent faire l’objet d’une garantie ou d’une prise de participation à une société tierce. Ils constituent donc un service énumérateur pour l’EP.
- Garantie d’exécution d’opération de paiements : les EP fournissent aussi des services d’intermédiation dans les autres opérations de paiements. dans ce sens, ils peuvent donner une garantie que l’une des parties à laquelle ils sont liés par un contrat d’intermédiation en vue d’inspirer la confiance de l’autre partie dans l’exécution des transactions. Ce garantie peut être considéré comme un service support parce qu’il contribue à donner lieu ou accélérer un autre service de paiements tel qu’une intermédiation.
- Octroi de crédit : les EP réalisent des opérations de crédit dans l’objectif de soutenir les clients dans leur opération de paiement. Ces emprunts sont donc le levier de croissance du chiffre d’affaires provenant des services de paiement dans lesquels l’établissement se livre. Ils se traduisent aussi en une solution de fidélisation de la clientèle sans détériorer son caractère d’actif circulant (moins d’un an). En effet, les crédits accordés constituent une source de revenus pour l’établissement soit en termes d’intérêt, soit en termes de revenu d’investissement à court terme, une fois que les opérations de paiement avec lesquelles ils ont été débloqués deviennent rentables. Les revenus issus de cette opération supportent donc les services d’un EP.
- L’octroi de crédit
Il est très important pour l’auditeur de distinguer les opérations d’octroi de crédit réservées aux banques de celles autorisées aux établissements de paiement.
- Les opérations de crédit autorisées à un établissement de paiement
A qui sont destinés les crédits ?
Il est judicieux de saisir à qui les crédits octroyés ou à octroyer sont destinés. Les crédits sont proposés aux clients de l’établissement de paiement qui ont déjà ouvert un compte de paiement en leur nom, géré par l’établissement.
Pour quelle durée ?
En principe, le délai de remboursement du crédit ne doit pas dépasser la période de 12 mois à compter de la date de son approbation. En d’autres termes, le crédit est toujours comptabilisé en actif circulant pour l’établissement.
Quelles sont les conditions à respecter par l’EP ?
L’EP est tenu de remplir les conditions suivantes afin de pouvoir accorder des crédits à ses clients :
- Le crédit est accordé à un client lié par un contrat cadre avec l’établissement pour la fourniture de services de paiement
- Le crédit doit être accessoire à d’autres services de paiement souscrits par un client
- Il doit être accordé aux fins d’une exécution d’opérations de paiement que l’EP réalise
- Le crédit est calculé sur la base du fonds propre de l’établissement et non sur les fonds reçus ou détenus à titre d’exécution des opérations de paiement
L’analyse de ces conditions révèle les caractéristiques essentielles au crédit accordé par un établissement de paiement. Ces caractéristiques portent sur le titre accessoire de l’emprunt, l’exigence de sa destination et la base de son calcul. Ceux-ci expliquent en quoi il se distingue d’un crédit accordé par une institution bancaire.
- Les opérations de crédit réservées aux institutions bancaires
Il est judicieux de distinguer les opérations permises aux EP de celles réservées aux banques parce que certains EP sont des succursales d’un réseau bancaire national ou étranger. Dans ce cas, l’analyse des risques de ces deux types de crédit doit être effectuée de manière séparée. De ce fait, les risques liés aux crédits accessoires ne sont pas encapsulés dans les risques de crédits bancaires et vice-versa, les crédits bancaires ne sont pas affectés par les risques des crédits accessoires.
Pour une banque, l’activité principale consiste en la réception du fonds du public pour ensuite constituer les dépôts selon le principe « deposits make loans ». Elle propose aussi des opérations de crédit et des services de paiement en fonction des dépôts reçus et par l’application des formules financières utilisées dans la conception des offres de produits bancaires. Et enfin, il est utile de noter que les institutions bancaires peuvent exercer toutes les opérations éligibles pour un EP que celles-ci soit adossées ou non à un compte de paiement.
Cette perception de la distinction entre les opérations de crédit d’une banque et celles d’un EP permet à l’auditeur de séparer la procédure de prise de connaissance de ces deux éléments lorsqu’il s’agit de mener des travaux d’audit et de contrôle interne au sein d’une institution bancaire qui propose des opérations mixtes. Au cours de ce contrôle, l’auditeur doit être en mesure de séparer ces deux catégories d’opérations de crédit. Celles qui n’entrent pas dans celles autorisées à un EP sont automatiquement classées parmi celles dont une institution bancaire est habilitée. Donc, les trois questions posées dans la sous-section précédente se traduisent en questions filtres à la disposition de l’auditeur qui peut les utiliser pour séparer les deux catégories d’opérations de crédit.
Section 3. Technique de gestion des moyens et instruments de paiement
Les EP utilisent un bon nombre de moyens et instruments de paiement dans l’exercice de leurs activités. L’analyse détaillée de ces éléments procure à l’auditeur des informations lui permettant de juger si l’EP exploite pleinement les droits et obligations issus de son statut et comment il répond aux attentes des besoins des clients. Par définition, les moyens de paiement, comme ils sont mentionnés à l’article L311-3, alinéa 1 du CMF, incluent « tous les instruments qui permettent à toute personne de transférer des fonds, quel que soit le support ou le procédé technique utilisé ». Dans ce sens, la gestion des moyens de paiement se trouve au cœur des préoccupations des EP et, par extension, aux professionnels comptables qui travaillent avec eux.
En outre, la définition des moyens de paiement passe par l’appréhension de la notion d’instruments de paiement. Ce sont ces dispositifs qui déterminent l’exécution d’un ordre de paiement quelqu’en soient la nature et la portée. Les législateurs européens et français se montrent unanimes à définir les instruments de paiement comme étant « alternativement ou cumulativement, tout dispositif personnalisé et/ou ensemble de procédures convenus entre l’utilisateur de services de paiement et le prestataire de services de paiement et auquel l’utilisateur de services de paiement a recours pour lancer un ordre de paiement ». Les instruments de paiement peuvent être corporels (chèques) ou dématérialisés (paiements e-commerce). En se basant sur leur portée, les deux paragraphes suivants se concentrent sur l’analyse des instruments de paiement internes et internationaux.
- Les moyens et instruments de paiement internes
La description des instruments de paiement internes procure à l’auditeur des informations détaillées sur l’un des éléments clés de la gestion opérationnelle des activités d’un EP. L’analyse de ces instruments doit être séparée de celle des instruments de paiement internationaux parce qu’elle détermine les opérations que les EP peuvent exécuter en France. Ces instruments incluent les items suivants :
- Les chèques autorisés dans le circuit bancaire français
- Les espèces numéraires libellées en euro
- Les cartes de paiement
- Les virements et les prélèvements
- Les moyens et instruments de paiement internationaux
Les EP ayant un passeport européen ont le droit d’utiliser les moyens et instruments de paiement internationaux. La plupart des instruments sont similaires à ceux utilisés dans les opérations de paiement internes mais ont une validité plus longue, une acceptabilité plus étendue et une accessibilité plus performante (par internet, par Smartphone). En outre, ces instruments sont régis par les directives de transferts internationaux, comme la directive SEPA, afin qu’ils soient acceptés dans une zone économique définie. La directive SEPA régit, par exemple, les instruments de paiement servant aux transactions dans l’EEE. Les instruments de paiement internationaux regroupent :
- Les cartes de paiement internationales
- Le crédit documentaire (soumis aux Règles et Usances Uniformes)
- Les virements et prélèvements SEPA
- Les paiements par internet
Récemment, le paiement en ligne gagne du terrain et son utilisation a des répercussions sur les autres instruments comme le carnet de chèque.
Afin d’illustrer quelques aspects pratiques de cette analyse d’instruments, quelques exemples sont proposés dans le tableau suivant. Ce sont des formules déjà mises en place et utilisées par les EP membres de l’association Afepame[3].
Solution de paiement par carte bancaire | ||
Sociétés émettrices | Client cible | Instruments de paiement |
AQOBA | Toute entreprise, collectivités locales | Carte de paiement (débit-retrait/ CVD /open closed loop) qui intègre toutes les fonctionnalités des cartes bancaires classiques avec les avantages d’un établissement de paiement : souplesse et rapidité de la mise en place des programmes créés sur mesure pour le partenaire émetteur, émission en marque blanche. |
C2A | Entreprises de transport | Cartes de paiement en closed loop et gestion des notes de frais |
Produits de prélèvement SEPA | ||
SlimPay | E-commerçants (Club Med Gym, Price Minister), entreprises ayant recours aux prélèvements (EDF, SFR, compagnies d’assurance…) | Proposer aux entreprises une nouvelle solution de paiement en proposant à leurs clients de souscrire à des produits vendus par abonnement-
Aide à l’optimisation du paiement par virement. Expertise sur toute la chaîne de prélèvement SEPA (SDD): diminution du risque de rejet, des coûts et des délais de traitement |
Buyster | e-commerçant et e-consumer | Paiements par mobile |
Rentabillyweb
(Be2Bill) |
e-commerçant | Plateforme de paiement en ligne : Payment Service Provider (PSP) |
Cards Off | e-commerçant et e-consumer | Système de paiement à la livraison |
Solution de micro-paiement | ||
Allo Pass | e-commerçants qui proposent
du contenu numérique |
Solutions de paiement pour les achats de contenus numériques en ligne:
paiement par SMS, téléphone, facturation FAI |
Rentabillyweb | e-commerçants qui proposent
du contenu numérique |
Solutions de paiement pour les achats de contenus numériques en ligne: paiement par SMS, téléphone, facturation FAI |
Solution de gestion des paiements | ||
ADP Gestion
des paiements |
Toute entreprise | Simplification du paiement des salariés et des cotisations sociales
Suppression des risques de pénalités de retard |
Afone
Paiement |
Commerçants | Gestion des flux monétiques de bout en bout de la chaîne d’encaissement, du terminal de paiement électronique jusqu’à l’encaissement final sur le compte de paiement du commerçant. |
Solution de transfert d’argent | ||
Sencillo | Particuliers | Transfert d’argent à l’international |
MoneyGlobe | Particuliers | Transfert d’argent à l’international |
BNC SA | Particuliers | Transfert d’argent, le change manuel |
Tempo France | Commerçants et particuliers | Transfert de fonds |
Ce tableau informe sur la diversification des instruments de paiement. Parmi eux figurent les paiements en ligne qui deviennent de plus en plus convoités à cause de leur accessibilité par l’utilisation d’internet via les terminaux de paiement électroniques et les appareils mobiles.
Evolution des instruments de paiement intégrés ‘tout en un’
L’évolution de la conception des moyens et instruments de paiement fait transparaitre trois aspects qui sont actuellement très convoités par les utilisateurs, dont :
- La disponibilité en temps réel
- La formule tout en un (service en package)
- Sans engagement apparent
A cet effet, l’exemple du compte de paiement appelé « compte Nickel » constitue un cas typique.
Le compte Nickel est un compte sans banque avec lequel un établissement de paiement fournit un service complet de paiement, de retrait, de virement, de prélèvement et de dépôt de cash. Cette formule « tout en un » est une technique marketing de package déjà établie dans les autres secteurs économiques qui a été transposée dans le cadre des opérations de paiement. Elle couvre 210 pays dans le monde tout en offrant aux titulaires un service de virement SEPA.[4]
Ce compte Nickel justifie l’évolution actuelle des instruments de paiement. Il est accessible en ligne, c’est-à-dire qu’il offre une grande disponibilité à son titulaire. A sa création, un relevé d’identité bancaire est remis afin d’offrir une possibilité de domiciliation des revenus, d’enregistrement des prélèvements et de réception du virement.
Dans un EP, l’analyse de ce type de compte présente une certaine complexité parce qu’il couvre à la fois des services de paiements internes et internationaux. En plus, les traitements des données et leur gestion sont largement effectués par informatique et sur internet. Dans ce sens, l’auditeur est tenu d’examiner la fiabilité des systèmes informatiques conjointement au diagnostic de sa performance opérationnelle et de sa conformité.
Prise de connaissance des instruments de paiement
Après une revue des instruments de paiement, l’auditeur est amené à concevoir un questionnaire qui sert à énumérer et à classer les instruments utilisés par l’établissement dans lequel il intervient.
L’objectif de ce questionnaire est de permettre à l’auditeur d’avoir une vision plus synthétique des instruments de paiement utilisés par l’établissement et de pouvoir les regrouper selon certains critères.
Questionnaire de prise de connaissance et de classement d’instruments de paiement
Caractéristiques : Nom, nom propre utilisé par l’établissement, autres
L’instrument est-il employé pour un paiement interne ? International ? Mixte ?
L’instrument peut-il être employé pour réaliser une opération de paiement : en France ? Dans l’EEE ? Hors EEE ? Mixte ?
Quel type de service procure-t-il : virement ? Prélèvement ? Espèce ? Transfert de fonds ? Crédit accessoire ? Autres ?
Est-il un instrument incorporel ? Un instrument corporel ?
Avec quel dispositif le client peut-il s’en servir : internet ? Terminaux spécifiques ? Guichet automatique ? Téléphone mobile ? Support papier ? Carte ? Autres ?
Est-il associé à un compte de paiement ?
Les réponses à ces questions donnent des informations détaillées sur les instruments de paiement. L’auditeur peut les classer en fonction de plusieurs critères de façon à les rendre plus claires et plus compréhensibles dans la détection des risques opérationnels et de conformité. En outre, c’est à partir de ces informations que l’auditeur peut assurer la fiabilité et l’exhaustivité informationnelles nécessaires à la gestion efficace du SI et contribuer à l’amélioration de la communication financière. Cela contribuera aussi à l’amoindrissement des impacts possibles de l’asymétrie d’informations entre les EP, les clients et les acteurs du marché financier. En se procurant des informations nécessaires sur les services de paiement et sur les instruments et moyens de paiement, les EP peuvent raisonner objectivement sur leur stratégie opérationnelle et investiront plus sur le respect des volets juridiques qui constituent les points de contrôle inévitable dans les entreprises du secteur monétaire, bancaire et financier.
Partie 3. Implémentation des outils de contrôle et de gestion
La mise en place du contrôle interne est l’aboutissement des travaux de l’auditeur. Apres avoir mis l’accent sur la prise de connaissance des volets de contrôle dans la première partie et l’analyse des services proposés dans la deuxième partie, l’auditeur est en mesure de proposer successivement les procédures et outils nécessaires à ce dispositif de pilotage. Sont ainsi abordées dans cette dernière partie la conception d’une organisation fiable à la gestion du contrôle interne, la maitrise des risques et la conception d’outils d’information et de suivi du contrôle. L’objectif est d’aider les dirigeants à la maitrise opérationnelle de leurs activités, au respect des exigences de conformité et à la disposition d’une information fiable et pertinente.
Section 1. La mise en place d’une organisation interne efficace
- Présentation d’une organisation type d’un EP
Les services de paiement peuvent être classés en trois grandes catégories : les activités internationales, les activités internes (en France) et les activités mixtes.
Subdivision des services
La gestion de ces activités repose essentiellement sur la maitrise du volet juridique. Les opérations permises en France sont réglementées par de nombreuses lois et des textes spécifiques ; il en est autant pour les opérations internationales. Ainsi, la séparation de la gestion de ces activités facilite l’effort de l’AP à respecter les exigences de conformité juridique.
En effet, une organisation orientée vers les activités est une bonne solution pour la gestion et le contrôle interne. Le schéma suivant propose, à titre indicatif, ce type d’organisation :
Figure 2 : Organisation interne orientée activité
La subdivision « services de paiement fournis à l’international » regroupe les opérations mixtes, hors EEE et dans l’EEE. Ces trois services ont un point commun qui est l’exigence de connaissances en matière de réglementation internationale. Il convient donc de les regrouper et de confier les investigations nécessaires à la maitrise de ces points réglementaires à un seul service juridique.
La subdivision « services de paiement fournis en France » doit être géré avec une organisation séparée. Le service juridique rattaché à cette subdivision se charge de mener les activités d’investigation et de veiller sur la réglementation applicable en France concernant les opérations de paiement.
En outre, chaque subdivision peut faire l’objet d’une subdivision interne axée sur les instruments et moyens de paiement que les clients utilisent. A cette fin, le schéma suivant propose un affinement de l’organisation de chaque subdivision :
Figure 3 : Affinement de la subdivision des services de paiement
Cet affinement est aussi applicable à la subdivision « services de paiement fournis à l’international ». L’objectif est d’avoir une organisation plus claire de toutes les opérations afin de pouvoir répartir et définir les responsabilités et les tâches de chaque service et d’éviter l’enchevêtrement au sein d’un seul service.
A noter que la subdivision peut entrainer des aménagements physiques et matériels dans la mesure où l’entreprise pourrait se procurer les investissements nécessaires à cela. Dans le cas contraire, un aménagement interne d’un seul service est une solution envisageable. Par exemple, si l’entreprise n’a pas les moyens d’entamer une réorganisation physique, c’est-à-dire de scinder le service juridique en deux services juridiques s’occupant chacun des procédures juridiques relatives aux services fournis en France et à l’international, une réorganisation du service juridique est une option plus facile. Il faut, dans ce cas, un responsable qui s’occupe des volets juridiques internationaux et un responsable qui se charge des affaires juridiques rattachées à la réglementation nationale. Dans tous les cas, une revue, un examen ou une nouvelle répartition des attributions doit être mise en place.
Attribution des responsables
A l’issue de la subdivision réalisée au niveau des différents services de l’établissement, les attributions des responsables doivent être passées en revue afin d’envisager un réaménagement. Un contrôle interne efficace exige une répartition efficace des tâches et des responsabilités. Dans ce sens, le tableau suivant peut aider l’entreprise à réaménager des attributions.
Tableau 1 : Répartition des tâches des responsables
Services | Services connexes | Tâches à entreprendre | Compétence et expérience exigées | Effectif exigé |
Ce tableau met en lumière le besoin en ressources humaines d’un service ou d’un ensemble de services conformément à la nouvelle subdivision. C’est une méthode de répartition orientée activité. Elle permet une allocation optimale des compétences et du personnel de l’entreprise. C’est à partir de ce tableau qu’un employé doit être réaffecté dans un autre service ou rester pour renforcer le poste qu’il a déjà occupé auparavant. Le tableau suivant aide à la réaffectation du personnel de l’entreprise selon la nouvelle organisation des services de paiement.
Tableau 2. Répartition du personnel
Identité, âge, ancienneté | Compétences et expériences | Ancien poste ou poste actuel | Poste à réaffecter | Formation ou remise à niveau utile | Observation |
Ici, l’auditeur doit prendre conjointement en compte l’âge et la compétence. Les employés plus jeunes peuvent être réaffectés à des tâches informatiques, commerciales ou marketings. En outre, les plus âgés ont plus d’aisance en matière d’investigation juridique ou comptable et d’autres tâches d’administration. En dépit de cela, l’entreprise est amenée à renforcer et à remettre à niveau les compétences des employés, même de ceux qui ne sont pas réaffectés.
- Formation d’une organisation de pilotage du contrôle interne
La conception d’une organisation de pilotage du contrôle interne est une étape inévitable à la mise en place du contrôle interne. D’ailleurs, elle est conforme au dispositif COSO et reprise par l’AMF pour être établie dans les sociétés faisant appel public à l’épargne. A ce propos, le guide de référence de l’AMF stipule que le contrôle interne implique « une organisation comportant une définition claire des responsabilités, disposant des ressources et des compétences adéquates et s’appuyant sur des systèmes d’information, sur des procédures ou des modes opératoires, des outils et des pratiques appropriés ». Cette organisation fournit un « cadre dans lequel les activités nécessaires à la réalisation des objectifs sont planifiées, exécutées, suivies et contrôlées ».
- Les responsables et leur attribution
L’organisation de pilotage du contrôle interne peut ne pas être une fonction autonome dans l’entreprise. Il faut juste que l’auditeur regroupe les acteurs du contrôle interne et définisse leur attribution.
Les acteurs du contrôle interne incluent[5] :
Acteurs | Rôles et implications |
Conseil d’administration ou de surveillance
(Conseil d’administration, Comité d’audit) |
Contrôle et vérification des décisions de la direction générale concernant les caractéristiques essentielles du contrôle interne
Surveillance attentive et régulière du contrôle interne par l’analyse des rapports d’audit interne et des synthèses périodiques |
Direction générale ou organe directoire | Définition, promotion et surveillance du dispositif de contrôle interne adapté aux services proposés par l’EP et à sa situation
Analyser les informations sur les disfonctionnements, les insuffisances et les difficultés d’application du dispositif Engager à des actions correctives permettant de remédier à ces aléas |
Service d’audit interne | Evaluer le bon fonctionnement du contrôle interne
Formuler les préconisations permettant d’améliorer la gestion du dispositif Rendre compte des principaux résultats de ses activités à la direction générale |
Personnel de l’établissement | Prendre connaissance des tâches à promouvoir dans la gestion du dispositif
Acquérir les informations nécessaires pour l’établissement, le fonctionnement et la surveillance du dispositif Exécuter les instructions données par le service d’audit interne portant sur le fonctionnement et la surveillance du CI |
- Orientation de la politique des ressources humaines
L’auditeur doit prévoir une solution permettant à l’entreprise de recruter le personnel nécessaire pour étoffer l’organe de pilotage du contrôle interne. Chaque individu acteur du contrôle interne est censé disposer des compétences et des connaissances nécessaires à l’exercice de sa responsabilité et de ses tâches et être disposé à atteindre les objectifs actuels et futurs de l’entreprise. À ce propos, un tableau de critères est proposé, à titre indicatif :
Tableau 2 : tableau de répartition des tâches et des compétences nécessaires au dispositif de contrôle interne
Composantes du contrôle interne | Tâche à entreprendre | Compétences et connaissances requises | Autres aptitudes requises | Effectif nécessaire |
Contrôle conformité | Tâche 1
Tâche 2 … |
Aptitude organisationnelle
Aptitude relationnelle … |
||
Efficacité opérationnelle | Tâche 1
Tâche 2 … |
|||
Efficacité informationnelle | Tâche 1
Tâche 2 … |
|||
Utilisation du tableau :
La première colonne établit la liste des composantes principales du contrôle interne.
La deuxième colonne recense les tâches à entreprendre relatives à l’organisation, à l’exécution et au contrôle de ces composantes
La troisième colonne répertorie les compétences académiques et professionnelles exigées par chaque tâche.
La quatrième colonne donne plus de précisions sur les aptitudes qu’une tâche requiert. Ces aptitudes sont des qualités personnelles ou collectives des acteurs assignés au contrôle interne en sus de leurs compétences académique et professionnelle.
La dernière colonne précise le nombre d’individus à affecter à une tâche ou à un ensemble de tâches.
- Le mode opératoire et les outils à concevoir
Une action, une tâche ou un processus doit être conduite, exécutée ou contrôlée suivant un mode opératoire bien défini par l’auditeur. Dans ce sens, la rédaction d’un cahier de charges peut constituer une solution optimale afin de cerner ce mode opératoire. Dans ce cahier, sont inscrits clairement l’ensemble des tâches, les objectifs à atteindre, les fonctions responsables, la ligne hiérarchique ou fonctionnelle nécessaire à son encadrement, les outils de gestion, les modalités d’évaluation de performance et de contrôle et les personnes responsables assignées à ces opérations. L’auditeur peut ensuite définir et répartir les outils de travail que chaque tâche exige. Les outils comprennent les outils spécifiques (questionnaire d’évaluation, fiche de contrôle) ou les outils génériques (outils informatiques).
- Système d’information nécessaire au contrôle interne
Le système d’information est l’une des composantes les plus importantes du contrôle interne. Sans informations fiables, disponibles et ergonomiques, la gestion, la surveillance et l’amélioration des activités de l’entreprise semblent difficiles. Ce système doit être conçu de manière à supporter les objectifs futurs et actuels de l’EP. Il doit prévoir un système informatisé de gestion, de traitement et d’archivage des tâches d’une manière sécurisée. Cela implique aussi que les opérateurs informatiques mettent à la disposition de chaque acteur une documentation bien adaptée à l’analyse, à la programmation et à l’exécution des traitements. Cette documentation est de plus en plus détaillée, conformément à la diversité des services fournis par l’établissement. A cet effet, la conception d’applications informatiques propres à la gestion des opérations de l’établissement est une solution opportunément envisageable.
Section 2. Implémentation des procédures d’évaluation des risques
Le contrôle interne exige la mise en place d’un système de maitrise des risques. L’objectif est d’arriver à un système permettant le recensement, l’analyse et l’assurance d’une procédure de maitrise des risques liés aux activités de l’établissement. La mise en place de ce système contribue à l’identification, à la constitution et à la conservation des actifs stratégiques de l’établissement et à l’exploitation de son avantage concurrentiel. Deux volets méritent d’être analysés séparément dans la conception de ce système de gestion des risques : les risques de non-conformité et les risques opérationnels.
- Les risques de non-conformité juridique
Les services de paiement sont des activités étroitement réglementées en France et dans la zone EEE. Dans ce sens, la conformité juridique est essentielle à l’établissement de paiement. Cela permet d’éviter les préjudices juridiques de toute nature, d’exercer le statut dans sa plénitude et de faciliter le règlement de litiges. Un certain nombre de facteurs de risques de non-conformité doit être vérifié par l’auditeur.
- Cartographie des facteurs de risques juridiques
Facteur 1 : Révision de la conformité du dossier d’agrément
La révision du dossier d’agrément peut être analysée par le questionnaire suivant :
Fiche de révision de l’agrément | ||
Sur le programme d’activité | oui | non |
|
||
|
||
|
||
|
||
|
||
|
||
… | ||
Structure financière et fonds propres | ||
|
||
|
||
|
||
|
||
….. | ||
Protection des fonds de la clientèle | ||
|
||
|
||
Actionnariat | ||
|
||
|
||
|
||
|
||
…. | ||
Gouvernance / contrôle interne | ||
|
||
|
||
|
||
…. | ||
|
||
– De détection des risques | ||
– De gestion des risques | ||
– De contrôle des risques | ||
– De déclaration des risques | ||
– De contrôle interne | ||
– D’une comptabilité saine | ||
– D’une procédure administrative saine ? | ||
|
||
|
||
…… | ||
|
||
|
||
– Qualité du prestataire ? | ||
– Existence d’un mécanisme de secours pour assurer la continuité de l’exploitation ? | ||
– Protection de la confidentialité des données ? | ||
– Accessibilité des informations ? | ||
……. | ||
Observation : …
Conclusion : … |
Les résultats de ce tableau seront résumés dans la cartogrographie des risques. L’auditeur est tenu de calculer le nombre de « non » à travers les réponses données à chaque question. Ensuite, il doit calculer le pourcentage des réponses négatives par rapport à l’ensemble des questions posées. Il établit ensuite une base de décisions afin de juger la significativité des risques. Par exemple : 5% de non = tolérable, 10% = élevé, +10% = critique
Facteur 2 : Risques liés au respect du dispositif de blanchiment d’argent et à la lutte contre le financement des activités terroristes
L’établissement est tenu de se disposer d’un dispositif de lutte contre le blanchiment et le terrorisme. Chaque composante du dispositif exige une attestation de la part de l’ACP. Ainsi, le contrôle interne exige que ces composantes gardent leurs qualités et toutes leurs caractéristiques afin d’apprécier leur conformité. Dans ce sens, les questions suivantes sont proposées à l’auditeur afin de s’en rendre compte et d’en mener un jugement nécessaire :
Fiche de révision de l’attestation du dispositif de lutte anti-blanchiment et de lutte anti-terrorisme (LAB/LAT) | Non | Oui |
|
||
|
||
|
||
|
||
Conclusion : …
Observation : … |
Facteur 3 : Risques induits de l’avis défavorable de la Banque de France sur le niveau de sécurité des systèmes de paiement
L’établissement doit avoir un avis favorable de la part de la Banque de France sur les quatre éléments proposés dans le tableau suivant afin de s’assurer que les moyens qu’il déploie sont suffisants à la fourniture des services de paiement en toute quiétude. Dans ce sens, un tableau d’appréciation de la sécurité des systèmes vient combler la liste des risques juridiques qu’il faut étudier :
Fiche d’appréciation de la sécurité des systèmes issue de l’avis de la Banque de France | Non | Oui |
|
||
|
||
|
||
|
||
Conclusion : …
Observation : … |
Facteur 4 : Risques liés à la réglementation des modalités de Reporting
L’auditeur doit veiller au respect des obligations de Reporting imposées à l’EP. Les questions suivantes lui facilitent la collecte d’informations sur ce point :
Fiche d’appréciation de la sécurité des systèmes issue de l’avis de la Banque de France | Non | Oui |
|
||
|
||
|
||
|
||
|
||
|
||
|
||
|
||
… | ||
Conclusion : …
Observation : … |
Facteur 5 : Risque lié à l’attestation de l’utilisation du passeport européen
Le passeport européen garantit la compétence de l’EP à réaliser des opérations de paiements hors de la France. Dans ce sens, il faut que l’auditeur effectue une évaluation de risque lié à la conformité de ce passeport, aux droits et obligations qu’ils entrainent ainsi qu’aux opérations qu’il permet.
Fiche d’appréciation de la conformité du passeport européen | Non | Oui |
|
||
|
||
|
||
|
||
|
||
|
||
… | ||
Conclusion : …
Observation : … |
C’est après ces évaluations que l’auditeur est en mesure de restituer les informations sur les risques et d’établir la cartographie.
Cartographie des risques de non-conformité
La cartographie de risque est un outil unifié sur lequel sont inscrits, d’une manière synthétique et brève, les facteurs de risque, le niveau du risque identifié et l’appréciation de la significativité. Elle se présente comme suit :
L’auditeur remplit la case des niveaux en fonction des appréciations qu’il émet dans l’analyse des risques pris individuellement dans les tableaux précédents. Ensuite, il est tenu de restituteur les résultats, de formuler une conclusion et d’inscrire ses interprétations. Le lecteur de cette cartographie ne doit pas fournir un grand effort pour sa lecture. Les cases à cocher informent sur le niveau des risques, individuellement, tandis que la conclusion et l’interprétation fournissent une synthèse de la significativité globale des facteurs de risques de non-conformité.
- Outils de suivi de la maitrise des risques de non-conformité
L’auditeur est amené à concevoir un outil de suivi et de maitrise des risques unifié pour l’ensemble des risques détectés. Cet outil met en lumière la liste des mesures de couverture à mettre en œuvre par l’entreprise ainsi que l’évolution de la diminution des risques rattachés à chaque mesure. Le tableau de gestion des risques se présente comme suit :
Tableau de suivi de la maitrise des risques de non-conformité
Risque de non-conformité juridique | |||||
Identification et gestion des risques | |||||
Risques bruts identifiés | Mesures de correction mises en œuvre | Risque résiduel | |||
Facteur 1
Facteur 2 Facteur 3 Facteur 4 Facteur 5 |
|||||
Perspective et évolution prévues par facteurs | |||||
Facteur 1
… |
|||||
Activités de contrôle | |||||
Entité de contrôle | Objet du contrôle | Périodicité | Constats | Mesure de correction | |
|
|||||
|
|||||
|
|||||
Utilisation de l’outil :
Les risques bruts identifiés sont ceux décrits dans les tableaux d’évaluation proposés au-dessus. Ils concernent les défaillances, les manquements à la réglementation, les inattentions dues à des modifications d’un élément, etc.
A chaque risque identifié correspond une ou plusieurs mesures de couverture permettant de le diminuer. L’application de ces mesures doit être mesurée temporellement et l’auditeur donnera une appréciation sur l’avancement de la diminution du risque à une date définie. Cette constatation est inscrite dans la colonne des risques résiduels.
En outre, les activités de contrôle permanent sont à planifier afin de maitriser le délai et de mener avec rigueur les actions de correction. Cet outil deviendra un outil au service de l’amélioration continue de la gestion du volet conformité à la disposition de l’entreprise.
2- Les risques opérationnels liés aux activités
La gestion des activités nécessaires à l’exploitation des moyens de paiement présente éventuellement des failles, des défaillances ou des disfonctionnements. Ces risques pourraient entrainer un préjudice potentiel à l’entreprise.
L’évaluation des risques opérationnels est aussi incluse dans le système de surveillance des activités d’une entreprise. L’auditeur est tenu d’établir une cartographie de ces risques telle qu’elle est présentée dans les deux paragraphes suivants.
- Cartographie des risques opérationnels
Les risques opérationnels sont liés à la défaillance de l’exécution des procédures, aux comportements des acteurs, au fonctionnement des systèmes et à l’influence des évènements extérieurs. Certains facteurs qui ont des répercussions sur la fourniture des services de paiement seront analysés dans les paragraphes suivants.
Facteur 1. Risque lié à l’identification d’un service de paiement
Les services de paiement présentent quelques points de ressemblance avec les opérations fournies par les institutions bancaires. De ce fait, l’auditeur doit établir un questionnaire permettant d’identifier ces services.
Fiche d’identification d’un service de paiement | Non | Oui |
|
ok | |
|
ok | |
|
ok | |
… | ||
Conclusion : …
Observation : … |
La première réponse doit être positive pour déterminer qu’il s’agit d’un service de paiement mais elle demeure insuffisante et attend la validation par les réponses aux autres questions. Si la deuxième réponse est positive, le service n’entre pas dans la catégorie des services de paiement accessibles à un EP. Par contre, si elle est négative, la condition est remplie. Pour la troisième question, les fonds issus d’une activité réglementée autre que les services de paiement ne constituent pas l’objet d’une opération de paiement selon la directive SEPA. En effet, une réponse négative confirme les critères d’identification.
Cette grille d’identification doit être applicable à chaque service de paiement avec d’éventuelles questions que l’auditeur peut poser.
Facteur 2. Risques techniques et informatiques
L’analyse de risques techniques et informatiques constitue une composante essentielle dont le déploiement vise à assurer que l’établissement dispose des moyens techniques et informatiques nécessaires, fiables et à jour permettant de supporter les activités et leur évolution.
Fiche d’appréciation de la capacité et de la fiabilité des moyens techniques et informatiques | Non | Oui |
Sécurité des moyens de paiement | ||
|
||
|
||
|
||
– Délai d’exécution des opérations de paiement ? | ||
– Durée de conservation des fonds ? | ||
– Règles de remboursement ? | ||
– Identification du donneur d’ordre de paiement ? | ||
– Identification du bénéficiaire ? | ||
… | ||
Sécurité des instruments de paiement | ||
|
||
|
||
|
||
|
||
|
||
|
||
… | ||
Sécurité informatique et technique | ||
|
||
|
||
|
||
|
||
|
||
… | ||
Conclusion : …
Observation : … |
Facteur 3. Risques liés à l’organisation et aux ressources humaines
L’auditeur doit remettre en question les moyens humains et l’aspect organisationnel permettant d’exécuter et de contrôler les opérations de paiement. A ce propos, il importe de proposer des questions sur le contrôle des opérations, l’efficacité des procédures et la performance de la relation avec les clients.
Fiche d’appréciation de la capacité et de la fiabilité des moyens humains et de l’organisation | Non | Oui |
Sécurité et efficacité des contrôles des opérations et du système d’information | ||
|
||
|
||
|
||
… | ||
Gestion des procédures liées aux opérationnels et SI | ||
|
||
|
||
|
||
|
||
|
||
… | ||
Moyen de support et d’assistance client | ||
|
||
|
||
|
||
… | ||
Conclusion : …
Observation : … |
Les réponses collectées après l’administration de ces questions doivent être restituées par l’auditeur afin qu’il puisse alimenter la cartographie des risques opérationnels. Comme dans le cas de l’analyse des risques de non-conformité, l’auditeur est invité à calculer des seuils qui facilitent l’appréciation de la significativité d’un risque. Par exemple, il peut entamer un calcul de pourcentage de « non » par rapport au nombre total des questions. A un seuil de 5%, le risque est à un niveau modéré, à 10%, le risque est jugé élevé et à +10%, le niveau de risque est critique.
Cartographie des risques opérationnels
Elle regroupe sur un seul support les facteurs de risques cités et analysés dans les questionnaires ci-dessus. Ici, elle est proposée à titre indicatif. Chaque auditeur est invité à ajouter d’autres facteurs en fonction de son questionnaire et de son objectif. Il peut aussi modifier la présentation.
La cartographie est ici présentée d’une manière simplifiée. Elle met en lumière les niveaux de risque pour chaque facteur de risque énuméré dans la colonne à gauche. En revanche, la conclusion générale de la significativité du risque est détaillée dans la section analyse et interprétation. L’auditeur y met la synthèse de ses constats et la décision sur le niveau du risque dans sa globalité.
- Matrice de suivi des risques
La matrice de suivi des risques opérationnels prend la même forme que celle des risques de non-conformité. Il faut seulement que l’auditeur énumère les facteurs de risques opérationnels analysés dans la cartographie ci-dessus. L’auditeur est aussi amené à citer les actions correctives dans la dernière section de la matrice. Un tableau de suivi généralisé sera proposé dans le dernier paragraphe de cette partie.
Section 3. Conception d’outils de suivi et d’information sur le contrôle interne
L’établissement de paiement est soumis à une obligation de rapporter les résultats de son contrôle interne une fois par an. La conception des éléments d’information sur ce dispositif constitue donc une étape importante pour l’auditeur comme pour les dirigeants. En plus des informations conçues dans les paragraphes d’évaluation des risques, d’autres volets de la gestion des activités méritent encore une analyse et exigent la production d’informations fiables et détaillées. L’objectif est, de prime à bord, de répondre aux exigences réglementaires incombant à l’entreprise et ensuite, de répondre aux attentes des utilisateurs des informations comptables et financières tels que les organes sociaux, les membres du Conseil d’administration ou de surveillance, etc.
La production des informations sur les volets de la gestion des EP peut être inspirée du guide de référence dressé par l’AMF. Ce guide oriente l’auditeur à méditer sur les questionnaires proposés afin de collecter les informations sur la gouvernance, l’activité de contrôle, la gestion comptable et financière et la communication.
- Les questionnaires relatifs au contrôle interne
En sus de l’évaluation des risques, les composantes du contrôle interne méritent aussi une analyse approfondie. L’objectif porte sur la conformité et l’efficacité opérationnelle. Les questionnaires proposés ci-après consistent en la prise de connaissance du niveau de conformité et du niveau d’efficacité des attributions de l’organe de gouvernance (Conseil d’administration ou de surveillance, direction générale, comité d’audit, etc.), des activités de contrôle, des procédures comptables et financières et de la communication des informations concernant les opérations de paiement. Les questions abordent de manière exhaustive les exigences comptables et informationnelles incombant à l’établissement de paiement et portent sur :
- Le rôle de l’organe de gouvernance dans la maitrise du processus comptable et financier
- Les activités de contrôle des procédures et méthodes comptables
- L’organisation du processus comptable et financier
- La périodicité et l’exhaustivité de la communication financière
Les questionnaires sont présentés en annexe.
- Tableau de suivi de l’évolution de la maitrise des risques
La maitrise des risques est la manifestation des dirigeants, sur conseil de l’auditeur, à entamer, à planifier et à exécuter les mesures préventives ou actions correctives contribuant à la diminution des risques identifiés. Elle intègre les risques de non-conformité et les risques opérationnels et prévoit un calendrier d’avancement de l’application et de la matérialisation des actions correctives. Afin de pouvoir apprécier l’avancement, l’auditeur doit repasser les questionnaires d’évaluation sur le même risque et collecter les nouvelles réponses sur les différents facteurs sur lesquels les actions ont été déployées. Ensuite, il doit refaire le calcul du seuil de significativité en rapportant le nombre de succès ou d’échecs par le nombre total de questions pour enfin se procurer des nouvelles informations sur l’évolution de la maitrise des risques. Un grand tableau incluant les risques et leur suivi est proposé à titre indicatif :
Tableau de gestion de la maitrise des risques
Réf | Date | Description des risques | Impacts | Types de risques | Probabilité | Niveau d’impact | Actions correctives engagées | Evolution de la maitrise |
Numérotation | Description des facteurs de risques
Description de leur contrainte d’apparition |
Explication des répercussions en cas de réalisation du risque
Date d’apparition des conséquences |
Non-conformité
Opérationnel Organisationnel, Technique Informatique Contractuel |
Faible
Moyen Forte Très forte Certaine |
Mineur
Moyen Important Majeur
|
Action déjà engagée
Action à engager Action différée Aucune
|
Augmentation
Diminution Niveau stagnant
|
|
|
||||||||
|
||||||||
|
Le tableau résume l’ensemble des risques identifiés et les actions correctives à entamer ou déjà entamées par les dirigeants de l’EP. C’est un outil nécessaire mais il parait insuffisant pour suivre l’évolution des actions correctives. Un autre tableau de planification des actions correctives doit être annexé à ce grand tableau. L’auditeur est invité à éditer autant de tableaux que de nombres de risques identifiés. Une esquisse de ce tableau est illustrée ci-après :
Description du risque | ||||||
Action corrective à engager | ||||||
Objectif : | ||||||
date de début : | ||||||
date de fin : | ||||||
personne responsable : | ||||||
ressources utiles : | ||||||
Avancement | ||||||
date de début | date de fin | |||||
Mois | mois 1 | mois 2 | mois 3 | mois 4 | … | mois n |
Pourcentage d’avancement | ||||||
15% | 25% | 35% | 50% | … | 100% | |
Ce tableau d’avancement est à compléter conformément aux informations exactes sur les caractéristiques de l’action préventive ou corrective à entamer. En outre, les pourcentages d’avancement sont justes à titre d’exemple. Il appartient à l’auditeur d’utiliser les informations exactes et propres à l’action à engager afin de quantifier ces pourcentages.
Conclusion
La crise financière de 2007-2008 résulte de la convergence d’un certain nombre de facteurs défaillants. Remédier à ces situations est à l’ordre du jour pour les autorités de surveillance et de contrôle. Elles se bousculent à la conduite d’un certain nombre de réformes en concevant des dispositions légales et règlementaires portant raffermissement du contrôle et suivi des transactions économiques et financières. Ces reformes portent sur les accords de Bale, les directives et les règlements sur la monnaie électronique, les services de paiement et l’amélioration de l’intégration régionale par l’uniformisation des règles applicables aux transactions européennes. La naissance des services de paiement et des établissements de paiement améliore la fluidité du marché et l’accès à l’information sur les offres et les demandes. Afin de se prémunir contre la réalisation des risques probables d’aboutir au chaos, les établissements de paiement et les entreprises d’investissement sont soumis à une forte règlementation tant sur leur organisation, leur fonctionnement, leur activité et la gestion de leur processus. La mise en place du contrôle interne est incontournable.
Le contrôle interne, comme il est mentionné dans la deuxième section de la première partie, est un dispositif de pilotage qui a subi une amélioration continue tout au long des années. Les contributions des auditeurs, des contrôleurs internes et des autorités de régulation comptable, des académiciens et d’autres acteurs sont décisives à cette amélioration, à son adaptation et à sa standardisation qu’il soit applicable dans n’importe quel type d’entreprise. Pour les établissements de paiement, l’adaptation d’un système de contrôle interne à leur organisation est régie par les textes européens sur le contrôle légal des comptes, la lutte anti-blanchiment, la lutte anti-terroriste et sur l’exigence de sécurité des opérations de paiement.
L’implémentation du contrôle interne au sein d’un établissement de paiement implique une prise de connaissance de la variété des services qu’il propose, des procédures supports à ces services et des techniques utilisées par la gestion des instruments et des moyens de paiement. En principe, les services de paiement se divisent en deux grandes catégories comme il a été indiqué dans les sections de la deuxième partie. Ils comprennent les services nécessitant l’ouverture d’un compte de paiement et ceux qui n’y sont pas adossés. Après cela, la phase de mise en œuvre est lancée par l’instauration d’une organisation interne efficace qui pourra piloter le dispositif à bon escient. Ensuite, la maitrise des risques doit être gérée par la mise en place des procédures et outils d’évaluation des risques de non-conformité et opérationnels. A chaque type de risque, un questionnaire d’évaluation a été proposé suivi d’une cartographie simplifiée qui informe sur son niveau et sur la significativité globale. Enfin, un ensemble d’outils de gestion et de suivi du contrôle interne est proposé aux dirigeants et responsables de l’établissement dans l’objectif de tester la validité du système et de piloter la performance. Ces outils comprennent des tableaux de suivi des risques et des questionnaires dont quelques-uns ont été inspirés d’un guide de référence proposé par l’AMF sur le contrôle interne.
Ces synthèses montrent que la maitrise opérationnelle, l’atteinte de la conformité aux lois et aux règlements et l’utilisation optimale des ressources impliquent la mise en œuvre du contrôle interne. Sa mise en place implique, par-dessus tout, le repérage des éléments clés qui caractérisent les services de paiement, les services supports et les moyens et instruments de paiement. Le niveau de conformité est atteint si l’établissement arrive à cerner les textes et règlements régissant ses activités dans l’EEE. Autant pour l’efficacité opérationnelle qui est atteinte lorsque l’implémentation de la cartographie des risques et des outils de gestion et de suivi élaborés à l’intention des dirigeants et des décideurs de l’entreprise a été entamée.
Textes officiels
- Code de commerce
- Code monétaire et financier
- Règlement du CRBF n°97-02
- Directive SEPA
- Directive sur la monnaie électronique
- 4ème et 7ème directives comptables de la Commission Européenne
- 8ème directive sur le contrôle légal des comptes sur la constitution et le fonctionnement d’un comité d’audit pour le contrôle interne
Ouvrages
- Henri-Pierre Maders, Jean-Luc Masselin, Contrôle interne des risques, Editons d’Organisation, 2004
- Dan Chelly, Stéphane Sébéloué, Les métiers du risque et du contrôle dans la banque, Observatoire des métiers de la banque, mars 2014
Manuels et guides
- AMF, Le dispositif de contrôle interne : Cadre de référence, janvier 2007
- Etablissement de paiement : guide pratique, avril 2012
- Fréderic Hache et co-auteurs, Bale 3 en 5 questions : des clés pour comprendre la réforme, mai 2012, Finance Watch 2012
Etudes et rapports
- Mouna Jemali, Les établissements de paiement. Un nouvel acteur bancaire, Université Nice Sophia Antipolis, Thèse de Doctorat en Droit, janvier 2014
- ACP, Banque de France, Agrément et passeport des établissements de paiement. L’expérience de l’ACP, Séminaire EIFR- AFEPAME, 2 juillet 2012
- Groupe de Larosière, Rapport Larosière, 25 février 2009, Bruxelles
- Les grandes étapes de la crise financière, Banque de France sur le site officiel banque-france.fr
Annexe
Questionnaire relatif au contrôle interne comptable et financier
Sur le rôle des organes de gouvernance
- Les principes comptables retenus qui ont un impact significatif sur la présentation des états financiers de l’entreprise ont-ils été formellement validés par la Direction Générale, revus par les commissaires aux comptes et portés à la connaissance du Conseil d’Administration ou de Surveillance ?
- Pour les arrêtés correspondant à des comptes publiés, les principales options comptables ainsi que les choix effectués ont-ils été expliqués et justifiés par la Direction Générale au Conseil, et revus par les commissaires aux comptes ?
- Existe-t-il un processus de validation des changements des principes comptables envisagés prenant en considération l’économie des opérations ? Ce processus prévoit-il en particulier une consultation des commissaires aux comptes et une information du Conseil ?
- Le Conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont accès à l’ensemble des informations nécessaires à l’exercice de leurs responsabilités, notamment s’agissant des filiales consolidées ?
- Le Conseil reçoit-il l’assurance des commissaires aux comptes qu’ils ont suffisamment avancé leurs travaux au moment de l’arrêté des comptes pour être en mesure de communiquer toutes remarques significatives ?
- La formation du résultat, la présentation du bilan, de la situation financière et des annexes, ont-elles été expliquées au Conseil, à chaque arrêté de compte publié ?
- Le Conseil a-t-il été informé de l’existence d’un contrôle de gestion dont les données se sont périodiquement rapprochées de l’information financière publiée ?
- Le Conseil a-t-il été régulièrement informé de l’existence de situations de trésorerie incluant des perspectives à court terme ?
- Les flux de trésorerie pris en compte dans l’analyse présentée au Conseil mettent-ils clairement en évidence les éléments dont l’utilisation par la société mère fait l’objet de restrictions ?
Sur l’activité de contrôle
- Existe-t-il des contrôles réguliers et inopinés pour s’assurer que le manuel de principes comptables et le manuel de procédures comptables sont suivis dans la pratique ?
- Existe-t-il des procédures pour identifier et résoudre des problèmes comptables nouveaux, non prévus, le cas échéant, dans le manuel de principes comptables et/ou dans le manuel de procédures comptables ?
- L’activité de contrôle interne comptable et financier comporte-t-elle des procédures pour assurer la préservation des actifs (risque de négligence, d’erreurs et de fraudes internes et externes) ?
- Le dispositif de contrôle interne comptable et financier comporte-t-il des contrôles spécifiques aux points qui seraient identifiés comme sensibles concernant des aspects comptables, par exemple, inscription à l’actif, constatation des produits, spécialisation des périodes comptables, valorisation des stocks… ?
- Les procédures d’arrêté des comptes du groupe sont-elles applicables dans toutes les composantes du périmètre de consolidation ? S’il existe des exceptions, y a- t- il des procédures adéquates pour les traiter ?
Sur l’organisation comptable et financière
- La fonction comptable et financière a-t-elle, pour le périmètre couvert par les comptes, accès aux informations nécessaires à leur élaboration ?
- Existe-t-il un manuel de principes comptables groupe, précisant le traitement comptable des opérations les plus importantes ?
- En cas de publication des comptes établis suivant plusieurs référentiels comptables pour un même niveau (individuel ou consolidé), existe-t-il des procédures pour expliquer les principaux retraitements ?
- Existe-t-il un manuel de procédures comptables et des instructions décrivant les répartitions des responsabilités d’exécution ou de contrôle au regard des tâches comptables, ainsi que des calendriers à respecter ? Dans le cadre de la préparation des comptes consolidés, existe-t-il des procédures de diffusion visant à assurer leur prise en compte par les filiales ?
- Les responsables de l’établissement des comptes et de l’information financière ainsi que les différents acteurs qui participent à l’arrêté des comptes sont-ils identifiés ?
- Existe-t-il un processus visant à identifier les ressources nécessaires au bon fonctionnement de la fonction comptable ? Prend-il en considération les évolutions prévisibles ?
- Les procédures et les systèmes d’information sont-ils développés avec pour objectif de satisfaire aux exigences de fiabilité, de disponibilité et de pertinence de l’information comptable et financière ?
- Les systèmes d’information relatifs à l’information financière et comptable font-ils l’objet d’adaptations pour évoluer avec les besoins de la société ?
- La Direction Générale s’est-elle assurée que les obligations de conservation des informations, données et traitements informatiques concourant directement ou indirectement à la formation des états comptables et financiers étaient respectées ?
- Des dispositifs sont-ils mis en place pour identifier les principaux risques pouvant affecter le processus d’établissement des comptes ?
- Le dispositif de contrôle interne comptable et financier comporte-t-il des procédures spécifiques visant à réduire les risques d’erreurs et de fraudes ?
Sur la communication des informations comptables et financières
- Existe-t-il un échéancier récapitulant les obligations périodiques du groupe en matière de communication comptable et financière au marché ? Cet échéancier précise-t-il :
- la nature et l’échéance de chaque obligation périodique,
- les personnes responsables de leur établissement ?
- Existe-t-il des responsables et des procédures aux fins d’identifier et de traiter les obligations d’information du marché ?
- Existe-t-il une procédure prévoyant le contrôle des informations avant leur diffusion ?
[1] Directive 2009/110/CE du 16 septembre 2009
[2] Directive 2007/64/CE sur 13 novembre 2007 sur les services de paiement 1 et directive du 24 juillet 2013 sur les services de paiement 2
[3] Association française des établissements de paiement et monnaie électronique
[4] Compte-nickel.fr
[5] AMF, Le dispositif de contrôle interne : cadre de référence, page 16
[6]Instruction n° 2010-06 relative à la mise en place du système unifié de rapport financier pour les établissements de paiement
[7]Instruction n°2010-05 relative aux exigences de fonds propres applicables aux établissements de paiement
Nombre de pages du document intégral:66
€24.90