Analyse du rapport SPOT de l'AMF sur les contrôles externalisés
Nous reprenons in extenso l'analyse de Philippe de VECCHI (Oxygène des Dirigeants, Président de l'ICCI Association des Indépendants de la Conformité et du Contrôle Interne) sur le rapport du contrôle SPOT de l'AMF sur l'externalisation du contrôle interne des sociétés de gestion
"Il nous semble que c’est la première fois que notre profession bénéficie d’une étude à part entière de la part d’une autorité.
L’AMF s’est donc servi du moyen des « contrôles SPOT » pour faire passer quelques messages à tous les acteurs de notre profession…et à tous leurs clients.
Les prestations externalisées de contrôle permanent et de contrôle périodique sont ciblées (« les deux pans de la fonction de conformité »).
Les prestations externalisées entourant le contrôle des risques ont été sorties du champ de l’étude.
Quels seraient donc les critères d’un service de qualité ?
L’AMF à l’issue de ces travaux a distribué des bons et des mauvais points aux prestataires externes (exemples ci-dessous).
Cette très utile synthèse nous permet quoi qu’il en soit d’éclairer une partie des services additionnels qui peuvent être rendus à la clientèle au-delà de la réalisation des contrôles :
- la réalisation des reportings annuels sur la conformité et le contrôle interne,
- la veille réglementaire,
- la réalisation de formations,
- la mise en place du dispositif LCB-FT
- la rédaction de procédures,
- la préparation des comités de contrôle interne,
- la préparation des rapports « FRA-RAC »
- « et diverses assistances sur la réglementation avec les autorités de tutelle (en vue de la création de nouveaux produits financiers ou l’extension ou la mise à jour de son agrément) ».
A ceux-ci nous pourrions en ajouter quelques autres qui relèvent parfois d’approches plus qualitatives (et moins facilement mis en évidence) :
- la sensibilisation des acteurs au sein de l’entreprise,
- les études d’impact des évolutions réglementaires (et les propositions de mise en oeuve qui les accompagnent),
- l’assistance à l’identification des risques,
- le soutien des dirigeants et des collaborateurs,
- la disponibilité.
Une suite nous est promise (« la doctrine fera l’objet de précisions »).
En effet certaines mentions méritent sans doute des éclaircissements : l’exigence potentielle d’une certification AMF pour les intervenants, l’exigence potentielle d’un justificatif d’une adhésion à une association professionnelle pour mesurer la capacité du prestataire…
Par ailleurs, l’AMF ayant elle-même relevé un manque général des acteurs dans la compréhension des objectifs des contrôles périodiques (« la distinction entre contrôle permanent et contrôle périodique est peu claire voire artificielle ») il faudrait sans doute en rappeler les modalités d’application.
Peut-être sera-t-elle aussi l’occasion de mieux aborder les aspects particuliers de la prestation de service de contrôle interne. Car si le niveau des prestations a pu sembler « disparate, voire dans certains cas, insuffisants », cela peut être dû aux différences profondes qui existent entre les professionnels que nous servons.
Ces différences sont souvent le résultat de l’histoire de l’entreprise et de sa construction, des contraintes exercées par le choix des outils (ou l’absence d’outils dans certains cas), du poids du budget du contrôle interne dans le résultat de l’entreprise, de la sensibilité des acteurs à l’auditabilité et à l’explicabilité de leurs travaux, etc.
Des éléments variables qui doivent absolument nuancer l’évaluation de la qualité des travaux exécutés.
Faut-il aussi rappeler l’impact sur nos organisations de la dynamique réglementaire ? L’auteur de ces lignes a saisi dans son référentiel de « textes essentiels » 164 mises à jour ou nouveautés depuis le 1er janvier 2020. Et cela sans compter les éléments « documentaires » (1596 entrées) et sans prétendre d’aucune façon à l’exhaustivité.
En conclusion, l’ICCI, la première association professionnelle (enregistrée le 9 mai 2019), est née de la volonté de ses fondateurs de « professionnaliser » les services rendus en augmentant la qualité « standard » des travaux de chacun et notamment par le partage des savoirs de tous.
Nous remercions l’AMF pour cet éclairage précieux et nous poursuivons nos travaux dans cet esprit confraternel qui nous caractérise (« concurrents mais solidaires »).
Synthèse des bons et des mauvais points, des bonnes et des mauvaises pratiques présentées dans la synthèse des contrôles SPOT 2020 relative à l’externalisation du contrôle interne Novembre 2020
Bons points (dans l’ensemble)
- La bonne couverture des plans de contrôle permanents (80% sur l’ensemble du panel)
- La bonne structuration des fiches de contrôle
- Les plans de contrôle permanent sont respectés
Bonnes pratiques
- Avoir recours à des intervenants qualifiés ayant reçu la « certification AMF »
- Avoir recours à des outils de « pilotage » des contrôles permettant :
De générer des fiches de contrôle
Superviser et valider les travaux des intervenants
Générer des plans de remédiation
Générer des rapports de contrôles
- Disposer d’un espace de travail sécurisé hébergé par le prestataire et y stocker les pièces justificatifs (la solution Dropbox Business est mise en avant)
- le plan de contrôle interne est à bâtir à partir d’une approche fondée sur les risques ou liée à l’actualité réglementaire (ou les priorités de supervision de l’AMF pour l’année)
Validé et signé par le dirigeant
- Inclure dans les fiches de contrôle
les éléments d’identification traditionnels,
les objectifs,
la liste des documents à revoir,
les modalités de sélection de l’échantillon de test et en justifier la représentativité
les entretiens à mener,
les références réglementaires (y compris les contrôles SPOT de l’AMF pour les utiliser),
le détail des travaux réalisés et
les conclusions du contrôle (via un code couleur rouge/orange/vert) assorties du détail des anomalies constatées
Le suivi des recommandations
- Les rapports de contrôle interne :
Contiennent un tableau de synthèse des risques identifiés
Présentent les constats du rapport de contrôle interne sous la même forme que dans les fiches (code couleur)
Prévoient le suivi des recommandations
Mauvais points (dans l’ensemble)
- La distinction entre contrôle permanent et contrôle périodique n’est pas correctement mise en œuvre
Mauvaises pratiques
- Ne pas renseigner le client sur l’expérience réelle des intervenants
- Ne pas prévoir et ne pas conserver des pièces justificatives
- Ne pas allouer des moyens humains spécifiques entre contrôle périodique et contrôle permanent au sein d’un même cabinet
- Ne pas intégrer d’indicateurs de priorité dans le plan de contrôle interne
- Ne pas réaliser des contrôles majeurs
- Présenter des reportings parfois lacunaires aux dirigeants
- Omettre de renseigner dans les fiches de contrôle :
la date de réalisation des contrôles
l’identité de l’intervenant externe
la signature du prestataire et du dirigeant de la SGP qui valide la fiche
les références des pièces analysées
- Ne pas renseigner dans le rapport de contrôle interne une description générale des contrôles et de leurs résultats,
une synthèse de l’examen des politiques et des procédures,
les exigences des évolutions réglementaires,
le taux de couverture des contrôles,
les anomalies relevées u cours de la période sous revue
les autres problèmes significatifs survenus au cours de la période sous revue
Le visa du dirigeant (ou un acte d’enregistrement)"
texte : AMF
Site de l'ICCI
Contact
crédit photo : Image par Gerd Altmann www.pixabay.com
