controle interne

RÈGLEMENT N° 97-02 DU 21 FÉVRIER 1997
DU COMITÉ DE LA RÉGLEMENTATION BANCAIRE ET FINANCIÈRE

modifié par les règlements n° 2001-01 du 26 juin 2001 et n° 2004-02
du 15 janvier 2004 du Comité de la réglementation bancaire
et financière et par les arrêtés du ministre de l’Économie, des Finances
et de l’Industrie du 31 mars 2005, du 20 février 2007 et du 2 juillet 2007
relatif au contrôle interne des Établissements de crédit
et des entreprises d’investissement
TITRE I
Principes et définitions
Article 1er
Les entreprises assujetties au présent règlement sont :
– les établissements de crédit ;
– les entreprises d’investissement mentionnées à l’article L. 531-4 du Code monétaire et financier susvisé autres
que les sociétés de gestion de portefeuille mentionnées à l’article L. 532-9 du même code ;
– les entreprises mentionnées aux points 3 et 4 de l’article « L. 440-2 » (Arrêté du 2 juillet 2007) du Code monétaire et
financier ;
– les entreprises mentionnées aux points 4 et 5 de l’article L. 542-1 du Code monétaire et financier.
Sans préjudice des dispositions du règlement général et des décisions de l’Autorité des marchés financiers, les
entreprises assujetties doivent se doter d’un contrôle interne dans les conditions prévues par le présent règlement.
Ce contrôle interne comprend notamment :
a) un système de contrôle des opérations et des procédures internes ;
b) une organisation comptable et du traitement de l’information ;
c) des systèmes de mesure des risques et des résultats ;
d) des systèmes de surveillance et de maîtrise des risques ;
e) un système de documentation et d’information ;
f) un dispositif de surveillance des flux d’espèces et de titres.
Les entreprises assujetties veillent à mettre en place un contrôle interne adéquat en adaptant l’ensemble des
dispositifs prévus par le présent règlement à la nature et au volume de leurs activités, à leur taille, à leurs
implantations et aux risques de différentes natures auxquels elles sont exposées.
Article 2
Les entreprises assujetties surveillées sur une base consolidée veillent à :
a) mettre en oeuvre les moyens nécessaires pour s’assurer du respect, au sein des entreprises contrôlées de
manière exclusive ou conjointe au sens du règlement n° 2000-03 susvisé, des diligences liées à l’application du
présent règlement ;
b) s’assurer que les systèmes mis en place, au sein de ces entreprises, sont cohérents entre eux afin de permettre
une mesure, une surveillance et une maîtrise des risques encourus au niveau consolidé ;
c) v érifier l’adoption, au sein de ces entreprises, de procédures adéquates pour la production des informations et
renseignements utiles aux fins de l’exercice de la surveillance sur une base consolidée.
Les entreprises assujetties veillent à ce que les moyens, les systèmes et les procédures mentionnés aux points a, b et
c ci-dessus soient adaptés à l’organisation du groupe ainsi qu’à la nature des entreprises contrôlées.
Le présent article s’applique aux compagnies financières dont la Commission bancaire assure la surveillance
conformément à l’article 3 du règlement n° 2000-03 susvisé.
Article 3
Lorsqu’une entreprise assujettie est affiliée à un organe central, le contrôle interne de cette entreprise est organisé en
accord avec l’organe central.
Article 4
Pour l’application du présent règlement, on entend par :
a) organe exécutif : les personnes qui, conformément aux articles L. 511-13 et L. 532-2, point 4 du Code monétaire
et financier susvisé, assurent la détermination effective de l’orientation de l’activité de l’entreprise ainsi que les
personnes qui assurent les mêmes fonctions au sein des entreprises mentionnées aux points 3 et 4 de l’article «
L. 440-2 » (Arrêté du 2 juillet 2007) et aux points 4 et 5 de l’article L. 542-1 du Code monétaire et financier ;
b) organe délibérant :
– le conseil d’administration, le conseil de surveillance ou l’assemblée des associés pour les sociétés régies par
le Code de commerce susvisé ;
– le conseil d’administration pour les caisses de crédit agricole, pour les banques populaires et les sociétés de
caution mutuelle et pour les caisses de crédit mutuel ;
– le conseil d’orientation et de surveillance pour les caisses d’épargne et les caisses de crédit municipal ;
– le conseil d’administration ou le conseil de surveillance pour les autres établissements publics ;
– le conseil d’administration, le conseil de surveillance ou l’organisme collégial qui a notamment la charge de
surveiller, pour le compte des apporteurs de capitaux, la gestion et la situation de l’entreprise dans le cas des
entreprises ayant une autre forme juridique ;
c) c omité d’audit : un comité qui peut être créé par l’organe délibérant pour l’assister dans l’exercice de ses
missions.
L’organe délibérant choisit la dénomination du comité d’audit et en définit la composition, les missions, les
modalités de fonctionnement ainsi que les conditions dans lesquelles les commissaires aux comptes ainsi que
toute personne appartenant à l’entreprise sont associés à ses travaux.
Le comité d’audit est notamment chargé, sous la responsabilité de l’organe délibérant, de :
– vérifier la clarté des informations fournies et porter une appréciation sur la pertinence des méthodes
comptables adoptées pour l’établissement des comptes individuels et, le cas échéant, consolidés ;
– porter une appréciation sur la qualité du contrôle interne, notamment la cohérence des systèmes de mesure,
de surveillance et de maîtrise des risques et proposer, en tant que de besoin, des actions complémentaires à
ce titre ;
d) opérations de crédit : l’ensemble des opérations mentionnées à l’article L. 313-1 ainsi que les opérations
connexes mentionnées à l’article L. 321-2, point 2, du Code monétaire et financier susvisé, respectivement
applicables aux établissements de crédit et aux entreprises d’investissement, et effectuées avec toute personne,
y compris avec d’autres entreprises assujetties ;
e) risque de crédit : le risque encouru en cas de défaillance d’une contrepartie ou de contreparties considérées
comme un même bénéficiaire au sens de l’article 3 du règlement n° 93-05 susvisé ;
f) risques de marché, y compris le risque de change : les risques définis « aux articles 292-1 et 292-2 de l’arrêté du
20 février 2007 relatif aux exigences de fonds propres applicables aux établissements de crédit et aux entreprises
d’investissement et aux chapitres 3, 4, 5 et 8 du titre VII dudit arrêté » (Arrêté du 20 février 2007) ;
g) risque de taux d’intérêt global : le risque encouru en cas de variation des taux d’intérêt du fait de l’ensemble des
opérations de bilan et de hors bilan, à l’exception, le cas échéant, des opérations soumises aux risques de
marché visés au f) ci-dessus ;
h) risque de liquidité : le risque pour l’entreprise assujettie de ne pas pouvoir faire face à ses engagements ou de ne
pas pouvoir dénouer ou compenser une position en raison de la situation du marché ;
i) risque de règlement : le risque encouru au cours de la période qui sépare le moment où l’instruction de paiement
ou de livraison d’un instrument financier vendu ne peut plus être annulée unilatéralement et la réception définitive
de l’instrument financier acheté ou des espèces correspondantes ;
j) risque opérationnel : le risque résultant d’une inadaptation ou d’une défaillance imputable à des procédures,
personnels et systèmes internes ou à des évènements extérieurs « y compris d’événements de faible probabilité
d’occurrence mais à fort risque de perte » (Arrêté du 20 février 2007) ;
k) r isque juridique : le risque de tout litige avec une contrepartie, résultant de toute imprécision, lacune ou
insuffisance susceptible d’être imputable à l’entreprise au titre de ses opérations ;
l) perte potentielle maximale : la mesure de l’impact le plus défavorable sur les résultats de variations des
conditions de marché intervenant sur une période donnée et avec un niveau de probabilité déterminé ;
m) risque d’intermédiation : le risque de défaillance d’un donneur d’ordres ou d’une contrepartie à l’occasion d’une
transaction sur instruments financiers dans laquelle l’entreprise assujettie apporte sa garantie de bonne fin ;
n) plan de continuité de l’activité : ensemble de mesures visant à assurer, selon divers scénarios de crises, y
compris face à des chocs extrêmes, le maintien, le cas échéant de façon temporaire selon un mode dégradé, des
« prestations de services ou d’autres tâches opérationnelles essentielles ou importantes » (Arrêté du 2 juillet 2007) de
l’entreprise puis la reprise planifiée des activités ;
o) moyens de paiement : moyens de paiement au sens de l’article L. 311-3 du Code monétaire et financier susvisé
autres que la monnaie fiduciaire ;
p) risque de non-conformité : le risque de sanction judiciaire, administrative ou disciplinaire, de perte financière
significative ou d’atteinte à la réputation, qui naît du non-respect de dispositions propres aux activités bancaires et
financières, qu’elles soient de nature législatives ou réglementaires, ou qu’il s’agisse de normes professionnelles
et déontologiques, ou d’instructions de l’organe exécutif prises notamment en application des orientations de
l’organe délibérant ;
q) « Activités externalisées : les activités pour lesquelles l’entreprise assujettie confie à un tiers, de manière durable
et à titre habituel, la réalisation de prestations de services ou d’autres tâches opérationnelles essentielles ou
importantes par sous-traitance au sens de la loi n° 75-1334 du 31 décembre 1975, par démarchage au sens des
articles L. 341-1 et L. 341-4 du code monétaire et financier susvisé, par le recours aux agents liés tels que définis
aux articles L. 545-1 et suivants du même code ou par toute autre forme ;
r) Prestation de services ou autres tâches opérationnelles essentielles ou importantes :
– les opérations de banque au sens de l’article L. 311-1 du code monétaire et financier susvisé et les services
d’investissement au sens de l’article L. 321-1 du même code, pour lesquels l’entreprise assujettie a été agréée
;
– les opérations connexes mentionnées aux paragraphes 1, 2 et 3 de l’article L. 311-2 et aux paragraphes 1, 2, 5
et 6 de l’article L. 321-2 du code monétaire et financier susvisé ;
– les prestations participant directement à l’exécution des opérations ou des services mentionnés aux deux
premiers tirets ci-dessus ;
– ou toute prestation de services lorsqu’une anomalie ou une défaillance dans son exercice est susceptible de
nuire sérieusement à la capacité de l’entreprise assujettie de se conformer en permanence aux conditions et
obligations de son agrément et à celles relatives à l’exercice de son activité, à ses performances financières
ou à la continuité de ses services et activités.
Sans préjudice de l’appréciation de toute autre tâche, les tâches suivantes ne sont pas considérées comme des
prestations de services et d’autres tâches opérationnelles essentielles ou importantes au sens de cet article :
– la fourniture à l’entreprise assujettie de services de conseil et d’autres services ne faisant pas partie des activités
couvertes par son agrément ou par son habilitation, y compris la fourniture de conseils juridiques, la formation
de son personnel, les services de facturation et la sécurité des locaux et du personnel de l’entreprise ;
– l’achat de prestations standard, y compris des services fournissant des informations de marché ou des flux de
données sur les prix. » (Arrêté du 2 juillet 2007)
« s) R isque de concentration : le risque, direct ou indirect, résultant de l’octroi de crédits à une même contrepartie,
à des contreparties considérées comme un même bénéficiaire au sens de l’article 3 du règlement n° 93-05, à des
contreparties opérant dans le même secteur économique ou la même zone géographique, ou de l’octroi de
crédits portant sur la même activité, ou de l’application de techniques de réduction du risque de crédit,
notamment de sûretés émises par un même émetteur ;
t) Risque résiduel : le risque que les techniques de réduction du risque de crédit reconnues pour l’application de
l’arrêté du 20 février 2007 aient une efficacité moindre qu’attendue. » (Arrêté du 20 février 2007)

Recommandations