L'externalisation du contrôle interne pose question

La rédaction
Dans un rapport, l'AMF pointe notamment du doigt des reportings souvent "lacunaires"
RK

A l’occasion de ses contrôles thématiques SPOT, l’Autorité des marchés financiers (AMF) a examiné les modalités d’externalisation du contrôle interne de sept sociétés de gestion auprès de trois cabinets sur la période 2017-2020.

L’externalisation du contrôle interne est un modèle « particulièrement répandu » en France auprès des sociétés de gestion de petite taille, observe le régulateur. Cela recouvre des périmètres différents d’une société de gestion à l’autre. A deux exceptions près, l’allocation des moyens humains est « cohérente ou supérieure » à ce que prévoit le programme d’activité, selon l’autorité.

L’AMF a cependant constaté que la distinction entre contrôle permanent (contrôle de deuxième niveau de la bonne exécution des contrôles de premier niveau pris en charge par les équipes opérationnelles) et contrôle périodique (audit ou contrôle de troisième niveau) n’est claire ni pour les entités du panel ni pour les prestataires. Le régulateur a, par exemple, mis en exergue la mauvaise pratique consistant à ne pas allouer des moyens humains strictement distincts entre contrôle permanent et contrôle périodique au sein d’un même cabinet en charge de l’externalisation.

S’agissant de la conduite des contrôles, l’AMF a relevé que 5 entités n’ont pas de procédures suffisamment précises et opérationnelles. Toutes disposent bien de plans de conformité et de contrôle interne annuels établis par ou avec l’aide du prestataire sur la base des données de reporting de l’année précédente. Mais seules deux formalisent des priorités en fonction de leur évaluation du risque de non-conformité, ce qui est une bonne pratique.

Les reportings apparaissent lacunaires

Afin d’évaluer concrètement la mise en œuvre de ces dispositifs d’externalisation du contrôle interne, l’AMF a poursuivi, pour chacune des sociétés de gestion, ses vérifications sur trois thématiques parmi les quatre suivantes : processus d’investissement et de valorisation, la lutte contre le blanchiment et le financement du terrorisme, le respect du cadre de la directive sur les marchés d’instruments financiers pour l’activité de gestion sous mandat (MIF2) et la cybersécurité. Il en ressort que les procédures en lien avec ces thématiques ne sont pas toujours suffisamment précises ou opérationnelles, omettant parfois les diligences à mettre en œuvre et une mise à jour des références réglementaires. Au final, l’AMF a constaté que des points de contrôle majeurs ne sont pas réalisés.

La structure des reportings aux dirigeants varie d’un gestionnaire à l’autre. Dans trois cas, les reportings apparaissent lacunaires. Pour l’ensemble du panel, l’AMF a souligné l’absence de mention des anomalies relevées par la fonction de contrôle interne dans les fiches de renseignements annuelles et les rapports annuels de contrôle adressés à l’AMF.

Enfin, le régulateur a noté l’absence de contrôle du prestataire dans trois cas et, dans les autres cas, une traçabilité des diligences menées qui n’est pas toujours suffisante.

L’AMF conclut qu’il existe « des niveaux d’efficacité trop disparates » dans les dispositifs de contrôle interne ayant recours aux services d’un prestataire. « Dans certains cas, ces dispositifs sont insuffisants, à la fois en matière de profondeur des analyses et de traçabilité des diligences réalisées », souligne le régulateur. Pour faire progresser les pratiques, le régulateur apportera donc des précisions à sa doctrine.