LCL repart à la conquête des étudiants

Lundi 6 Septembre 2010

cp Communiqué de presse

Paris, le 06 septembre 2010





Secteur bancaire

Maîtrise des risques et contrôle des activités externalisées :

difficultés et meilleures pratiques pour y remédier



Compass Management Consulting, le leader mondial du conseil basé sur des techniques d’analyse comparative, constate que la diversité et la multiplicité des activités externalisées posent de plus en plus de problèmes de contrôle et de maîtrise des risques aux délégataires. Guillaume Almeras, Directeur Banque chez Compass témoigne.

La sophistication des systèmes de contrôle interne des banques entraîne aujourd’hui de plus grandes difficultés pour mener à bien ces processus. La réglementation bancaire a encore récemment rappelé aux établissements bancaires que toutes leurs activités externalisées demeurent sous leur entière responsabilité (CRB 97-02 V chap. 2, revu et complété le 14 janvier 2009). Cela signifie qu’ils devraient supporter les pertes engendrées par un détournement frauduleux, une défaillance informatique ou encore des erreurs comptables par exemple survenus chez un prestataire, exactement comme si cela s’était passé dans leurs propres murs.

En matière d’externalisation, des standards ont été définis, telle que la certification SAS 70 de l’American Institute of Certified Public Accountants. Menée par des auditeurs externes, elle valide l’effectivité et la qualité des contrôles réalisés par un prestataire de services extérieur. Néanmoins, cette certification ne paraît pas entièrement suffire à assurer que ces contrôles correspondent tout à fait aux exigences du délégataire.

C’est que souvent, le problème se situe d’abord chez le délégataire lui-même : les règles de contrôle sont quelquefois dispersées et mal documentées, elles sont mal connues des différents personnels amenés à interagir avec les prestataires extérieurs. Réciproquement, les responsables de suivi des risques ne sont ni assez nombreux, ni assez régulièrement impliqués dans la définition et la révision des SLA* (Service Level Agreement) conclus avec les prestataires.

Dans ces conditions, le prestataire risque de mal comprendre le sens de certains contrôles, la teneur de certaines exigences, ceci pouvant conduire à des négligences non voulues, qui ne seront détectées qu’une fois les incidents survenus. Dans ces conditions, il peut être intéressant d’avoir recours à des standards comme l’ISO/CEI 27002 ou Coso/Cobit (Control objectives for information & related technology), qui fournissent tout à la fois une manière de passer en revue les principaux éléments du système de contrôle interne existant, tant chez le délégataire que chez son prestataire, ainsi qu’un cadre prédéfini en termes de gouvernance. A partir de ce cadre, il est possible de préciser les responsabilités respectives d’un prestataire et de son client en termes de systèmes d’information (Cobit) et de maturité du système de contrôle (Coso).

Il paraît alors indispensable de distinguer différents niveaux de contrôle :

• Niveau 1 : contrôles réguliers opérationnels

• Niveau 2 : évaluations périodiques

• Niveau 3 : contrôle des contrôles

Le niveau 3 ne peut en aucun cas être délégué au prestataire, tandis que la réalisation du niveau 1 lui est forcément confiée. Entre les deux, le point critique concerne particulièrement le niveau 2, qui doit être exercé de manière fréquente et donc, de la manière la plus commode, à demeure chez le prestataire auquel il ne peut néanmoins être pleinement délégué.

Dans ces conditions, il est indispensable que le délégataire soit à même de fixer très précisément les contrôles qu’il entend voir exercer et dont il lui sera relativement facile de vérifier l’application.

Il paraît surtout crucial de procéder à une mise en place et à une consolidation des principales règles de contrôle interne – celles par rapport auxquelles un établissement n’est en aucun cas disposer à transiger – non seulement pour les inclure formellement dans les cahiers des charges conclus avec les prestataires mais pour en confier la pleine application aux managers concernés, tant chez les prestataires que chez le délégataire. Il importe que le contrôle ne soit pas seulement exercé au titre d’une supervision mais qu’il participe pleinement des tâches courantes de gestion.

Cela, qui s’entend évidemment à titre interne, au sein d’un établissement bancaire, devient crucial dans le cadre d’opérations externalisées.

*niveaux d’engagement



A propos de Compass Management Consulting

Créée en 1979, Compass Management Consulting est aujourd’hui leader mondial du conseil en optimisation de la performance des entreprises basé sur la mesure des performances et le benchmarking ou analyse comparative. Compass MC a mis au point une méthodologie unique, Factbase. S’appuyant sur des modèles fonctionnels structurés pour positionner l’entreprise par rapport à un groupe de référence, elle lui indique les gisements de progrès pour s’améliorer. Une fois ces gisements identifiés, Compass MC établit les scénarios et plans d’action pour atteindre les objectifs visés et les pilote jusqu’à l’obtention effective des gains attendus.

Les offres Compass MC sont dédiées aux domaines banque, assurance, IT et centres de contacts. Les études Compass MC visent à optimiser les processus, aligner l’informatique aux besoins métier, valoriser le Système d’Information, et améliorer les performances de toutes les fonctions IT – help desk, Etudes, infrastructure, postes de travail, réseaux....

Compass MC conçoit et réalise des tableaux de bord pour les Directions Générales et les DSI auxquelles elle est capable de proposer des indicateurs pertinents et, le cas échéant leur valeur marché. Présent dans 15 pays, ce groupe international intervient dans 37 pays et dispose de plus de 450 clients actifs. Son siège social est basé à Guildford (Angleterre), celui de Compass MC Europe à Saint-Cloud (92).