Face aux exigences de contrôle de conformité, beaucoup de petites sociétés de gestion optent pour une délégation de leurs responsabilités à des sociétés de contrôle interne « externes ». Un récent rapport de l’Autorité des marchés financiers (AMF) sur la délégation du contrôle de conformité révèle que cette pratique souffre encore de nombreuses faiblesses, comme on le lira plus bas.
Deontofi.com avait déjà pointé un certain nombre de failles, dysfonctionnements, voire carrément d’irrégularités grossières, observées dans ce type de configuration, ou tout simplement quand les procédures de contrôle de conformité ne sont pas à la hauteur de leur tâche, qu’elle soit réalisée en interne ou sous-traitée.
Deontofi.com reproduit ci-dessous le communiqué de l’AMF du 27/11/2020, ainsi qu’un extrait de son rapport :
Gestion d’actifs : l’AMF pointe une efficacité trop inégale des dispositifs d’externalisation du contrôle interne
A l’occasion de ses contrôles thématiques SPOT, l’Autorité des marchés financiers a examiné les modalités d’externalisation du contrôle interne de sept sociétés de gestion auprès de trois cabinets. Elle entend encourager les bonnes pratiques en matière de sélection et suivi du prestataire, et de revue périodique de la qualité des travaux réalisés par le prestataire.
L’externalisation du contrôle interne est un modèle particulièrement répandu en France auprès des sociétés de gestion de petite taille. La fonction de contrôle interne jouant un rôle clé au sein des sociétés de gestion, l’AMF a placé le sujet parmi ses priorités de supervision 2020. Elle a donc examiné les pratiques de sept établissements distincts. Les pratiques observées font l’objet d’une synthèse publiée ce jour.
L’examen du régulateur, réalisé sur la période 2017-2020, a porté sur :
- l’organisation des sociétés de gestion en matière de contrôle interne (sélection du prestataire, ressources allouées, périmètre externalisé, gouvernance, etc.) ;
- les procédures, la méthodologie de conduite et le plan de contrôle ;
- la mise en œuvre pratique du processus de contrôle ;
- le reporting fait aux dirigeants de la société de gestion et à l’AMF ;
- le dispositif d’évaluation et de contrôle du prestataire par le gestionnaire.
L’externalisation du contrôle interne recouvre des périmètres différents d’une société de gestion à l’autre. A deux exceptions près, l’allocation des moyens humains est cohérente ou supérieure à ce que prévoit le programme d’activité. L’AMF a cependant constaté que la distinction entre contrôle permanent (contrôle de deuxième niveau de la bonne exécution des contrôles de premier niveau pris en charge par les équipes opérationnelles) et contrôle périodique (audit ou contrôle de troisième niveau) n’est claire ni pour les entités du panel ni pour les prestataires. Le plus souvent, les travaux de contrôle périodique ne consistent pas à vérifier les travaux de contrôle permanent de deuxième niveau. Le contrôle périodique se réduit le plus souvent à un contrôle permanent ponctuel. L’AMF a, par exemple, mis en exergue la mauvaise pratique consistant à ne pas allouer des moyens humains strictement distincts entre contrôle permanent et contrôle périodique au sein d’un même cabinet en charge de l’externalisation.
S’agissant de la conduite des contrôles, l’AMF a relevé que 5 entités n’ont pas de procédures suffisamment précises et opérationnelles. Toutes disposent bien de plans de conformité et de contrôle interne annuels établis par ou avec l’aide du prestataire sur la base des données de reporting de l’année précédente. Mais seules deux formalisent des priorités en fonction de leur évaluation du risque de non-conformité, ce qui est une bonne pratique.
Afin d’évaluer concrètement la mise en œuvre de ces dispositifs d’externalisation du contrôle interne, l’AMF a poursuivi, pour chacune des sociétés de gestion, ses vérifications sur trois thématiques parmi les quatre suivantes : processus d’investissement et de valorisation, la lutte contre le blanchiment et le financement du terrorisme, le respect du cadre de la directive sur les marchés d’instruments financiers pour l’activité de gestion sous mandat (MIF2) et la cybersécurité. Il en ressort que les procédures en lien avec ces thématiques ne sont pas toujours suffisamment précises ou opérationnelles, omettant parfois les diligences à mettre en œuvre et une mise à jour des références réglementaires. Au final, l’AMF a constaté que des points de contrôle majeurs ne sont pas réalisés.
La structure des reportings aux dirigeants varie d’un gestionnaire à l’autre. Dans trois cas, les reportings apparaissent lacunaires. Parmi les bonnes pratiques observées, l’inclusion dans les rapports de contrôle interne aux dirigeants d’un tableau de synthèse des risques identifiés lors des contrôles réalisés durant la période et d’une rubrique dédiée au suivi des recommandations. A l’inverse, pour l’ensemble du panel, l’AMF a souligné l’absence de mention des anomalies relevées par la fonction de contrôle interne dans les fiches de renseignements annuelles et les rapports annuels de contrôle adressés à l’AMF.
Enfin, le régulateur a noté l’absence de contrôle du prestataire dans trois cas et, dans les autres cas, une traçabilité des diligences menées qui n’est pas toujours suffisante. A cet égard, disposer d’un fichier annuel renseigné au fil de l’eau afin de formaliser le suivi du prestataire de contrôle interne fait partie des bonnes pratiques constatées.
Au total, il ressort de cette série de contrôles des niveaux d’efficacité trop disparates dans les dispositifs de contrôle interne ayant recours aux services d’un prestataire. Dans certains cas, ces dispositifs sont insuffisants, à la fois en matière de profondeur des analyses et de traçabilité des diligences réalisées. Toute société de gestion qui souhaite recourir à un prestataire pour son contrôle interne doit apporter une attention particulière au choix et au suivi de ce prestataire. Pour faire progresser les pratiques, le régulateur apportera donc des précisions à sa doctrine.
Pour en savoir plus: lire ici le rapport complet de l’AMF (30 pages) sur la délégation de contrôle interne de conformité.
SYNTHÈSE DES CONTRÔLES SPOT 2020 : EXTERNALISATION DU CONTRÔLE INTERNE
Dans ce rapport, on relève en particulier certains manquements, déjà évoqués par des articles antérieurs de Deontofi.com, notamment à l’occasion d’une sanction de l’AMF sur ce thème.
Analyse des procédures associées aux trois thèmes contrôlés
Les procédures associées aux trois thèmes contrôlés n’apparaissent pas toujours suffisamment précises ou opérationnelles.
Pour 5 SGP, au moins une des procédures analysées omet les diligences à mettre en oeuvre dans le cadre du contrôle de premier niveau.
Dans un nombre significatif de cas, les procédures associées aux trois thèmes contrôlés ne présentent pas le cadre réglementaire et n’incluent pas les contrôles de second niveau lié :
pour les SGP n°1, n°2 et n°3, les missions de contrôle ont relevé que les procédures ne présentent pas le cadre réglementaire et qu’elles n’incluent pas les contrôles de second niveau liés ;
la SGP n°4 dispose de procédures incluant les références réglementaires. Toutefois, à l’exception de celle relative aux contraintes d’investissement, les procédures n’incluent pas les contrôles de second niveau liés ;
la SGP n°5 dispose de procédures incluant les références réglementaires. Toutefois, les procédures n’incluent pas les contrôles de second niveau liés ;
pour la SGP n°6, (i) la procédure relative au plan de continuité d’activité ne fait pas état du dispositif de contrôle permanent en place sur les activités qu’elle encadre, (ii) la procédure relative au processus d’investissement n’inclut pas les références réglementaires associées à l’activité qu’elle couvre ;
pour la SGP n°7, une courte majorité des procédures (4 sur 7 soit 57 %) ne mentionnent pas le dispositif de contrôle permanent en place sur les activités qu’elles encadrent. A l’inverse, toutes ces procédures sauf une (« résiliation des mandats ») incluent les références réglementaires associées à l’activité qu’elles couvrent.
Par ailleurs, les missions ont relevé les lacunes suivantes sur les différentes thématiques de contrôle analysées.
LCB‐FT :
Les SGP disposent de procédures concernant le dispositif LCB/FT à l’actif et au passif des fonds. En revanche, les missions de contrôle ont relevé, à titre d’exemple, que :
pour les SGP n°1, n°2 et n°3, les procédures LCB‐FT (à l’actif et / ou au passif) ne mentionnent pas précisément l’ensemble des documents à recueillir ;
pour les SGP n°2 et n°3, les diligences antiblanchiment à réaliser ne sont pas mentionnées ; la procédure ne mentionne donc pas les mesures de vigilance renforcée ou complémentaire à mettre éventuellement en oeuvre ;
pour la SGP n°3, les procédures ne font pas mention de diligences LCB‐FT dans le cadre du suivi des participations détenues par les fonds gérés.
Processus d’investissement / de désinvestissement :
Pour la SGP n°1, les références réglementaires de la procédure d’investissement, de suivi des investissements et de désinvestissement ne sont pas à jour.
Valorisation :
Pour la SGP n°3, la procédure de valorisation n’est pas opérationnelle car elle ne présente ni les différentes étapes pour estimer la juste valeur de l’actif, ni la méthodologie de valorisation appliquée (exemple : méthodologie des multiples à partir de l’EBITDA en fonction de la nature, des caractéristiques et des circonstances de l’investissement (exemples : stade de développement de l’investissement de la société, secteur d’activité de la société, conditions de marché). Enfin, elle ne mentionne pas non plus le principe de permanence des méthodes ni les cas de décote/surcote appliquée.
Cybersécurité :
Les SGP disposent de procédures concernant les thématiques suivantes : « Plan de Continuité d’Activité », « Dysfonctionnement et incidents », « Archivages/conservation/protection/destruction des données ».
Les missions de contrôle ont relevé les lacunes suivantes :
la procédure PCA de la SGP n°2 ne mentionne pas si des tests du PCA sont réalisés. La mission de contrôle a relevé que cette procédure fait référence aux articles 313‐55 et 313‐56 du RG AMF qui ne sont plus en vigueur depuis le 3 janvier 2018 ;
la procédure « Dysfonctionnement et incident » de la SGP n°3 ne prévoit pas d’indiquer aux salariés, aux dirigeants ou à toute personne mise à disposition la procédure d’escalade en externe ;
la procédure PCA de la SGP n°4 n’inclut explicitement ni la cybersécurité ni d’éventuels tests à réaliser.
MIF2 :
La SGP n°4 ne dispose pas de procédure de contrôle et de suivi des dépréciations de plus de 10 % de la valeur des portefeuilles des clients en gestion sous mandat. A la lecture des documents communiqués, ce point n’a pas été analysé ni donc relevé par la fonction de conformité.
L’analyse de Deontofi.com :
Le rapport de l’AMF donne de nombreux conseils pratiques utiles aux professionnels du contrôle interne et de conformité, pour améliorer leurs pratiques et la traçabilité de leurs procédures.
En revanche, la dernière piste d’amélioration du contrôle interne laisse rêveur. Il s’agirait, pour les sociétés de gestion de portefeuille (SGP) qui ont recourt à une délégation externe de leurs prérogatives de contrôle interne, de mieux contrôler les prestataires auxquels elles délèguent leurs contrôles internes et de conformité.
Or, on sait bien que les SGP qui délèguent leurs contrôles internes et de conformité à un prestataire n’ont pas les moyens ou les compétences pour effectuer cette mission, et souvent encore moins pour contrôler qu’elle est menée correctement. De plus, on sait qu’il y a déjà une forme non dite de subordination du prestataire de RCCI (responsable conformité et du contrôle interne), qui est dépendant économiquement de ses clients SGP. Les prestataires de RCCI externes doivent déjà faire preuve de diplomatie, avec les clients les plus limites, pour leur faire accepter quelques améliorations ou mise en conformité de leurs pratiques. Dans ces configurations, on imagine mal les dirigeants de petites SGP en mesure de diligenter un contrôle efficace de leur propre contrôleur externe…
