Trois lignes de défense

Les relations entre, d’une part, les unités commerciales et d’exploitation et, d’autre part, les fonctions de contrôle indépendantes sont parfois définies comme formant le modèle des trois lignes de défense de l’établissement  (three lines of defence model) :

• les unités commerciales et opérationnelles (y compris le front office) forment la première ligne de défense de l’établissement, à laquelle il revient d’identifier les risques posés par chaque opération et de respecter les procédures et les limites posées ;
• la seconde ligne de défense comprend les fonctions de contrôle indépendantes que sont la fonction de gestion des risques et la fonction de compliance, qui sont chargées de s’assurer que les risques ont été identifiés et gérés par les unités opérationnelles, selon les règles et procédures prévues ;
• la troisième ligne de défense est constituée de l’audit interne qui s’assure, entre autres, du respect des procédures par les première et deuxième lignes de défense.

Les fonctions de gestion des risques, de compliance et d’audit interne constituent les instruments nécessaires à l’accomplissement optimal de la mission de surveillance dévolue à l’organe légal d’administration dans sa fonction de surveillance.  Elles forment un ensemble cohérent de fonctions de contrôle transversales entre lesquelles une coordination est nécessaire. Ces fonctions de contrôle étant contiguës, elles harmonisent leurs activités et veillent à un échange adéquat d’informations pertinentes. Les fonctions de gestion des risques et de vérification de la conformité sont contrôlées par la fonction d’audit interne.

Il n'existe pas de domaines d'activité de l'établissement qui, pour des raisons personnelles, commerciales ou financières, sont écartés de la portée des fonctions de contrôle (p.ex. activités off-shore).

S’agissant de la lutte contre le blanchiment de capitaux et le financement du terrorisme (LBC/FT), la Loi anti-blanchiment prévoit que les établissement doivent désigner une ou plusieurs personnes chargées de la mise en œuvre et du pilotage du dispositif de LBC/FT (l’ « AMLCO »).  Il est renvoyé aux orientations de l’EBA concernant le rôle et les responsabilités de l’AMLCO (EBA/GL/2022/05) et au site web AML de la BNB pour plus d’informations à ce sujet^[1].

Responsables des fonctions de contrôle

Les responsables des fonctions de contrôle indépendantes sont mis en place à un niveau hiérarchique adéquat leur conférant l’autorité et le statut nécessaires pour s’acquitter de leurs responsabilités. Concrètement, sans préjudice des spécificités concernant le positionnement du Chief Risk Officer (cf. les sections « Composition du comité de direction » ci-dessus et « Fonction de gestion de risques » ci-dessous), les responsables de fonctions de contrôle indépendantes sont positionnés à un niveau « N-1 » par rapport au comité de direction.  

Indépendance des fonctions de contrôle

Les 3 fonctions de contrôle doivent être indépendantes, ce qui doit à tout le moins se matérialiser dans leur statut, leurs prérogatives, les modalités de rémunération de ses responsables et du personnel qui est affecté à son service et leur accès direct à l’organe légal d’administration (sans devoir passer par le comité de direction).

Nonobstant la responsabilité globale de l’organe légal d’administration, les responsables des fonctions de contrôle indépendantes sont indépendants des lignes d’activité ou des unités opérationnelles qu’ils contrôlent. À cet effet, nonobstant un reporting fonctionnel à un membre du comité de direction^[2], les responsables des fonctions de gestion des risques, de compliance et d’audit interne rendent des comptes et répondent de leurs actes directement auprès de l’organe légal d’administration. Leurs performances sont également évaluéespar l’organe légal d’administration.

Pour plus d’informations, il est renvoyé au § 175 des orientations EBA/GL/2021/05 qui précise les conditions à remplir pour que les fonctions de contrôle soient considérées comme indépendantes.

Ressources des fonctions de contrôle

Les fonctions de contrôle indépendantes disposent de ressources suffisantes (moyens humains et informatiques) pour s’acquitter de leur missions de manière indépendante et adéquate. Les responsables de fonctions de contrôle veillent à ce que leurs équipes disposent des qualifications et des compétences nécessaires. Pour plus d’infomations, il est renvoyé aux §§ 177 et 178 des orientations EBA/GL/2021/05.

Méthodologie et accès

La méthodologie et les procédures suivies par les 3 fonctions de contrôle sont appropriées compte tenu de la nature, la taille et la complexité des activités de l’établissement et fixées par écrit.

Les fonctions de contrôle ont accès à toutes les lignes d’activité et à toutes les unités internes susceptibles de créer des risques, ainsi qu’aux filiales et sociétés affiliées pertinentes. Elles interagissent avec les unités opérationnelles et leurs interactions doivent permettre de réaliser l’objectif général que l’ensemble du personnel soit conscientisé à l’importance de la gestion des risques.

Reporting

Rapports réguliers à l’organe légal d’administration

Les responsables des fonctions gestion des risques, de compliance et d'audit interne font directement rapport à l’organe légal d’administration, au moins une fois par an, sur l'exécution de leur mission, avec information du comité de direction.  Cet accès direct, à savoir sans devoir passer préalablement par le comité de direction, est nécessaire pour permettre à l’organe légal d’administration d’exercer plus étroitement sa fonction de surveillance en ce qui concerne la mise en œuvre de la stratégie qui a été définie et le fonctionnement de l’établissement.

Ce rapport d'activités à l’organe légal d’administration peut se faire via le comité des risques pour les fonctions de gestion des risques et compliance[3] et via le comité d'audit en ce qui concerne la fonction d'audit interne.

Le rapport d'activités (au moins) annuel des fonctions de contrôle indépendantes doit :

1°   rendre compte des travaux conduits par la fonction de contrôle indépendante durant la période écoulée ;

2°   indiquer clairement les défaillances identifiées ; et

3°   émettre des recommandations sur la manière d'y remédier.

Rapports d’initiative

L'article 38 de la loi bancaire prévoit que lorsque des événements particuliers le justifient, les responsables des fonctions gestion des risques et compliance font part d'initiative à l’organe légal d’administration, sans devoir en référer au comité de direction, de préoccupations et l'avertissent, le cas échéant, en cas d'évolution des risques affectant ou susceptible d'affecter l’établissement, notamment de porter atteinte à sa réputation.

Evaluation périodique

Dans le cadre de sa fonction de surveillance, l'organe légal d'administration vérifie périodiquement, et au moins une fois par an, si les fonctions de contrôle indépendantes opèrent correctement. À cet effet, il se fait produire à intervalles réguliers un rapport de la direction effective, sans préjudice de l'examen direct des informations pertinentes fournies par les fonctions visées, le cas échéant par l'intermédiaire des comités consultatifs spécialisés constitués à cet effet par l'organe légal d'administration.  S’agissant de la fonction compliance, l'organe légal d’administration doit évaluer le fonctionnement de la fonction de conformité sur la base d'un modèle prédéfini expliqué dans la circulaire NBB_2019_15 en respectant la date de collecte indiquée dans les communications BNB relatives au reporting qualitatif.

Démission

Conformément à l’article 61, §2 de loi bancaire, les responsables des fonctions de contrôle indépendantes ne peuvent pas être démis de leurs fonctions sans l’accord préalable de l’organe légal d’administration dans sa fonction de surveillance.  Dans le cas où il serait envisagé de démettre un responsable d’une fonction de contrôle indépendante, l’établissement doit en informer immédiatemment l’autorité de contrôle afin de permettre à celle-ci de vérifier le bien-fondé des motifs justifiant la révocation et, le cas échéant, d’examiner si la gouvernance de l’établissement ne requiert pas l’adoption de mesures particulières.

La fonction de gestion des risques veille à ce que tous les risques significatifs soient détectés, mesurés et correctement déclarés. Elle a accès à toutes les unités opérationnelles et autres unités internes susceptibles de générer des risques potentiels, ainsi qu'aux filiales et entreprises liées. Elle doit disposer d’un statut approprié et une position centrale correspondante dans l'organisation de l’établissement. La fonction de gestion des risques participe activement à l’élaboration de la stratégie en matière de risque de l’établissement ainsi qu’à toutes les décisions de gestion ayant une incidence significative en matière de risque et peut fournir une vue complète de toute la gamme des risques auxquels est exposé l’établissement.

Les missions de la fonction de gestion des risques sont décrites de manière précise dans les orientations EBA/GL/2021/05. Pour plus d’information concernant son rôle (i) vis-à-vis de la stratégie et de la prise de décisions en matière de risque, (ii) en matière de changements significatifs, (iii) en matière de détection, de mesure, d’évaluation, de gestion, d’atténuation, de suivi et de déclaration des risques et (iv) en matière d’expositions non approuvées, il est renvoyé aux §§ 179 à 199 des orientations EBA/GL/2021/05. Il est également renvoyé aux §§ 63 à 71 des orientations EBA/GL/2020/06 sur l’octroi et le suivi des prêts qui traitent du rôle de la fonction de gestion des risques dans le processus de décision d’octroi de prêts.

S’agissant du responsable de la fonction de gestion des risques, il est rappelé que, conformément à l’article 37, §3 de la loi bancaire, il doit en principe être un membre du comité de direction et cette fonction de gestion des risques doit être la seule fonction particulière pour laquelle il est individuellement responsable.  Pour les établissements de crédit qui ne sont pas des établissements d'importance significative au sens de l’article 3, 30° de la loi bancaire, l'autorité de contrôle peut toutefois -en application du principe de proportionnalité- autoriser que la fonction de gestion des risques soit confiée à un cadre supérieur (« N-1 »), à condition qu'il n'y ait pas de conflit d'intérêt dans le chef de cette personne. En outre, l’article 37, §3, deuxième alinéa permet de déroger au principe selon lequel la fonction de gestion des risques est la seule fonction particulière pour laquelle le CRO membre du comité de direction est individuellement responsable puisque l’autorité de contrôle peut autoriser que le CRO membre du comité de direction assure également la responsabilité de la fonction de compliance, à la condition que l’exercice des 2 fonctions concernées demeure assuré distinctement.

 Pour le surplus, il est renvoyé aux §§ 200 à 203 des orientations EBA/GL/2021/05.