Les dispositions du titre II de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution sont ainsi modifiées :
1° Le titre du titre II est remplacé par le titre ainsi rédigé : « Organisation et objectif du contrôle interne » ;
2° A l'article 11 :
a) Au premier alinéa, les mots : « système de contrôle des opérations et des procédures internes » sont remplacés par les mots : « contrôle interne » ;
b) Le b est remplacé par un alinéa ainsi rédigé :
« b) Vérifier que les procédures de décisions, de prises de risques, quelle que soit leur nature, et les normes de gestion fixées, notamment sous forme de limites par les dirigeants effectifs dans le cadre des politiques et orientations de l'organe de surveillance et définies conformément à l'appétit pour le risque, sont strictement respectées ; » ;
c) Au c, les mots : « l'information comptable et financière » sont remplacés par les mots : « l'information comptable, financière et relative aux normes de gestion » ;
e) Le e est remplacé par un alinéa ainsi rédigé :
« e) Vérifier la qualité des processus concourant à la sécurité et au bon fonctionnement du système d'information et à la continuité d'activité ; » ;
3° L'article 12 est remplacé par un article ainsi rédigé :
« Art. 12.-Les entreprises assujetties disposent, selon des modalités adaptées à leur taille, à la nature et à la complexité de leurs activités, de trois niveaux de contrôle distincts :
« a) Le premier niveau de contrôle est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.
« b) Le deuxième niveau de contrôle est assuré par des agents au niveau des services centraux et locaux, exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues. Ce deuxième niveau de contrôle est assuré par la fonction de vérification de la conformité et la fonction de gestion des risques mentionnés respectivement au chapitre II et IV du présent titre ou par une ou plusieurs unités indépendantes dédiées au deuxième niveau de contrôle.
« c) Le troisième niveau de contrôle est assuré par la fonction d'audit interne composée d'agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième niveau.
« Les deux premiers niveaux de contrôle assurent le contrôle permanent de la conformité, de la sécurité et de la validation des opérations réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques.
« Le troisième niveau de contrôle assure, au moyen d'enquêtes, le contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l'efficacité et du caractère approprié des dispositifs mentionnés au a et b. » ;
4° L'article 13 est abrogé ;
5° A l'article 14 :
a) Au premier alinéa, les mots : « l'article 13 » sont remplacés par les mots : « l'article 12 » ;
b) Après le premier alinéa, un alinéa ainsi rédigé est inséré :
« Les agents exerçant des contrôles de deuxième niveau sont indépendants des unités qu'ils contrôlent. » ;
c) Au deuxième alinéa, après le mot : « unités » sont insérés les mots : « et de ces agents » ;
6° L'article 16 est remplacé par un article ainsi rédigé :
« Art. 16.-Les entreprises assujetties désignent les responsables pour les fonctions de contrôle permanent de deuxième niveau prévu au b de l'article 12.
« Les responsables des fonctions de contrôle permanent de deuxième niveau, lorsqu'ils ne sont pas dirigeants effectifs, n'effectuent aucune opération commerciale, financière ou comptable.
« Les entreprises assujetties désignent un dirigeant effectif responsable de la cohérence et de l'efficacité dudit contrôle. » ;
7° L'article 17 est remplacé par un article ainsi rédigé :
« Art. 17.-Les entreprises assujetties désignent également un responsable de la fonction d'audit interne mentionnée à l'article 12.
« Les entreprises assujetties définissent des procédures internes encadrant la désignation et la révocation du responsable mentionné à l'alinéa précédent.
« Les entreprises assujetties désignent un dirigeant effectif en charge de la cohérence et de l'efficacité du contrôle périodique assuré par la fonction d'audit interne.
« Les agents composant la fonction d'audit interne exercent leurs missions de manière indépendante à l'égard de l'ensemble des entités et services qu'ils contrôlent. » ;
8° A l'article 19, les mots : « les fonctions prévues à l'article 13 peuvent être confiées » sont remplacés par les mots : « le contrôle permanent prévu à l'article 12 peut être confié » ;
9° A l'article 21, les mots : « aux articles 13 et 17 » sont remplacés par les mots : « à l'article 12 » ;
10° Le premier alinéa de l'article 25 est remplacé par un alinéa ainsi rédigé :
« Les moyens affectés à la fonction d'audit interne mentionnée à l'article 12 sont suffisants pour mener un cycle complet d'investigations de l'ensemble des activités sur un nombre d'exercices aussi limité que possible qui ne saurait excéder cinq ans. La fréquence et les priorités des cycles d'audit sont proportionnées aux risques identifiés au sein des entreprises assujetties. » ;
11° Au b de l'article 26, les mots : « du contrôle périodique » sont remplacés par les mots : « de la fonction d'audit interne » ;
12° A l'article 27, les mots : « dispositifs mentionnés à l'article 17 » sont remplacés par les mots : « dispositions du dernier alinéa de l'article 12 relatives à l'audit interne » ;
13° Le titre du chapitre II est remplacé par un titre ainsi rédigé : « Contrôle du risque de non-conformité par la fonction de vérification de la conformité » ;
14° A l'article 28, un alinéa ainsi rédigé est inséré :
« Les entreprises assujetties définissent des procédures internes encadrant la désignation et la révocation du responsable mentionné à l'alinéa précédent. » ;
15° A l'article 29, les mots : « du contrôle » sont remplacés par les mots : « de la fonction de vérification » ;
16° L'article 30 est remplacé par un article ainsi rédigé :
« Art. 30.-Lorsqu'il n'est pas dirigeant effectif, le responsable de la fonction de vérification de la conformité est directement rattaché au dirigeant effectif mentionné à l'article 16 à qui il rend compte de l'exercice de sa mission. » ;
17° A l'article 31, les mots : « du contrôle » sont remplacés par les mots : « de la fonction de vérification » ;
18° L'article 32 est remplacé par un article ainsi rédigé :
« Art. 32.-Si au regard de la taille, de la nature et de la complexité des activités de l'entreprise assujettie, la distinction entre le responsable mentionné à l'article 28 et le responsable de la fonction de gestion des risques mentionné à l'article 74 ne se justifie pas, ce dernier est chargé également de veiller à la cohérence et à l'efficacité du contrôle du risque de non-conformité. A cette fin, il assure la coordination de tous les dispositifs qui concourent à l'exercice, d'une part de la fonction de vérification de la conformité et d'autre part de la fonction de gestion des risques. »
19° Le premier tiret de l'article 35 est remplacé par un alinéa ainsi rédigé :
«-lorsqu'elles décident de réaliser des opérations relatives à des nouveaux produits ou des changements significatifs listés au premier alinéa de l'article 221, le responsable de la vérification de la conformité, ou une personne dûment habilitée par ce dernier, donne un avis écrit et systématique préalablement à l'exécution de ces opérations ; » ;
20° A l'article 37, après les mots : « au responsable de la » sont insérés les mots : « fonction de vérification de la » ;
21° A l'article 38, un alinéa ainsi rédigé est ajouté :
« Ces procédures permettent de recenser, évaluer, gérer et atténuer ou éviter les conflits d'intérêts avérés et potentiels au niveau de l'établissement, ainsi que les conflits avérés et potentiels entre les intérêts de l'établissement et les intérêts privés du personnel qui pourraient avoir une incidence défavorable sur l'exercice de leurs attributions et responsabilités. » ;
22° A l'article 42, après les mots : « responsable de la » sont insérés les mots : « fonction de vérification de la » ;
23° A l'article 76, les mots : « aux dirigeants effectifs » sont remplacés par les mots : « au dirigeant effectif mentionné à l'article 16 » ;
24° A l'article 78, les mots : « responsable du contrôle permanent » sont remplacés par « dirigeant effectif mentionné à l'article 16 ».