Au plus tard le 30 avril* prochain, les établissements de crédit, les établissements de paiement, les prestataires d’information sur les comptes et les émetteurs de monnaie électronique assujettis doivent établir leur rapport annuel de contrôle interne sur l’exercice 2021 (RCI).

Ce rapport a pour objectif de rendre compte à l’organe de surveillance et aux autorités de contrôle (BCE et/ou ACPR et BanquedeFrance) de l’activité du contrôle interne (donc contrôle permanent et périodique) déployé au sein de l’organisation, sur l’exercice écoulé.

Ce rapport vise à appréhender globalement et de manière transversale l'ensemble des risques, bancaires et non bancaires, encourus par l’entreprise - et le cas échéant par ses clients et le marché - du fait des activités.

Ces risques peuvent donc relever de différentes natures : non-conformité, financiers, comptables, opérationnels, de sécurité et encore, plus récemment intégré par le législateur, le risque informatique lequel doit être pris en compte dans le rapport 2022 sur l’exercice 2021.

Il convient pour l’organisation de justifier de la mise en place de dispositifs de mesures, de surveillance, d’encadrement des risques auxquels elle est exposée, en intégrant sa politique en matière externalisation.

Ce rapport doit également comporter une annexe ayant pour objectif d’apprécier le niveau de sécurité des moyens de paiement scripturaux mis à disposition ou gérés par l’établissement et de l’accès aux comptes de paiement et à leurs informations.

Seront donc plus particulièrement couverts dans cette annexe : le risque de fraude spécifique à chaque moyen de paiement scriptural émis ou géré et les dispositifs de maitrise de risque associés ; la conformité aux recommandations liées à la sécurité des moyens de paiement émises par des organismes externes (OSCP, OSMP, SecuRePay, ABE), les résultats du contrôle périodique sur le périmètre des moyens de paiement scripturaux et de l’accès aux comptes réalisés au titre de l’année écoulée ainsi que la mise en œuvre des mesures de sécurité inscrites dans les #RTS au titre de la DSP2.

Pour établir ce rapport annuel, les entreprises assujetties peuvent s’appuyer sur le canevas des RCI établi et communiqué par l’ACPR.

2 modèles ont été établis, l’un à destination des établissements de crédit, sociétés de financement et entreprises d’investissement, l’autre pour les établissements de paiement, prestataires de services d'information sur les comptes et établissements de monnaie électronique.

Les éléments intégrés au canevas sont fournis à titre indicatif. Le contenu du rapport doit être adapté au vu de l’activité et de l’organisation de l’établissement et doit intégrer toute information de nature à permettre une appréciation du fonctionnement du système de contrôle interne et une évaluation des risques effectifs de l’établissement.

En outre, ces canevas s’appuient sur une version « fusionnée » des différents rapports à établir en application des articles 258 à 266 de l’arrêté du 3 novembre 2014 modifié. Toutefois, l’organisation peut continuer de remettre à l’ACPR des rapports distincts dès lors qu’ils couvrent l’ensemble des éléments attendus.

*Au plus tard, 31 mars pour les groupes et les établissements soumis à la supervision directe de la BCE, à l'exception de la partie relative à la politique et aux pratiques de rémunération qui peut être remise au plus tard le 30 avril suivant la fin de chaque exercice.

‍

‍