Comme chaque année, les acteurs régulés ont initié le difficile exercice d’établir leur Rapport Annuel de Contrôle Interne (RACI). Ce document présentant des informations prudentielles, comptables et organisationnelles relatives à leur organisation sur l’année écoulée, doit être remis à l’ACPR (Autorité de Contrôle Prudentiel et de Résolution) avant le 30 avril*.

L’autorité a fourni en juillet dernier deux modèles à destination, d’une part, des établissements de crédit, des sociétés de financement et des entreprises d’investissement, d’autre part, des établissements de paiement, des prestataires de services d'information sur les comptes et des établissements de monnaie électronique.

Ces modèles permettent aux établissement assujettis de répondre à leurs exigences respectives, en facilitant l’élaboration, structuration et la justification du rapport. L’ACPR rappelle qu’ils n’ont qu’une valeur indicative et, que, s’ils ont l’avantage de fournir un cadre de réponses attendues, l’assujetti est libre d’adapter son RACI à ses propres risques et organisation, sous réserve d’être exhaustif.

Les deux modèles intègrent les exigences réglementaires européennes et françaises publiées ou mises à jour en 2021, applicables aux entreprises assujetties au RACI, leur permettant ainsi de décrire la manière dont ils entendent y répondre. Sont ainsi prises en compte les orientations de l’ABE (Autorité Bancaire Européenne) sur les incidents majeurs (EBA/2021/03), et sur la gestion des risques informatiques (Article 270 et s. de l’arrêté du 3 novembre2014) et, pour les établissement financiers – crédit et investissement  - les orientations en matière de gouvernance interne (EBA/2021/05), les critères d'évaluation des cas exceptionnels de dépassement des limites aux grands risques ainsi que les délais et les mesures à prendre pour une remise en conformité (EBA/2021/09) et les conditions  pour l'application du traitement alternatif des expositions liées aux «opérations de pension tripartites » (EBA/2021/01).

Le RACI est complété d’une annexe autonome à destination de l’une des autorités en charge de la sécurité des moyens de paiement scripturaux et de l’accès aux comptes de paiement**. Elle vise à fournir des informations relatives au dispositif de maitrise de risque de fraude et les mesures de sécurité déployées pour les moyens de paiement scripturaux émis ou gérés par l’établissement en incluant, à partir de cette année, les chèques, ainsi que sur l’accès aux comptes de paiement et à leurs informations dans le cadre de la fourniture des services d’initiation de paiement et d’information sur les comptes. Cette annexe a également été revue à la marge afin d’assurer une cohérence avec les définitions et typologies de fraude données par l'Autorité bancaire européenne, et reprises dans les collectes statistiques nationales sur les moyens de paiement.

L’élaboration du RACI est toujours un exercice complexe du fait de son caractère pluridisciplinaire nécessitant l’implication de multiples acteurs (la Gouvernance, les Risques, le Contrôle permanent/périodique, la Conformité, la SSI etc.), du niveau de détail et de justification attendu par les autorités de supervision. L’usage de ce canevas est donc l’assurance d‘un gain de temps et d’exhaustivité.

Afin d’en faciliter la réalisation, nous conseillons d’organiser l’élaboration de ce RACI sous forme de projet, en réunissant et en coordonnant les acteurs impliqués, sous le pilotage de la fonction en charge (généralement Risques et Contrôle Permanent). Il est également pertinent de définir et de suivre un calendrier de remise et relecture des éléments en veillant à tenir compte des temps de validation par les dirigeants. La capitalisation sur les exercices précédents est, en outre, un atout dans la réussite du projet.

‍

^{*Au plus tard, 31 mars pour les groupes et les établissements soumis à la supervision directe de la BCE, à l'exception de la partie relative à la politique et aux pratiques de rémunération qui peut être remise au plus tard le 30 avril suivant la fin de chaque exercice.}

^{**Banque de France ou à l'Institut d'Émission d'Outre-Mer (IEOM) si l’établissement à son siège social dans les collectivités françaises du Pacifique.}

‍