L’opportunité de créer un responsable chargé de superviser la correcte application des procédures et de contrôler les risques au niveau de la première ligne de défense n’est plus à démontrer : de telles fonctions se sont déjà largement répandues dans les établissements financiers ces dernières années.
Ce besoin s’est même renforcé, tant les établissements financiers et au-delà même les entreprises, sont aujourd’hui soumis à de fortes pressions externes (réglementaires, financières et sanitaires, notamment en cette période de crise post Covid-19) et internes (attentes fortes des organes exécutifs pour la protection des actifs stratégiques et de la réputation, contenir les coûts et améliorer l’efficience des contrôles).
Dans ce contexte, la mise en place d’une fonction Chief Control Officer (CCO) apparaît comme une opportunité.
La responsabilité du dispositif de gestion des risques est répartie entre trois lignes de défense, chargées respectivement du contrôle opérationnel, du contrôle interne, et de l’audit interne. La première ligne de défense, les métiers, revêt une importance particulière en tant que premier maillon du dispositif de maîtrise des risques.
Le CCO est une fonction spécifiquement chargée de l’évaluation du dispositif de maîtrise des risques non financiers au sein des métiers et englobe non seulement le contrôle des risques opérationnels, mais aussi une contribution proactive à la surveillance des risques, y compris ceux liés à des processus externalisés.
Sa mission consiste notamment à s’assurer du périmètre et de l’efficacité des contrôles, ainsi que de la mise en œuvre effective des actions correctrices. Il évite les chevauchements de périmètres (doubles contrôles) et identifie les lacunes dans les dispositifs (contrôles défaillants).
En outre, le CCO participe à l’identification et l’évaluation des nouveaux risques, en vue de l’enrichissement et de la mise à jour du corpus normatif. Il consolide l’information et produit des indicateurs de risque harmonisés, au bénéfice d’une vision globale et raisonnée des risques non financiers pour son entreprise.
Afin de remplir sa mission de manière optimale, le CCO a besoin de collecter des données actualisées pour produire des KCIs (Key Control Indicators) et KRIs (Key Risk Indicators). Les KCI permettent de surveiller l’efficacité des contrôles au jour le jour, tandis que les KRI fournissent une mesure en temps réel des risques résiduels. La proximité du COO auprès des métiers sera primordiale à la constitution de bases de données exploitables à cette fin.
L’efficacité des contrôles opérationnels est souvent évaluée par l’intermédiaire de campagnes de tests périodiques menées manuellement par les équipes de contrôle interne. Cette logique peut être couteuse et peu flexible aux aléas du business et ne donne qu’une vision limitée des risques entre deux cycles de tests.
La position du CCO dans le dispositif de gestion des risques lui permet d’adapter en permanence l’adéquation des contrôles en place avec la réalité des risques auxquels fait face l’entreprise. Elle lui permet aussi d’envisager des méthodologies de contrôle alternatives et innovantes (manuelle ou automatisée, périodique ou systématique, a posteriori ou a priori) afin d’éviter de tomber dans l’écueil de tests périodiques parfois inadaptés.
Par ailleurs, cette position lui permet de se coordonner avec les autres fonctions de contrôle (Conformité et Audit), dans un objectif commun d’harmonisation des méthodologies et des moyens (humains et outils).
Dans le contexte d’une vigilance accrue à l’égard des risques réputationnels, dont les coûts peuvent s’avérer considérables tant en termes financiers qu’en termes d’image, la mise en place d’une fonction spécifique chargée d’évaluer et de contrôler les risques atteste de la capacité d’une entreprise à maîtriser les risques non financiers. Elle contribue en effet à la diffusion de la culture du risque à tous les niveaux, et notamment auprès des fonctions opérationnelles. Surtout, la production de données agrégées et cohérentes par le CCO permet de quantifier le risque opérationnel et de l’intégrer à la définition de l’appétence globale aux risques de l’entreprise. Cette vision d’ensemble de la gestion des risques au niveau de la première ligne de défense donne au CCO un large aperçu de l’état de conformité de l’entreprise vis-à-vis des politiques et procédures internes et en fait par conséquent un interlocuteur privilégié du dispositif de gestion des risques.
Le CCO peut autant être envisagé comme une structure « légère », chargée de consolider et de transmettre l’information collectée à différents niveaux, que comme un dispositif plus ambitieux, ayant pour mission de définir des normes et de mettre en place des indicateurs de suivi des contrôles et des risques (KCI et KRI). La mise en place d’un CCO est flexible et peut être agencée selon deux modèles principaux : centralisé et décentralisé.
Dans le modèle décentralisé, le CCO est intégré au métier et placé sous la responsabilité hiérarchique de son responsable ; il reporte fonctionnellement au responsable du contrôle interne. Ce modèle permet une approche par les risques au plus près des besoins rencontrés par les métiers. Il conviendra en revanche de placer autant de CCO que l’organisation a de métiers.
Le modèle centralisé, qui place le CCO sous la responsabilité hiérarchique de la seconde ligne de défense (contrôle interne, gestion des risques ou conformité), permet quant à lui une approche transverse, harmonisée et cohérente (normes, méthodologie et procédures de contrôle) du pilotage des risques à l’échelle de l’entreprise.
La fonction CCO, qu’elle soit internalisée ou externalisée, constitue le fer de lance d’une gestion optimisée des risques non financiers. En supervisant l’application des procédures et en produisant des indicateurs de pilotage des risques, il renforce l’efficacité du dispositif de gestion des risques, tout en améliorant la coordination entre les différentes fonctions de contrôle grâce à sa position stratégique. Le CCO est donc au cœur d’un modèle d’organisation efficient et souple, pouvant être conçu « sur mesure » en fonction des besoins spécifiques de l’entreprise, de son niveau de maturité et qui promeut une gestion des risques optimale.