Les mesures liées à l'encadrement des rémunérations sont définies aux articles L 511-57 à L511-88 du CMF. L'arrêté précise par ailleurs les modalités d'actualisation de la rémunération variable des personnes mentionnées à l'article L 511-71: dirigeants effectifs, preneurs de risque, personnes exerçant une fonction de contrôle ainsi que tout salarié qui, au vu de ses revenus globaux, se trouve dans la même tranche de rémunération, dont les activités professionnelles ont une incidence significative sur le profil de risque de l'entreprise ou du groupe. Mise en place de projets dédiés Il nous apparaît intéressant de profiter du texte pour dresser un état des lieux de la gestion des risques au sein de l'établissement, notamment en menant les actions suivantes: Effectuer une revue effective et renforcer les processus de suivi et d'encadrement des risques de ces entités, Développer le pilotage mis en œuvre par les établissements, notamment concernant la liquidité. En résumé, l'arrêté du 3 novembre 2014 relatif au contrôle interne représente une évolution importante de la réglementation et de l'encadrement des risques des établissements assujettis.
Les 280 articles de l'arrêté du 3 novembre 2014 relatif au contrôle interne, qui abroge la réglementation CRBF 97-02 modifiée du 21 février 1997, impactent l'organisation du contrôle interne des établissements assujettis. Les établissements soumis aux dispositions de l'arrêté sont multiples: les établissements de crédit (y compris les succursales d'EC de pays tiers), les sociétés de financement, les entreprises d'investissement autres que les sociétés de gestion de portefeuille, les adhérents de chambres de compensation, les teneurs de comptes conservateurs, les établissements de paiement et les établissements de monnaie électronique. Une des modifications les plus discutées concerne la gouvernance de ces établissements et notamment la mise en place de comités spécialisés. Toutefois, le nouvel arrêté redéfinit aussi les besoins d'encadrement de 14 risques auxquels sont exposés les établissements; certains risques déjà décrits dans le CRBF 97-02, mais aussi de nouveaux en termes de réglementation (mentionnés aux articles 79 à 87 de la CRD 4).
Les résultats du contrôle périodique sur la pertinence des modèles sont communiqués aux dirigeants effectifs et à l'organe de surveillance et, le cas échéant, au comité des risques, afin de leur permettre d'apprécier les risques. Par ailleurs, les entreprises assujetties disposent « d'un capital interne permettant de couvrir les risques de marché significatifs » non soumis à des exigences de fonds propres. Le capital interne doit être adéquat pour couvrir « le risque de base résultant d'une évolution divergente entre la valeur du contrat à terme ou de cet autre produit et la valeur des actions qui composent l'indice boursier ». 2. 4. Le risque de levier excessif Ce risque de levier s'inspire bien évidemment du ratio de levier de Bâle III. Les établissements doivent ainsi mettre en place un dispositif pour détecter « l'excessivité » du risque, le gérer et le suivre. Pour cela, les établissements s'appuieront notamment sur le ratio de levier déterminé conformément à l'article 429 du règlement (UE) n° 575/2013 et les asymétries entre actifs et obligations.
1. Du risque informatique. L'ACPR avait utilement préparé le terrain par la publication, en janvier 2019, d'un document de réflexion intitulé « Le Risque informatique », synthèse d'une consultation publique lancée en mars 2018. Il y était souligné que « la maîtrise du risque informatique n'est plus seulement un sujet propre aux équipes informatiques mais qu'elle s'inscrit dans la démarche générale de contrôle et de maîtrise des risques pilotée par la fonction de gestion des risques », de sorte que « le cadre de référence de gestion du risque opérationnel a donc vocation à être précisé pour mieux inscrire le risque informatique, dans toutes ses dimensions, au sein des catégories reconnues de risque opérationnel » [1]. 2. Extension du domaine du contrôle interne. Jusqu'ici, le contrôle interne, c'était, notamment: un système de contrôle des opérations et des procédures internes; une organisation comptable et du traitement de l'information; des systèmes de mesure des risques et des résultats; des systèmes de surveillance et de maîtrise des risques; un système de documentation et d'information, et un dispositif de surveillance des flux d'espèces et de titres [2].