L'Audit Interne dans la banque : attention au discrédit

Un modèle pour la profession Pour l'audit interne et le contrôle interne, les services du secteur bancaire sont un modèle. Ils ont des ressources sans commune mesure avec ce que l'on rencontre ailleurs, ils disposent d'un poids et d'une légitimité rares dans les autres secteurs d'activité, et, en France au moins, le service d'audit central (l'inspection générale) constitue la pépinière de cadres du groupe. Dans certaines banques, le tiers, voire la moitié, des membres du comité de direction sont ainsi passés par l'inspection générale. Deux affaires récentes viennent cependant ébranler le piédestal sur lequel repose la profession. DNB : le conseil accuse l'audit interne La première affaire est anecdotique, et son intérêt vient du fait qu'elle ait été rendue publique. Elle concerne la première banque norvégienne, DNB. Comme beaucoup d'autres, DNB a été citée dans les Panama Papers, accusée d'avoir facilité l'évasion fiscale de quelques dizaines de clients. Par rapport à d'autres banques, le nombre de cas évoqués est bas. Le conseil d'administration s'est malgré tout fendu d'un communiqué officiel, dans lequel il dénonçait l'incapacité de l'audit interne à alerter la direction générale. Le conseil en déduisait que la responsabilité de l'affaire incombait premièrement aux quelques cadres qui avaient réalisé les montages, et deuxièmement, à l'audit interne. La DG, n'ayant pas été alertée par l'audit, est exempte de tout reproche. En cause : le ciblage des risques et la remontée à la DG Cette attitude est révélatrice des attentes du conseil vis-à-vis de l'audit interne : ce dernier doit identifier les zones de risques, aller les évaluer correctement, et faire remonter les bons messages au bon niveau. Vu du conseil d'administration, le risque de complicité de fraude fiscale (ou de blanchiment, les deux pouvant être très proches) est un risque majeur et désormais ancien dans le domaine bancaire. Pour les administrateurs, il semble évident que les auditeurs auraient dû cibler les activités réalisées dans des paradis fiscaux, au bénéfice de la clientèle particulière. Le fait de découvrir la question dans les médias est donc vu comme un échec de l'audit interne. Deutsche Bank : audit et contrôle internes perdent la confiance des actionnaires Dans un cas similaire, mais d'une toute autre ampleur, la Deutsche Bank s'est vue imposer par ses propres actionnaires un audit externe de son système de gestion des risques. Les actionnaires réagissaient au montant des provisions pour risques juridiques et litiges, et manifestaient leur incompréhension quant au fait que tous les ans, depuis 6 ans, la Deutsche Bank se retrouve impliquée dans des affaires de non-conformité, se chiffrant à chaque fois en centaines de millions ou en milliards d'euros. Des dispositifs apparemment bien en place... Pourtant, en théorie, tout est en place pour éviter ce type de mauvaises surprises. Dans le secteur bancaire en effet, il est obligatoire d'avoir un système de gestion des risques, qui est défini, piloté, mis en œuvre, par une direction directement rattachée à la DG. Qui plus est, cette direction des risques rend des comptes à un comité spécialisé du conseil d'administration (le comité des risques), et ses activités sont examinées tous les ans par l'autorité de tutelle. L'audit interne audite régulièrement le système de gestion des risques, ou ses principales composantes, et remonte ses conclusions au comité d'audit et à l'autorité de tutelle. ...mais manifestement inefficaces Dans le cas de la Deutsche Bank, les actionnaires se sont émus d'apprendre les affaires après coup, et se sont interrogés sur l'efficacité du système de gestion des risques, mais aussi de l'audit interne, qui avait apparemment été incapable de les identifier et de les faire remonter au bon niveau. Les actionnaires ne réagissaient pas à une affaire ponctuelle, mais à une série d'affaires étalées sur 6 ans. C'est donc bien tout le système de la deuxième et de la troisième lignes de maîtrise qui se retrouve implicitement accusé de nullité. On pourra bien sûr invoquer les particularités de la Deutsche Bank, avec des baronnies, le mode de management de J.Ackermann (le DG « historique », jusqu'en 2012), une rotation récente des équipes dirigeantes, l'intégration difficile des équipes des banques d'affaires anglo-saxonnes rachetées dans les années 2000... En cherchant bien, on trouverait des particularités similaires, ou tout aussi significatives, dans beaucoup de banques françaises. On pourrait aussi dire que l'inefficacité de l'audit interne de la DB est due au fait qu'il est notoirement sous-staffé, d'après les standards du secteur bancaire tout au moins. La Deutsche Bank ne comptait jusqu'à une date récente que 600 auditeurs, soit deux fois moins que BNP Paribas par exemple. Mais plus que les 10 premières sociétés industrielles françaises réunies, malgré tout... Ce « sous-effectif » lui avait d'ailleurs valu une réprimande de la tutelle européenne. Et les affaires continuent La réalité, telle que l'ont vue les actionnaires de la DB, est que l'ensemble du système mobilise des ressources considérables, qui vont encore augmenter, et que tout cela ne donne aucune assurance qu'il n'y aura pas de nouvelles non-conformités à quelques milliards d'euros pièce. La dernière en date, qui semble se préciser, concerne la filiale russe. Certaines rumeurs parlent de blanchiment organisé et massif au profit d'organisations criminelles et de personnes sous embargo, avec dissimulation d'informations et communication de fausses informations aux autorités britanniques et américaines, le tout s'étendant sur plusieurs années, jusqu'à une date récente. Ne s'agissant que de rumeurs, on ne peut confirmer ni les faits ni leur ampleur. La FCA britannique (Financial Conduct Authority, le gendarme du secteur financier) a cependant pris la peine de communiquer publiquement en mars dernier ce qu'elle pensait du système de contrôle interne de la filiale anglaise de la Deutsche Bank (contrepartie des opérations de la  filiale russe) : "Our overall conclusion was that Deutsche Bank UK had serious AML (anti-money laundering), terrorist financing and sanctions failings which were systemic in nature"...   De façon plus générale, les audits bancaires et les systèmes de gestion des risques ont été incapables d'éviter les affaires de ces dernières années, malgré des moyens énormes et une indépendance garantie par leur accès direct et quasi-permanent au conseil d'administration (via ses comités spécialisés) et aux tutelles. A terme, cela pourrait bien lasser administrateurs, investisseurs et actionnaires, et remettre en question la légitimité de l'ensemble de la profession.