Le contrôle interne a notamment pour objet, dans des conditions optimales de sécurité, de fiabilité et d'exhaustivité, de :

a) Vérifier que les opérations réalisées par l'entreprise, ainsi que l'organisation et les procédures internes, sont conformes aux dispositions propres aux activités bancaires et financières, qu'elles soient de nature législative ou réglementaire, nationales ou européennes directement applicables, ou qu'il s'agisse de normes professionnelles et déontologiques, ou d'instructions des dirigeants effectifs prises notamment en application des stratégies et politiques régissant la prise, la gestion, le suivi et la réduction des risques ainsi que des orientations et de la politique de surveillance de l'organe de surveillance ;

b) Vérifier que les procédures de décisions, de prises de risques, quelle que soit leur nature, et les normes de gestion fixées, notamment sous forme de limites par les dirigeants effectifs dans le cadre des politiques et orientations de l'organe de surveillance et définies conformément à l'appétit pour le risque, sont strictement respectées ;

c) Vérifier la qualité de l'information comptable, financière et relative aux normes de gestion, qu'elle soit destinée aux dirigeants effectifs ou à l'organe de surveillance, transmise aux autorités de tutelle et de contrôle ou qu'elle figure dans les documents destinés à être publiés ;

d) Vérifier les conditions d'évaluation, d'enregistrement, de conservation et de disponibilité de cette information, notamment en garantissant l'existence de la piste d'audit au sens de l'article 85 ;

e) Vérifier la qualité des processus concourant à la sécurité et au bon fonctionnement du système d'information et à la continuité d'activité ;

f) Vérifier l'exécution dans des délais raisonnables des mesures correctrices décidées au sein des entreprises assujetties ;

g) Vérifier le respect des dispositions relatives aux politiques et pratiques de rémunération, qu'elles soient de nature législative ou réglementaire, y compris les dispositions européennes qui sont directement applicables, et des principes généraux de rémunération définis par l'organe de surveillance ou, le cas échéant, les assemblées générales compétentes.

Les entreprises assujetties disposent, selon des modalités adaptées à leur taille, à la nature et à la complexité de leurs activités, de trois niveaux de contrôle distincts :

a) Le premier niveau de contrôle est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.

b) Le deuxième niveau de contrôle est assuré par des agents au niveau des services centraux et locaux, exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues. Ce deuxième niveau de contrôle est assuré par la fonction de vérification de la conformité et la fonction de gestion des risques mentionnés respectivement au chapitre II et IV du présent titre ou par une ou plusieurs unités indépendantes dédiées au deuxième niveau de contrôle.

c) Le troisième niveau de contrôle est assuré par la fonction d'audit interne composée d'agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième niveau.

Les deux premiers niveaux de contrôle assurent le contrôle permanent de la conformité, de la sécurité et de la validation des opérations réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques.

Le troisième niveau de contrôle assure, au moyen d'enquêtes, le contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l'efficacité et du caractère approprié des dispositifs mentionnés au a et b.

L'organisation des entreprises assujetties adoptée en application de l'article 12 est conçue de manière à assurer une stricte indépendance entre, d'une part, les unités chargées de l'engagement des opérations et, d'autre part, les unités chargées de leur validation, notamment comptable, de leur règlement ainsi que du suivi des diligences liées aux missions de la fonction de gestion des risques.

Les agents exerçant des contrôles de deuxième niveau sont indépendants des unités qu'ils contrôlent.

Cette indépendance est assurée par un rattachement hiérarchique différent de ces unités et de ces agents jusqu'à un niveau suffisamment élevé ou par une organisation qui garantit une séparation claire des fonctions ou encore par des procédures, éventuellement informatiques, conçues dans ce but et dont l'entreprise est en mesure de justifier l'adéquation.

La rémunération des personnels des unités chargées de la validation des opérations est fixée indépendamment de celle des métiers dont ils valident ou vérifient les opérations, et à un niveau suffisant pour disposer de personnels qualifiés et expérimentés.
Elle tient compte de la réalisation des objectifs associés à la fonction.

Les entreprises assujetties désignent les responsables pour les fonctions de contrôle permanent de deuxième niveau prévu au b de l'article 12.

Les responsables des fonctions de contrôle permanent de deuxième niveau, lorsqu'ils ne sont pas dirigeants effectifs, n'effectuent aucune opération commerciale, financière ou comptable.

Les entreprises assujetties désignent un dirigeant effectif responsable de la cohérence et de l'efficacité dudit contrôle.

Les entreprises assujetties désignent également un responsable de la fonction d'audit interne mentionnée à l'article 12.

Les entreprises assujetties définissent des procédures internes encadrant la désignation et la révocation du responsable mentionné à l'alinéa précédent.

Les entreprises assujetties désignent un dirigeant effectif en charge de la cohérence et de l'efficacité du contrôle périodique assuré par la fonction d'audit interne.

Les agents composant la fonction d'audit interne exercent leurs missions de manière indépendante à l'égard de l'ensemble des entités et services qu'ils contrôlent.

Lorsque la taille de l'entreprise assujettie ne justifie pas de confier les responsabilités du contrôle permanent et du contrôle périodique à des personnes différentes, ces responsabilités peuvent être confiées soit à une seule personne, soit aux dirigeants effectifs qui assurent, sous le contrôle de l'organe de surveillance, la coordination de tous les dispositifs qui concourent à l'exercice de cette mission.

Lorsque l'entreprise assujettie est une entreprise d'investissement, le contrôle permanent prévu à l'article 12 peut être confié aux personnes en charge des contrôles prévus par le règlement général de l'Autorité des marchés financiers.

Le responsable de ces contrôles peut assurer les responsabilités prévues à l'article 16.

Lorsqu'une entreprise assujettie appartient à un groupe, les responsabilités mentionnées à l'article 18 peuvent être assurées au niveau d'une autre entreprise assujettie du même groupe ou affiliée au même organe central, après accord des organes de surveillance des deux entreprises concernées.

Dans les conditions prévues à l'article 18 ou lorsque des circonstances particulières le justifient, une entreprise assujettie peut confier des tâches d'exécution des contrôles prévus à l'article 12 à des prestataires extérieurs de services sous la responsabilité des personnes désignées en application de l'article 16 et dans les conditions prévues aux articles 237 à 240.

L'organe de surveillance et, le cas échéant, le comité des risques est tenu informé par les dirigeants effectifs de la désignation des responsables mentionnés aux articles 16 et 17, dont l'identité est communiquée à l'Autorité de contrôle prudentiel et de résolution.

Les responsables mentionnés aux articles 16 et 17 rendent compte de l'exercice de leurs missions aux dirigeants effectifs et à l'organe de surveillance ainsi que, le cas échéant, au comité des risques.

Les entreprises assujetties s'assurent que le nombre et la qualification des personnes mentionnées à l'article 12, ainsi que les moyens mis à leur disposition, en particulier les outils de suivi et les méthodes d'analyse de risques, sont adaptés à la taille, aux implantations ainsi qu'à la nature, à l'échelle et à la complexité des risques inhérents au modèle d'entreprise et à leurs activités.

Les moyens affectés à la fonction d'audit interne mentionnée à l'article 12 sont suffisants pour mener un cycle complet d'investigations de l'ensemble des activités sur un nombre d'exercices aussi limité que possible qui ne saurait excéder cinq ans. La fréquence et les priorités des cycles d'audit sont proportionnées aux risques identifiés au sein des entreprises assujetties.

Un programme des missions de contrôle est établi au moins une fois par an en intégrant les objectifs annuels des dirigeants effectifs et des orientations de l'organe de surveillance en matière de contrôle.

Les entreprises assujetties définissent des procédures qui permettent :

a) De vérifier l'exécution dans des délais raisonnables des mesures correctrices qui ont été décidées par les personnes compétentes dans le cadre du dispositif de contrôle interne ;

b) Au responsable de la fonction d'audit interne d'informer directement et de sa propre initiative l'organe de surveillance et, le cas échéant, le comité des risques de l'absence d'exécution des mesures correctrices décidées.

Les entreprises assujetties s'assurent que le système de contrôle s'intègre dans l'organisation, les méthodes et les procédures de chacune des activités et que les dispositions du dernier alinéa de l'article 12 relatives à l'audit interne s'appliquent à l'ensemble de l'entreprise, y compris ses succursales, ainsi qu'à l'ensemble des entreprises contrôlées de manière exclusive ou conjointe.

Les entreprises assujetties désignent un responsable chargé de veiller à la cohérence et à l'efficacité du contrôle du risque de non-conformité, dont elles communiquent l'identité à l'Autorité de contrôle prudentiel et de résolution.

Les entreprises assujetties définissent des procédures internes encadrant la désignation et la révocation du responsable mentionné à l'alinéa précédent.

Le responsable de la fonction de vérification de la conformité, lorsqu'il n'est pas dirigeant effectif, n'effectue aucune opération commerciale, financière ou comptable.

Lorsqu'il n'est pas dirigeant effectif, le responsable de la fonction de vérification de la conformité est directement rattaché au dirigeant effectif mentionné à l'article 16 à qui il rend compte de l'exercice de sa mission.

Le responsable de la fonction de vérification de la conformité rend également compte directement à l'organe de surveillance et, le cas échéant, au comité des risques.

Si au regard de la taille, de la nature et de la complexité des activités de l'entreprise assujettie, la distinction entre le responsable mentionné à l'article 28 et le responsable de la fonction de gestion des risques mentionné à l'article 74 ne se justifie pas, ce dernier est chargé également de veiller à la cohérence et à l'efficacité du contrôle du risque de non-conformité. A cette fin, il assure la coordination de tous les dispositifs qui concourent à l'exercice, d'une part de la fonction de vérification de la conformité et d'autre part de la fonction de gestion des risques.

Lorsqu'une entreprise assujettie appartient à un groupe, cette responsabilité peut être assurée au niveau d'une autre entreprise assujettie du même groupe ou affiliée au même organe central, après accord des organes de surveillance des deux entreprises concernées.

Lorsque l'entreprise assujettie est une entreprise d'investissement, les responsabilités prévues à l'article 28 peuvent être confiées au responsable du contrôle de la conformité des dispositions relevant de la compétence de l'Autorité des marchés financiers, sans préjudice de l'application de l'article 19.

Les entreprises assujetties prévoient des procédures spécifiques d'examen de la conformité, notamment :

- lorsqu'elles décident de réaliser des opérations relatives à des nouveaux produits ou des changements significatifs listés au premier alinéa de l'article 221, le responsable de la vérification de la conformité, ou une personne dûment habilitée par ce dernier, donne un avis écrit et systématique préalablement à l'exécution de ces opérations ;

- ou, pour la fourniture de services d'investissement, tout dispositif de nature à conseiller et assister les personnes concernées chargées des services d'investissement afin qu'elles se conforment à leurs obligations au titre du présent chapitre.

Elles prévoient également des procédures de contrôle des opérations réalisées.

Les entreprises assujetties mettent en place, selon des modalités adaptées à leur organisation et qui tiennent compte, le cas échéant, de leur appartenance à un groupe, des procédures de centralisation des informations relatives aux éventuels dysfonctionnements dans la mise en œuvre effective des obligations de conformité.

Les entreprises assujetties prévoient la faculté pour tout dirigeant ou préposé de faire part d'interrogations sur ces éventuels dysfonctionnements, au responsable de la fonction de vérification de la conformité de l'entité ou de la ligne métier à laquelle ils appartiennent, ou au responsable mentionné à l'article 28.

Les règles d'organisation adoptées sont portées à la connaissance de l'ensemble du personnel.

Les entreprises assujetties mettent en place des procédures permettant de suivre et d'évaluer la mise en œuvre effective des actions visant à remédier à tout dysfonctionnement dans la mise en œuvre des obligations de conformité.

Dans ce cadre, les dirigeants effectifs définissent des procédures permettant de garantir la séparation des tâches et de prévenir les conflits d'intérêts conformément aux orientations de l'organe de surveillance.

Ces procédures permettent de recenser, évaluer, gérer et atténuer ou éviter les conflits d'intérêts avérés et potentiels au niveau de l'établissement, ainsi que les conflits avérés et potentiels entre les intérêts de l'établissement et les intérêts privés du personnel qui pourraient avoir une incidence défavorable sur l'exercice de leurs attributions et responsabilités.

Les entreprises assujetties assurent à tous les membres de leur personnel concernés une formation aux procédures de contrôle de la conformité, adaptée aux opérations qu'ils effectuent.

Les entreprises assujetties mettent en place un dispositif permettant de garantir un suivi régulier et le plus fréquent possible des modifications pouvant intervenir dans les textes applicables à leurs opérations et, à ce titre, l'information immédiate de tous les membres de leur personnel concernés.

Les entreprises assujetties s'assurent que leurs filiales et succursales à l'étranger mettent en place des dispositifs de contrôle de la conformité de leurs opérations.
Les dispositifs mentionnés au premier alinéa permettent le contrôle du respect des règles locales applicables à l'activité de leurs filiales et succursales ainsi que l'application du présent arrêté.
Lorsque les dispositions locales sont plus contraignantes que les dispositions du présent arrêté et, le cas échéant, des dispositions européennes directement applicables, leur respect est réputé satisfaire aux obligations prévues par le présent arrêté au niveau des implantations locales.

Lorsque les dispositions de la réglementation locale font obstacle à l'application des règles prévues par le présent arrêté, notamment si elles empêchent la communication d'informations nécessaires à cette application, les entités locales concernées en informent le responsable de la fonction de vérification de la conformité.

L'entreprise assujettie en informe l'Autorité de contrôle prudentiel et de résolution.

Les entreprises assujetties désignent un responsable en charge de la fonction de gestion des risques, dont elles communiquent l'identité à l'Autorité de contrôle prudentiel et de résolution.

La fonction de gestion des risques inclut les agents et unités en charge de la mesure, de la surveillance et de la maîtrise des risques.

Lorsqu'il n'est pas dirigeant effectif, le responsable de la fonction de gestion des risques est directement rattaché au dirigeant effectif mentionné à l'article 16 et n'effectue aucune opération commerciale, financière ou comptable.

Le responsable de la fonction de gestion des risques rend compte de l'exercice de ses missions aux dirigeants effectifs et les alerte de toute situation susceptible d'avoir des répercussions significatives sur la maîtrise des risques.
Si nécessaire, en cas d'évolution des risques, il peut rendre directement compte à l'organe de surveillance et, le cas échéant, au comité des risques, sans en référer aux dirigeants effectifs.
Le responsable de la fonction de gestion des risques communique à l'organe de surveillance et, le cas échéant, au comité des risques toute information nécessaire à l'exercice des missions de ces derniers ou que ceux-ci lui demandent.

Lorsque la taille, l'échelle, la nature et la complexité de l'activité d'une entreprise assujettie ou les circonstances le justifient, le dirigeant effectif mentionné à l'article 16 assure la coordination de tous les dispositifs qui participent à la fonction de gestion des risques.

Lorsqu'une entreprise assujettie appartient à un groupe, la responsabilité de la fonction de gestion des risques peut être assurée au niveau d'une autre entreprise assujettie du même groupe ou affiliée au même organe central, après accord des organes de surveillance des deux entreprises concernées.

Lorsque l'entreprise est une entreprise d'investissement, les responsabilités prévues à l'article 74 peuvent être confiées aux personnes en charge des contrôles prévus par le règlement général de l'Autorité des marchés financiers.

Le responsable de la fonction de gestion des risques s'assure de la mise en œuvre des systèmes de mesure et de surveillance des risques et des résultats mentionnés au titre IV et des systèmes de surveillance et de maîtrise des risques mentionnés au titre V.
Il s'assure que le niveau des risques encourus par l'entreprise assujettie est compatible avec les orientations et politiques fixées par l'organe de surveillance et les limites mentionnées à l'article 223.

Les entreprises assujetties dotent la fonction de gestion des risques de moyens suffisants en termes de personnel, de systèmes d'information et d'accès aux informations internes et externes nécessaires à l'exercice de ses fonctions.
Elles s'assurent que le personnel de la fonction de gestion des risques dispose de suffisamment d'expérience, de qualification et d'un positionnement adéquat pour exercer ses missions au sein de l'entreprise.

Le responsable de la fonction de gestion des risques ne peut être démis de ses fonctions sans l'accord préalable de l'organe de surveillance et il peut, le cas échéant, en appeler directement sur ce point à celui-ci.
Les entreprises assujetties mettent en place une procédure ou adaptent les procédures existantes afin de satisfaire aux dispositions de l'alinéa précédent.