Publication de l’arrêté du 25 février 2021 visant à mettre à jour  l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution (« ACPR ») et entrant en vigueur au 28 juin 2021[1].

 L’arrêté du 25 février 2021 modifiant l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution (« Arrêté ») a été publié le 6 mars dernier.

L’Arrêté a été publié afin de mettre à jour l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution (« l’Arrêté du 3 novembre 2014 ») pour prendre en compte certaines dispositions ayant été adoptées, dans un cadre international, et également européen. Une clarification est également opérée en ce qui concerne les différents niveaux de contrôle qui peuvent exister, et des précisions sont apportées pour les obligations devant être respectées tant en matière d’agrégation des données que de gestion du risque informatique.

Vous trouverez ci-après une description des principaux apports de ce texte.

Sur l’organisation et les objectifs du contrôle interne :

L’Arrêté vient entériner l’existence de trois niveaux de contrôle distincts[2] à adapter selon la taille des entreprises assujetties, leur nature, et la complexité de leurs activités :

• Le premier niveau de contrôle est assuré par des agents exerçant des activités opérationnelles, qui identifient les risques induits par leur activité, et respectent les procédures et les limites fixées ;
• Le deuxième niveau de contrôle est assuré par des agents au niveau des services centraux et locaux, exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues. Ce deuxième niveau de contrôle est assuré par la fonction de vérification de la conformité et la fonction de gestion des risques ;
• Le troisième niveau de contrôle est assuré par la fonction d’audit interne composée d’agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième niveaux […]

Retrouvez la suite du flash info dans le document ci-dessous. 

Auteurs : 

David Masson, Associé
Sonia Oudjhani-Rogez, Avocat
Lena Chemla, Avocat
Maia Steffan, Avocat
Jérémy Bouazis, Avocat

[1] Par exception, l’article 241-2 nouveau de l’Arrêté du 3 novembre 2014 relatif à certaines informations arrêtées par le comité des nominations qui doivent être communiquées à l’ACPR est entré en vigueur le 7 mars 2021.

[2] Article 12 modifié de l’Arrêté 3 novembre 2014