« Affaire KERVIEL » : risque opérationnel, contrôle interne, gestion de crise et responsabilités …

J.Triquell

Depuis janvier 2008, la presse a très largement évoqué ce que l’on appelle « l’affaire KERVIEL» et de nombreux experts financiers, anciens traders … ont apporté des témoignages, pour la plupart intéressants et constructifs, dans cette affaire techniquement complexe . . .

Dernièrement même, au plus près de la clôture du dossier par les juges d’instruction Renaud Van Ruymbeke et Françoise Desset, Le Parisien publie un article, lui-même controversé (Jérôme Kerviel n’aurait pas donné d’interview) qui annonce le 22 janvier 2009 : « KERVIEL PARLE « , « LES CONFESSIONS DE L’EX-TRADER »…

 Au fil des témoignages publics, les deux principales hypothèses s’affrontent : . . .

. . . 

1 – «  Trader fou, malversations, « contrôles internes » de la banque déjoués par le trader machiavélique » ?

2 – «  Trader perdant ses repaires, fruit d’un système financier dévoyé qui l’a encouragé dans une fuite en avant, avec ou non une tacite complicité de la banque » ?.

 En marge de la démarche de recherche de responsabilités, cette affaire (comme celle concernant la chute de la banque Barings d’ailleurs) est riche d’enseignements et permet de se rappeler l’importance de quelques éléments essentiels dans la « stratégie organisationnelle » de la protection de l’entreprise :

  • – le risque opérationnel : les erreurs, la mauvaise communication et la fraude, (Selon le comité de Bâle (sur le contrôle bancaire) «le risque opérationnel est le risque de pertes résultant d’une inadaptation ou d’une défaillance imputables à des procédures, personnels ou systèmes internes, ou à des évènements extérieurs, y compris les évènements de faible probabilité d’occurrence, mais à risque de perte élevée. Le risque opérationnel, ainsi défini, inclut le risque juridique, mais exclut les risques stratégiques et de réputation»),
  • – la SSI et l’identification, l’authentification lors des accès au système de traitement automatisé de données (STAD), la gouvernance du S.I.,
  • – la gestion des alertes (détection, alerte, analyse, réaction),
  • – l’activité «multi-participants» de la mission «sécurité» de l’entreprise, et la communication transverse entre les organes de contrôle,
  • – le «contrôle interne» et les audits de sécurité,
  • – le risque éthique: l’importance de la prise en compte du facteur humain,
  • – l’obligation légale d’organiser la «sécurité» dans l’entreprise,
  • – l’éventuelle responsabilité des dirigeants en cas de carences à cette obligation,
  • – la responsabilité (directe ou indirecte) des dirigeants et de l’entreprise, personne morale, pour les faits commis par leurs employés jugés dans «l’exercice de leurs fonctions»,
  • – la veille évènementielle et la gestion de la crise par la Société Générale.  

L’origine des faits dans cette affaire :  Erreurs ?   Ignorances ?   Négligences ?   Incompétences ?   Tromperies ?   Malversations, fraude ?   Complicités passives ?

Une réflexion peut être entreprise sur la base des éléments d’information évoqués dans la presse nationale, dans le rapport de Mme Lagarde, ministre de l’économie, des finances et de l’Industrie ou par la mission interne de la société générale ?… : 

  • – sur la gestion des personnels … la séparation des fonctions … de «contrôleur» à contrôlé»:

 

Le trader aurait été recruté par la Société Générale pour assurer une mission au « Middle Office » qui assure au quotidien le contrôle des ordres passés et leur régularité. Ce rôle de contrôleur impose une démarche intellectuelle spécifique, sans prise de risque sur le marché.

Ces vérificateurs garants de la sécurité financière sont environ 10 fois moins payés que les traders. Ils rêvent donc le plus souvent de travailler au « Front Office ». En effet, ce travail est plus valorisant, les traders ont la légitimité pour eux car ils génèrent des profits. Certains spécialistes financiers parlent même d’une « attitude méprisante » des traders vis-à-vis des contrôleurs lorsque ces derniers viennent demander des explications sur des opérations.

Après avoir détenu les clés de la «sécurité financière» de l’entreprise comme contrôleur, Jérôme Kerviel devient trader, donc « contrôlé », dans la même entreprise.

  • – Sur l’utilisation d’informations de «sécurité» par le trader (périodes de contrôles de cohérence, utilisation de droits d’accès normalement désuets …):

Il semble que la banque ne procédait à aucun « contrôle de cohérence » en janvier.

L’exploitation de cette information connu des contrôleurs, l’utilisation de droits d’accès anciens (attachés à la personne et non au groupe), l’utilisation de codes et identifiants d’autres personnes, sont des faits évoqués et reprochés au trader.

Est-il possible de penser que ces actions puissent être facilitées lorsque le trader connaît, grâce à son ancien emploi,  les mécanismes de contrôle et lorsque les processus de base de SSI  (attribution des droits d’accès à la personne et non au groupe, identification, authentification) semblent ne pas être conformes à une politique cohérente de sécurité globale de l’entreprise.

  • – Sur la forte pression psychologique pour le trader:

Jérôme KERVIEL ne vient pas d’une grande école, cursus normalement rencontré chez les traders.

Dans la cour des grands, il est tout autant soumis à cette « culture du résultat » : le « Parisien » du 22 janvier 2009 évoque les objectifs éloquents qui auraient été fixés à Jérôme Kerviel  (5 millions d’euros en 2006, 12 millions d’euros en 2007 et 55 millions d’euros en 2008).

Son  salaire serait passé de 38000 euros annuels bruts en 2000 à 48000 euros fixes en 2007, avec un bonus de 15.000 euros en 2005 à 60.000 euros en 2007, et, selon ses dires, une proposition de prime de la banque à 300.000 euros pour 2007 pour ses résultats.

  • – Sur la gestion des «alertes de conformité» par la banque,
  • – sur la communication transversale des services de contrôle:

Un ancien inspecteur de la banque, dont le nom est cité dans la presse, a précisé « en avoir eu assez de voir que les rapports d’inspection ne servaient pas à grand chose sauf à servir d’accoudoir à la commission bancaire ».

« Alors qu’il n’avait le droit de s’engager qu’à hauteur de 250 millions d’euros sur les marchés, il va jouer jusqu’à 50 milliards, une somme que la banque est loin de posséder puisqu’à l’époque, ses fonds propres atteignent à peine 35 milliards d’euros » (Les Echos-23 janvier 2009)

1000 opérations fictives auraient été recensées par la « mission green » de la Société Générale (audit après la révélation des faits).

En 2006 et 2007, 74 alertes de sécurité émises par les organes internes de la banque sur les opérations de leurs clients, auraient été ignorées ou négligées… 

En avril 2007, un trou de 94 millions d’euros dans les transactions opérées par le trader, est pointé par le « middle résultat ».

Comme pour quelques autres faits, des explications sont demandées par les contrôleurs mais les réponses données par le trader ne sont pas vérifiées. D’après la presse, Jérôme Kerviel aurait même donné certaines explications totalement irréalistes … sans réaction des contrôleurs.

Le rapport du ministre Christine LAGARDE, en février 2008, évoquera d’ailleurs le manque de transversalité de l’organisation du Middle Office et du Back Office (l’action de contrôle du Back Office est en effet complémentaire à celle du Middle Office puisqu’il gère les transactions en aval, enregistre les opérations et procède au règlement). La rotation du personnel est connue comme méthode de détection des fraudes.

  • – Sur la surveillance de comportements atypiques:

Il semblerait que le trader n’ait pas pris de congés durant l’année concernée ; L’obligation de partir en vacances au moins 2 fois par an (afin que d’autres gèrent les « positions » du trader absent)  est pourtant le plus souvent considéré comme une « assurance contre les malversations »

  • – Sur le contrôle interne et les audits de sécurité:

Selon l’A.M.F.,  « le contrôle interne est un dispositif de la société, défini et mis en œuvre sous sa responsabilité, qui vise à assurer (finalités) : = la conformité aux lois et règlements = l’application des instructions et des orientations fixées par la direction générale ou le directoire = le bon fonctionnement des processus internes de la société, notamment ceux concourant à la sauvegarde des actifs = la fiabilité des informations financières,  et, d’une façon  générale, contribue à la maîtrise de ses activités, à l’efficacité de ses opérations et à l’utilisation efficiente de ses ressources.)

Le comité spécial de la Société Générale notamment, (enquête interne réalisée par 3 administrateurs indépendants), a précisé dans ses conclusions l’importance des audits de sécurité et du ciblage de ceux-ci …

Risk managers (lignes de crédit et niveau de risque autorisé pour chaque trader), middle office (vérification du respect de ces limites), back office (confirmation des opérations), Commission bancaire au plan national (présidée par le gouverneur de la banque de France), Autorité des marchés financiers, règles harmonisées dans le cadre du Comité de Bâle sur le plan international (normes prudentielles de Bâle II 2007-2008 – nouvelles règles pour le capital minimum à mettre en face des risques encourus), loi de sécurité financière 2003 …

… les différentes  et successives couches  du contrôle bancaire sont déjà nombreuses.

Vers une volonté de renforcer les normes internationales ?

Conscient du résultat de la crise du « subprime », un groupe de représentants de 5 pays (Allemagne, Etats-Unis, France, Grande-Bretagne et Suisse) ont publié, début mars 2008, des observations sur les pratiques de gestion des risques au sein des institutions financières.  Sont notamment évoquées les bonnes pratiques, comme « une vision large des risques, une bonne circulation de l’information, un dialogue efficace au sein du management (…), un bon accord entre les fonctions de trésorerie et les procédures du « risk management », une bonne programmation de la liquidité globale » (Les Echos – 10 mars 2008).

Outre le renforcement de l’efficacité de Bâle II, (notamment une meilleure gestion du risque de liquidité, les régulations nationales des orientations en matière de gestion de risques), il est notamment préconisé de s’interroger sur les modes de rémunération des opérateurs, points qui influencent fortement la prise de risque et la pression psychologique dans l’entreprise.

Volonté également des commissaires aux comptes, au cours de la 21ème édition des assises (décembre 2008)  de leur profession : parmi les 8 thèmes d’action proposés, plusieurs concernent directement la gestion des risques :

• se montrer autant proactif sur les missions d’alerte et de révélations que sur les délais de paiement, • clarifier la publication de l’information financière en temps de crise, • mieux utiliser les possibilités légales de faire des observations, • travailler avec tous les acteurs de la sécurité financière non seulement à l’amélioration du contrôle interne mais aussi à la gestion des risques.

 La gouvernance d’entreprise est également soulignée avec son rôle essentiel dans la gestion des risques alors qu’une autre piste, évoquée par le Saint George Institute, propose la création d’un nouvelle profession : le commissaire à la gouvernance. Parallèlement au commissaire aux comptes qui vérifie la sincérité des comptes, le commissaire à la gouvernance s’assurerait des compétences du conseil d’administration et du suivi des recommandations.

D’après certaines études, la gouvernance échapperait encore trop souvent à l’évaluation (Etudes 12-2007- Institut français de l’audit et du contrôle interne-IFACI), l’audit interne se concentrant sur les processus opérationnels et financiers (44% englobent la gouvernance dans l’audit).

L’ IFA (l’institut Français des Administrateurs) soulignent d’ailleurs, pour les administrateurs membres de comités d’audit, la complexité et l’évolutivité des matières telles que la comptabilité d’entreprise, la gestion des risques et la conformité. 

 Par ailleurs, la 8 ème directive européenne sur le contrôle légal des comptes a été transposée en droit français par l’ordonnance du 8 décembre 2008.  Les comités d’audit (ou comités spécialisés) deviennent obligatoires pour l’ensemble des sociétés cotées. Placés sous la responsabilité des conseils d’administration et des conseils de surveillance, ils sont tenus de s’assurer de l’efficacité de la gestion des risques et du contrôle interne dans ces entreprises.

Les instances de gouvernance de l’entreprise tendent à devenir des acteurs de la gestion des risques qui semble s’introduire progressivement dans le processus de décision et les choix stratégiques des sociétés.

L’évaluation des risques pourrait-elle influencer le critère qualité de l’entreprise ?

 – Sur le risque humain:

 Selon une étude (Les Echos- 16 octobre 2008  – Infraforces),  les « risques majeurs » (crises financières, écologiques …) arrivent en première position (34%) des tensions les plus importantes chez les managers et les enseignants-chercheurs (Etats généraux du management – Fondation nationale pour l’enseignement et la gestion des entreprises))

 Peut-on également compter sur une prise de conscience des entreprises sur le risque humain, dans le cadre d’une stratégie organisationnelle orchestrée au plus haut de la hiérarchie de la structure ?

 Charte système d’information (le canevas-type de la charte sera traité dans un autre post), charte éthique, code de déontologie, code anti-fraude, constituent l’épine dorsale de la stratégie globale de protection de l’entreprise … associés à un protocole de sensibilisation/formation des personnels  (dés l’arrivée de l’employé) sur :

  • l’éthique, le sens des responsabilités, l’intérêt général, démarche proactive …,
  • la culture «valorisation» et «protection» du patrimoine de l’entreprise, la gestion des incidents et des crises,
  • la culture «sécurité juridique»,
  • la maîtrise des outils d’information et de communication.

– Sur les responsabilités des acteurs de cette affaire:

Le trader est poursuivi pour faux et usage de faux, abus de confiance, introduction dans un système de traitement automatisé de données. 

 Des responsabilités différentes (ou complémentaires) ont semble-t-il été recherchées par d’autres procédures engagées :

  • – 4 plaintes auraient été déposées au pénal contre X,
  • – une assignation au civil par les actionnaires de la banque pour réparation du «préjudice matériel et moral»,
  • – une «class action» (recours collectif) à l’encontre des dirigeants à partir des Etats-Unis par un fonds de pension,
  • – … et une enquête de la SEC (équivalent américain de l’AMF).

Dans d’autres cas, la justice s’est à maintes reprises prononcée sur la portée de la « RESPONSABILITE PENALE », de la « RESPONSABILITE CIVILE »(l’indifférence de la bonne foi dans le procès civil !), du chef d’entreprise et de l’entreprise, personne morale (loi Perben II du 10 mars 2004).

 Tel est le cas :

  • – dans le cadre de l’obligation, pour l’entreprise, d’organiser sa «sécurité». Ces responsabilités peuvent être semble-t-il retenues si des carences graves sont reconnues (sanction de la commission bancaire pour des «carences graves du système de contrôle interne dépassant la répétition de simple défaillances individuelles»- Loi sécurité financière du 1er août 2003 – Loi Sarbanne Oxley – Arrêt Cours d’Appel Paris du 30/10/2002 (Jurisprudence – pas d’accès frauduleux sans sécurité ).
  • – dans le cadre des préjudices consécutifs aux actions réalisées par un employé dans «l’exercice de ses fonctions» (Code Civil 1384 alinéa 5). Les limites du cadre de «l’exercice de ses fonctions» ont été précisées par la jurisprudence (Notamment: Cour de cassation-Civ-24 juin 1998 – Arrêt Cour d’Appel d’Aix en Provence 13/3/2006).

 Si « nul n’est pénalement responsable que de son propre fait »(L121-1 CP), l’article 121-3 CP prévoit une responsabilité pour celui qui, même s’il n’est pas l’auteur du fait, a commis une imprudence, une négligence ou un manquement à une obligation de prudence ou de sécurité prévue par la loi ou le règlement … n’a pas accompli les « diligences normales »…

 En matière de « contrôle interne », ces « diligences normales » sont retrouvées dans le COSO (référentiel de contrôle interne américain), dont les prescriptions sont reconnues par la SEC (Equivalent américain de l’AMF – Autorité des Marchés Financiers).

L’A.M.F. a par ailleurs publié, en 2006, un cadre de référence (principes généraux sur l’ensemble du processus de contrôle interne) et un guide d’application.

 A propos de la complicité … et du cas d’une sanction  pour « insuffisance de contrôle interne » :

Nécessité d’une complicité active … ou simple responsabilité indirecte ?

Dans une affaire concernant une société victime de détournements de fonds par l’un de ses employés, l’administration fiscale, le tribunal administratif de Versailles puis la cour administrative d’appel ont estimé que les détournements ne pouvaient être considérés comme « ayant été commis à l’insu » de la société.

Des anomalies et irrégularités ont été relevées « qui, bien que non mises en évidence par les commissaires aux comptes, auraient pu être détectées par les organes de contrôle de la société ».

Le 5 octobre 2007, le Conseil d’Etat a fait apparaître la notion de « responsabilité indirecte ».

Le Conseil d’Etat n’a pas suivi les juges de fond mais a reproché à ceux-ci d’avoir statué « sans rechercher si, par leur comportement délibéré ou leur carence manifeste dans l’organisation et la mise en œuvre de procédure de contrôle, contraires à l’intérêt de l’entreprise, ces dirigeants avaient été à l’origine, DIRECTE ou INDIRECTE, des détournements en cause »…

 – Sur la veille évènementielle et gestion de la crise par les dirigeants de la société générale …

 TNS Média Intelligence a mesuré la couverture de ce sujet d’actualité et estimé le « bruit médiatique » à 751 UBM (unités de bruit médiatique) correspondant à plus de 2000 articles de presse parus en une quinzaine de jours (janvier 2008).

Cet impact médiatique n’est bien sûr pas sans risque pour l’image de l’entreprise ; il suffit quelquefois de quelques jours pour tuer une réputation. 

L’entreprise se doit alors de réagir rapidement en formant aussitôt une cellule de crise impliquant le chef d’entreprise et les cadres dirigeants, de réagir, de contrer et d’occuper le terrain …

Un véritable travail de fond a été réalisé par des équipes de communication de la société générale.

Une organisation de 400 personnes dans le monde structurée en 4 pôles :

  • – relation presse,
  • – communication interne,
  • – publicité, médias, études,
  • – mécénat et sponsoring.

Réactivité, leadership, dynamique de groupe, communication, stratégie d’augmentation de capital ont semble-t-il permis à la Société Générale de « sortir de la crise par le haut », comme certains observateurs avisés l’ont annoncé dés le 29 avril 2008.

Cette affaire concerne le secteur bancaire. Mais les grandes lignes de la « stratégie globale de protection de l’entreprise » (telle que la classification apparaît dans la colonne de gauche de la page d’accueil) sont retrouvées, depuis la politique et l’organisation de la « sécurité », jusqu’aux responsabilités directes ou indirectes et la gestion de la crise en passant par la veille évènementielle.

Joseph Triquell

Publicités

2 réflexions au sujet de « « Affaire KERVIEL » : risque opérationnel, contrôle interne, gestion de crise et responsabilités … »

  1. C’est incroyable ce qu’on reproche à Kerviel. C’est bien la première fois qu’on voit une telle injustice. Il n’y a pas ni vol ni de détournement de fonds. Il a certes fait une erreur et mérite d’être licencié mais c’est tout. J’en connais un qui a fait exploser un réservoir suite à une erreur; il a été simplement licencié. C’est pareil pour Kerviel. On se demande si ses juges ne sont pas sous influence.

    1. Merci pour votre réaction …
      L’approche purement juridique peut avoir des difficultés à aborder la notion de « partage de responsabilités » !

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s