Le contrôle interne a notamment pour objet, dans des conditions optimales de sécurité, de fiabilité et d'exhaustivité, de :

a) Vérifier que les opérations réalisées par l'entreprise, ainsi que l'organisation et les procédures internes, sont conformes aux dispositions propres aux activités bancaires et financières, qu'elles soient de nature législative ou réglementaire, nationales ou européennes directement applicables, ou qu'il s'agisse de normes professionnelles et déontologiques, ou d'instructions des dirigeants effectifs prises notamment en application des stratégies et politiques régissant la prise, la gestion, le suivi et la réduction des risques ainsi que des orientations et de la politique de surveillance de l'organe de surveillance ;

b) Vérifier que les procédures de décisions, de prises de risques, quelle que soit leur nature, et les normes de gestion fixées, notamment sous forme de limites par les dirigeants effectifs dans le cadre des politiques et orientations de l'organe de surveillance et définies conformément à l'appétit pour le risque, sont strictement respectées ;

c) Vérifier la qualité de l'information comptable, financière et relative aux normes de gestion, qu'elle soit destinée aux dirigeants effectifs ou à l'organe de surveillance, transmise aux autorités de tutelle et de contrôle ou qu'elle figure dans les documents destinés à être publiés ;

d) Vérifier les conditions d'évaluation, d'enregistrement, de conservation et de disponibilité de cette information, notamment en garantissant l'existence de la piste d'audit au sens de l'article 85 ;

e) Vérifier la qualité des processus concourant à la sécurité et au bon fonctionnement du système d'information et à la continuité d'activité ;

f) Vérifier l'exécution dans des délais raisonnables des mesures correctrices décidées au sein des entreprises assujetties ;

g) Vérifier le respect des dispositions relatives aux politiques et pratiques de rémunération, qu'elles soient de nature législative ou réglementaire, y compris les dispositions européennes qui sont directement applicables, et des principes généraux de rémunération définis par l'organe de surveillance ou, le cas échéant, les assemblées générales compétentes.

Les entreprises assujetties disposent, selon des modalités adaptées à leur taille, à la nature et à la complexité de leurs activités, de trois niveaux de contrôle distincts :

a) Le premier niveau de contrôle est assuré par des agents exerçant des activités opérationnelles. Ces agents identifient les risques induits par leur activité et respectent les procédures et les limites fixées.

b) Le deuxième niveau de contrôle est assuré par des agents au niveau des services centraux et locaux, exclusivement dédiés à la gestion des risques y compris le risque de non-conformité. Dans le cadre de cette mission, ces agents vérifient notamment que les risques ont été identifiés et gérés par le premier niveau de contrôle selon les règles et procédures prévues. Ce deuxième niveau de contrôle est assuré par la fonction de vérification de la conformité et la fonction de gestion des risques mentionnés respectivement au chapitre II et IV du présent titre ou par une ou plusieurs unités indépendantes dédiées au deuxième niveau de contrôle.

c) Le troisième niveau de contrôle est assuré par la fonction d'audit interne composée d'agents au niveau central et, le cas échéant, local distincts de ceux réalisant les contrôles de premier et deuxième niveau.

Les deux premiers niveaux de contrôle assurent le contrôle permanent de la conformité, de la sécurité et de la validation des opérations réalisées et du respect des autres diligences liées aux missions de la fonction de gestion des risques.

Le troisième niveau de contrôle assure, au moyen d'enquêtes, le contrôle périodique de la conformité des opérations, du niveau de risque effectivement encouru, du respect des procédures, de l'efficacité et du caractère approprié des dispositifs mentionnés au a et b.

L'organisation des entreprises assujetties adoptée en application de l'article 12 est conçue de manière à assurer une stricte indépendance entre, d'une part, les unités chargées de l'engagement des opérations et, d'autre part, les unités chargées de leur validation, notamment comptable, de leur règlement ainsi que du suivi des diligences liées aux missions de la fonction de gestion des risques.

Les agents exerçant des contrôles de deuxième niveau sont indépendants des unités qu'ils contrôlent.

Cette indépendance est assurée par un rattachement hiérarchique différent de ces unités et de ces agents jusqu'à un niveau suffisamment élevé ou par une organisation qui garantit une séparation claire des fonctions ou encore par des procédures, éventuellement informatiques, conçues dans ce but et dont l'entreprise est en mesure de justifier l'adéquation.

La rémunération des personnels des unités chargées de la validation des opérations est fixée indépendamment de celle des métiers dont ils valident ou vérifient les opérations, et à un niveau suffisant pour disposer de personnels qualifiés et expérimentés.
Elle tient compte de la réalisation des objectifs associés à la fonction.

Les entreprises assujetties désignent les responsables pour les fonctions de contrôle permanent de deuxième niveau prévu au b de l'article 12.

Les responsables des fonctions de contrôle permanent de deuxième niveau, lorsqu'ils ne sont pas dirigeants effectifs, n'effectuent aucune opération commerciale, financière ou comptable.

Les entreprises assujetties désignent un dirigeant effectif responsable de la cohérence et de l'efficacité dudit contrôle.

Les entreprises assujetties désignent également un responsable de la fonction d'audit interne mentionnée à l'article 12.

Les entreprises assujetties définissent des procédures internes encadrant la désignation et la révocation du responsable mentionné à l'alinéa précédent.

Les entreprises assujetties désignent un dirigeant effectif en charge de la cohérence et de l'efficacité du contrôle périodique assuré par la fonction d'audit interne.

Les agents composant la fonction d'audit interne exercent leurs missions de manière indépendante à l'égard de l'ensemble des entités et services qu'ils contrôlent.

Lorsque la taille de l'entreprise assujettie ne justifie pas de confier les responsabilités du contrôle permanent et du contrôle périodique à des personnes différentes, ces responsabilités peuvent être confiées soit à une seule personne, soit aux dirigeants effectifs qui assurent, sous le contrôle de l'organe de surveillance, la coordination de tous les dispositifs qui concourent à l'exercice de cette mission.

Lorsque l'entreprise assujettie est une entreprise d'investissement, le contrôle permanent prévu à l'article 12 peut être confié aux personnes en charge des contrôles prévus par le règlement général de l'Autorité des marchés financiers.

Le responsable de ces contrôles peut assurer les responsabilités prévues à l'article 16.

Lorsqu'une entreprise assujettie appartient à un groupe, les responsabilités mentionnées à l'article 18 peuvent être assurées au niveau d'une autre entreprise assujettie du même groupe ou affiliée au même organe central, après accord des organes de surveillance des deux entreprises concernées.

Dans les conditions prévues à l'article 18 ou lorsque des circonstances particulières le justifient, une entreprise assujettie peut confier des tâches d'exécution des contrôles prévus à l'article 12 à des prestataires extérieurs de services sous la responsabilité des personnes désignées en application de l'article 16 et dans les conditions prévues aux articles 237 à 240.

L'organe de surveillance et, le cas échéant, le comité des risques est tenu informé par les dirigeants effectifs de la désignation des responsables mentionnés aux articles 16 et 17, dont l'identité est communiquée à l'Autorité de contrôle prudentiel et de résolution.

Les responsables mentionnés aux articles 16 et 17 rendent compte de l'exercice de leurs missions aux dirigeants effectifs et à l'organe de surveillance ainsi que, le cas échéant, au comité des risques.

Les entreprises assujetties s'assurent que le nombre et la qualification des personnes mentionnées à l'article 12, ainsi que les moyens mis à leur disposition, en particulier les outils de suivi et les méthodes d'analyse de risques, sont adaptés à la taille, aux implantations ainsi qu'à la nature, à l'échelle et à la complexité des risques inhérents au modèle d'entreprise et à leurs activités.

Les moyens affectés à la fonction d'audit interne mentionnée à l'article 12 sont suffisants pour mener un cycle complet d'investigations de l'ensemble des activités sur un nombre d'exercices aussi limité que possible qui ne saurait excéder cinq ans. La fréquence et les priorités des cycles d'audit sont proportionnées aux risques identifiés au sein des entreprises assujetties.

Un programme des missions de contrôle est établi au moins une fois par an en intégrant les objectifs annuels des dirigeants effectifs et des orientations de l'organe de surveillance en matière de contrôle.

Les entreprises assujetties définissent des procédures qui permettent :

a) De vérifier l'exécution dans des délais raisonnables des mesures correctrices qui ont été décidées par les personnes compétentes dans le cadre du dispositif de contrôle interne ;

b) Au responsable de la fonction d'audit interne d'informer directement et de sa propre initiative l'organe de surveillance et, le cas échéant, le comité des risques de l'absence d'exécution des mesures correctrices décidées.

Les entreprises assujetties s'assurent que le système de contrôle s'intègre dans l'organisation, les méthodes et les procédures de chacune des activités et que les dispositions du dernier alinéa de l'article 12 relatives à l'audit interne s'appliquent à l'ensemble de l'entreprise, y compris ses succursales, ainsi qu'à l'ensemble des entreprises contrôlées de manière exclusive ou conjointe.