Les risques font partie intégrante du métier de banquier. Quelle que soit la nature des risques encourus, leur maîtrise est un enjeu fondamental afin d’assurer la solvabilité de l’établissement et de protéger les intérêts des clients. Face à ces enjeux, le législateur et les autorités de contrôle et de tutelle exigent des établissements bancaires la mise en place d’un système de contrôle interne, dont l’objectif est de prévenir les risques et de les contrôler.
Il s'agit donc d'une obligation légale qui a évolué au fil du temps et qui trouve son origine dans les travaux du comité de Bâle dans les années 90. En France, le Comité de la réglementation bancaire et financière avait mis en place un règlement, le CRBF 97-02, sur les "Conditions d'exercice du contrôle interne des établissements bancaire" qui imposait aux banques d'établir un système de contrôle interne adapté à la nature et au volume de leurs activités, à leur taille, à leurs implantations et aux risques de différentes natures auxquels elles sont exposées.
La dernière réglementation est l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution (ACPR).
Selon les textes en vigueur, un service de contrôle interne bancaire doit comprendre « un système de contrôle des opérations et des procédures internes, une organisation comptable et du traitement de l'information, des systèmes de mesure des risques et des résultats, des systèmes de surveillance et de maîtrise des risques, un système de documentation et d'information et un dispositif de surveillance des flux d'espèces et de titres. »
Le contrôle interne bancaire doit prendre la forme d'un contrôle permanent et d'un contrôle périodique.
La gestion des risques et le dispositif de contrôle interne font l’objet d'un rapport annuel à destination :
- du comité des risques de l'établissement chargé d’évaluer et d’émettre des avis à l’attention du COS sur la qualité du contrôle interne ;
- de l'organe central BPCE ;
- des autorités de contrôle et de tutelle : ACPR, BCE