Les fonctions de contrôle sont en constante évolution comme la réglementation. Cette dernière est d’ailleurs à l’origine de leur création. Ainsi, dès 1990, tous les établissements de crédit ont dû mettre en place la fonction de responsable de contrôle interne et des dispositions adéquates de surveillance. Peu à peu ces fonctions se sont étoffées et multipliées dans différents domaines comme la sécurité des systèmes d’information, la conformité et la gestion des risques.

Ces fonctions de contrôle doivent être indépendantes et doivent jouer chacune leur rôle en distinguant le contrôle périodique de celui permanent. Cette séparation permet de bien gérer et de contrôler les risques au travers du modèle des 3 lignes de défense. Même s’il est possible d’externaliser certaines de ces activités, les normes en matière de contrôle des prestations externalisées se sont durcies et doivent faire partie des plans de contrôle.

Des fonctions de contrôle fortes constituent un contre-pouvoir mais cela ne suffit pas pour assurer la surveillance consolidée, il faut également une gouvernance adaptée. Depuis le 3 novembre 2014, les entreprises dont le total de bilan est supérieur à 5 milliards d’euros doivent constituer un comité des risques, un comité de nomination et un comité des rémunérations. Le comité d’audit et celui des risques ayant des rôles et des responsabilités bien définis nécessitent des compétences différentes des administrateurs, plutôt financières pour le premier et de gestion des risques pour le second.

Dans sa conclusion, l’auteure souligne un autre élément clé qu’il ne faut pas négliger au sein du conseil d’administration: la formation des administrateurs. Cet élément est devenu de plus en plus important pour les institutions financières, compte tenu de l’évolution réglementaire en plein essor couvrant de nouveaux sujets comme l’ESG.