Avec la publication ce vendredi du rapport d'audit réalisé par le cabinet d'audit Pricewatershouse Coopers, à la demande du conseil d'administration, la Société générale espère en avoir fini avec l'affaire Kerviel. Dernier volet de la grande opération de transparence promise aux marchés après la découverte d'une fraude qui lui a coûté 4,9 milliards d'euros, celui-ci a été fait en vue d'en finir avec les polémiques et afin d'éteindre toutes les craintes.
En apparence, c'est un rapport technique, portant sur toutes les méthodes de contrôle bancaire mises en œuvre par la banque, que l'on peut lire ici. « Nous n'avons pas réalisé une mission d'investigation de la fraude, mission qui a été conduite par l'inspection générale », écrivent les rapporteurs en préambule. « Notre analyse a été limitée à la revue des faiblesses du dispositif de contrôle », poursuivent-ils. Derrière l'analyse rigoureuse des procédures où jamais ne figure un nom, apparaît en creux une critique sévère des systèmes utilisés par la Société générale. A sa lecture, la banque semble avoir été un terreau fertile pour porter la fraude de Jérôme Kerviel.
D'emblée, les auditeurs soulignent que le souci du contrôle et de la sécurité n'a peut-être pas été premier dans le pôle "actions" de la banque, portée alors par un fort développement et le succès. « Le dispositif de contrôle, incluant les back et middle offices ainsi que les grandes fonctions transversales, fragilisé par cet environnement général a souffert de faiblesses au niveau de sa conception, de sa mise en œuvre et de son pilotage qui ont réduit son efficacité face à la fraude », notent-ils ainsi, énumérant à chaque fois les défaillances. Il y avait les lacunes dans les systèmes informatiques, des procédures mal établies ou très lâches, mais aussi un esprit, une absence de vigilance. Le rapport se fait ici très sévère, si sévère que le passage mérite d'être cité in extenso : « Même s'il n'est pas exclusif d'un contrôle indépendant, le premier niveau d'un contrôle efficient reste le suivi managérial. Au niveau de l'équipe Delta One [le pôle où travaillait Jérôme Kerviel ], il s'est montré défaillant tant en matière de supervision de l'activité qu'en matière de gestion des hommes. Ainsi, la hiérarchie du trader n'a pas effectué les diligences nécessaires qui auraient consisté à exploiter les états existants (états de position, de valorisation, de suivi de résultat ou encore de trésorerie) et qui auraient pu lui permettre d'identifier la véritable nature de l'activité du trader. Le développement des activités de Delta One et la croissance significative de ses résultats se sont accompagnés par l'apparition de pratiques non autorisées telles que des dépassements fréquents de limites de risque de marché, ou encore le lissage ou le transfert de résultat entre traders. » Dans ce climat, les activités de contrôle ont eu le plus grand mal à s'imposer. La culture du résultat a tout emporté.
Tout de suite après la révélation de la fraude, la direction de la Société générale a pris dix mesures pour renforcer ses procédures de contrôle. L'énumération de ces dix points laisse un peu songeur, alors que la banque n'avait cessé d'insister dans le passé sur ses méthodes rigoureuses. Ainsi, celle-ci a entrepris à partir de février de « mener une action correctrice » sur le contrôle nominal des transactions, sur les contreparties, sur les dépôts de garantie et les appels de marge. Plus inquiétant, elle opte pour un changement régulier des mots de passe pour les activités sensibles, mesure minimale dans tous les systèmes exposés, et décide de « supprimer les accès du front office en écriture sur les applications du middle office ». En d'autres termes, les traders avaient la possibilité de rentrer dans le système des personnes chargées par la suite de suivre les opérations et de les contrôler. Dernier changement : elle décide d'établir une procédure d'escalade des alertes issues des procédures de contrôle. Pendant dix-huit mois, il y avait eu 74 alertes sur les opérations de Jérôme Kerviel sans que rien ne se passe.
Lors de leur enquête, les auditeurs ont recommandé d'ajouter d'autres mesures afin de renforcer le contrôle, et fin avril ils ont dressé un tableau de l'avancement des travaux. Certains points ont été parfaitement réalisés, d'autres sont encore à mettre en œuvre en raison de difficultés techniques. Mais certaines leçons aussi ne semblent pas avoir été du tout tiré. Ainsi, le rapport note que pour le contrôle des transactions à date différée, une technique à laquelle Jérôme Kerviel a eu recours pour masquer sa fraude, si tout est en ordre au pôle actions, tout reste à faire au pôle taux : « La justification du bien-fondé des transactions n'a pas été mise en œuvre . Et même si la confirmation de la réalité des transactions est correctement définie dans la procédure, ce contrôle n'est pas mis en œuvre », pointent les auditeurs.
L'ensemble de ces chantiers de remise en ordre devrait être achevé courant 2009. Mais le rapport insiste sur un fait. Les changements de méthode et de sécurité informatique ne peuvent porter leur fruit que s'ils sont accompagnés d'une nouvelle culture de responsabilisation de tous les acteurs. Au-delà des engagements écrits, des codes éthiques et aux autres missions, le succès repose aussi, souligne-t-il, sur «l''exemplarité de l'ensemble des lignes managériales qui, en incarnant dans leurs actions au quotidien les messages communiqués, agira comme un catalyseur sur l'ensemble du dispositif ».
