Le Control Interne Dans Les Risk Bancair

8/3/2019 Le Control Interne Dans Les Risk Bancair

1/35

CADRE POUR LES SYSTEMES

DE CONTROLE INTERNE DANS

LES ORGANISATIONS BANCAIRES

Comit de Ble sur le contrle bancaire

Ble

Septembre 1998


2/35

Table des matires

Page

Introduction 1

I. Contexte gnral 6

II. Objectifs et rle du cadre de contrle interne 8

III. Principaux lments dun processus de contrle interne 10

A. Surveillance par la direction et culture de contrle 10

1. Conseil dadministration 102. Direction gnrale 11

3. Culture de contrle 12

B. Reconnaissance et valuation des risques 13

C. Activits de contrle et sparation des tches 14

D. Information et communication 17

E. Surveillance des activits et correction des dficiences 20

IV. valuation des systmes de contrle interne par les autoritsprudentielles 23

V. Rles et responsabilits des auditeurs externes 27

Annexe I 28

Documents de rfrence

Annexe II 29

Enseignements prudentiels fournis par les cas de dfaillances

des contrles internes


3/35

Cadre pour les systmes de contrle internedans les organisations bancaires

INTRODUCTION

1. Dans le sens de laction quil poursuit pour rsoudre les questions prudentielles et

renforcer le contrle des banques par des recommandations encourageant lapplication de

saines pratiques de gestion des risques, le Comit de Ble sur le contrle bancaire 1publie ce

cadre dvaluation des systmes de contrle interne. Un systme de contrle interne efficace

est une composante essentielle de la gestion dun tablissement et constitue le fondement

dun fonctionnement sr et prudent dune organisation bancaire. En se dotant de contrlesinternes rigoureux, une banque pourra mieux raliser ses buts et ses objectifs de rentabilit

long terme, en assurant galement la fiabilit de sa communication financire tant externe

qu sa direction. Un tel systme peut aussi garantir que la banque agit dans le respect des lois

et rglementations ainsi que de ses politiques, programmes, rgles et procdures internes; il

attnue, en outre, le risque de pertes imprvues ou datteinte la rputation de

ltablissement. Ce document dcrit les lments cls dun systme de contrle interne sain,

en se fondant sur lexprience enregistre dans les pays membres et sur les principes prciss

dans les publications antrieures du Comit. Il entend dfinir certains principes destins auxautorits prudentielles dans leur valuation des systmes de contrle interne des banques.

2. Le Comit de Ble, conjointement avec les autorits de contrle bancaire du

monde entier, insiste de plus en plus sur limportance de contrles internes sains. Cet intrt

accru sexplique en partie par les pertes substantielles subies par plusieurs organisations

bancaires. Lanalyse des problmes lis ces pertes montre quelles auraient probablement pu

tre vites si les banques avaient t dotes de systmes de contrle interne efficaces. De tels

systmes auraient, en effet, empch lapparition de ces problmes ou permis de les dtecter,

limitant ainsi les dommages causs aux organisations bancaires. En laborant ces principes, le

Comit a tir des enseignements des situations des banques en difficult dans les divers pays

membres.

3. Ces principes se prtent donc une application gnrale, et les autorits de

contrle devraient sy rfrer pour valuer les mthodes et procdures quelles emploient pour

1 Le Comit de Ble sur le contrle bancaire, institu en 1975 par les gouverneurs des banques centralesdes pays du Groupe des Dix, rassemble les autorits de contrle des banques. Il est compos de hautsreprsentants des autorits de contrle bancaire et banques centrales dAllemagne, de Belgique, du

Canada, des Etats-Unis, de France, dItalie, du Japon, du Luxembourg, des Pays-Bas, du Royaume-Uni,de Sude et de Suisse. Ses runions ont habituellement pour cadre la Banque des RglementsInternationaux, Ble, sige de son Secrtariat permanent.


4/35

- 2 -

voir comment les banques structurent leurs systmes de contrle interne. Lapproche exacte

retenue par les divers responsables prudentiels sera fonction, bien entendu, de nombreux

facteurs, dont leurs techniques de contrle sur place et sur pices, et de la part prise par les

auditeurs externes dans lexercice de la surveillance; nanmoins, tous les membres du

Comit de Ble reconnaissent que les principes tablis dans ce document devraient treutiliss pour valuer le systme de contrle interne dune banque.

4. Le Comit de Ble adresse ce document toutes les autorits de contrle dans le

monde, tant convaincu que les principes quil contient fourniront un cadre utile pour une

surveillance efficace des systmes de contrle interne. Dune manire plus gnrale, le

Comit dsire souligner que des contrles internes sains sont un lment essentiel la

conduite prudente de lactivit bancaire et quils favorisent galement la stabilit globale du

systme financier. Il reconnat que, si tous les tablissements nont peut-tre pas mis en place

tous les aspects de ce cadre, ils sy emploient dans lensemble.5. Les recommandations diffuses antrieurement par le Comit de Ble

comportaient gnralement des analyses des contrles internes portant sur des domaines

spcifiques de lactivit bancaire, tels que le risque de taux dintrt et les oprations de

ngociation et sur instruments drivs. Cette fois, cependant, elles prsentent un cadre que le

Comit encourage les autorits prudentielles utiliser pour valuer les contrles internes sur

lensemble des activits de bilan et de hors-bilan des banques et des organisations bancaires

consolides. Ces recommandations ne se concentrent pas sur des secteurs ou activits

spcifiques au sein dune organisation bancaire, et leur application exacte dpend de la natureet de la complexit des activits effectues ainsi que des risques quelles comportent.

6. Le Comit prcise, dans la section I, certaines informations dordre gnral et,

dans la suivante, les objectifs et le rle dun cadre de contrle interne; dans les sections III et

IV, il nonce treize principes lusage des autorits de contrle bancaire pour valuer les

systmes de contrle interne des tablissements. Lannexe I prsente une liste douvrages de

rfrence et lannexe II fournit des enseignements prudentiels tirs de cas antrieurs de

contrles internes insuffisants.

Principes pour lvaluation des systmes de contrle interne

Surveillance par la direction et culture de contrle

Principe 1:

Le conseil dadministration devrait tre charg dapprouver et de revoir

priodiquement les grandes stratgies et les principales politiques de la banque,

dapprcier les risques substantiels quelle encourt, de fixer des niveaux

acceptables pour ces risques et de sassurer que la direction gnrale prend les

dispositions ncessaires pour identifier, mesurer, surveiller et contrler cesrisques, dapprouver la structure organisationnelle et de veiller ce que la


5/35

- 3 -

direction gnrale surveille lefficacit du systme de contrle interne. Le conseil

dadministration est responsable en dernier ressort de lexistence et du respect

dun systme de contrle interne adquat et performant.

Principe 2:La direction gnrale devrait tre charge de mettre en uvre les stratgies et

politiques approuves par le conseil, dlaborer des processus permettant

didentifier, de mesurer, de surveiller et de contrler les risques encourus, de

mettre en place une structure organisationnelle fixant clairement les rapports de

responsabilit, dautorit et de notification, de garantir lexercice effectif des

responsabilits dlgues, de dfinir des politiques de contrle interne appropries

et de surveiller ladquation et lefficacit du systme de contrle interne.

Principe 3:

Le conseil dadministration et la direction gnrale sont chargs de promouvoir

des critres levs dthique et dintgrit et dinstaurer, au sein de lorganisation

bancaire, une culture qui souligne et dmontre, tous les niveaux du personnel,

limportance des contrles internes. Tout le personnel de lorganisation doit

comprendre son rle dans le contrle interne et simpliquer activement dans ce

processus.

Reconnaissance et valuation des risques

Principe 4:

Un systme de contrle interne efficace ncessite de reconnatre et dvaluer en

permanence les risques importants qui pourraient compromettre la ralisation des

objectifs de la banque. Cette valuation devrait couvrir lensemble des risques

encourus par ltablissement et lorganisation bancaire consolide (cest--dire

risque de crdit, risque-pays et risque de transfert, risque de march, risque de

taux dintrt, risque de liquidit, risque oprationnel, risque juridique et risque

de rputation). Une rvision des contrles internes peut savrer indispensablepour traiter de manire approprie tout risque nouveau ou prcdemment

incontrl.

Activits de contrle et sparation des tches

Principe 5:

Les activits de contrle devraient faire partie intgrante des activits quotidiennes

de la banque. Un systme de contrle interne efficace ncessite la mise en place

dune structure de contrle approprie, avec des activits de contrle dfinies chaque niveau oprationnel. Celles-ci devraient inclure les lments suivants:


6/35

- 4 -

examens au plus haut niveau; contrles dactivit appropris pour les diffrents

dpartements ou units; contrles physiques; vrification du respect des plafonds

dengagement et suivi en cas de non-respect; systme dapprobations et

dautorisations; systme de vrifications et de contrles par rapprochement.

Principe 6:

Un systme de contrle interne efficace ncessite que les tches soient spares de

faon approprie et que le personnel ne soit pas charg de responsabilits

conflictuelles. Les domaines susceptibles de donner lieu des conflits dintrts

devraient tre identifis, circonscrits aussi troitement que possible et soumis une

surveillance attentive dune tierce partie indpendante.

Information et communication

Principe 7:

Un systme de contrle interne efficace ncessite lexistence de donnes internes

adquates et exhaustives dordre financier, oprationnel ou ayant trait au

respect de la conformit ainsi que dinformations de march extrieures sur les

vnements et conditions intressant la prise de dcision. Ces donnes et

informations devraient tre fiables, rcentes, accessibles et prsentes sous une

forme cohrente.

Principe 8:

Un systme de contrle interne efficace ncessite lexistence de systmes

dinformation fiables couvrant toutes les activits importantes de la banque. Ces

systmes, notamment ceux qui comportent et utilisent des donnes informatises,

doivent tre srs, surveills de manire indpendante et tays par des plans de

secours adquats.

Principe 9:

Un systme de contrle interne efficace ncessite des voies de communicationperformantes pour garantir que lensemble du personnel comprend et respecte

parfaitement les politiques et procdures affectant ses tches et responsabilits et

que les autres informations importantes parviennent leurs destinataires.

Surveillance des activits et correction des dficiences

Principe 10:

Lefficacit globale des contrles internes de la banque devrait tre surveille en

permanence. Le suivi des principaux risques devrait faire partie des activits


7/35

- 5 -

quotidiennes de la banque de mme que les valuations priodiques effectues par

les secteurs dactivit et laudit interne.

Principe 11:

Un audit interne efficace et exhaustif du systme de contrle interne devrait treeffectu par un personnel bien form et comptent bnficiant dune indpendance

oprationnelle. La fonction daudit interne, en tant qulment de la surveillance

du systme de contrle interne, devrait rendre compte directement au conseil

dadministration, ou son comit daudit, ainsi qu la direction gnrale.

Principe 12:

Les dficiences des contrles internes, quelles soient dtectes par un secteur

dactivit, laudit interne ou un autre personnel de contrle, devraient trenotifies dans les meilleurs dlais au niveau de direction appropri et faire lobjet

dun traitement rapide. Les dficiences importantes devraient tre signales la

direction gnrale et au conseil dadministration.

Evaluation des systmes de contrle interne par les autorits prudentielles

Principe 13:

Les autorits prudentielles devraient exiger que toutes les banques, quelle que soit

leur dimension, disposent dun systme efficace de contrle interne correspondant

la nature, la complexit et au degr de risque inhrent leurs activits de bilanet de hors-bilan et ragissant aux modifications de lenvironnement et des

conditions dactivit de la banque. Dans les cas o les autorits prudentielles

constatent que le systme de contrle interne nest pas adquat ou efficace par

rapport au profil de risque spcifique de ltablissement (sil ne prend pas en

compte, par exemple, tous les principes contenus dans ce document), elles

devraient intervenir en consquence.


8/35

- 6 -

I. Contexte gnral

1. Le Comit de Ble a analys certains cas rcents de banques en difficult, afin

didentifier les principales origines des dficiences de contrle interne. Les problmes mis

jour renforcent lide quil est important que les administrateurs et la direction des banques,les auditeurs internes et externes ainsi que les autorits de contrle bancaire consacrent

davantage dattention au renforcement des systmes de contrle interne et lvaluation

permanente de leur efficacit. Plusieurs de ces cas montrent que des contrles internes

inadquats peuvent occasionner des pertes bancaires substantielles.

2. Les carences observes gnralement dans les banques en difficult peuvent tre

classes en cinq catgories.

Dfaillances dans la surveillance et lexercice des responsabilits de la part de la

direction et absence dune forte culture de contrle au sein de la banque. Les cas depertes importantes refltent tous, sans exception, un manque dattention et de rigueur de

la direction envers la culture de contrle dans la banque, une orientation et une

surveillance insuffisantes de la part du conseil dadministration et de la direction

gnrale ainsi que labsence dun exercice clair des responsabilits de la direction dans

lattribution des rles et des tches. Ces cas rvlent galement labsence dincitations

appropries pour que la direction exerce une surveillance hirarchique rigoureuse et

maintienne un niveau lev de conscience du contrle au sein des divers secteurs

dactivit. Reconnaissance et valuation inadquates du risque inhrent certaines activits

bancaires, tant de bilan que de hors-bilan. De nombreuses organisations bancaires

ayant subi des pertes substantielles ngligeaient de reconnatre et dvaluer les risques

lis aux nouveaux produits et activits ou de revoir leurs estimations des risques en

fonction des modifications notables de lenvironnement ou des conditions dactivit.

Plusieurs cas rcents montrent clairement que des systmes de contrle performants

pour des produits traditionnels ou simples sont inoprants pour des instruments plus

sophistiqus ou complexes. Absence ou dficience de structures et dlments cls du contrle, tels que

sparation des tches, approbations, vrifications, contrles par rapprochement,

analyses des rsultats dexploitation. La non-sparation des tches, en particulier, a

jou un rle majeur dans les pertes sensibles enregistres par les banques.

Mauvaise communication de linformation entre les niveaux de direction,

spcialement vers le haut pour signaler les problmes. Pour tre efficaces, les

politiques et procdures doivent tre communiques de manire effective lensemble

du personnel associ une activit. Certaines pertes bancaires ont t dues au fait que


9/35

- 7 -

des agents directement concerns ne connaissaient ou ne comprenaient pas les

politiques de ltablissement. Dans plusieurs cas, des informations sur des activits

inappropries, qui auraient d tre transmises la direction par la voie hirarchique,

nont t notifies au conseil dadministration ou la direction gnrale que lorsque les

problmes taient devenus graves. Dans dautres cas, le contenu des rapports la

direction tait insuffisant ou inexact, donnant ainsi une impression faussement favorable

sur la situation dune activit.

Programmes daudit et autres activits de surveillance inadquats ou inefficaces. Trs

souvent, les audits effectus ntaient pas suffisamment rigoureux pour dceler et

notifier les insuffisances du contrle dans les banques en difficult. Dans dautres cas,

mme si les auditeurs ont fait part des problmes dtects, aucun mcanisme ntait

prvu pour faire en sorte que la direction remdie aux dficiences.

3. Le cadre de contrle interne qui sous-tend ces recommandations est fond sur les

pratiques suivies actuellement dans de nombreuses grandes banques, entreprises

dinvestissement et socits non financires ainsi que par leurs auditeurs. En outre, ce cadre

dvaluation va dans le sens de limportance accrue confre par les autorits de contrle

bancaire lexamen des processus de gestion du risque et de contrle interne dans une

organisation bancaire. Il importe de souligner quil incombe au conseil dadministration et

la direction gnrale de sassurer de lexistence de contrles internes adquats et de

promouvoir un environnement dans lequel les individus comprennent et assument leurs

responsabilits dans ce domaine. Les autorits de contrle bancaire, pour leur part, ont

mission dvaluer lengagement du conseil dadministration et de la direction de la banque

lgard du processus de contrle interne.


10/35

- 8 -

II. Objectifs et rle du cadre de contrle interne

4. Le contrle interne est unprocessus mis en uvre par le conseil dadministration2,

la direction gnrale et tous les niveaux du personnel. Il ne sagit pas simplement dune

procdure ou dune politique applique un moment donn, mais plutt dun systme quifonctionne en continu tous les niveaux de la banque. Le conseil dadministration et la

direction gnrale sont chargs dinstaurer la culture approprie capable de favoriser un

processus de contrle interne efficace et den surveiller en permanence lefficacit; il importe

toutefois que chacun y participe activement. Les principaux objectifs du processus de contrle

interne3peuvent tre classs en trois groupes:

1. efficience et efficacit des activits (objectifs de performance);

2. fiabilit, exhaustivit et actualit des donnes financires et des informations

destines la direction (objectifs dinformation);3. conformit aux lois et rglementations applicables (objectifs de conformit).

5. Les objectifs de performance sont lis lefficacit et lefficience de la banque

dans lutilisation de ses actifs et autres ressources ainsi que dans la protection de

ltablissement vis--vis des pertes. Le processus de contrle interne cherche sassurer que

lensemble du personnel uvre avec efficience et intgrit la ralisation des objectifs, sans

occasionner des cots imprvus ou excessifs ni privilgier dautres intrts (tels que ceux

dun employ, dun fournisseur ou dun client) que ceux de la banque.

6. Les objectifs dinformation portent sur la prparation de rapports pertinents,fiables et aussi rcents que possible, indispensables la prise de dcision au sein de

lorganisation bancaire. Ils recouvrent galement la ncessit dtablir des comptes annuels,

tats financiers et autres communications et rapports de caractre financier qui soient fiables

pour les actionnaires, autorits de contrle et autres parties extrieures. Les donnes reues

par la direction, le conseil dadministration, les actionnaires et les autorits de contrle

devraient tre dune qualit et dune intgrit suffisantes pour que leurs bnficiaires puissent

sy rfrer pour fonder leurs dcisions. Le terme fiable, tel quil sapplique aux tats

2 Ce document se rfre une structure de gestion compose dun conseil dadministration et dunedirection gnrale. Le Comit est conscient de lexistence de diffrences notables entre les cadreslgislatifs et rglementaires des divers pays, en ce qui concerne les fonctions de ces deux instances. Danscertains pays, le conseil est charg principalement, mais non exclusivement, de superviser lorganeexcutif (direction gnrale), afin de sassurer quil sacquitte de ses tches; il est parfois appel, pourcette raison, conseil de surveillance et na pas de rle excutif. Dans dautres, en revanche, il dtient uneautorit plus large, en ce sens quil labore le cadre gnral de gestion de la banque. Du fait de cesdiffrences, les notions de conseil dadministration et de direction gnrale sont utilises dans cedocument non pas pour identifier des structures juridiques, mais plutt pour dsigner deux niveaux deprise de dcision au sein dune banque.

3 Il inclut les contrles internes sur la prservation des actifs et autres ressources contre une acquisition, unusage ou un transfert non autoris ou en cas de pertes.


11/35

- 9 -

financiers, se rapporte la prparation de documents tablis sur une base sincre partir de

principes et rgles comptables exhaustifs et bien dfinis.

7. Les objectifs de conformitgarantissent que toute lactivit bancaire est conforme

aux lois, rglementations et exigences prudentielles applicables ainsi quaux politiques et

procdures de lorganisation. Cet objectif doit tre satisfait pour prserver les droits et la

rputation de la banque.


12/35

- 10 -

III. Principaux lments dun processus de contrle interne

8. Le processus de contrle interne, qui visait traditionnellement rduire la fraude,

les dtournements de fonds et les erreurs, a pris une dimension plus vaste et recouvre

lensemble des risques encourus par les organisations bancaires. Il est admis prsent quunprocessus de contrle interne sain est essentiel pour quune banque puisse raliser les

objectifs quelle sest fixs et prserver sa viabilit financire.

9. Le contrle interne consiste en cinq lments troitement lis:

1. Surveillance par la direction et culture de contrle

2. Reconnaissance et valuation des risques

3. Activits de contrle et sparation des tches

4. Information et communication

5. Surveillance des activits et correction des dficiences.Les problmes rencontrs dans les cas rcents de pertes bancaires importantes relvent de ces

cinq catgories. Le fonctionnement efficace de ces lments est capital pour la ralisation des

objectifs de performance, dinformation et de conformit dune banque.

A. Surveillance par la direction et culture de contrle

1. Conseil dadministration

Principe 1: Le conseil dadministration devrait tre charg dapprouver et de revoirpriodiquement les grandes stratgies et les principales politiques de la banque,

dapprcier les risques substantiels quelle encourt, de fixer des niveaux acceptables

pour ces risques et de sassurer que la direction gnrale prend les dispositions

ncessaires pour identifier, mesurer, surveiller et contrler ces risques, dapprouver la

structure organisationnelle et de veiller ce que la direction gnrale surveille

lefficacit du systme de contrle interne. Le conseil dadministration est responsable

en dernier ressort de lexistence et du respect dun systme de contrle interne adquat

et performant.

10. Le conseil dadministration a une mission de gouvernance, dorientation et de

surveillance vis--vis de la direction gnrale. Il est charg dapprouver et de revoir les

grandes stratgies et les principales politiques de lorganisation ainsi que sa structure

organisationnelle. Il lui incombe en dernier ressort de veiller la mise en place et

lapplication dun systme adquat et performant de contrle interne. Ses membres devraient

tre objectifs, comptents et scrupuleux et connatre les activits de la banque ainsi que les

risques quelle encourt. Dans les pays o une telle option existe, le conseil devrait

comprendre certains membres jouissant dune indpendance par rapport la gestion


13/35

- 11 -

quotidienne de la banque. Un conseil dadministration fort et actif, surtout lorsquil est

associ des canaux de communication faisant bien remonter linformation et des organes

financiers, juridiques et daudit interne efficients, offre un mcanisme important pour

rsoudre les problmes susceptibles de nuire lefficacit du systme de contrle interne.

11. Le conseil dadministration devrait inclure dans ses activits 1) des discussions

rgulires avec la direction sur lefficacit du systme de contrle interne, 2) un examen, dans

les meilleurs dlais, des valuations des contrles internes effectues par la direction et les

auditeurs internes et externes, 3) des actions rptes pour sassurer que la direction a

rapidement pris en compte les recommandations et proccupations exprimes par les

auditeurs et autorits de contrle au sujet des carences du contrle interne, 4) un examen

priodique du bien-fond de la stratgie et des limites de risque de la banque.

12. Une option utilise par les banques de nombreux pays consiste instaurer un

comit daudit indpendant pour assister le conseil dadministration dans lexercice de sesresponsabilits. Cela permet dexaminer dans le dtail des informations et rapports sans

devoir mobiliser tous les administrateurs. Le comit daudit est gnralement responsable du

suivi du processus de communication financire et du systme de contrle interne. Dans le

cadre de cette responsabilit, il est attentif aux activits du dpartement daudit interne de la

banque, auquel il sert de contact direct; il engage galement les auditeurs externes et en est

linterlocuteur privilgi. Dans les pays optant pour un comit daudit, celui-ci devrait tre

principalement ou entirement compos dadministrateurs extrieurs (cest--dire de membres

du conseil qui ne sont employs ni par la banque ni par lun de ses tablissements affilis)possdant une comptence en matire de communication financire et de contrle interne. Il

convient de noter que la constitution dun comit daudit ne devrait en aucun cas dcharger le

conseil plnier de ses tches, lui seul tant juridiquement mandat prendre des dcisions.

2. Direction gnrale

Principe 2: La direction gnrale devrait tre charge de mettre en uvre les stratgies

et politiques approuves par le conseil, dlaborer des processus permettant didentifier,

de mesurer, de surveiller et de contrler les risques encourus, de mettre en place unestructure organisationnelle fixant clairement les rapports de responsabilit, dautorit et

de notification, de garantir lexercice effectif des responsabilits dlgues, de dfinir

des politiques de contrle interne appropries et de surveiller ladquation et lefficacit

du systme de contrle interne.

13. Il incombe la direction gnrale de mettre en uvre les directives du conseil

dadministration, en appliquant notamment les stratgies et politiques de la banque et en

instaurant un systme de contrle interne efficace. Pour llaboration des politiques etprocdures de contrle interne plus spcifiques, les membres de la direction gnrale


14/35

- 12 -

dlguent habituellement cette responsabilit aux personnes charges dune unit particulire.

Dlguer est un lment essentiel de la fonction de direction; il est toutefois important que la

direction gnrale supervise ces personnes pour sassurer quelles tablissent et conduisent

des politiques et procdures appropries.

14. Le respect de la conformit un systme de contrle interne passe en grande

partie par une structure organisationnelle parfaitement transparente et connue de lensemble

du personnel, montrant clairement les niveaux de responsabilit et dautorit en matire de

notification et permettant une communication effective dans lensemble de lorganisation. La

rpartition des tches et responsabilits devrait garantir labsence de ruptures dans la chane

hirarchique et lexercice dun degr de contrle efficace par la direction tous les niveaux

de la banque et dans toutes ses activits.

15. Il importe que la direction gnrale prenne des mesures pour garantir que les

activits sont conduites par du personnel qualifi possdant lexprience et les capacitstechniques requises. Les agents exerant des fonctions de contrle doivent bnficier dune

rmunration approprie. Une remise niveau rgulire de la formation et des comptences

du personnel devrait exister. La direction gnrale devrait instaurer des politiques de

rmunration et de promotion rcompensant les comportements adquats et rduisant au

maximum les incitations, pour les agents, ignorer ou contourner les mcanismes de

contrle interne.

3. Culture de contrlePrincipe 3: Le conseil dadministration et la direction gnrale sont chargs de

promouvoir des critres levs dthique et dintgrit et dinstaurer, au sein de

lorganisation bancaire, une culture qui souligne et dmontre, tous les niveaux du

personnel, limportance des contrles internes. Tout le personnel de lorganisation doit

comprendre son rle dans le contrle interne et simpliquer activement dans ce

processus.

16. Lun des lments essentiels dun systme de contrle interne efficace rside dansune culture de contrle forte. Il incombe au conseil dadministration et la direction gnrale

de souligner, dans les termes utiliss et les actions entreprises, limportance du contrle

interne; cela passe notamment par les valeurs thiques mises en avant par la direction dans

son comportement professionnel, tant lintrieur qu lextrieur de lorganisation. Les

termes, actes et attitudes de ces deux instances affectent lintgrit, lthique et les autres

aspects de la culture de contrle dun tablissement.

17. A des degrs divers, le contrle interne relve de la responsabilit de chacun.

Presque tous les employs produisent des informations utilises dans le systme de contrleinterne ou effectuent dautres actions indispensables lexercice du contrle. Un lment cl


15/35

- 13 -

dun systme de contrle interne fort est la conscience, pour chaque employ, de la ncessit

dassumer ses tches de manire efficace et de notifier au niveau de direction appropri tout

problme rencontr dans le cadre des oprations, toute infraction au code de conduite ainsi

que toute violation des politiques tablies ou action illgale constate. Lidal, cet effet, est

que les procdures oprationnelles soient clairement prcises par crit et mises la

disposition de lensemble du personnel concern. Il est essentiel que tous les agents de la

banque comprennent limportance du contrle interne et simpliquent activement dans ce

processus.

18. En renforant les valeurs thiques, les organisations bancaires devraient viter des

politiques et pratiques pouvant engendrer par mgarde des incitations ou des tentations

effectuer des activits inappropries: importance exagre donne aux objectifs de

performance ou autres rsultats oprationnels, particulirement ceux court terme qui

ngligent les risques plus long terme; systmes de rmunration privilgiant trop laperformance court terme; sparation inefficace des tches ou dautres fonctions de contrle

pouvant amener mal utiliser les ressources ou dissimuler des performances mdiocres;

sanctions minimes ou excessives en cas de comportement incorrect.

19. Si lexistence dune forte culture de contrle interne ne garantit pas une

organisation datteindre ses objectifs, son absence augmente les risques derreurs non

dceles ou dirrgularits.

B. Reconnaissance et valuation des risques

Principe 4: Un systme de contrle interne efficace ncessite de reconnatre et dvaluer

en permanence les risques importants qui pourraient compromettre la ralisation des

objectifs de la banque. Cette valuation devrait couvrir lensemble des risques encourus

par ltablissement et lorganisation bancaire consolide (cest--dire risque de crdit,

risque-pays et risque de transfert, risque de march, risque de taux dintrt, risque de

liquidit, risque oprationnel, risque juridique et risque de rputation). Une rvision des

contrles internes peut savrer indispensable pour traiter de manire approprie tout

risque nouveau ou prcdemment incontrl.

20. Lactivit bancaire comporte une prise de risques. Il est donc impratif que, dans

le cadre dun systme de contrle interne, ces risques soient reconnus et valus en

permanence. Dans la perspective du contrle interne, cette valuation devrait dceler et

apprcier les facteurs internes et externes pouvant compromettre la ralisation des objectifs de

performance, dinformation et de conformit de lorganisation bancaire. Cette analyse devrait

prendre en compte tous les risques rencontrs par la banque et couvrir tous les niveaux de

ltablissement. Elle se diffrencie de lanalyse de gestion des risques qui porte, en gnral,


16/35

- 14 -

davantage sur lexamen des stratgies dactivit labores pour obtenir le meilleur rapport

possible risque/rmunration dans les diffrents secteurs de la banque.

21. Une valuation efficace des risques recense et analyse les facteurs internes

(complexit de la structure de lorganisation, nature des activits de la banque, qualit du

personnel, modifications organisationnelles et mouvements deffectifs) et externes (volution

des conditions conomiques, changements au sein de la profession et progrs technologique)

pouvant compromettre la ralisation des objectifs de la banque. Elle devrait tre effectue au

niveau de chaque dpartement oprationnel ainsi que pour lensemble des activits et filiales

de lorganisation bancaire consolide, en recourant diverses mthodes. Pour tre efficace,

elle doit porter la fois sur les aspects mesurables et non mesurables des risques et peser les

cots des contrles par rapport aux avantages quils procurent.

22. Le processus dvaluation des risques ncessite galement de diffrencier ceux

qui sont contrlables par la banque et ceux qui ne le sont pas. Pour les premiers, la banquedoit dterminer si elle les accepte ou dans quelle mesure elle prfre les limiter au moyen de

procdures de contrle. Pour ceux qui ne peuvent pas tre contrls, la banque doit dcider

soit de les accepter, soit de se dsengager, soit encore de rduire lactivit concerne.

23. Pour que lvaluation des risques et, par consquent, le systme de contrle

interne demeurent efficaces, la direction gnrale doit considrer en permanence les risques

pouvant entraver la ralisation des objectifs de la banque et ragir aux modifications des

circonstances et des conditions dactivit. Il peut savrer ncessaire de revoir les contrles

internes, afin de bien prendre en compte des risques nouveaux ou prcdemment incontrls.Par exemple, avec linnovation financire, une banque doit valuer les nouveaux instruments

financiers et oprations de march et examiner les risques quils font encourir. Souvent, la

meilleure faon de comprendre ces risques est de voir comment divers scnarios

(conomiques ou autres) affectent les flux de trsorerie et le rendement des transactions et

instruments financiers. Un examen attentif de lventail des problmes possibles, allant des

malentendus avec la clientle aux dfaillances oprationnelles, soulignera certains aspects

importants en matire de contrle.

C. Activits de contrle et sparation des tches

Principe 5: Les activits de contrle devraient faire partie intgrante des activits

quotidiennes de la banque. Un systme de contrle interne efficace ncessite la mise en

place dune structure de contrle approprie, avec des activits de contrle dfinies

chaque niveau oprationnel. Celles-ci devraient inclure les lments suivants: examens

au plus haut niveau; contrles dactivit appropris pour les diffrents dpartements ou

units; contrles physiques; vrification du respect des plafonds dengagement et suivi

en cas de non-respect; systme dapprobations et dautorisations; systme devrifications et de contrles par rapprochement.


17/35

- 15 -

24. Les activits de contrle sont conues et mises en uvre pour faire face aux

risques dcels par la banque au moyen du processus dvaluation des risques dcrit

prcdemment. Ces activits comportent deux tapes: 1) ltablissement des politiques et

procdures de contrle; 2) la vrification du respect de la conformit ces politiques et

procdures. Les activits de contrle se situent tous les niveaux du personnel de la banque,

y compris la direction gnrale et le personnel directement en contact avec le march, et

revtent des formes diffrentes:

Examens au plus haut niveau Le conseil dadministration et la direction

gnrale demandent souvent des prsentations et comptes rendus de performances

leur permettant dvaluer les progrs accomplis par la banque pour raliser ses

objectifs. Ainsi, la direction gnrale peut vouloir consulter des rapports indiquant

les rsultats financiers effectifs en cours dexercice par rapport au budget. Les

questions quelle est amene poser et les rponses des niveaux hirarchiques

infrieurs constituent une activit de contrle qui peut mettre en vidence des

problmes tels que carences du contrle, erreurs dans la communication

financire interne ou fraudes.

Contrles dactivit La direction dun dpartement ou dune unit reoit et

examine des comptes rendus classiques ou exceptionnels sur une base

quotidienne, hebdomadaire ou mensuelle. Les examens fonctionnels sont plus

frquents que ceux effectus au plus haut niveau et sont habituellement plus

dtaills. Ainsi, le responsable du secteur des prts commerciaux consulte des

rapports hebdomadaires sur les dfauts de paiement, les paiements reus et les

revenus dintrts produits par le portefeuille, tandis que le responsable du crdit

au sein de la direction gnrale a connaissance de documents similaires une fois

par mois et sous une forme plus condense couvrant toutes les catgories de prts.

Comme pour les examens au plus haut niveau, les questions dcoulant de

lanalyse des rapports et les rponses quelles amnent reprsentent lactivit de

contrle.

Contrles physiques Les contrles physiques portent en gnral sur les

limitations daccs aux actifs tangibles, y compris les liquidits et les titres. Les

activits de contrle incluent les restrictions physiques, la double conservation et

les inventaires priodiques.

Conformit aux plafonds dengagement Ltablissement de limites prudentes

sur les engagements constitue un lment majeur de la gestion des risques. Par

exemple, la conformit aux limites fixes pour les emprunteurs et les autres

contreparties rduit la concentration du risque de crdit de la banque et permet dediversifier son profil de risque. Par consquent, un aspect important des contrles


18/35

- 16 -

internes rside dans un processus de vrification du respect de ces limites et un

suivi en cas de non-respect.

Approbations et autorisations La ncessit de solliciter des approbations et

autorisations pour les transactions dpassant certaines limites garantit quunniveau de direction appropri a connaissance de la transaction ou de la situation,

ce qui aide tablir les responsabilits.

Vrifications et contrles par rapprochement Les vrifications des

caractristiques dtailles des transactions ainsi que des diverses activits et des

rsultats fournis par les modles de gestion des risques utiliss par la banque

constituent une activit de contrle importante. Les rapprochements priodiques,

par exemple entre les flux de trsorerie et les rapports et tats financiers, peuvent

mettre en vidence des activits et enregistrements comptables exigeant dtreamends. Par consquent, les conclusions de ces contrles devraient tre notifies

aux niveaux de direction appropris chaque fois que des problmes effectifs ou

potentiels sont dtects.

25. Les activits de contrle ont leur efficacit optimale lorsque la direction et

lensemble du personnel les considrent comme faisant intrinsquement partie, et non comme

un complment, des activits quotidiennes de la banque. Lorsque les contrles sont vus

comme un complment des activits de chaque jour, ils sont souvent jugs moins importants

et peuvent ne pas tre raliss dans des situations o des agents sestiment presss par letemps pour effectuer leurs activits. En outre, les contrles vritablement intgrs aux

activits quotidiennes permettent de ragir rapidement des modifications des conditions et

vitent des cots inutiles. Dans le cadre de la dmarche visant instaurer la culture de

contrle approprie au sein dune banque, la direction gnrale devrait sassurer que les

activits de contrle adquates font vritablement partie des fonctions quotidiennes de

lensemble du personnel concern.

26. La direction gnrale ne doit pas se contenter de dfinir des politiques et

procdures appropries pour les diverses activits et units de la banque. Elle doit sassurer

rgulirement que tous les domaines de la banque oprent en conformit avec ces politiques

et procdures et faire en sorte galement que les politiques et procdures existantes demeurent

adquates. Il sagit l, gnralement, dun aspect important de la fonction daudit interne.

Principe 6: Un systme de contrle interne efficace ncessite que les tches soient

spares de faon approprie et que le personnel ne soit pas charg de responsabilits

conflictuelles. Les domaines susceptibles de donner lieu des conflits dintrts

devraient tre identifis, circonscrits aussi troitement que possible et soumis une

surveillance attentive dune tierce partie indpendante.


19/35

- 17 -

27. Dans les cas de pertes bancaires importantes dues un contrle interne

insuffisant, les autorits prudentielles constatent en gnral que lune des causes principales

rside dans labsence de sparation adquate des tches. Le fait de confier la mme

personne des responsabilits conflictuelles (par exemple, celles des fonctions de march et de

postmarch dune unit de ngociation) lui donne la possibilit davoir accs des actifs de

valeur et de manipuler des donnes financires en vue dun profit personnel ou de dissimuler

des pertes. Cest pourquoi, au sein dune banque, certaines tches devraient tre rparties

autant que possible entre plusieurs individus, afin de rduire le risque de manipulation de

donnes financires ou de dtournement dactifs.

28. La sparation des tches ne concerne pas seulement des situations o la mme

personne contrle la fois la salle des marchs et le postmarch. En labsence de contrles

appropris, de srieux problmes peuvent galement se poser lorsquun individu est charg:

de lapprobation du dcaissement de fonds et de leur dcaissement effectif; des comptes clientle et des comptes propres;

des transactions au titre du portefeuille bancaire et du portefeuille de

ngociation;

de la fourniture informelle dinformations des clients sur leurs positions et

de la relation commerciale avec ces mmes clients;

de lvaluation du caractre adquat des dossiers de crdit et de la

surveillance des emprunteurs aprs loctroi des crdits;

de tout autre domaine o des conflits dintrts notables apparaissent et nesont pas attnus par dautres facteurs.

29. Les domaines susceptibles de donner lieu des conflits devraient tre identifis,

circonscrits aussi troitement que possible et faire lobjet dune surveillance attentive dune

tierce partie indpendante. Des examens priodiques des responsabilits et fonctions des

personnes dtenant les postes cls devraient tre galement effectus pour sassurer que ces

responsables ne sont pas en mesure de dissimuler des agissements inappropris.

D. Information et communication

Principe 7: Un systme de contrle interne efficace ncessite lexistence de donnes

internes adquates et exhaustives dordre financier, oprationnel ou ayant trait au

respect de la conformit ainsi que dinformations de march extrieures sur les

vnements et conditions intressant la prise de dcision. Ces donnes et informations

devraient tre fiables, rcentes, accessibles et prsentes sous une forme cohrente.

30. Une information adquate et une communication efficace sont deux lments

essentiels au bon fonctionnement dun systme de contrle interne. Sagissant des banques,


20/35

- 18 -

pour que linformation soit utile, elle doit tre pertinente, fiable, rcente, accessible et

prsente sous une forme cohrente. Il peut sagir de donnes internes dordre financier,

oprationnel ou ayant trait au respect de la conformit ainsi que dinformations de march

extrieures sur des vnements et conditions intressant la prise de dcision. Linformation

interne fait partie dun processus denregistrement qui devrait comporter des procdures

dfinies pour la conservation des supports denregistrement.

Principe 8: Un systme de contrle interne efficace ncessite lexistence de systmes

dinformation fiables couvrant toutes les activits importantes de la banque. Ces

systmes, notamment ceux qui comportent et utilisent des donnes informatises,

doivent tre srs, surveills de manire indpendante et tays par des plans de secours

adquats.

31. Un lment essentiel des activits dune banque rside dans la mise en place et la

maintenance de systmes dinformation de la direction couvrant toute la gamme de ses

activits. Cette information est habituellement fournie la fois sous forme lectronique et non

lectronique. Les banques doivent tre tout particulirement informes des exigences

organisationnelles et de contrle interne lies au traitement lectronique de linformation ainsi

que de la ncessit de disposer dune piste daudit adquate. Au niveau de la direction, la

prise de dcision pourrait tre fausse par des informations non fiables ou errones fournies

par des systmes mal conus et insuffisamment contrls.32. Les systmes dinformation lectroniques et lutilisation de linformatique

prsentent des risques qui doivent tre efficacement contrls par les banques, afin dviter

des dysfonctionnements et des pertes potentielles. Comme le traitement des transactions et les

applications lies aux activits ont dpass le stade dun environnement ordinateur central

pour passer des systmes rpartis pour les fonctions essentielles aux missions, lampleur des

risques sest accrue galement. Les contrles sur les systmes et la technologie informatiques

devraient tre la fois gnraux et spcifiques aux applications. Les contrles gnraux

portent sur les systmes informatiques (ordinateur central, postes client/serveur et terminaux

dutilisateur, par exemple) et assurent leur fonctionnement correct en continu. Ils incluent des

procdures maison de sauvegarde et de reprise, des politiques de dveloppement et

dacquisition de logiciels, des procdures de maintenance (contrle des changements

effectus) et des contrles de scurit daccs physiques/logiques. Les contrles lis aux

applications sont des tapes informatises au sein des applications logicielles et dautres

procdures manuelles qui examinent le traitement des oprations et le droulement des

activits. Ils concernent, entre autres, les questions de rconciliations et daccs logiques

spcifiques un systme dactivit. En labsence de contrles adquats sur les systmes et la

technologie informatiques, y compris ceux qui sont en cours de dveloppement, les banques


21/35

- 19 -

pourraient subir des pertes de donnes et de programmes rsultant de dispositions

inappropries en matire de scurit physique et lectronique, de dfaillances des

quipements ou systmes et de procdures maison inadaptes de sauvegarde et de reprise.

33. Outre les risques et contrles ci-dessus, il existe des risques inhrents associs la

perte ou au dysfonctionnement prolong de services rsultant de facteurs qui chappent au

contrle de la banque. Dans des situations extrmes, de tels problmes pourraient causer de

srieuses difficults aux banques et mme compromettre leur capacit deffectuer leurs

activits essentielles, tant donn que la prestation de services aux entreprises et la clientle

reprsente des questions cls au niveau des transactions, des stratgies et de la rputation.

Cette ventualit contraint la banque tablir des plans de reprise dactivit et de secours en

utilisant une autre facilit hors site, incluant la remise en route de systmes essentiels

bnficiant de lassistance dun prestataire de services extrieur. Le risque de perte ou de

dysfonctionnement prolong doprations capitales ncessite un effort global de linstitutionpour mettre en place des programmes de secours incluant la gestion des oprations et ne se

limitant pas aux oprations informatiques centralises. Des plans de reprise dactivit doivent

tre tests priodiquement pour garantir leur caractre fonctionnel en cas de dsastre

inattendu.

Principe 9: Un systme de contrle interne efficace ncessite des voies de communication

performantes pour garantir que lensemble du personnel comprend et respecte

parfaitement les politiques et procdures affectant ses tches et responsabilits et que lesautres informations importantes parviennent leurs destinataires.

34. En labsence dune communication efficace, linformation est inutile. La direction

gnrale dune banque doit instaurer des voies de communication performantes, afin que les

informations ncessaires parviennent leurs destinataires. Ces informations portent la fois

sur les politiques et procdures oprationnelles de ltablissement ainsi que sur les rsultats

dexploitation rels.

35. La structure organisationnelle de la banque devrait faciliter une circulation

adquate horizontale et verticale de linformation dans toute lorganisation. Une telle

structure garantit que les informations remontent et permet au conseil dadministration et la

direction gnrale de connatre les risques encourus dans le cadre de lactivit et les rsultats

dexploitation. Linformation qui redescend travers lorganisation garantit que les objectifs,

les stratgies, et aussi les attentes, de la banque ainsi que les politiques et procdures tablies

sont communiqus au niveau de direction infrieur et au personnel charg des oprations.

Cette communication est essentielle pour obtenir un effort commun de tous les employs vers

les objectifs de la banque. Enfin, la communication horizontale dans lorganisation est


22/35

- 20 -

ncessaire pour que linformation parvenant une unit ou un dpartement puisse tre connue

des autres units ou dpartements concerns.

E. Surveillance des activits et correction des dficiencesPrincipe 10: Lefficacit globale des contrles internes de la banque devrait tre

surveille en permanence. Le suivi des principaux risques devrait faire partie des

activits quotidiennes de la banque de mme que les valuations priodiques effectues

par les secteurs dactivit et laudit interne.

36. Comme lactivit bancaire est un secteur dynamique, o tout volue rapidement,

les banques doivent en permanence surveiller et valuer leurs systmes de contrle interne en

fonction des modifications des conditions internes et externes et les renforcer, au besoin, pouren garantir lefficacit.

37. Surveiller lefficacit des contrles internes est une tche qui peut tre accomplie

par du personnel de plusieurs secteurs diffrents, dont celui en charge des oprations

elles-mmes, le contrle financier et laudit interne. Pour cette raison, il est important que la

direction gnrale dsigne clairement ces personnes en prcisant leurs fonctions de

surveillance. La surveillance devrait faire partie des activits quotidiennes de la banque mais

commande galement de procder des valuations priodiques spcifiques de lensemble du

processus de contrle interne. La frquence de la surveillance des diffrentes activits devrait

tre fonction des risques encourus ainsi que du rythme et de la nature des changements

affectant lenvironnement oprationnel.

38. Un processus de surveillance en continu peut permettre de dcouvrir et de corriger

rapidement les dficiences du systme de contrle interne; il atteint son efficacit maximale

lorsque le systme de contrle interne est intgr lenvironnement oprationnel et donne

lieu des rapports rguliers qui font lobjet dun examen. Dans le cadre de la surveillance en

continu figurent, par exemple, lexamen et lapprobation des enregistrements courants ainsi

que la consultation et lapprobation par la direction des rapports sur des faits exceptionnels.

39. En revanche, les valuations spcifiques ne dtectent gnralement les problmesquaprs coup; elles permettent cependant une organisation davoir un aperu rcent et

global de lefficacit du systme de contrle interne et de celle, en particulier, de ses activits

de surveillance. Ces valuations peuvent tre effectues par du personnel de plusieurs

secteurs diffrents, dont celui en charge des oprations elles-mmes, le contrle financier et

laudit interne. Les valuations du systme de contrle interne prennent souvent la forme

dautovaluations, lorsque les personnes charges dune fonction prcise dterminent le degr

defficacit des contrles pour leurs activits. Les documents et rsultats concernant les

valuations sont ensuite soumis lattention de la direction gnrale. Les examens effectus


23/35

- 21 -

tous les niveaux devraient tre tays par une documentation adquate et communiqus dans

les meilleurs dlais lchelon de direction appropri.

Principe 11: Un audit interne efficace et exhaustif du systme de contrle interne devrait

tre effectu par un personnel bien form et comptent bnficiant dune indpendanceoprationnelle. La fonction daudit interne, en tant qulment de la surveillance du

systme de contrle interne, devrait rendre compte directement au conseil

dadministration, ou son comit daudit, ainsi qu la direction gnrale.

40. La fonction daudit interne constitue un lment majeur de la surveillance en

continu du systme de contrle interne, parce quelle fournit une valuation indpendante du

caractre adquat des politiques et procdures tablies et du respect de la conformit ces

dernires. Il est essentiel que la fonction daudit interne soit indpendante du fonctionnementde la banque au quotidien et quelle ait accs lensemble des activits conduites par

lorganisation bancaire, y compris dans ses succursales et filiales.

41. En rendant compte directement au conseil dadministration ou son comit

daudit ainsi qu la direction gnrale, les auditeurs internes procurent des informations

objectives sur les diffrentes activits. En raison de limportance de cette fonction, laudit

interne doit tre assur par un personnel comptent et bien form ayant une parfaite

comprhension de son rle et de ses responsabilits. La frquence et lampleur des examens

et tests des contrles internes effectus au sein dune banque par les auditeurs internesdevraient correspondre la nature et la complexit des activits de lorganisation et aux

risques associs.

42. Il est important que la fonction daudit interne rende compte directement au plus

haut niveau de lorganisation bancaire, habituellement le conseil dadministration ou son

comit daudit, et la direction gnrale. Cela permet la gouvernance dentreprise de

sexercer correctement, le conseil bnficiant dinformations qui ne peuvent tre aucunement

adaptes par les niveaux de direction couverts par ces comptes rendus. Le conseil devrait

galement renforcer lindpendance des auditeurs internes, en faisant en sorte que des

questions ayant trait, par exemple, leur rmunration ou aux affectations budgtaires les

concernant soient traites par le conseil ou par les niveaux de direction suprieurs plutt que

par des responsables qui sont affects par les travaux des auditeurs internes.

Principe 12: Les dficiences des contrles internes, quelles soient dtectes par un

secteur dactivit, laudit interne ou un autre personnel de contrle, devraient tre

notifies dans les meilleurs dlais au niveau de direction appropri et faire lobjet dun

traitement rapide. Les dficiences importantes devraient tre signales la direction

gnrale et au conseil dadministration.


24/35

- 22 -

43. Les dficiences des contrles internes, ou les risques contrls de manire

inefficace, devraient tre signals ds leur dtection la ou aux personnes appropries, les

problmes graves tant ports lattention de la direction gnrale et du conseil

dadministration. Lorsque ces insuffisances ont t notifies, il est important que la direction

y remdie dans les meilleurs dlais. Les auditeurs internes devraient assurer un suivi ou toute

autre forme approprie de surveillance et informer immdiatement la direction gnrale ou le

conseil de toute insuffisance non corrige. Pour faire en sorte que toutes les dficiences soient

traites au plus tt, la direction gnrale devrait tre responsable de linstauration dun

systme destin suivre les faiblesses du contrle interne ainsi que les actions destines y

remdier.

44. Le conseil dadministration et la direction gnrale devraient recevoir

priodiquement des rapports recensant les problmes de contrle dcels. Des points qui

apparaissent peu importants lors de contrles individuels peuvent fort bien rvler destendances susceptibles, sous un angle global, de reprsenter une dficience de contrle

majeure si une action nest pas entreprise temps.


25/35

- 23 -

IV. valuation des systmes de contrle interne par les autoritsprudentielles

Principe 13: Les autorits prudentielles devraient exiger que toutes les banques, quelle

que soit leur dimension, disposent dun systme efficace de contrle internecorrespondant la nature, la complexit et au degr de risque inhrent leurs

activits de bilan et de hors-bilan et ragissant aux modifications de lenvironnement et

des conditions dactivit de la banque. Dans les cas o les autorits prudentielles

constatent que le systme de contrle interne nest pas adquat ou efficace par rapport

au profil de risque spcifique de ltablissement (sil ne prend pas en compte, par

exemple, tous les principes contenus dans ce document), elles devraient intervenir en

consquence.

45. Bien que le conseil dadministration et la direction gnrale soient responsables

en dernier ressort de lefficacit du systme de contrle interne, les autorits prudentielles

devraient valuer, dans le cadre de leurs activits de contrle permanent, les systmes dont

sont dotes les diverses banques. Elles devraient galement sassurer que la direction de

chaque tablissement accorde sans tarder lattention requise tout problme dtect par le

processus de contrle interne.

46. Les autorits prudentielles devraient exiger des banques soumises leur contrle

quelles possdent une culture de contrle forte et opter, dans lexercice de leur surveillance,

pour une approche centre sur le risque, incluant dexaminer ladquation des contrles

internes. Il importe que les autorits prudentielles valuent non seulement lefficacit du

systme global de contrle interne, mais aussi les contrles sur les secteurs haut risque

(ceux, par exemple, qui prsentent des caractristiques telles quune rentabilit inhabituelle,

une croissance rapide, une activit nouvelle ou un loignement gographique du sige). Dans

le cas o les autorits de contrle jugent que le systme de contrle interne dune banque

nest pas adquat ou efficace par rapport son profil de risque spcifique, elles devraient

intervenir en consquence. Il leur faudrait notamment faire part de leurs craintes la direction

gnrale et surveiller les mesures prises par la banque pour amliorer son systme de contrleinterne.

47. Dans lvaluation des systmes de contrle interne des banques, les autorits

prudentielles peuvent choisir daccorder une attention spciale directe des activits ou

situations traditionnellement associes des dfaillances de contrle interne ayant entran

des pertes substantielles. Certaines modifications de lenvironnement de la banque devraient

faire lobjet dune considration particulire pour dterminer si des rvisions parallles sont

ncessaires dans le systme de contrle interne. Ces modifications englobent notamment:

1) un environnement oprationnel modifi; 2) un personnel nouveau; 3) des systmesdinformation nouveaux ou transforms; 4) des domaines ou activits enregistrant une


26/35

- 24 -

croissance rapide; 5) une technologie nouvelle; 6) des secteurs, produits ou activits

nouveaux (ceux surtout de nature complexe); 7) des restructurations, fusions et acquisitions

dentreprises; 8) une expansion ou acquisition doprations ltranger (y compris

lincidence des modifications de lenvironnement conomique et rglementaire

correspondant).

48. Pour valuer la qualit des contrles internes, les autorits prudentielles ont le

choix entre diverses approches. Elles peuvent examiner le travail du dpartement daudit

interne de la banque partir de ses documents de travail, y compris la mthode utilise pour

identifier, mesurer, surveiller et contrler le risque. Si elles sont satisfaites des prestations de

laudit interne, elles peuvent utiliser les rapports des auditeurs internes comme premier

lment didentification des problmes de contrle dans la banque ou pour dtecter des

domaines de risque potentiel qui nont pas t passs en revue rcemment par les auditeurs.

Les autorits prudentielles peuvent opter pour un processus dautovaluation, par lequel ladirection examine les contrles internes secteur par secteur et certifie lautorit prudentielle

que les contrles sont adquats pour les activits de la banque. Dautres peuvent exiger des

audits externes priodiques des domaines cls, dont elles dterminent elles-mmes lampleur.

Enfin, les autorits prudentielles peuvent associer une ou plusieurs de ces mthodes leurs

propres examens sur place des contrles internes.

49. Dans de nombreux pays, les autorits prudentielles effectuent des examens sur

place qui comportent une rvision des contrles internes. Un tel examen pourrait inclure la

fois une analyse de tout le processus dactivit et un contrle appropri des transactions sousforme de sondages, afin davoir une vrification indpendante des processus de contrle

interne de la banque.

50. Un contrle appropri des transactions devrait tre effectu sous forme de

sondages pour vrifier:

ladquation des politiques, procdures et limites internes et leur respect;

lexactitude et lexhaustivit des rapports la direction et documents financiers;

la fiabilit (cest--dire un fonctionnement conforme aux attentes de la direction)

des contrles spcifiques considrs comme essentiels pour llment de contrle

interne faisant lobjet de lvaluation.

51. Pour apprcier lefficacit des cinq lments de contrle interne dune

organisation bancaire (ou de lune de ses units ou activits), les autorits prudentielles

devraient:

dterminer les objectifs de contrle interne adapts lorganisation, lunit ou

lactivit examine (par exemple, prts, placements, comptabilit);


27/35

- 25 -

valuer lefficacit des lments de contrle interne, non pas par un simple

examen des politiques et procdures, mais en consultant galement lensemble

des documents, en discutant des oprations avec divers niveaux du personnel de la

banque, en observant lenvironnement oprationnel et en contrlant par sondages

les transactions;

faire part, dans les meilleurs dlais, au conseil dadministration et la direction de

leurs proccupations prudentielles au sujet des contrles internes et des

recommandations visant les amliorer;

sassurer, pour les carences dtectes, quune action corrective est mise en uvre

sans tarder.

52. Les autorits de contrle bancaire qui sont fondes juridiquement ou en vertu

dautres arrangements orienter les travaux des auditeurs externes et sen servir optentsouvent ou toujours pour cette possibilit au lieu des examens sur place. En ce cas, les

auditeurs externes devraient alors effectuer, dans le cadre dengagements contractuels

spcifiques, lexamen du processus dactivit et le contrle par sondages des transactions

prciss prcdemment. Les autorits de contrle, pour leur part, devraient valuer la qualit

du travail accompli par les auditeurs.

53. Dans tous les cas, les autorits de contrle bancaire devraient noter les

observations et recommandations des auditeurs externes concernant lefficacit des contrles

internes et sassurer que la direction et le conseil dadministration de la banque ont rpondude manire satisfaisante aux proccupations et recommandations exprimes par les auditeurs

externes. Le niveau et la nature des problmes de contrle rencontrs par les auditeurs

devraient tre pris en compte dans lvaluation, par les autorits prudentielles, de lefficacit

des contrles internes de la banque.

54. Les autorits prudentielles devraient galement encourager les auditeurs externes

de la banque planifier et conduire leurs audits de manire bien prendre en considration

lventualit dindications fortement errones rsultant de manipulations frauduleuses des

tats financiers. Tout cas de fraude dtect par les auditeurs externes, quelle quen soit la

gravit, doit tre signal au niveau de direction appropri. Une fraude impliquant la direction

gnrale et une fraude ayant de graves consquences pour ltablissement devraient tre

notifies par les auditeurs externes au conseil dadministration et/ou son comit daudit.

Dans certaines circonstances (en fonction des exigences nationales), les auditeurs externes

peuvent avoir signaler les fraudes des autorits prudentielles ou dautres instances

extrieures la banque.

55. En examinant ladquation du processus de contrle interne dans chaque

organisation bancaire, les autorits prudentielles du pays dorigine devraient galement

sassurer de lefficacit du processus au niveau des secteurs dactivit, filiales et frontires


28/35

- 26 -

nationales4. Il est important quelles valuent le processus de contrle interne non seulement

pour chaque tablissement ou entit juridique, mais aussi pour tout lventail des activits et

filiales au sein de lorganisation bancaire consolide. Pour cette raison, les autorits de

contrle devraient encourager les groupes bancaires utiliser, dans la mesure du possible, des

auditeurs communs et des donnes comptables communes lensemble du groupe.

4

LInstance conjointe sur les conglomrats financiers a publi un document intitul Framework forsupervisory information sharing paper, qui traite du partage des informations entre autorits de contrlede juridictions diffrentes.


29/35

- 27 -

V. Rles et responsabilits des auditeurs externes

56. Bien que, par dfinition, les auditeurs externes ne fassent pas partie dune

organisation bancaire et ne soient donc pas un lment de son systme de contrle interne, ils

ont une incidence importante sur la qualit des contrles internes travers leurs activitsdaudit, et notamment leurs discussions avec la direction et leurs recommandations pour

amliorer les contrles internes. Les auditeurs externes fournissent en retour des informations

utiles sur lefficacit du systme de contrle interne.

57. Si lobjet principal de la fonction daudit externe est de donner un avis sur les

comptes annuels dune banque, lauditeur externe doit choisir de sen remettre ou non

lefficacit du systme de contrle interne de ltablissement. Pour cette raison, il doit

comprendre le fonctionnement de ce systme, afin de voir dans quelle mesure il peut sy fier

pour dterminer la nature, la frquence et la porte de ses propres procdures daudit.58. Le rle exact des auditeurs externes et les processus quils utilisent varient dun

pays lautre. Dans de nombreux pays, les normes daudit professionnelles requirent que les

audits soient planifis et excuts de manire obtenir lassurance raisonnable que les tats

financiers ne comportent aucune erreur srieuse. Les auditeurs vrifient galement par

sondages les transactions et critures servant de base ltablissement des tats financiers et

de la communication financire. Ils valuent les principes et politiques comptables utiliss

ainsi que les estimations significatives effectues par la direction et jugent la prsentation

globale des tats financiers. Dans certains pays, ils sont tenus par les autorits prudentielles

de fournir une valuation spcifique de la porte, de ladquation et de lefficacit du systme

de contrle interne des banques, y compris de leur fonction daudit interne.

59. Un trait commun tous les pays, cependant, est que lon attend des auditeurs

externes quils aient une ide claire du processus de contrle interne dune banque, dans la

mesure o il sagit de lexactitude des tats financiers de la banque. Lampleur de lattention

accorde au systme de contrle interne varie selon lauditeur et ltablissement; toutefois, on

escompte gnralement que les carences srieuses dtectes par les auditeurs externes soient

signales par courrier confidentiel la direction ainsi que, dans de nombreux pays,

lautorit de contrle. En outre, dans beaucoup de pays, les auditeurs externes peuvent tresoumis des exigences prudentielles particulires prcisant la manire dvaluer les contrles

internes et den rendre compte.


30/35

- 28 -

Annexe I

Documents de rfrence

Banque dAngleterre,Banks Internal Controls and the Section 39 Process, fvrier 1997

Socit dassurance-dpts du Canada, Code des Pratiques Commerciales et Financires

Saines, aot 1993

Institut canadien des comptables agrs, Guidance on Control, novembre 1995

The Committee of Sponsoring Organisations of the Treadway Commission (COSO),Internal Control Integrated Framework, juillet 1994

Institut montaire europen,Internal Control Systems of Credit Institutions, juillet 1997


31/35

- 29 -

Annexe II

Enseignements prudentiels fournis par

les cas de dfaillances des contrles internes

A. Surveillance par la direction et culture de contrle

1. De nombreux cas de dfaillances des contrles internes ayant entran des pertes

bancaires substantielles auraient pu tre nettement moins graves, ou mme vits, si le conseil

dadministration et la direction gnrale des tablissements avaient instaur une culture de

contrle forte. Les cultures de contrle insuffisantes prsentaient souvent deux lments

communs. Tout dabord, la direction gnrale ntait pas parvenue souligner limportance

dun systme de contrle interne solide travers les termes utiliss et actions entreprises et,

surtout, les critres dterminant les rmunrations et promotions. Deuximement, elle navait

pas russi mettre en place une structure organisationnelle et des responsabilits de direction

bien dfinies. Par exemple, elle navait pas pu exiger un contrle adquat des principaux

preneurs de dcisions ni la notification, dans les meilleurs dlais, de la nature et du

droulement des activits.

2. La direction gnrale peut affaiblir la culture de contrle en promouvant et

rcompensant des responsables, certes efficaces pour produire des bnfices, mais quingligent dappliquer les politiques de contrle interne ou de traiter les problmes dcels par

laudit interne. Limpression qui prvaut alors dans lorganisation est que les contrles

internes sont considrs comme secondaires par rapport aux autres objectifs, ce qui affecte

lengagement lgard de la culture de contrle ainsi que sa qualit.

3. Certaines banques ayant connu des problmes de contrle taient dotes de

structures organisationnelles dans lesquelles les responsabilits ntaient pas clairement

dfinies, de sorte quune unit navait pas rendre des comptes directement un membre de

la direction gnrale. Autrement dit, aucun membre de la direction ne surveillait les rsultatsde cette unit de manire suffisamment rigoureuse pour noter des activits inhabituelles,

financires ou autres, et personne, au sein de la direction gnrale, navait une vision globale

des activits ni de la faon dont les bnfices taient raliss. Si la direction avait compris les

activits de lunit, elle aurait t en mesure de dceler des signes avant-coureurs (tels quun

pourcentage inhabituel de profit par rapport aux niveaux de risques), danalyser les

transactions et de prendre des mesures pour rduire les pertes ventuelles. Ces problmes

auraient pu galement tre vits si le suprieur hirarchique avait examin les oprations

ainsi que les rapports la direction et stait enquis auprs du personnel comptent de lanature des transactions effectues. De telles approches fournissent aux suprieurs


32/35

- 30 -

hirarchiques un aperu objectif de la manire dont les dcisions sont prises et garantissent

que le personnel cl opre en respectant les critres fixs par la banque et le cadre de contrle

interne.

B. Reconnaissance et valuation des risques

4. Dans un pass rcent, la reconnaissance et lvaluation inadquates des risques

ont t en partie lorigine des problmes de contrle interne et des pertes qui en ont rsult

dans certaines banques. Parfois, les rendements potentiels levs lis divers prts,

placements et instruments drivs ont fait oublier la direction la ncessit dvaluer

parfaitement les risques inhrents aux transactions et de dgager des ressources suffisantes

pour surveiller et examiner en permanence les engagements. Des pertes ont galement eu lieu

lorsque la direction nest pas parvenue adapter le processus dvaluation des risques auxmodifications de lenvironnement oprationnel. Par exemple, quand des produits plus

complexes ou sophistiqus apparaissaient dans un secteur dactivit, il est possible que les

contrles internes naient pas t renforcs pour tenir compte de ces lments. Un second

exemple concerne la mise en place dune activit nouvelle sans une valuation complte et

objective des risques encourus. En labsence de cette rvaluation des risques, le systme de

contrle interne peut ne pas traiter les risques de manire adquate dans cette activit

nouvelle.

5. Comme on la vu prcdemment, les organisations bancaires doivent fixer des

objectifs pour lefficience et lefficacit de leurs activits, la fiabilit et lexhaustivit de leurs

informations financires et communications la direction et pour le respect de la conformit

aux lois et rglementations. Lvaluation des risques comporte lidentification et la

dtermination des risques inhrents la ralisation de ces objectifs. Ce processus aide

sassurer que les contrles internes de ltablissement correspondent la nature, la

complexit et au degr de risque de ses activits de bilan et de hors-bilan.

C. Activits de contrle et sparation des tches

6. Dans les cas de pertes bancaires importantes dues un contrle interne

insuffisant, les autorits prudentielles constatent en gnral que les tablissements concerns

ont nglig certains principes essentiels du contrle interne. Il sagit le plus souvent de la

sparation des tches, qui est lun des piliers dun systme de contrle interne sain.

Frquemment, la direction gnrale a confi une personne hautement apprcie la

responsabilit de la surveillance de deux ou plusieurs secteurs prsentant des intrts

conflictuels. Ainsi, dans de nombreux cas, la mme personne supervisait la fois la salle des

marchs et le postmarch dune unit de ngociation; elle pouvait alors contrlerlengagement de la transaction (par exemple, lachat ou la vente de titres ou de produits


33/35

- 31 -

drivs) ainsi que la fonction denregistrement correspondante. Attribuer de telles tches

conflictuelles une mme personne lui donne la possibilit de manipuler des donnes

financires pour raliser un profit personnel ou de dissimuler des pertes.

7. La sparation des tches ne concerne pas seulement des situations o la mmepersonne contrle la fois la salle des marchs et le postmarch. De srieux problmes

peuvent galement apparatre lorsquun mme individu est charg:

de lapprobation du dcaissement de fonds et de leur dcaissement effectif;

des comptes clientle et des comptes propres;

des transactions au titre du portefeuille bancaire et du portefeuille de ngociation;

de la fourniture informelle dinformations des clients sur leurs positions et de la

relation commerciale avec ces mmes clients;

de lvaluation du caractre adquat des dossiers de crdit et de la surveillance

des emprunteurs aprs loctroi des crdits;

de tout autre domaine o des conflits dintrts notables apparaissent et ne sont

pas attnus par dautres facteurs5.

8. Les insuffisances des activits de contrle refltent toutefois lchec des multiples

efforts destins voir si lactivit est conduite selon les attentes, depuis les examens effectus

au plus haut niveau jusquau bon fonctionnement de mcanismes rgulateurs spcifiques dans

un processus dactivit. Dans plusieurs cas, par exemple, la direction na pas ragi comme ille fallait aux informations quelle recevait. Ces informations figuraient dans des rapports

priodiques sur les rsultats des oprations de toutes les units de lorganisation, qui

informaient la direction des progrs accomplis par chacune delles dans la ralisation des

objectifs et lui permettaient de poser des questions si les rsultats ntaient pas conformes aux

attentes. Souvent, les units qui ont enregistr par la suite des pertes notables avaient

commenc par dgager des bnfices nettement suprieurs ce quon attendait, compte tenu

du degr de risque apparent qui auraient d alerter la direction gnrale. Si des examens au

plus haut niveau avaient eu lieu, la direction gnrale aurait pu se pencher sur les rsultatsanormaux et dceler, puis traiter, certains des problmes, limitant ainsi ou empchant ces

pertes. Cependant, comme les diffrences par rapport aux attentes taient positives (sous

forme de bnfices), aucune question na t pose et des enqutes nont t entreprises que

lorsque les problmes avaient dj une ampleur incontrlable.

5 titre dillustration dun conflit dintrt potentiel attnu par dautres contrles, lexamen indpendantdun prt, dans le cadre des activits de surveillance du systme de classification des crdits dune

banque, peut compenser le conflit dintrt potentiel qui se prsente lorsquune personne chargedvaluer le caractre adquat dun dossier de crdit surveille galement la cote de crdit de lemprunteuraprs loctroi du crdit.


34/35

- 32 -

D. Information et communication

9. Certaines banques ont enregistr des pertes parce que linformation au sein de

lorganisation ntait ni fiable ni complte et que la communication navait aucune efficacit.

Linformation financire peut tre communique de faon errone sur le plan interne; dessries de donnes incorrectes manant de sources extrieures peuvent tre utilises pour

valuer des positions financires; de mme, des activits modestes, mais haut risque,

peuvent ne pas figurer dans les rapports la direction. Parfois, les banques ngligeaient de

faire connatre de manire adquate les tches des employs et leurs responsabilits en

matire de contrle ou faisaient part des politiques de ltablissement par des canaux, tels que

la messagerie lectronique, qui ne garantissaient pas que ces politiques taient lues, comprises

et retenues. Par consquent, sur des priodes de temps assez longues, dimportants aspects des

politiques de la direction ntaient pas appliqus. Dans dautres cas, aucune voie de

communication adquate ne permettait aux employs de rendre compte de prsomptions

dirrgularits. Si de telles voies avaient t tablies pour signaler les problmes travers la

structure hirarchique, la direction aurait t en mesure didentifier et de corriger beaucoup

plus tt les irrgularits.

E. Surveillance des activits et correction des dficiences

10. De nombreuses banques ayant enregistr des pertes dues des problmes de

contrle interne ne surveillaient pas de manire efficace leurs systmes de contrle interne.Souvent, ces systmes ne comportaient pas les processus de surveillance en continu

indispensables et les valuations spcifiques taient inadquates ou traites de faon

inapproprie par la direction.

11. Dans certains cas, labsence de surveillance a commenc par lincapacit de prter

attention ou de donner suite aux informations transmises jour aprs jour aux suprieurs

hirarchiques ainsi qu dautres membres du personnel qui indiquaient une activit

inhabituelle, telle que dpassements des plafonds dengagement, utilisation de comptes

clientle pour des oprations propres ou absence dtats financiers courants manant des

emprunteurs. Dans une banque, les pertes associes aux activits de ngociation taient

dissimules au sein dun compte clientle fictif. Si lorganisation avait t dote dune

procdure exigeant que des situations des comptes soient adresses la clientle chaque mois

et que les comptes clientle soient priodiquement confirms, les pertes dissimules auraient

vraisemblablement t dcouvertes bien longtemps avant dtre suffisamment lourdes pour

entraner de srieux problmes pour ltablissement.

12. Dans plusieurs autres cas, lunit ou lactivit qui tait lorigine de pertes

massives prsentait de nombreuses caractristiques indiquant un niveau de risque accru, tel

quune rentabilit inhabituelle pour le niveau de risque peru et une croissance rapide dans


35/35

- 33 -

une activit nouvelle gographiquement distante de la banque mre. Toutefois, en raison

dune valuation de risque inadquate, les tablissements navaient pas dgag suffisamment

de ressources additionnelles pour contrler ou surveiller les activits haut risque. En fait,

dans quelques exemples, les activits haut risque taient moins suivies que dautres qui

prsentaient des profils de risque nettement infrieurs et plusieurs avertissements des

auditeurs internes et externes au sujet des activits de lunit avaient t ignors de la

direction.

13. Si laudit interne peut constituer une source efficace dvaluations spcifiques,

son efficacit tait nulle dans de nombreuses organisations bancaires en difficult. Trois

facteurs contribuaient ce dysfonctionnement: le fait de procder des audits fragments, le

manque de comprhension globale des processus dactivit et le suivi inadquat des

problmes aprs leur dtection. Lapproche daudits fragments venait essentiellement de ce

que les programmes daudit interne taient structurs en sries daudits partiels sur desactivits spcifiques au sein de la mme unit ou du mme dpartement, de secteurs

gographiques ou encore dentits juridiques. Du fait de cette fragmentation, les processus

dactivit ntaient pas pleinement compris par le personnel de laudit interne. Une

conception daudit qui aurait permis aux auditeurs de suivre les processus et fonctions du

dbut jusqu la fin (cest--dire en prenant la mme transaction de son point de dpart

jusqu sa notification dans les comptes rendus financiers) leur aurait permis de mieux

comprendre la situation; en outre, elle aurait fourni loccasion de vrifier et de tester

ladquation des contrles chaque tape du processus.14. Dans certains cas, les problmes daudit interne ont galement rsult dune

connaissance et dune formation inadquates du personnel daudit interne sur les produits et

marchs, les systmes dinformation lectronique et dautres domaines hautement

sophistiqus. Comme ce personnel ne possdait pas les comptences ncessaires, il hsitait

souvent poser des questions lorsquil entrevoyait des problmes et, quand les questions

taient poses, avait tendance accepter une rponse plutt qu la remettre en cause.

15. Laudit interne peut galement devenir inefficace lorsque la direction nassure pas

un suivi appropri des problmes dcels par les auditeurs. Des dlais ont pu intervenir

cause dun manque de reconnaissance par la direction du rle et de limportance de laudit

interne. En outre, lefficacit de laudit interne tait compromise lorsque la direction gnrale

et les membres du conseil dadministration (ou, le cas chant, le comit daudit) ne

recevaient pas en temps voulu et de manire rgulire des rapports de suivi signalant les

problmes critiques et les actions correctives prises ensuite par la direction. Un tel suivi

priodique peut aider la direction gnrale traiter les questions importantes dans les

meilleurs dla

Le Control Interne Dans Les Risk Bancair

Documents

Transcript of Le Control Interne Dans Les Risk Bancair