CADRE POUR LES SYSTEMES

DE CONTROLE INTERNE DANS

LES ORGANISATIONS BANCAIRES
Comit de Ble sur le contrle bancaire
Ble
Septembre 1998
Table des matires
Page
Introduction 1

I. Contexte gnral 6

II. Objectifs et rle du cadre de contrle interne 8

III. Principaux lments dun processus de contrle interne 10
A. Surveillance par la direction et culture de contrle 10
1. Conseil dadministration 10
2. Direction gnrale 11
3. Culture de contrle 12
B. Reconnaissance et valuation des risques 13
C. Activits de contrle et sparation des tches 14
D. Information et communication 17
E. Surveillance des activits et correction des dficiences 20

IV. valuation des systmes de contrle interne par les autorits
prudentielles 23

V. Rles et responsabilits des auditeurs externes 27

Annexe I 28
Documents de rfrence

Annexe II 29
Enseignements prudentiels fournis par les cas de dfaillances
des contrles internes


Cadre pour les systmes de contrle interne
dans les organisations bancaires
INTRODUCTION
1. Dans le sens de laction quil poursuit pour rsoudre les questions prudentielles et
renforcer le contrle des banques par des recommandations encourageant lapplication de
saines pratiques de gestion des risques, le Comit de Ble sur le contrle bancaire
1
publie ce
cadre dvaluation des systmes de contrle interne. Un systme de contrle interne efficace
est une composante essentielle de la gestion dun tablissement et constitue le fondement
dun fonctionnement sr et prudent dune organisation bancaire. En se dotant de contrles
internes rigoureux, une banque pourra mieux raliser ses buts et ses objectifs de rentabilit
long terme, en assurant galement la fiabilit de sa communication financire tant externe
qu sa direction. Un tel systme peut aussi garantir que la banque agit dans le respect des lois
et rglementations ainsi que de ses politiques, programmes, rgles et procdures internes; il
attnue, en outre, le risque de pertes imprvues ou datteinte la rputation de
ltablissement. Ce document dcrit les lments cls dun systme de contrle interne sain,
en se fondant sur lexprience enregistre dans les pays membres et sur les principes prciss
dans les publications antrieures du Comit. Il entend dfinir certains principes destins aux
autorits prudentielles dans leur valuation des systmes de contrle interne des banques.
2. Le Comit de Ble, conjointement avec les autorits de contrle bancaire du
monde entier, insiste de plus en plus sur limportance de contrles internes sains. Cet intrt
accru sexplique en partie par les pertes substantielles subies par plusieurs organisations
bancaires. Lanalyse des problmes lis ces pertes montre quelles auraient probablement pu
tre vites si les banques avaient t dotes de systmes de contrle interne efficaces. De tels
systmes auraient, en effet, empch lapparition de ces problmes ou permis de les dtecter,
limitant ainsi les dommages causs aux organisations bancaires. En laborant ces principes, le
Comit a tir des enseignements des situations des banques en difficult dans les divers pays
membres.
3. Ces principes se prtent donc une application gnrale, et les autorits de
contrle devraient sy rfrer pour valuer les mthodes et procdures quelles emploient pour

1
Le Comit de Ble sur le contrle bancaire, institu en 1975 par les gouverneurs des banques centrales
des pays du Groupe des Dix, rassemble les autorits de contrle des banques. Il est compos de hauts
reprsentants des autorits de contrle bancaire et banques centrales dAllemagne, de Belgique, du
Canada, des Etats-Unis, de France, dItalie, du J apon, du Luxembourg, des Pays-Bas, du Royaume-Uni,
de Sude et de Suisse. Ses runions ont habituellement pour cadre la Banque des Rglements
Internationaux, Ble, sige de son Secrtariat permanent.
- 2 -
voir comment les banques structurent leurs systmes de contrle interne. Lapproche exacte
retenue par les divers responsables prudentiels sera fonction, bien entendu, de nombreux
facteurs, dont leurs techniques de contrle sur place et sur pices, et de la part prise par les
auditeurs externes dans lexercice de la surveillance; nanmoins, tous les membres du
Comit de Ble reconnaissent que les principes tablis dans ce document devraient tre
utiliss pour valuer le systme de contrle interne dune banque.
4. Le Comit de Ble adresse ce document toutes les autorits de contrle dans le
monde, tant convaincu que les principes quil contient fourniront un cadre utile pour une
surveillance efficace des systmes de contrle interne. Dune manire plus gnrale, le
Comit dsire souligner que des contrles internes sains sont un lment essentiel la
conduite prudente de lactivit bancaire et quils favorisent galement la stabilit globale du
systme financier. Il reconnat que, si tous les tablissements nont peut-tre pas mis en place
tous les aspects de ce cadre, ils sy emploient dans lensemble.
5. Les recommandations diffuses antrieurement par le Comit de Ble
comportaient gnralement des analyses des contrles internes portant sur des domaines
spcifiques de lactivit bancaire, tels que le risque de taux dintrt et les oprations de
ngociation et sur instruments drivs. Cette fois, cependant, elles prsentent un cadre que le
Comit encourage les autorits prudentielles utiliser pour valuer les contrles internes sur
lensemble des activits de bilan et de hors-bilan des banques et des organisations bancaires
consolides. Ces recommandations ne se concentrent pas sur des secteurs ou activits
spcifiques au sein dune organisation bancaire, et leur application exacte dpend de la nature
et de la complexit des activits effectues ainsi que des risques quelles comportent.
6. Le Comit prcise, dans la section I, certaines informations dordre gnral et,
dans la suivante, les objectifs et le rle dun cadre de contrle interne; dans les sections III et
IV, il nonce treize principes lusage des autorits de contrle bancaire pour valuer les
systmes de contrle interne des tablissements. Lannexe I prsente une liste douvrages de
rfrence et lannexe II fournit des enseignements prudentiels tirs de cas antrieurs de
contrles internes insuffisants.
Principes pour lvaluation des systmes de contrle interne
Surveillance par la direction et culture de contrle
Principe 1:
Le conseil dadministration devrait tre charg dapprouver et de revoir
priodiquement les grandes stratgies et les principales politiques de la banque,
dapprcier les risques substantiels quelle encourt, de fixer des niveaux
acceptables pour ces risques et de sassurer que la direction gnrale prend les
dispositions ncessaires pour identifier, mesurer, surveiller et contrler ces
risques, dapprouver la structure organisationnelle et de veiller ce que la

- 3 -
direction gnrale surveille lefficacit du systme de contrle interne. Le conseil
dadministration est responsable en dernier ressort de lexistence et du respect
dun systme de contrle interne adquat et performant.
Principe 2:
La direction gnrale devrait tre charge de mettre en uvre les stratgies et
politiques approuves par le conseil, dlaborer des processus permettant
didentifier, de mesurer, de surveiller et de contrler les risques encourus, de
mettre en place une structure organisationnelle fixant clairement les rapports de
responsabilit, dautorit et de notification, de garantir lexercice effectif des
responsabilits dlgues, de dfinir des politiques de contrle interne appropries
et de surveiller ladquation et lefficacit du systme de contrle interne.
Principe 3:
Le conseil dadministration et la direction gnrale sont chargs de promouvoir
des critres levs dthique et dintgrit et dinstaurer, au sein de lorganisation
bancaire, une culture qui souligne et dmontre, tous les niveaux du personnel,
limportance des contrles internes. Tout le personnel de lorganisation doit
comprendre son rle dans le contrle interne et simpliquer activement dans ce
processus.
Reconnaissance et valuation des risques
Principe 4:
Un systme de contrle interne efficace ncessite de reconnatre et dvaluer en
permanence les risques importants qui pourraient compromettre la ralisation des
objectifs de la banque. Cette valuation devrait couvrir lensemble des risques
encourus par ltablissement et lorganisation bancaire consolide (cest--dire
risque de crdit, risque-pays et risque de transfert, risque de march, risque de
taux dintrt, risque de liquidit, risque oprationnel, risque juridique et risque
de rputation). Une rvision des contrles internes peut savrer indispensable
pour traiter de manire approprie tout risque nouveau ou prcdemment
incontrl.
Activits de contrle et sparation des tches
Principe 5:
Les activits de contrle devraient faire partie intgrante des activits quotidiennes
de la banque. Un systme de contrle interne efficace ncessite la mise en place
dune structure de contrle approprie, avec des activits de contrle dfinies
chaque niveau oprationnel. Celles-ci devraient inclure les lments suivants:

- 4 -
examens au plus haut niveau; contrles dactivit appropris pour les diffrents
dpartements ou units; contrles physiques; vrification du respect des plafonds
dengagement et suivi en cas de non-respect; systme dapprobations et
dautorisations; systme de vrifications et de contrles par rapprochement.
Principe 6:
Un systme de contrle interne efficace ncessite que les tches soient spares de
faon approprie et que le personnel ne soit pas charg de responsabilits
conflictuelles. Les domaines susceptibles de donner lieu des conflits dintrts
devraient tre identifis, circonscrits aussi troitement que possible et soumis une
surveillance attentive dune tierce partie indpendante.
Information et communication
Principe 7:
Un systme de contrle interne efficace ncessite lexistence de donnes internes
adquates et exhaustives dordre financier, oprationnel ou ayant trait au
respect de la conformit ainsi que dinformations de march extrieures sur les
vnements et conditions intressant la prise de dcision. Ces donnes et
informations devraient tre fiables, rcentes, accessibles et prsentes sous une
forme cohrente.
Principe 8:
Un systme de contrle interne efficace ncessite lexistence de systmes
dinformation fiables couvrant toutes les activits importantes de la banque. Ces
systmes, notamment ceux qui comportent et utilisent des donnes informatises,
doivent tre srs, surveills de manire indpendante et tays par des plans de
secours adquats.
Principe 9:
Un systme de contrle interne efficace ncessite des voies de communication
performantes pour garantir que lensemble du personnel comprend et respecte
parfaitement les politiques et procdures affectant ses tches et responsabilits et
que les autres informations importantes parviennent leurs destinataires.
Surveillance des activits et correction des dficiences
Principe 10:
Lefficacit globale des contrles internes de la banque devrait tre surveille en
permanence. Le suivi des principaux risques devrait faire partie des activits

- 5 -
quotidiennes de la banque de mme que les valuations priodiques effectues par
les secteurs dactivit et laudit interne.
Principe 11:
Un audit interne efficace et exhaustif du systme de contrle interne devrait tre
effectu par un personnel bien form et comptent bnficiant dune indpendance
oprationnelle. La fonction daudit interne, en tant qulment de la surveillance
du systme de contrle interne, devrait rendre compte directement au conseil
dadministration, ou son comit daudit, ainsi qu la direction gnrale.
Principe 12:
Les dficiences des contrles internes, quelles soient dtectes par un secteur
dactivit, laudit interne ou un autre personnel de contrle, devraient tre
notifies dans les meilleurs dlais au niveau de direction appropri et faire lobjet
dun traitement rapide. Les dficiences importantes devraient tre signales la
direction gnrale et au conseil dadministration.
Evaluation des systmes de contrle interne par les autorits prudentielles
Principe 13:
Les autorits prudentielles devraient exiger que toutes les banques, quelle que soit
leur dimension, disposent dun systme efficace de contrle interne correspondant
la nature, la complexit et au degr de risque inhrent leurs activits de bilan
et de hors-bilan et ragissant aux modifications de lenvironnement et des
conditions dactivit de la banque. Dans les cas o les autorits prudentielles
constatent que le systme de contrle interne nest pas adquat ou efficace par
rapport au profil de risque spcifique de ltablissement (sil ne prend pas en
compte, par exemple, tous les principes contenus dans ce document), elles
devraient intervenir en consquence.


- 6 -
I. Contexte gnral
1. Le Comit de Ble a analys certains cas rcents de banques en difficult, afin
didentifier les principales origines des dficiences de contrle interne. Les problmes mis
jour renforcent lide quil est important que les administrateurs et la direction des banques,
les auditeurs internes et externes ainsi que les autorits de contrle bancaire consacrent
davantage dattention au renforcement des systmes de contrle interne et lvaluation
permanente de leur efficacit. Plusieurs de ces cas montrent que des contrles internes
inadquats peuvent occasionner des pertes bancaires substantielles.
2. Les carences observes gnralement dans les banques en difficult peuvent tre
classes en cinq catgories.
Dfaillances dans la surveillance et lexercice des responsabilits de la part de la
direction et absence dune forte culture de contrle au sein de la banque. Les cas de
pertes importantes refltent tous, sans exception, un manque dattention et de rigueur de
la direction envers la culture de contrle dans la banque, une orientation et une
surveillance insuffisantes de la part du conseil dadministration et de la direction
gnrale ainsi que labsence dun exercice clair des responsabilits de la direction dans
lattribution des rles et des tches. Ces cas rvlent galement labsence dincitations
appropries pour que la direction exerce une surveillance hirarchique rigoureuse et
maintienne un niveau lev de conscience du contrle au sein des divers secteurs
dactivit.
Reconnaissance et valuation inadquates du risque inhrent certaines activits
bancaires, tant de bilan que de hors-bilan. De nombreuses organisations bancaires
ayant subi des pertes substantielles ngligeaient de reconnatre et dvaluer les risques
lis aux nouveaux produits et activits ou de revoir leurs estimations des risques en
fonction des modifications notables de lenvironnement ou des conditions dactivit.
Plusieurs cas rcents montrent clairement que des systmes de contrle performants
pour des produits traditionnels ou simples sont inoprants pour des instruments plus
sophistiqus ou complexes.
Absence ou dficience de structures et dlments cls du contrle, tels que
sparation des tches, approbations, vrifications, contrles par rapprochement,
analyses des rsultats dexploitation. La non-sparation des tches, en particulier, a
jou un rle majeur dans les pertes sensibles enregistres par les banques.
Mauvaise communication de linformation entre les niveaux de direction,
spcialement vers le haut pour signaler les problmes. Pour tre efficaces, les
politiques et procdures doivent tre communiques de manire effective lensemble
du personnel associ une activit. Certaines pertes bancaires ont t dues au fait que

- 7 -
des agents directement concerns ne connaissaient ou ne comprenaient pas les
politiques de ltablissement. Dans plusieurs cas, des informations sur des activits
inappropries, qui auraient d tre transmises la direction par la voie hirarchique,
nont t notifies au conseil dadministration ou la direction gnrale que lorsque les
problmes taient devenus graves. Dans dautres cas, le contenu des rapports la
direction tait insuffisant ou inexact, donnant ainsi une impression faussement favorable
sur la situation dune activit.
Programmes daudit et autres activits de surveillance inadquats ou inefficaces. Trs
souvent, les audits effectus ntaient pas suffisamment rigoureux pour dceler et
notifier les insuffisances du contrle dans les banques en difficult. Dans dautres cas,
mme si les auditeurs ont fait part des problmes dtects, aucun mcanisme ntait
prvu pour faire en sorte que la direction remdie aux dficiences.
3. Le cadre de contrle interne qui sous-tend ces recommandations est fond sur les
pratiques suivies actuellement dans de nombreuses grandes banques, entreprises
dinvestissement et socits non financires ainsi que par leurs auditeurs. En outre, ce cadre
dvaluation va dans le sens de limportance accrue confre par les autorits de contrle
bancaire lexamen des processus de gestion du risque et de contrle interne dans une
organisation bancaire. Il importe de souligner quil incombe au conseil dadministration et
la direction gnrale de sassurer de lexistence de contrles internes adquats et de
promouvoir un environnement dans lequel les individus comprennent et assument leurs
responsabilits dans ce domaine. Les autorits de contrle bancaire, pour leur part, ont
mission dvaluer lengagement du conseil dadministration et de la direction de la banque
lgard du processus de contrle interne.

- 8 -
II. Objectifs et rle du cadre de contrle interne
4. Le contrle interne est un processus mis en uvre par le conseil dadministration
2
,
la direction gnrale et tous les niveaux du personnel. Il ne sagit pas simplement dune
procdure ou dune politique applique un moment donn, mais plutt dun systme qui
fonctionne en continu tous les niveaux de la banque. Le conseil dadministration et la
direction gnrale sont chargs dinstaurer la culture approprie capable de favoriser un
processus de contrle interne efficace et den surveiller en permanence lefficacit; il importe
toutefois que chacun y participe activement. Les principaux objectifs du processus de contrle
interne
3
peuvent tre classs en trois groupes:
1. efficience et efficacit des activits (objectifs de performance);
2. fiabilit, exhaustivit et actualit des donnes financires et des informations
destines la direction (objectifs dinformation);
3. conformit aux lois et rglementations applicables (objectifs de conformit).
5. Les objectifs de performance sont lis lefficacit et lefficience de la banque
dans lutilisation de ses actifs et autres ressources ainsi que dans la protection de
ltablissement vis--vis des pertes. Le processus de contrle interne cherche sassurer que
lensemble du personnel uvre avec efficience et intgrit la ralisation des objectifs, sans
occasionner des cots imprvus ou excessifs ni privilgier dautres intrts (tels que ceux
dun employ, dun fournisseur ou dun client) que ceux de la banque.
6. Les objectifs dinformation portent sur la prparation de rapports pertinents,
fiables et aussi rcents que possible, indispensables la prise de dcision au sein de
lorganisation bancaire. Ils recouvrent galement la ncessit dtablir des comptes annuels,
tats financiers et autres communications et rapports de caractre financier qui soient fiables
pour les actionnaires, autorits de contrle et autres parties extrieures. Les donnes reues
par la direction, le conseil dadministration, les actionnaires et les autorits de contrle
devraient tre dune qualit et dune intgrit suffisantes pour que leurs bnficiaires puissent
sy rfrer pour fonder leurs dcisions. Le terme fiable, tel quil sapplique aux tats

2
Ce document se rfre une structure de gestion compose dun conseil dadministration et dune
direction gnrale. Le Comit est conscient de lexistence de diffrences notables entre les cadres
lgislatifs et rglementaires des divers pays, en ce qui concerne les fonctions de ces deux instances. Dans
certains pays, le conseil est charg principalement, mais non exclusivement, de superviser lorgane
excutif (direction gnrale), afin de sassurer quil sacquitte de ses tches; il est parfois appel, pour
cette raison, conseil de surveillance et na pas de rle excutif. Dans dautres, en revanche, il dtient une
autorit plus large, en ce sens quil labore le cadre gnral de gestion de la banque. Du fait de ces
diffrences, les notions de conseil dadministration et de direction gnrale sont utilises dans ce
document non pas pour identifier des structures juridiques, mais plutt pour dsigner deux niveaux de
prise de dcision au sein dune banque.
3
Il inclut les contrles internes sur la prservation des actifs et autres ressources contre une acquisition, un
usage ou un transfert non autoris ou en cas de pertes.

- 9 -
financiers, se rapporte la prparation de documents tablis sur une base sincre partir de
principes et rgles comptables exhaustifs et bien dfinis.
7. Les objectifs de conformit garantissent que toute lactivit bancaire est conforme
aux lois, rglementations et exigences prudentielles applicables ainsi quaux politiques et
procdures de lorganisation. Cet objectif doit tre satisfait pour prserver les droits et la
rputation de la banque.

- 10 -
III. Principaux lments dun processus de contrle interne
8. Le processus de contrle interne, qui visait traditionnellement rduire la fraude,
les dtournements de fonds et les erreurs, a pris une dimension plus vaste et recouvre
lensemble des risques encourus par les organisations bancaires. Il est admis prsent quun
processus de contrle interne sain est essentiel pour quune banque puisse raliser les
objectifs quelle sest fixs et prserver sa viabilit financire.
9. Le contrle interne consiste en cinq lments troitement lis:
1. Surveillance par la direction et culture de contrle
2. Reconnaissance et valuation des risques
3. Activits de contrle et sparation des tches
4. Information et communication
5. Surveillance des activits et correction des dficiences.
Les problmes rencontrs dans les cas rcents de pertes bancaires importantes relvent de ces
cinq catgories. Le fonctionnement efficace de ces lments est capital pour la ralisation des
objectifs de performance, dinformation et de conformit dune banque.
A. Surveillance par la direction et culture de contrle
1. Conseil dadministration
Principe 1: Le conseil dadministration devrait tre charg dapprouver et de revoir
priodiquement les grandes stratgies et les principales politiques de la banque,
dapprcier les risques substantiels quelle encourt, de fixer des niveaux acceptables
pour ces risques et de sassurer que la direction gnrale prend les dispositions
ncessaires pour identifier, mesurer, surveiller et contrler ces risques, dapprouver la
structure organisationnelle et de veiller ce que la direction gnrale surveille
lefficacit du systme de contrle interne. Le conseil dadministration est responsable
en dernier ressort de lexistence et du respect dun systme de contrle interne adquat
et performant.
10. Le conseil dadministration a une mission de gouvernance, dorientation et de
surveillance vis--vis de la direction gnrale. Il est charg dapprouver et de revoir les
grandes stratgies et les principales politiques de lorganisation ainsi que sa structure
organisationnelle. Il lui incombe en dernier ressort de veiller la mise en place et
lapplication dun systme adquat et performant de contrle interne. Ses membres devraient
tre objectifs, comptents et scrupuleux et connatre les activits de la banque ainsi que les
risques quelle encourt. Dans les pays o une telle option existe, le conseil devrait
comprendre certains membres jouissant dune indpendance par rapport la gestion

- 11 -
quotidienne de la banque. Un conseil dadministration fort et actif, surtout lorsquil est
associ des canaux de communication faisant bien remonter linformation et des organes
financiers, juridiques et daudit interne efficients, offre un mcanisme important pour
rsoudre les problmes susceptibles de nuire lefficacit du systme de contrle interne.
11. Le conseil dadministration devrait inclure dans ses activits 1) des discussions
rgulires avec la direction sur lefficacit du systme de contrle interne, 2) un examen, dans
les meilleurs dlais, des valuations des contrles internes effectues par la direction et les
auditeurs internes et externes, 3) des actions rptes pour sassurer que la direction a
rapidement pris en compte les recommandations et proccupations exprimes par les
auditeurs et autorits de contrle au sujet des carences du contrle interne, 4) un examen
priodique du bien-fond de la stratgie et des limites de risque de la banque.
12. Une option utilise par les banques de nombreux pays consiste instaurer un
comit daudit indpendant pour assister le conseil dadministration dans lexercice de ses
responsabilits. Cela permet dexaminer dans le dtail des informations et rapports sans
devoir mobiliser tous les administrateurs. Le comit daudit est gnralement responsable du
suivi du processus de communication financire et du systme de contrle interne. Dans le
cadre de cette responsabilit, il est attentif aux activits du dpartement daudit interne de la
banque, auquel il sert de contact direct; il engage galement les auditeurs externes et en est
linterlocuteur privilgi. Dans les pays optant pour un comit daudit, celui-ci devrait tre
principalement ou entirement compos dadministrateurs extrieurs (cest--dire de membres
du conseil qui ne sont employs ni par la banque ni par lun de ses tablissements affilis)
possdant une comptence en matire de communication financire et de contrle interne. Il
convient de noter que la constitution dun comit daudit ne devrait en aucun cas dcharger le
conseil plnier de ses tches, lui seul tant juridiquement mandat prendre des dcisions.
2. Direction gnrale
Principe 2: La direction gnrale devrait tre charge de mettre en uvre les stratgies
et politiques approuves par le conseil, dlaborer des processus permettant didentifier,
de mesurer, de surveiller et de contrler les risques encourus, de mettre en place une
structure organisationnelle fixant clairement les rapports de responsabilit, dautorit et
de notification, de garantir lexercice effectif des responsabilits dlgues, de dfinir
des politiques de contrle interne appropries et de surveiller ladquation et lefficacit
du systme de contrle interne.
13. Il incombe la direction gnrale de mettre en uvre les directives du conseil
dadministration, en appliquant notamment les stratgies et politiques de la banque et en
instaurant un systme de contrle interne efficace. Pour llaboration des politiques et
procdures de contrle interne plus spcifiques, les membres de la direction gnrale

- 12 -
dlguent habituellement cette responsabilit aux personnes charges dune unit particulire.
Dlguer est un lment essentiel de la fonction de direction; il est toutefois important que la
direction gnrale supervise ces personnes pour sassurer quelles tablissent et conduisent
des politiques et procdures appropries.
14. Le respect de la conformit un systme de contrle interne passe en grande
partie par une structure organisationnelle parfaitement transparente et connue de lensemble
du personnel, montrant clairement les niveaux de responsabilit et dautorit en matire de
notification et permettant une communication effective dans lensemble de lorganisation. La
rpartition des tches et responsabilits devrait garantir labsence de ruptures dans la chane
hirarchique et lexercice dun degr de contrle efficace par la direction tous les niveaux
de la banque et dans toutes ses activits.
15. Il importe que la direction gnrale prenne des mesures pour garantir que les
activits sont conduites par du personnel qualifi possdant lexprience et les capacits
techniques requises. Les agents exerant des fonctions de contrle doivent bnficier dune
rmunration approprie. Une remise niveau rgulire de la formation et des comptences
du personnel devrait exister. La direction gnrale devrait instaurer des politiques de
rmunration et de promotion rcompensant les comportements adquats et rduisant au
maximum les incitations, pour les agents, ignorer ou contourner les mcanismes de
contrle interne.
3. Culture de contrle
Principe 3: Le conseil dadministration et la direction gnrale sont chargs de
promouvoir des critres levs dthique et dintgrit et dinstaurer, au sein de
lorganisation bancaire, une culture qui souligne et dmontre, tous les niveaux du
personnel, limportance des contrles internes. Tout le personnel de lorganisation doit
comprendre son rle dans le contrle interne et simpliquer activement dans ce
processus.
16. Lun des lments essentiels dun systme de contrle interne efficace rside dans
une culture de contrle forte. Il incombe au conseil dadministration et la direction gnrale
de souligner, dans les termes utiliss et les actions entreprises, limportance du contrle
interne; cela passe notamment par les valeurs thiques mises en avant par la direction dans
son comportement professionnel, tant lintrieur qu lextrieur de lorganisation. Les
termes, actes et attitudes de ces deux instances affectent lintgrit, lthique et les autres
aspects de la culture de contrle dun tablissement.
17. A des degrs divers, le contrle interne relve de la responsabilit de chacun.
Presque tous les employs produisent des informations utilises dans le systme de contrle
interne ou effectuent dautres actions indispensables lexercice du contrle. Un lment cl

- 13 -
dun systme de contrle interne fort est la conscience, pour chaque employ, de la ncessit
dassumer ses tches de manire efficace et de notifier au niveau de direction appropri tout
problme rencontr dans le cadre des oprations, toute infraction au code de conduite ainsi
que toute violation des politiques tablies ou action illgale constate. Lidal, cet effet, est
que les procdures oprationnelles soient clairement prcises par crit et mises la
disposition de lensemble du personnel concern. Il est essentiel que tous les agents de la
banque comprennent limportance du contrle interne et simpliquent activement dans ce
processus.
18. En renforant les valeurs thiques, les organisations bancaires devraient viter des
politiques et pratiques pouvant engendrer par mgarde des incitations ou des tentations
effectuer des activits inappropries: importance exagre donne aux objectifs de
performance ou autres rsultats oprationnels, particulirement ceux court terme qui
ngligent les risques plus long terme; systmes de rmunration privilgiant trop la
performance court terme; sparation inefficace des tches ou dautres fonctions de contrle
pouvant amener mal utiliser les ressources ou dissimuler des performances mdiocres;
sanctions minimes ou excessives en cas de comportement incorrect.
19. Si lexistence dune forte culture de contrle interne ne garantit pas une
organisation datteindre ses objectifs, son absence augmente les risques derreurs non
dceles ou dirrgularits.
B. Reconnaissance et valuation des risques
Principe 4: Un systme de contrle interne efficace ncessite de reconnatre et dvaluer
en permanence les risques importants qui pourraient compromettre la ralisation des
objectifs de la banque. Cette valuation devrait couvrir lensemble des risques encourus
par ltablissement et lorganisation bancaire consolide (cest--dire risque de crdit,
risque-pays et risque de transfert, risque de march, risque de taux dintrt, risque de
liquidit, risque oprationnel, risque juridique et risque de rputation). Une rvision des
contrles internes peut savrer indispensable pour traiter de manire approprie tout
risque nouveau ou prcdemment incontrl.
20. Lactivit bancaire comporte une prise de risques. Il est donc impratif que, dans
le cadre dun systme de contrle interne, ces risques soient reconnus et valus en
permanence. Dans la perspective du contrle interne, cette valuation devrait dceler et
apprcier les facteurs internes et externes pouvant compromettre la ralisation des objectifs de
performance, dinformation et de conformit de lorganisation bancaire. Cette analyse devrait
prendre en compte tous les risques rencontrs par la banque et couvrir tous les niveaux de
ltablissement. Elle se diffrencie de lanalyse de gestion des risques qui porte, en gnral,

- 14 -
davantage sur lexamen des stratgies dactivit labores pour obtenir le meilleur rapport
possible risque/rmunration dans les diffrents secteurs de la banque.
21. Une valuation efficace des risques recense et analyse les facteurs internes
(complexit de la structure de lorganisation, nature des activits de la banque, qualit du
personnel, modifications organisationnelles et mouvements deffectifs) et externes (volution
des conditions conomiques, changements au sein de la profession et progrs technologique)
pouvant compromettre la ralisation des objectifs de la banque. Elle devrait tre effectue au
niveau de chaque dpartement oprationnel ainsi que pour lensemble des activits et filiales
de lorganisation bancaire consolide, en recourant diverses mthodes. Pour tre efficace,
elle doit porter la fois sur les aspects mesurables et non mesurables des risques et peser les
cots des contrles par rapport aux avantages quils procurent.
22. Le processus dvaluation des risques ncessite galement de diffrencier ceux
qui sont contrlables par la banque et ceux qui ne le sont pas. Pour les premiers, la banque
doit dterminer si elle les accepte ou dans quelle mesure elle prfre les limiter au moyen de
procdures de contrle. Pour ceux qui ne peuvent pas tre contrls, la banque doit dcider
soit de les accepter, soit de se dsengager, soit encore de rduire lactivit concerne.
23. Pour que lvaluation des risques et, par consquent, le systme de contrle
interne demeurent efficaces, la direction gnrale doit considrer en permanence les risques
pouvant entraver la ralisation des objectifs de la banque et ragir aux modifications des
circonstances et des conditions dactivit. Il peut savrer ncessaire de revoir les contrles
internes, afin de bien prendre en compte des risques nouveaux ou prcdemment incontrls.
Par exemple, avec linnovation financire, une banque doit valuer les nouveaux instruments
financiers et oprations de march et examiner les risques quils font encourir. Souvent, la
meilleure faon de comprendre ces risques est de voir comment divers scnarios
(conomiques ou autres) affectent les flux de trsorerie et le rendement des transactions et
instruments financiers. Un examen attentif de lventail des problmes possibles, allant des
malentendus avec la clientle aux dfaillances oprationnelles, soulignera certains aspects
importants en matire de contrle.
C. Activits de contrle et sparation des tches
Principe 5: Les activits de contrle devraient faire partie intgrante des activits
quotidiennes de la banque. Un systme de contrle interne efficace ncessite la mise en
place dune structure de contrle approprie, avec des activits de contrle dfinies
chaque niveau oprationnel. Celles-ci devraient inclure les lments suivants: examens
au plus haut niveau; contrles dactivit appropris pour les diffrents dpartements ou
units; contrles physiques; vrification du respect des plafonds dengagement et suivi
en cas de non-respect; systme dapprobations et dautorisations; systme de
vrifications et de contrles par rapprochement.

- 15 -
24. Les activits de contrle sont conues et mises en uvre pour faire face aux
risques dcels par la banque au moyen du processus dvaluation des risques dcrit
prcdemment. Ces activits comportent deux tapes: 1) ltablissement des politiques et
procdures de contrle; 2) la vrification du respect de la conformit ces politiques et
procdures. Les activits de contrle se situent tous les niveaux du personnel de la banque,
y compris la direction gnrale et le personnel directement en contact avec le march, et
revtent des formes diffrentes:
Examens au plus haut niveau Le conseil dadministration et la direction
gnrale demandent souvent des prsentations et comptes rendus de performances
leur permettant dvaluer les progrs accomplis par la banque pour raliser ses
objectifs. Ainsi, la direction gnrale peut vouloir consulter des rapports indiquant
les rsultats financiers effectifs en cours dexercice par rapport au budget. Les
questions quelle est amene poser et les rponses des niveaux hirarchiques
infrieurs constituent une activit de contrle qui peut mettre en vidence des
problmes tels que carences du contrle, erreurs dans la communication
financire interne ou fraudes.
Contrles dactivit La direction dun dpartement ou dune unit reoit et
examine des comptes rendus classiques ou exceptionnels sur une base
quotidienne, hebdomadaire ou mensuelle. Les examens fonctionnels sont plus
frquents que ceux effectus au plus haut niveau et sont habituellement plus
dtaills. Ainsi, le responsable du secteur des prts commerciaux consulte des
rapports hebdomadaires sur les dfauts de paiement, les paiements reus et les
revenus dintrts produits par le portefeuille, tandis que le responsable du crdit
au sein de la direction gnrale a connaissance de documents similaires une fois
par mois et sous une forme plus condense couvrant toutes les catgories de prts.
Comme pour les examens au plus haut niveau, les questions dcoulant de
lanalyse des rapports et les rponses quelles amnent reprsentent lactivit de
contrle.
Contrles physiques Les contrles physiques portent en gnral sur les
limitations daccs aux actifs tangibles, y compris les liquidits et les titres. Les
activits de contrle incluent les restrictions physiques, la double conservation et
les inventaires priodiques.
Conformit aux plafonds dengagement Ltablissement de limites prudentes
sur les engagements constitue un lment majeur de la gestion des risques. Par
exemple, la conformit aux limites fixes pour les emprunteurs et les autres
contreparties rduit la concentration du risque de crdit de la banque et permet de
diversifier son profil de risque. Par consquent, un aspect important des contrles

- 16 -
internes rside dans un processus de vrification du respect de ces limites et un
suivi en cas de non-respect.
Approbations et autorisations La ncessit de solliciter des approbations et
autorisations pour les transactions dpassant certaines limites garantit quun
niveau de direction appropri a connaissance de la transaction ou de la situation,
ce qui aide tablir les responsabilits.
Vrifications et contrles par rapprochement Les vrifications des
caractristiques dtailles des transactions ainsi que des diverses activits et des
rsultats fournis par les modles de gestion des risques utiliss par la banque
constituent une activit de contrle importante. Les rapprochements priodiques,
par exemple entre les flux de trsorerie et les rapports et tats financiers, peuvent
mettre en vidence des activits et enregistrements comptables exigeant dtre
amends. Par consquent, les conclusions de ces contrles devraient tre notifies
aux niveaux de direction appropris chaque fois que des problmes effectifs ou
potentiels sont dtects.
25. Les activits de contrle ont leur efficacit optimale lorsque la direction et
lensemble du personnel les considrent comme faisant intrinsquement partie, et non comme
un complment, des activits quotidiennes de la banque. Lorsque les contrles sont vus
comme un complment des activits de chaque jour, ils sont souvent jugs moins importants
et peuvent ne pas tre raliss dans des situations o des agents sestiment presss par le
temps pour effectuer leurs activits. En outre, les contrles vritablement intgrs aux
activits quotidiennes permettent de ragir rapidement des modifications des conditions et
vitent des cots inutiles. Dans le cadre de la dmarche visant instaurer la culture de
contrle approprie au sein dune banque, la direction gnrale devrait sassurer que les
activits de contrle adquates font vritablement partie des fonctions quotidiennes de
lensemble du personnel concern.
26. La direction gnrale ne doit pas se contenter de dfinir des politiques et
procdures appropries pour les diverses activits et units de la banque. Elle doit sassurer
rgulirement que tous les domaines de la banque oprent en conformit avec ces politiques
et procdures et faire en sorte galement que les politiques et procdures existantes demeurent
adquates. Il sagit l, gnralement, dun aspect important de la fonction daudit interne.
Principe 6: Un systme de contrle interne efficace ncessite que les tches soient
spares de faon approprie et que le personnel ne soit pas charg de responsabilits
conflictuelles. Les domaines susceptibles de donner lieu des conflits dintrts
devraient tre identifis, circonscrits aussi troitement que possible et soumis une
surveillance attentive dune tierce partie indpendante.

- 17 -
27. Dans les cas de pertes bancaires importantes dues un contrle interne
insuffisant, les autorits prudentielles constatent en gnral que lune des causes principales
rside dans labsence de sparation adquate des tches. Le fait de confier la mme
personne des responsabilits conflictuelles (par exemple, celles des fonctions de march et de
postmarch dune unit de ngociation) lui donne la possibilit davoir accs des actifs de
valeur et de manipuler des donnes financires en vue dun profit personnel ou de dissimuler
des pertes. Cest pourquoi, au sein dune banque, certaines tches devraient tre rparties
autant que possible entre plusieurs individus, afin de rduire le risque de manipulation de
donnes financires ou de dtournement dactifs.
28. La sparation des tches ne concerne pas seulement des situations o la mme
personne contrle la fois la salle des marchs et le postmarch. En labsence de contrles
appropris, de srieux problmes peuvent galement se poser lorsquun individu est charg:
de lapprobation du dcaissement de fonds et de leur dcaissement effectif;
des comptes clientle et des comptes propres;
des transactions au titre du portefeuille bancaire et du portefeuille de
ngociation;
de la fourniture informelle dinformations des clients sur leurs positions et
de la relation commerciale avec ces mmes clients;
de lvaluation du caractre adquat des dossiers de crdit et de la
surveillance des emprunteurs aprs loctroi des crdits;
de tout autre domaine o des conflits dintrts notables apparaissent et ne
sont pas attnus par dautres facteurs.
29. Les domaines susceptibles de donner lieu des conflits devraient tre identifis,
circonscrits aussi troitement que possible et faire lobjet dune surveillance attentive dune
tierce partie indpendante. Des examens priodiques des responsabilits et fonctions des
personnes dtenant les postes cls devraient tre galement effectus pour sassurer que ces
responsables ne sont pas en mesure de dissimuler des agissements inappropris.
D. Information et communication
Principe 7: Un systme de contrle interne efficace ncessite lexistence de donnes
internes adquates et exhaustives dordre financier, oprationnel ou ayant trait au
respect de la conformit ainsi que dinformations de march extrieures sur les
vnements et conditions intressant la prise de dcision. Ces donnes et informations
devraient tre fiables, rcentes, accessibles et prsentes sous une forme cohrente.
30. Une information adquate et une communication efficace sont deux lments
essentiels au bon fonctionnement dun systme de contrle interne. Sagissant des banques,

- 18 -
pour que linformation soit utile, elle doit tre pertinente, fiable, rcente, accessible et
prsente sous une forme cohrente. Il peut sagir de donnes internes dordre financier,
oprationnel ou ayant trait au respect de la conformit ainsi que dinformations de march
extrieures sur des vnements et conditions intressant la prise de dcision. Linformation
interne fait partie dun processus denregistrement qui devrait comporter des procdures
dfinies pour la conservation des supports denregistrement.
Principe 8: Un systme de contrle interne efficace ncessite lexistence de systmes
dinformation fiables couvrant toutes les activits importantes de la banque. Ces
systmes, notamment ceux qui comportent et utilisent des donnes informatises,
doivent tre srs, surveills de manire indpendante et tays par des plans de secours
adquats.
31. Un lment essentiel des activits dune banque rside dans la mise en place et la
maintenance de systmes dinformation de la direction couvrant toute la gamme de ses
activits. Cette information est habituellement fournie la fois sous forme lectronique et non
lectronique. Les banques doivent tre tout particulirement informes des exigences
organisationnelles et de contrle interne lies au traitement lectronique de linformation ainsi
que de la ncessit de disposer dune piste daudit adquate. Au niveau de la direction, la
prise de dcision pourrait tre fausse par des informations non fiables ou errones fournies
par des systmes mal conus et insuffisamment contrls.
32. Les systmes dinformation lectroniques et lutilisation de linformatique
prsentent des risques qui doivent tre efficacement contrls par les banques, afin dviter
des dysfonctionnements et des pertes potentielles. Comme le traitement des transactions et les
applications lies aux activits ont dpass le stade dun environnement ordinateur central
pour passer des systmes rpartis pour les fonctions essentielles aux missions, lampleur des
risques sest accrue galement. Les contrles sur les systmes et la technologie informatiques
devraient tre la fois gnraux et spcifiques aux applications. Les contrles gnraux
portent sur les systmes informatiques (ordinateur central, postes client/serveur et terminaux
dutilisateur, par exemple) et assurent leur fonctionnement correct en continu. Ils incluent des
procdures maison de sauvegarde et de reprise, des politiques de dveloppement et
dacquisition de logiciels, des procdures de maintenance (contrle des changements
effectus) et des contrles de scurit daccs physiques/logiques. Les contrles lis aux
applications sont des tapes informatises au sein des applications logicielles et dautres
procdures manuelles qui examinent le traitement des oprations et le droulement des
activits. Ils concernent, entre autres, les questions de rconciliations et daccs logiques
spcifiques un systme dactivit. En labsence de contrles adquats sur les systmes et la
technologie informatiques, y compris ceux qui sont en cours de dveloppement, les banques

- 19 -
pourraient subir des pertes de donnes et de programmes rsultant de dispositions
inappropries en matire de scurit physique et lectronique, de dfaillances des
quipements ou systmes et de procdures maison inadaptes de sauvegarde et de reprise.
33. Outre les risques et contrles ci-dessus, il existe des risques inhrents associs la
perte ou au dysfonctionnement prolong de services rsultant de facteurs qui chappent au
contrle de la banque. Dans des situations extrmes, de tels problmes pourraient causer de
srieuses difficults aux banques et mme compromettre leur capacit deffectuer leurs
activits essentielles, tant donn que la prestation de services aux entreprises et la clientle
reprsente des questions cls au niveau des transactions, des stratgies et de la rputation.
Cette ventualit contraint la banque tablir des plans de reprise dactivit et de secours en
utilisant une autre facilit hors site, incluant la remise en route de systmes essentiels
bnficiant de lassistance dun prestataire de services extrieur. Le risque de perte ou de
dysfonctionnement prolong doprations capitales ncessite un effort global de linstitution
pour mettre en place des programmes de secours incluant la gestion des oprations et ne se
limitant pas aux oprations informatiques centralises. Des plans de reprise dactivit doivent
tre tests priodiquement pour garantir leur caractre fonctionnel en cas de dsastre
inattendu.
Principe 9: Un systme de contrle interne efficace ncessite des voies de communication
performantes pour garantir que lensemble du personnel comprend et respecte
parfaitement les politiques et procdures affectant ses tches et responsabilits et que les
autres informations importantes parviennent leurs destinataires.
34. En labsence dune communication efficace, linformation est inutile. La direction
gnrale dune banque doit instaurer des voies de communication performantes, afin que les
informations ncessaires parviennent leurs destinataires. Ces informations portent la fois
sur les politiques et procdures oprationnelles de ltablissement ainsi que sur les rsultats
dexploitation rels.
35. La structure organisationnelle de la banque devrait faciliter une circulation
adquate horizontale et verticale de linformation dans toute lorganisation. Une telle
structure garantit que les informations remontent et permet au conseil dadministration et la
direction gnrale de connatre les risques encourus dans le cadre de lactivit et les rsultats
dexploitation. Linformation qui redescend travers lorganisation garantit que les objectifs,
les stratgies, et aussi les attentes, de la banque ainsi que les politiques et procdures tablies
sont communiqus au niveau de direction infrieur et au personnel charg des oprations.
Cette communication est essentielle pour obtenir un effort commun de tous les employs vers
les objectifs de la banque. Enfin, la communication horizontale dans lorganisation est

- 20 -
ncessaire pour que linformation parvenant une unit ou un dpartement puisse tre connue
des autres units ou dpartements concerns.
E. Surveillance des activits et correction des dficiences
Principe 10: Lefficacit globale des contrles internes de la banque devrait tre
surveille en permanence. Le suivi des principaux risques devrait faire partie des
activits quotidiennes de la banque de mme que les valuations priodiques effectues
par les secteurs dactivit et laudit interne.
36. Comme lactivit bancaire est un secteur dynamique, o tout volue rapidement,
les banques doivent en permanence surveiller et valuer leurs systmes de contrle interne en
fonction des modifications des conditions internes et externes et les renforcer, au besoin, pour
en garantir lefficacit.
37. Surveiller lefficacit des contrles internes est une tche qui peut tre accomplie
par du personnel de plusieurs secteurs diffrents, dont celui en charge des oprations
elles-mmes, le contrle financier et laudit interne. Pour cette raison, il est important que la
direction gnrale dsigne clairement ces personnes en prcisant leurs fonctions de
surveillance. La surveillance devrait faire partie des activits quotidiennes de la banque mais
commande galement de procder des valuations priodiques spcifiques de lensemble du
processus de contrle interne. La frquence de la surveillance des diffrentes activits devrait
tre fonction des risques encourus ainsi que du rythme et de la nature des changements
affectant lenvironnement oprationnel.
38. Un processus de surveillance en continu peut permettre de dcouvrir et de corriger
rapidement les dficiences du systme de contrle interne; il atteint son efficacit maximale
lorsque le systme de contrle interne est intgr lenvironnement oprationnel et donne
lieu des rapports rguliers qui font lobjet dun examen. Dans le cadre de la surveillance en
continu figurent, par exemple, lexamen et lapprobation des enregistrements courants ainsi
que la consultation et lapprobation par la direction des rapports sur des faits exceptionnels.
39. En revanche, les valuations spcifiques ne dtectent gnralement les problmes
quaprs coup; elles permettent cependant une organisation davoir un aperu rcent et
global de lefficacit du systme de contrle interne et de celle, en particulier, de ses activits
de surveillance. Ces valuations peuvent tre effectues par du personnel de plusieurs
secteurs diffrents, dont celui en charge des oprations elles-mmes, le contrle financier et
laudit interne. Les valuations du systme de contrle interne prennent souvent la forme
dautovaluations, lorsque les personnes charges dune fonction prcise dterminent le degr
defficacit des contrles pour leurs activits. Les documents et rsultats concernant les
valuations sont ensuite soumis lattention de la direction gnrale. Les examens effectus

- 21 -
tous les niveaux devraient tre tays par une documentation adquate et communiqus dans
les meilleurs dlais lchelon de direction appropri.
Principe 11: Un audit interne efficace et exhaustif du systme de contrle interne devrait
tre effectu par un personnel bien form et comptent bnficiant dune indpendance
oprationnelle. La fonction daudit interne, en tant qulment de la surveillance du
systme de contrle interne, devrait rendre compte directement au conseil
dadministration, ou son comit daudit, ainsi qu la direction gnrale.
40. La fonction daudit interne constitue un lment majeur de la surveillance en
continu du systme de contrle interne, parce quelle fournit une valuation indpendante du
caractre adquat des politiques et procdures tablies et du respect de la conformit ces
dernires. Il est essentiel que la fonction daudit interne soit indpendante du fonctionnement
de la banque au quotidien et quelle ait accs lensemble des activits conduites par
lorganisation bancaire, y compris dans ses succursales et filiales.
41. En rendant compte directement au conseil dadministration ou son comit
daudit ainsi qu la direction gnrale, les auditeurs internes procurent des informations
objectives sur les diffrentes activits. En raison de limportance de cette fonction, laudit
interne doit tre assur par un personnel comptent et bien form ayant une parfaite
comprhension de son rle et de ses responsabilits. La frquence et lampleur des examens
et tests des contrles internes effectus au sein dune banque par les auditeurs internes
devraient correspondre la nature et la complexit des activits de lorganisation et aux
risques associs.
42. Il est important que la fonction daudit interne rende compte directement au plus
haut niveau de lorganisation bancaire, habituellement le conseil dadministration ou son
comit daudit, et la direction gnrale. Cela permet la gouvernance dentreprise de
sexercer correctement, le conseil bnficiant dinformations qui ne peuvent tre aucunement
adaptes par les niveaux de direction couverts par ces comptes rendus. Le conseil devrait
galement renforcer lindpendance des auditeurs internes, en faisant en sorte que des
questions ayant trait, par exemple, leur rmunration ou aux affectations budgtaires les
concernant soient traites par le conseil ou par les niveaux de direction suprieurs plutt que
par des responsables qui sont affects par les travaux des auditeurs internes.
Principe 12: Les dficiences des contrles internes, quelles soient dtectes par un
secteur dactivit, laudit interne ou un autre personnel de contrle, devraient tre
notifies dans les meilleurs dlais au niveau de direction appropri et faire lobjet dun
traitement rapide. Les dficiences importantes devraient tre signales la direction
gnrale et au conseil dadministration.

- 22 -
43. Les dficiences des contrles internes, ou les risques contrls de manire
inefficace, devraient tre signals ds leur dtection la ou aux personnes appropries, les
problmes graves tant ports lattention de la direction gnrale et du conseil
dadministration. Lorsque ces insuffisances ont t notifies, il est important que la direction
y remdie dans les meilleurs dlais. Les auditeurs internes devraient assurer un suivi ou toute
autre forme approprie de surveillance et informer immdiatement la direction gnrale ou le
conseil de toute insuffisance non corrige. Pour faire en sorte que toutes les dficiences soient
traites au plus tt, la direction gnrale devrait tre responsable de linstauration dun
systme destin suivre les faiblesses du contrle interne ainsi que les actions destines y
remdier.
44. Le conseil dadministration et la direction gnrale devraient recevoir
priodiquement des rapports recensant les problmes de contrle dcels. Des points qui
apparaissent peu importants lors de contrles individuels peuvent fort bien rvler des
tendances susceptibles, sous un angle global, de reprsenter une dficience de contrle
majeure si une action nest pas entreprise temps.

- 23 -
IV. valuation des systmes de contrle interne par les autorits
prudentielles
Principe 13: Les autorits prudentielles devraient exiger que toutes les banques, quelle
que soit leur dimension, disposent dun systme efficace de contrle interne
correspondant la nature, la complexit et au degr de risque inhrent leurs
activits de bilan et de hors-bilan et ragissant aux modifications de lenvironnement et
des conditions dactivit de la banque. Dans les cas o les autorits prudentielles
constatent que le systme de contrle interne nest pas adquat ou efficace par rapport
au profil de risque spcifique de ltablissement (sil ne prend pas en compte, par
exemple, tous les principes contenus dans ce document), elles devraient intervenir en
consquence.
45. Bien que le conseil dadministration et la direction gnrale soient responsables
en dernier ressort de lefficacit du systme de contrle interne, les autorits prudentielles
devraient valuer, dans le cadre de leurs activits de contrle permanent, les systmes dont
sont dotes les diverses banques. Elles devraient galement sassurer que la direction de
chaque tablissement accorde sans tarder lattention requise tout problme dtect par le
processus de contrle interne.
46. Les autorits prudentielles devraient exiger des banques soumises leur contrle
quelles possdent une culture de contrle forte et opter, dans lexercice de leur surveillance,
pour une approche centre sur le risque, incluant dexaminer ladquation des contrles
internes. Il importe que les autorits prudentielles valuent non seulement lefficacit du
systme global de contrle interne, mais aussi les contrles sur les secteurs haut risque
(ceux, par exemple, qui prsentent des caractristiques telles quune rentabilit inhabituelle,
une croissance rapide, une activit nouvelle ou un loignement gographique du sige). Dans
le cas o les autorits de contrle jugent que le systme de contrle interne dune banque
nest pas adquat ou efficace par rapport son profil de risque spcifique, elles devraient
intervenir en consquence. Il leur faudrait notamment faire part de leurs craintes la direction
gnrale et surveiller les mesures prises par la banque pour amliorer son systme de contrle
interne.
47. Dans lvaluation des systmes de contrle interne des banques, les autorits
prudentielles peuvent choisir daccorder une attention spciale directe des activits ou
situations traditionnellement associes des dfaillances de contrle interne ayant entran
des pertes substantielles. Certaines modifications de lenvironnement de la banque devraient
faire lobjet dune considration particulire pour dterminer si des rvisions parallles sont
ncessaires dans le systme de contrle interne. Ces modifications englobent notamment:
1) un environnement oprationnel modifi; 2) un personnel nouveau; 3) des systmes
dinformation nouveaux ou transforms; 4) des domaines ou activits enregistrant une

- 24 -
croissance rapide; 5) une technologie nouvelle; 6) des secteurs, produits ou activits
nouveaux (ceux surtout de nature complexe); 7) des restructurations, fusions et acquisitions
dentreprises; 8) une expansion ou acquisition doprations ltranger (y compris
lincidence des modifications de lenvironnement conomique et rglementaire
correspondant).
48. Pour valuer la qualit des contrles internes, les autorits prudentielles ont le
choix entre diverses approches. Elles peuvent examiner le travail du dpartement daudit
interne de la banque partir de ses documents de travail, y compris la mthode utilise pour
identifier, mesurer, surveiller et contrler le risque. Si elles sont satisfaites des prestations de
laudit interne, elles peuvent utiliser les rapports des auditeurs internes comme premier
lment didentification des problmes de contrle dans la banque ou pour dtecter des
domaines de risque potentiel qui nont pas t passs en revue rcemment par les auditeurs.
Les autorits prudentielles peuvent opter pour un processus dautovaluation, par lequel la
direction examine les contrles internes secteur par secteur et certifie lautorit prudentielle
que les contrles sont adquats pour les activits de la banque. Dautres peuvent exiger des
audits externes priodiques des domaines cls, dont elles dterminent elles-mmes lampleur.
Enfin, les autorits prudentielles peuvent associer une ou plusieurs de ces mthodes leurs
propres examens sur place des contrles internes.
49. Dans de nombreux pays, les autorits prudentielles effectuent des examens sur
place qui comportent une rvision des contrles internes. Un tel examen pourrait inclure la
fois une analyse de tout le processus dactivit et un contrle appropri des transactions sous
forme de sondages, afin davoir une vrification indpendante des processus de contrle
interne de la banque.
50. Un contrle appropri des transactions devrait tre effectu sous forme de
sondages pour vrifier:
ladquation des politiques, procdures et limites internes et leur respect;
lexactitude et lexhaustivit des rapports la direction et documents financiers;
la fiabilit (cest--dire un fonctionnement conforme aux attentes de la direction)
des contrles spcifiques considrs comme essentiels pour llment de contrle
interne faisant lobjet de lvaluation.
51. Pour apprcier lefficacit des cinq lments de contrle interne dune
organisation bancaire (ou de lune de ses units ou activits), les autorits prudentielles
devraient:
dterminer les objectifs de contrle interne adapts lorganisation, lunit ou
lactivit examine (par exemple, prts, placements, comptabilit);

- 25 -
valuer lefficacit des lments de contrle interne, non pas par un simple
examen des politiques et procdures, mais en consultant galement lensemble
des documents, en discutant des oprations avec divers niveaux du personnel de la
banque, en observant lenvironnement oprationnel et en contrlant par sondages
les transactions;
faire part, dans les meilleurs dlais, au conseil dadministration et la direction de
leurs proccupations prudentielles au sujet des contrles internes et des
recommandations visant les amliorer;
sassurer, pour les carences dtectes, quune action corrective est mise en uvre
sans tarder.
52. Les autorits de contrle bancaire qui sont fondes juridiquement ou en vertu
dautres arrangements orienter les travaux des auditeurs externes et sen servir optent
souvent ou toujours pour cette possibilit au lieu des examens sur place. En ce cas, les
auditeurs externes devraient alors effectuer, dans le cadre dengagements contractuels
spcifiques, lexamen du processus dactivit et le contrle par sondages des transactions
prciss prcdemment. Les autorits de contrle, pour leur part, devraient valuer la qualit
du travail accompli par les auditeurs.
53. Dans tous les cas, les autorits de contrle bancaire devraient noter les
observations et recommandations des auditeurs externes concernant lefficacit des contrles
internes et sassurer que la direction et le conseil dadministration de la banque ont rpondu
de manire satisfaisante aux proccupations et recommandations exprimes par les auditeurs
externes. Le niveau et la nature des problmes de contrle rencontrs par les auditeurs
devraient tre pris en compte dans lvaluation, par les autorits prudentielles, de lefficacit
des contrles internes de la banque.
54. Les autorits prudentielles devraient galement encourager les auditeurs externes
de la banque planifier et conduire leurs audits de manire bien prendre en considration
lventualit dindications fortement errones rsultant de manipulations frauduleuses des
tats financiers. Tout cas de fraude dtect par les auditeurs externes, quelle quen soit la
gravit, doit tre signal au niveau de direction appropri. Une fraude impliquant la direction
gnrale et une fraude ayant de graves consquences pour ltablissement devraient tre
notifies par les auditeurs externes au conseil dadministration et/ou son comit daudit.
Dans certaines circonstances (en fonction des exigences nationales), les auditeurs externes
peuvent avoir signaler les fraudes des autorits prudentielles ou dautres instances
extrieures la banque.
55. En examinant ladquation du processus de contrle interne dans chaque
organisation bancaire, les autorits prudentielles du pays dorigine devraient galement
sassurer de lefficacit du processus au niveau des secteurs dactivit, filiales et frontires

- 26 -
nationales
4
. Il est important quelles valuent le processus de contrle interne non seulement
pour chaque tablissement ou entit juridique, mais aussi pour tout lventail des activits et
filiales au sein de lorganisation bancaire consolide. Pour cette raison, les autorits de
contrle devraient encourager les groupes bancaires utiliser, dans la mesure du possible, des
auditeurs communs et des donnes comptables communes lensemble du groupe.

4
LInstance conjointe sur les conglomrats financiers a publi un document intitul Framework for
supervisory information sharing paper, qui traite du partage des informations entre autorits de contrle
de juridictions diffrentes.

- 27 -
V. Rles et responsabilits des auditeurs externes
56. Bien que, par dfinition, les auditeurs externes ne fassent pas partie dune
organisation bancaire et ne soient donc pas un lment de son systme de contrle interne, ils
ont une incidence importante sur la qualit des contrles internes travers leurs activits
daudit, et notamment leurs discussions avec la direction et leurs recommandations pour
amliorer les contrles internes. Les auditeurs externes fournissent en retour des informations
utiles sur lefficacit du systme de contrle interne.
57. Si lobjet principal de la fonction daudit externe est de donner un avis sur les
comptes annuels dune banque, lauditeur externe doit choisir de sen remettre ou non
lefficacit du systme de contrle interne de ltablissement. Pour cette raison, il doit
comprendre le fonctionnement de ce systme, afin de voir dans quelle mesure il peut sy fier
pour dterminer la nature, la frquence et la porte de ses propres procdures daudit.
58. Le rle exact des auditeurs externes et les processus quils utilisent varient dun
pays lautre. Dans de nombreux pays, les normes daudit professionnelles requirent que les
audits soient planifis et excuts de manire obtenir lassurance raisonnable que les tats
financiers ne comportent aucune erreur srieuse. Les auditeurs vrifient galement par
sondages les transactions et critures servant de base ltablissement des tats financiers et
de la communication financire. Ils valuent les principes et politiques comptables utiliss
ainsi que les estimations significatives effectues par la direction et jugent la prsentation
globale des tats financiers. Dans certains pays, ils sont tenus par les autorits prudentielles
de fournir une valuation spcifique de la porte, de ladquation et de lefficacit du systme
de contrle interne des banques, y compris de leur fonction daudit interne.
59. Un trait commun tous les pays, cependant, est que lon attend des auditeurs
externes quils aient une ide claire du processus de contrle interne dune banque, dans la
mesure o il sagit de lexactitude des tats financiers de la banque. Lampleur de lattention
accorde au systme de contrle interne varie selon lauditeur et ltablissement; toutefois, on
escompte gnralement que les carences srieuses dtectes par les auditeurs externes soient
signales par courrier confidentiel la direction ainsi que, dans de nombreux pays,
lautorit de contrle. En outre, dans beaucoup de pays, les auditeurs externes peuvent tre
soumis des exigences prudentielles particulires prcisant la manire dvaluer les contrles
internes et den rendre compte.


- 28 -
Annexe I
Documents de rfrence
Banque dAngleterre, Banks Internal Controls and the Section 39 Process, fvrier 1997
Socit dassurance-dpts du Canada, Code des Pratiques Commerciales et Financires
Saines, aot 1993
Institut canadien des comptables agrs, Guidance on Control, novembre 1995
The Committee of Sponsoring Organisations of the Treadway Commission (COSO),
Internal Control Integrated Framework, juillet 1994
Institut montaire europen, Internal Control Systems of Credit Institutions, juillet 1997


- 29 -
Annexe II
Enseignements prudentiels fournis par
les cas de dfaillances des contrles internes
A. Surveillance par la direction et culture de contrle
1. De nombreux cas de dfaillances des contrles internes ayant entran des pertes
bancaires substantielles auraient pu tre nettement moins graves, ou mme vits, si le conseil
dadministration et la direction gnrale des tablissements avaient instaur une culture de
contrle forte. Les cultures de contrle insuffisantes prsentaient souvent deux lments
communs. Tout dabord, la direction gnrale ntait pas parvenue souligner limportance
dun systme de contrle interne solide travers les termes utiliss et actions entreprises et,
surtout, les critres dterminant les rmunrations et promotions. Deuximement, elle navait
pas russi mettre en place une structure organisationnelle et des responsabilits de direction
bien dfinies. Par exemple, elle navait pas pu exiger un contrle adquat des principaux
preneurs de dcisions ni la notification, dans les meilleurs dlais, de la nature et du
droulement des activits.
2. La direction gnrale peut affaiblir la culture de contrle en promouvant et
rcompensant des responsables, certes efficaces pour produire des bnfices, mais qui
ngligent dappliquer les politiques de contrle interne ou de traiter les problmes dcels par
laudit interne. Limpression qui prvaut alors dans lorganisation est que les contrles
internes sont considrs comme secondaires par rapport aux autres objectifs, ce qui affecte
lengagement lgard de la culture de contrle ainsi que sa qualit.
3. Certaines banques ayant connu des problmes de contrle taient dotes de
structures organisationnelles dans lesquelles les responsabilits ntaient pas clairement
dfinies, de sorte quune unit navait pas rendre des comptes directement un membre de
la direction gnrale. Autrement dit, aucun membre de la direction ne surveillait les rsultats
de cette unit de manire suffisamment rigoureuse pour noter des activits inhabituelles,
financires ou autres, et personne, au sein de la direction gnrale, navait une vision globale
des activits ni de la faon dont les bnfices taient raliss. Si la direction avait compris les
activits de lunit, elle aurait t en mesure de dceler des signes avant-coureurs (tels quun
pourcentage inhabituel de profit par rapport aux niveaux de risques), danalyser les
transactions et de prendre des mesures pour rduire les pertes ventuelles. Ces problmes
auraient pu galement tre vits si le suprieur hirarchique avait examin les oprations
ainsi que les rapports la direction et stait enquis auprs du personnel comptent de la
nature des transactions effectues. De telles approches fournissent aux suprieurs

- 30 -
hirarchiques un aperu objectif de la manire dont les dcisions sont prises et garantissent
que le personnel cl opre en respectant les critres fixs par la banque et le cadre de contrle
interne.
B. Reconnaissance et valuation des risques
4. Dans un pass rcent, la reconnaissance et lvaluation inadquates des risques
ont t en partie lorigine des problmes de contrle interne et des pertes qui en ont rsult
dans certaines banques. Parfois, les rendements potentiels levs lis divers prts,
placements et instruments drivs ont fait oublier la direction la ncessit dvaluer
parfaitement les risques inhrents aux transactions et de dgager des ressources suffisantes
pour surveiller et examiner en permanence les engagements. Des pertes ont galement eu lieu
lorsque la direction nest pas parvenue adapter le processus dvaluation des risques aux
modifications de lenvironnement oprationnel. Par exemple, quand des produits plus
complexes ou sophistiqus apparaissaient dans un secteur dactivit, il est possible que les
contrles internes naient pas t renforcs pour tenir compte de ces lments. Un second
exemple concerne la mise en place dune activit nouvelle sans une valuation complte et
objective des risques encourus. En labsence de cette rvaluation des risques, le systme de
contrle interne peut ne pas traiter les risques de manire adquate dans cette activit
nouvelle.
5. Comme on la vu prcdemment, les organisations bancaires doivent fixer des
objectifs pour lefficience et lefficacit de leurs activits, la fiabilit et lexhaustivit de leurs
informations financires et communications la direction et pour le respect de la conformit
aux lois et rglementations. Lvaluation des risques comporte lidentification et la
dtermination des risques inhrents la ralisation de ces objectifs. Ce processus aide
sassurer que les contrles internes de ltablissement correspondent la nature, la
complexit et au degr de risque de ses activits de bilan et de hors-bilan.
C. Activits de contrle et sparation des tches
6. Dans les cas de pertes bancaires importantes dues un contrle interne
insuffisant, les autorits prudentielles constatent en gnral que les tablissements concerns
ont nglig certains principes essentiels du contrle interne. Il sagit le plus souvent de la
sparation des tches, qui est lun des piliers dun systme de contrle interne sain.
Frquemment, la direction gnrale a confi une personne hautement apprcie la
responsabilit de la surveillance de deux ou plusieurs secteurs prsentant des intrts
conflictuels. Ainsi, dans de nombreux cas, la mme personne supervisait la fois la salle des
marchs et le postmarch dune unit de ngociation; elle pouvait alors contrler
lengagement de la transaction (par exemple, lachat ou la vente de titres ou de produits

- 31 -
drivs) ainsi que la fonction denregistrement correspondante. Attribuer de telles tches
conflictuelles une mme personne lui donne la possibilit de manipuler des donnes
financires pour raliser un profit personnel ou de dissimuler des pertes.
7. La sparation des tches ne concerne pas seulement des situations o la mme
personne contrle la fois la salle des marchs et le postmarch. De srieux problmes
peuvent galement apparatre lorsquun mme individu est charg:
de lapprobation du dcaissement de fonds et de leur dcaissement effectif;
des comptes clientle et des comptes propres;
des transactions au titre du portefeuille bancaire et du portefeuille de ngociation;
de la fourniture informelle dinformations des clients sur leurs positions et de la
relation commerciale avec ces mmes clients;
de lvaluation du caractre adquat des dossiers de crdit et de la surveillance
des emprunteurs aprs loctroi des crdits;
de tout autre domaine o des conflits dintrts notables apparaissent et ne sont
pas attnus par dautres facteurs
5
.
8. Les insuffisances des activits de contrle refltent toutefois lchec des multiples
efforts destins voir si lactivit est conduite selon les attentes, depuis les examens effectus
au plus haut niveau jusquau bon fonctionnement de mcanismes rgulateurs spcifiques dans
un processus dactivit. Dans plusieurs cas, par exemple, la direction na pas ragi comme il
le fallait aux informations quelle recevait. Ces informations figuraient dans des rapports
priodiques sur les rsultats des oprations de toutes les units de lorganisation, qui
informaient la direction des progrs accomplis par chacune delles dans la ralisation des
objectifs et lui permettaient de poser des questions si les rsultats ntaient pas conformes aux
attentes. Souvent, les units qui ont enregistr par la suite des pertes notables avaient
commenc par dgager des bnfices nettement suprieurs ce quon attendait, compte tenu
du degr de risque apparent qui auraient d alerter la direction gnrale. Si des examens au
plus haut niveau avaient eu lieu, la direction gnrale aurait pu se pencher sur les rsultats
anormaux et dceler, puis traiter, certains des problmes, limitant ainsi ou empchant ces
pertes. Cependant, comme les diffrences par rapport aux attentes taient positives (sous
forme de bnfices), aucune question na t pose et des enqutes nont t entreprises que
lorsque les problmes avaient dj une ampleur incontrlable.

5
titre dillustration dun conflit dintrt potentiel attnu par dautres contrles, lexamen indpendant
dun prt, dans le cadre des activits de surveillance du systme de classification des crdits dune
banque, peut compenser le conflit dintrt potentiel qui se prsente lorsquune personne charge
dvaluer le caractre adquat dun dossier de crdit surveille galement la cote de crdit de lemprunteur
aprs loctroi du crdit.

- 32 -
D. Information et communication
9. Certaines banques ont enregistr des pertes parce que linformation au sein de
lorganisation ntait ni fiable ni complte et que la communication navait aucune efficacit.
Linformation financire peut tre communique de faon errone sur le plan interne; des
sries de donnes incorrectes manant de sources extrieures peuvent tre utilises pour
valuer des positions financires; de mme, des activits modestes, mais haut risque,
peuvent ne pas figurer dans les rapports la direction. Parfois, les banques ngligeaient de
faire connatre de manire adquate les tches des employs et leurs responsabilits en
matire de contrle ou faisaient part des politiques de ltablissement par des canaux, tels que
la messagerie lectronique, qui ne garantissaient pas que ces politiques taient lues, comprises
et retenues. Par consquent, sur des priodes de temps assez longues, dimportants aspects des
politiques de la direction ntaient pas appliqus. Dans dautres cas, aucune voie de
communication adquate ne permettait aux employs de rendre compte de prsomptions
dirrgularits. Si de telles voies avaient t tablies pour signaler les problmes travers la
structure hirarchique, la direction aurait t en mesure didentifier et de corriger beaucoup
plus tt les irrgularits.
E. Surveillance des activits et correction des dficiences
10. De nombreuses banques ayant enregistr des pertes dues des problmes de
contrle interne ne surveillaient pas de manire efficace leurs systmes de contrle interne.
Souvent, ces systmes ne comportaient pas les processus de surveillance en continu
indispensables et les valuations spcifiques taient inadquates ou traites de faon
inapproprie par la direction.
11. Dans certains cas, labsence de surveillance a commenc par lincapacit de prter
attention ou de donner suite aux informations transmises jour aprs jour aux suprieurs
hirarchiques ainsi qu dautres membres du personnel qui indiquaient une activit
inhabituelle, telle que dpassements des plafonds dengagement, utilisation de comptes
clientle pour des oprations propres ou absence dtats financiers courants manant des
emprunteurs. Dans une banque, les pertes associes aux activits de ngociation taient
dissimules au sein dun compte clientle fictif. Si lorganisation avait t dote dune
procdure exigeant que des situations des comptes soient adresses la clientle chaque mois
et que les comptes clientle soient priodiquement confirms, les pertes dissimules auraient
vraisemblablement t dcouvertes bien longtemps avant dtre suffisamment lourdes pour
entraner de srieux problmes pour ltablissement.
12. Dans plusieurs autres cas, lunit ou lactivit qui tait lorigine de pertes
massives prsentait de nombreuses caractristiques indiquant un niveau de risque accru, tel
quune rentabilit inhabituelle pour le niveau de risque peru et une croissance rapide dans

- 33 -
une activit nouvelle gographiquement distante de la banque mre. Toutefois, en raison
dune valuation de risque inadquate, les tablissements navaient pas dgag suffisamment
de ressources additionnelles pour contrler ou surveiller les activits haut risque. En fait,
dans quelques exemples, les activits haut risque taient moins suivies que dautres qui
prsentaient des profils de risque nettement infrieurs et plusieurs avertissements des
auditeurs internes et externes au sujet des activits de lunit avaient t ignors de la
direction.
13. Si laudit interne peut constituer une source efficace dvaluations spcifiques,
son efficacit tait nulle dans de nombreuses organisations bancaires en difficult. Trois
facteurs contribuaient ce dysfonctionnement: le fait de procder des audits fragments, le
manque de comprhension globale des processus dactivit et le suivi inadquat des
problmes aprs leur dtection. Lapproche daudits fragments venait essentiellement de ce
que les programmes daudit interne taient structurs en sries daudits partiels sur des
activits spcifiques au sein de la mme unit ou du mme dpartement, de secteurs
gographiques ou encore dentits juridiques. Du fait de cette fragmentation, les processus
dactivit ntaient pas pleinement compris par le personnel de laudit interne. Une
conception daudit qui aurait permis aux auditeurs de suivre les processus et fonctions du
dbut jusqu la fin (cest--dire en prenant la mme transaction de son point de dpart
jusqu sa notification dans les comptes rendus financiers) leur aurait permis de mieux
comprendre la situation; en outre, elle aurait fourni loccasion de vrifier et de tester
ladquation des contrles chaque tape du processus.
14. Dans certains cas, les problmes daudit interne ont galement rsult dune
connaissance et dune formation inadquates du personnel daudit interne sur les produits et
marchs, les systmes dinformation lectronique et dautres domaines hautement
sophistiqus. Comme ce personnel ne possdait pas les comptences ncessaires, il hsitait
souvent poser des questions lorsquil entrevoyait des problmes et, quand les questions
taient poses, avait tendance accepter une rponse plutt qu la remettre en cause.
15. Laudit interne peut galement devenir inefficace lorsque la direction nassure pas
un suivi appropri des problmes dcels par les auditeurs. Des dlais ont pu intervenir
cause dun manque de reconnaissance par la direction du rle et de limportance de laudit
interne. En outre, lefficacit de laudit interne tait compromise lorsque la direction gnrale
et les membres du conseil dadministration (ou, le cas chant, le comit daudit) ne
recevaient pas en temps voulu et de manire rgulire des rapports de suivi signalant les
problmes critiques et les actions correctives prises ensuite par la direction. Un tel suivi
priodique peut aider la direction gnrale traiter les questions importantes dans les
meilleurs dlais.