Académique Documents
Professionnel Documents
Culture Documents
bcbs33 FR PDF
bcbs33 FR PDF
DES SYSTMES DE
CONTRLE INTERNE
Ble
Janvier 1998
I.
II.
10
10
11
12
valuation des systmes de contrle interne par les autorits prudentielles ....... 22
V.
Annexe
26
INTRODUCTION
1.
Dans le sens de l'action qu'il poursuit pour rsoudre les questions prudentielles et
renforcer le contrle des banques par des recommandations encourageant l'application de
saines pratiques de gestion des risques, le Comit de Ble sur le contrle bancaire1 sollicite les
commentaires des autorits de contrle et autres parties concernes sur le prsent projet de
cadre d'valuation. Ce cadre a t conu pour tre utilis par les autorits prudentielles dans
leur valuation des systmes de contrle interne des banques. Un systme de contrle interne
efficace est une composante essentielle de la gestion d'un tablissement et constitue le
fondement d'un fonctionnement sr et prudent d'une organisation bancaire. En se dotant de
contrles internes rigoureux, une banque pourra mieux raliser ses buts et ses objectifs de
rentabilit long terme, en assurant galement la fiabilit de sa communication financire tant
externe qu' sa direction. Un tel systme peut aussi garantir que la banque agit dans le respect
des lois et rglementations ainsi que de ses politiques, programmes, rgles et procdures
internes; il attnue, en outre, le risque de pertes imprvues ou d'atteinte la rputation de
l'tablissement. Ce document dcrit les lments cls d'un systme de contrle interne sain, en
se fondant sur l'exprience enregistre dans les pays membres et sur les principes prciss
dans les publications antrieures du Comit. Il entend dfinir certains principes destins aux
autorits prudentielles dans leur valuation des systmes de contrle interne des banques.
2.
Le Comit de Ble, conjointement avec les autorits de contrle bancaire du
monde entier, insiste de plus en plus sur l'importance de contrles internes sains. Cet intrt
accru s'explique en partie par les pertes substantielles subies par plusieurs organisations
bancaires. L'analyse des problmes lis ces pertes montre qu'elles auraient probablement pu
tre vites si les banques avaient t dotes de systmes de contrle interne efficaces. De tels
systmes auraient, en effet, empch l'apparition de ces problmes ou permis de les dtecter,
limitant ainsi les dommages causs aux organisations bancaires. En laborant ces principes, le
Comit a tir des enseignements des situations des banques en difficult dans les divers pays
membres.
3.
Ces principes se prtent donc une application gnrale, et les autorits de
contrle devraient s'y rfrer pour valuer les mthodes et procdures qu'elles emploient pour
voir comment les banques structurent leurs systmes de contrle interne. L'approche exacte
Le Comit de Ble sur le contrle bancaire, institu en 1975 par les gouverneurs des banques centrales
des pays du Groupe des Dix, rassemble les autorits de contrle des banques. Il est compos de hauts
reprsentants des autorits de contrle bancaire et banques centrales d'Allemagne, de Belgique, du
Canada, des tats-Unis, de France, d'Italie, du Japon, du Luxembourg, des Pays-Bas, du Royaume-Uni, de
Sude et de Suisse. Ses runions ont habituellement pour cadre la Banque des Rglements Internationaux,
Ble, sige de son Secrtariat permanent.
-2retenue par les divers responsables prudentiels sera fonction, bien entendu, de nombreux
facteurs, dont leurs techniques de contrle sur place et sur pices, et de la part prise par les
auditeurs externes dans l'exercice de la surveillance; nanmoins, tous les membres du
Comit de Ble reconnaissent que les principes tablis dans ce document devraient tre
utiliss pour valuer le systme de contrle interne d'une banque.
4.
Le Comit de Ble adresse ce document l'ensemble des autorits de contrle
dans le monde, tant convaincu que les principes qu'il contient fourniront un cadre utile pour
une surveillance efficace des systmes de contrle interne. D'une manire plus gnrale, le
Comit dsire souligner que des contrles internes sains sont un lment essentiel la
conduite prudente de l'activit bancaire et qu'ils favorisent galement la stabilit globale du
systme financier.
5.
Les recommandations diffuses antrieurement par le Comit de Ble
comportaient gnralement des analyses des contrles internes portant sur des domaines
spcifiques de l'activit bancaire, tels que le risque de taux d'intrt et les oprations de
ngociation et sur instruments drivs. Cette fois, cependant, elles prsentent un cadre que le
Comit encourage les autorits prudentielles utiliser pour valuer les contrles internes sur
l'ensemble des activits de bilan et de hors-bilan des organisations bancaires. Ces
recommandations ne se concentrent pas sur des secteurs ou activits spcifiques au sein d'une
banque, et leur application exacte dpend de la nature et de la complexit des oprations
effectues ainsi que des risques qu'elles comportent. Dans les sections III et IV, le Comit
nonce quatorze principes appliquer par les autorits de contrle bancaire pour valuer les
systmes de contrle interne des banques. L'annexe, pour sa part, fournit des enseignements
prudentiels tirs de cas antrieurs de contrles internes insuffisants.
Principes pour l'valuation des systmes de contrle interne
Surveillance par la direction et culture de contrle
Principe 1:
Le conseil d'administration devrait tre charg d'approuver les stratgies et
politiques, d'apprcier les risques encourus par la banque, de fixer des niveaux
acceptables en regard de ces risques en s'assurant que la direction gnrale prend
les dispositions ncessaires pour identifier, surveiller et contrler ces risques,
d'approuver la structure organisationnelle et de s'assurer que la direction gnrale
surveille l'efficacit du systme de contrle interne.
-3Principe 2:
La direction gnrale devrait tre charge de mettre en uvre les stratgies
approuves par le conseil, de dfinir des politiques de contrle interne appropries
et de surveiller l'efficacit du systme de contrle interne.
Principe 3:
Le conseil d'administration et la direction gnrale sont chargs de promouvoir
des critres levs d'thique et d'intgrit et d'instaurer, au sein de l'organisation
bancaire, une culture qui souligne et dmontre, tous les niveaux du personnel,
l'importance des contrles internes. Tous les niveaux du personnel de
l'organisation doivent comprendre leur rle dans le contrle interne et s'impliquer
activement dans ce processus.
valuation des risques
Principe 4:
La direction gnrale devrait s'assurer qu'il est procd l'identification et
l'valuation des facteurs internes et externes qui pourraient compromettre la
ralisation des objectifs de la banque. Cette valuation devrait couvrir l'ensemble
des divers risques encourus par l'tablissement (par exemple, risque de crdit,
risque-pays et risque de transfert, risque de march, risque de taux d'intrt,
risque de liquidit, risque oprationnel, risque juridique et risque de rputation).
Principe 5:
La direction gnrale devrait s'assurer que les risques affectant la ralisation des
stratgies et objectifs de la banque font l'objet d'une valuation permanente. Un
rexamen des contrles internes peut s'avrer ncessaire pour prendre en compte
de manire approprie tout risque nouveau ou jusque-l non contrl.
Activits de contrle
Principe 6:
Les activits de contrle devraient faire partie intgrante des oprations
quotidiennes de la banque. La direction gnrale doit mettre en place une
structure de contrle approprie pour garantir des contrles internes efficaces, en
dfinissant les activits de contrle chaque niveau oprationnel. Ces activits
devraient inclure les lments suivants: examens effectus au niveau suprieur;
contrles d'activit appropris pour les diffrents dpartements ou units;
contrles physiques; vrification priodique du respect des plafonds
d'engagement; systme d'approbation et d'autorisation; systme de vrification et
-5Principe 12:
Un audit interne efficace et exhaustif du systme de contrle interne devrait tre
effectu par un personnel bien form et comptent. La fonction d'audit interne, en
tant qu'lment de la surveillance du systme de contrle interne, devrait rendre
compte directement au conseil d'administration, ou son comit d'audit, ainsi qu'
la direction gnrale.
Principe 13:
Les carences dtectes dans les contrles internes devraient tre notifies dans les
meilleurs dlais au niveau de direction appropri et faire l'objet d'un traitement
rapide. Les dficiences importantes devraient tre signales la direction gnrale
et au conseil d'administration.
valuation des systmes de contrle interne par les autorits prudentielles
Principe 14:
Les autorits prudentielles devraient exiger que toutes les banques, quelle que soit
leur dimension, disposent d'un systme efficace de contrle interne qui
corresponde la nature, la complexit et au degr de risque de leurs activits de
bilan et de hors-bilan et ragisse aux modifications de l'environnement et des
conditions d'activit de la banque. Dans les cas o les autorits prudentielles
constatent que le systme de contrle interne n'est pas adquat (s'il ne prend pas
en compte, par exemple, tous les principes contenus dans ce document), elles
devraient intervenir auprs de la banque pour s'assurer que des amliorations sont
apportes immdiatement.
6.
Toutes les parties concernes sont invites faire part de leurs commentaires sur
les divers aspects de ce document, dont l'annexe, jusqu'au 30 mars 1998.
-6I.
Contexte gnral
1.
Le Comit de Ble a analys certains cas rcents de banques en difficult, afin
d'identifier les principales sources des problmes de contrle interne. Les problmes mis
jour renforcent l'ide qu'il est important que les administrateurs et la direction des banques, les
auditeurs internes et externes ainsi que les autorits de contrle bancaire consacrent une
attention soutenue au renforcement des systmes de contrle interne et l'valuation
permanente de leur efficacit. Plusieurs de ces cas montrent que des contrles internes
insuffisants peuvent entraner des pertes bancaires substantielles.
2.
Les formes de dficiences des contrles observes gnralement dans les banques
en difficult peuvent tre classes en cinq grandes catgories.
Absence ou dficience d'lments cls du contrle, tels que sparation des tches,
approbations, vrifications, concordances, analyses des rsultats d'exploitation. La
non-sparation des tches, en particulier, a jou un rle majeur dans les pertes sensibles
enregistres par les banques.
-7politiques de l'tablissement. Dans plusieurs cas, des informations sur des activits
inappropries qui auraient d tre transmises la direction par la voie hirarchique n'ont
t notifies au conseil d'administration ou la direction gnrale que lorsque les
problmes taient devenus graves. Dans d'autres cas, le contenu des rapports la
direction tait insuffisant ou inexact, donnant ainsi une impression favorable sur la
situation d'une activit qui tait, en fait, problmatique.
3.
Le cadre de contrle interne qui sous-tend ces recommandations est fond sur les
pratiques suivies actuellement dans de nombreuses grandes banques, entreprises
d'investissement et socits non financires ainsi que par leurs auditeurs. En outre, ce cadre
d'valuation va dans le sens de l'importance accrue donne par les autorits de contrle
bancaire l'examen des processus de gestion du risque et de contrle interne dans une
organisation bancaire. Il importe de souligner que le conseil d'administration et la direction
gnrale sont chargs de s'assurer de l'existence de contrles internes adquats et de
promouvoir un environnement dans lequel les individus comprennent et assument
srieusement leurs responsabilits dans ce domaine. Les autorits de contrle bancaire, pour
leur part, ont mission d'valuer l'engagement du conseil d'administration et de la direction de
la banque l'gard du processus de contrle interne.
-8II.
4.
la direction gnrale et tous les niveaux du personnel. Il ne s'agit pas simplement d'une
procdure ou d'une politique applique un certain moment, mais plutt d'un systme qui
fonctionne en continu tous les niveaux de la banque. Le conseil d'administration et la
direction gnrale sont chargs d'instaurer la culture approprie capable de favoriser un
processus de contrle interne efficace et d'en vrifier en permanence l'efficacit; il importe
toutefois que tous les membres du personnel y participent activement. Les principaux objectifs
du processus de contrle interne3 peuvent tre classs en trois groupes:
1. efficience et efficacit des oprations (objectifs oprationnels);
2. fiabilit et exhaustivit des donnes financires et des informations destines la
direction (objectifs d'information);
3. conformit aux lois et rglementations applicables (objectifs de conformit).
5.
Les objectifs oprationnels de contrle interne concernent l'efficacit et
l'efficience de la banque dans l'utilisation de ses actifs et autres ressources ainsi que dans sa
protection en cas de pertes. Le processus de contrle interne cherche s'assurer que
l'ensemble du personnel uvre avec droiture la ralisation des objectifs, sans occasionner
des cots imprvus ou excessifs ni privilgier d'autres intrts (tels que ceux d'un employ,
d'un fournisseur ou d'un client) que ceux de l'tablissement.
6.
Les objectifs d'information portent sur la prparation de rapports fiables et aussi
rcents que possible, indispensables la prise de dcision au sein de l'organisation bancaire.
Ils recouvrent galement la ncessit d'tablir des comptes annuels, tats financiers et autres
communications financires qui soient fiables, qu'il s'agisse des informations destines aux
autorits prudentielles ou d'autres usages externes. Les donnes reues par la direction, le
conseil d'administration, les actionnaires et les autorits de contrle devraient tre d'une
qualit et d'une intgrit suffisantes pour que leurs bnficiaires puissent s'y rfrer pour
fonder leurs dcisions. Le terme fiable, appliqu aux tats financiers, se rapporte la
Ce document se rfre une structure de gestion compose d'un conseil d'administration et d'une direction
gnrale. Le Comit est conscient de l'existence de diffrences notables entre les cadres lgislatifs et
rglementaires des divers pays, en ce qui concerne les fonctions de ces deux instances. Dans certains pays,
le conseil est charg principalement, mais non exclusivement, de superviser l'organe excutif (direction
gnrale), afin de s'assurer qu'il s'acquitte de ses tches; il est parfois appel, pour cette raison, conseil de
surveillance et n'a pas de rle excutif. Dans d'autres, en revanche, il dtient une autorit plus large, en ce
sens qu'il labore le cadre gnral de gestion de la banque. Du fait de ces diffrences, les notions de
conseil d'administration et de direction gnrale sont utilises dans ce document non pas pour identifier
des structures juridiques, mais plutt pour dsigner deux niveaux de prise de dcision au sein d'une
banque.
Il inclut les contrles internes sur la prservation des actifs et autres ressources contre une acquisition, un
usage ou un transfert non autoris ou en cas de pertes.
-9prparation de documents tablis sur une base sincre partir de principes et rgles
comptables exhaustifs et bien dfinis.
7.
Les objectifs de conformit garantissent que toute l'activit bancaire est conduite
en conformit avec les lois ou rglementations et exigences prudentielles applicables ainsi
qu'avec les politiques et procdures internes. Cet objectif doit tre satisfait pour prserver les
droits et la rputation de la banque.
A.
1.
Conseil d'administration
- 11 11.
Le conseil d'administration devrait inclure dans ses activits 1) des discussions
rgulires avec la direction sur l'efficacit du systme de contrle interne, 2) un examen, dans
les dlais les plus brefs, des valuations sur les contrles internes effectues par la direction et
les auditeurs internes et externes, 3) des actions rptes pour s'assurer que la direction a pris
en compte de manire approprie les recommandations et proccupations exprimes par les
auditeurs et autorits de contrle au sujet des carences du contrle interne.
12.
Une option utilise par les banques de nombreux pays consiste instaurer un
comit d'audit indpendant pour assister le conseil dans l'exercice de ses responsabilits. Cela
permet d'examiner dans le dtail des informations et rapports sans devoir mobiliser tous les
administrateurs et d'apporter toute l'attention ncessaire certaines questions particulires. Le
comit d'audit est gnralement responsable du suivi du processus de communication
financire et du systme de contrle interne. Dans le cadre de cette responsabilit, il est
attentif aux oprations du dpartement d'audit interne de la banque, auquel il sert de contact
direct; il engage galement les auditeurs externes et en est l'interlocuteur privilgi. Dans les
pays optant pour un comit d'audit, celui-ci devrait tre entirement compos
d'administrateurs extrieurs (c'est--dire de membres du conseil qui ne sont employs ni par la
banque ni par l'un de ses tablissements affilis) possdant une comptence en matire de
communication financire et de contrle interne. Il convient de noter que la constitution d'un
comit d'audit ne devrait en aucun cas dcharger le conseil plnier de ses tches, lui seul tant
juridiquement mandat prendre des dcisions.
2.
Direction gnrale
Principe 2: La direction gnrale devrait tre charge de mettre en uvre les stratgies
approuves par le conseil, de dfinir des politiques de contrle interne appropries et de
surveiller l'efficacit du systme de contrle interne.
13.
Il incombe la direction gnrale de mettre en uvre les directives approuves
par le conseil d'administration, en appliquant notamment les stratgies et politiques de la
banque et en instaurant un systme de contrle interne efficace. Pour l'laboration des
politiques et procdures de contrle interne plus spcifiques, les membres de la direction
gnrale dlguent habituellement leur responsabilit aux personnes charges des activits ou
fonctions d'une unit particulire. Il est donc important que la direction gnrale s'assure que
ces personnes tablissent et conduisent les politiques et procdures appropries.
14.
Le respect de la conformit un systme de contrle interne passe en grande
partie par une structure organisationnelle parfaitement transparente et connue de l'ensemble du
personnel, montrant clairement les niveaux de responsabilit et d'autorit en matire de
notification et permettant une communication adquate dans l'ensemble de l'organisation. La
rpartition des tches et responsabilits devrait garantir l'absence de ruptures dans la chane
- 12 hirarchique et l'exercice d'un degr de contrle efficace par la direction tous les niveaux de
la banque et dans toutes ses activits.
15.
Il importe que la direction gnrale prenne des mesures pour garantir que les
activits sont conduites par du personnel qualifi possdant l'exprience et les capacits
techniques requises. Le personnel devrait bnficier d'une rmunration approprie ainsi que
d'une remise niveau priodique de sa formation et de ses comptences. La direction gnrale
devrait instaurer des politiques de rmunration et de promotion rcompensant les
comportements adquats et rduisant au maximum les incitations, pour les agents, ignorer
ou contourner les mcanismes de contrle interne.
3.
Culture de contrle
B.
20.
Dans la perspective du contrle interne, l'valuation des risques devrait dceler et
apprcier les facteurs internes et externes pouvant compromettre la ralisation des objectifs
oprationnels, d'information et de conformit d'une organisation bancaire. Cette analyse
devrait prendre en compte des risques tels que le risque de crdit, le risque de march, le
risque de liquidit et le risque oprationnel (lequel inclut le risque de fraude, de dtournement
d'actifs et d'informations financires douteuses). Il existe une diffrence notable entre
l'valuation des risques dans le contexte du processus de contrle interne et le concept plus
large de gestion des risques dans l'activit globale d'une banque. Dans une organisation
bancaire, cette gestion des risques consiste tablir des objectifs organisationnels et autres (en
matire de rentabilit, par exemple) et dterminer, mesurer et fixer les plafonds
d'engagement que la banque acceptera pour les atteindre. L'objet du contrle interne est alors
de s'assurer que les objectifs et politiques sont communiqus et appliqus, que le respect des
plafonds est soumis surveillance et que les dviations sont corriges dans le sens des
politiques de la direction. Par consquent, le concept de gestion des risques s'tend, mais ne se
limite pas, l'valuation des risques et la fixation d'objectifs oprationnels tels qu'ils sont
dfinis aux fins du contrle interne.
Principe 4: La direction gnrale devrait s'assurer qu'il est procd l'identification et
l'valuation des facteurs internes et externes qui pourraient compromettre la ralisation
des objectifs de la banque. Cette valuation devrait couvrir l'ensemble des divers risques
encourus par l'tablissement (par exemple, risque de crdit, risque-pays et risque de
transfert, risque de march, risque de taux d'intrt, risque de liquidit, risque
oprationnel, risque juridique et risque de rputation).
21.
Une valuation efficace des risques recense et analyse les facteurs internes (nature
des activits de la banque, qualit du personnel, modifications organisationnelles et
mouvements d'effectifs) et externes (volution des conditions conomiques, changements au
sein de la profession et progrs technologique) pouvant compromettre la ralisation des
C.
Activits de contrle
Principe 6: Les activits de contrle devraient faire partie intgrante des oprations
quotidiennes de la banque. La direction gnrale doit mettre en place une structure de
contrle approprie pour garantir des contrles internes efficaces, en dfinissant les
activits de contrle chaque niveau oprationnel. Ces activits devraient inclure les
lments suivants: examens effectus au niveau suprieur; contrles d'activit
appropris pour les diffrents dpartements ou units; contrles physiques; vrification
priodique du respect des plafonds d'engagement; systme d'approbation et
- 16
25.
Les activits de contrle ont leur efficacit optimale lorsque la direction et
l'ensemble du personnel les considrent comme faisant intrinsquement partie, et non comme
un complment, des oprations quotidiennes de la banque. Lorsque les contrles sont vus
comme un complment des oprations de chaque jour, ils sont souvent jugs moins
importants et peuvent ne pas tre raliss dans des situations o des agents s'estiment presss
par le temps pour effectuer leurs activits. En outre, les contrles qui sont vritablement
intgrs aux oprations quotidiennes permettent de ragir rapidement des modifications des
conditions et vitent des cots inutiles. Dans le cadre de l'action visant instaurer la culture de
contrle approprie au sein d'une banque, la direction gnrale devrait s'assurer que les
activits de contrle adquates font vritablement partie des fonctions quotidiennes de
l'ensemble du personnel concern.
26.
La direction gnrale ne doit pas se contenter de dfinir des politiques et
procdures appropries pour les diverses activits et units de la banque. Elle doit s'assurer
priodiquement que tous les domaines de la banque oprent en conformit avec ces politiques
et procdures et faire en sorte galement que les politiques et procdures existantes demeurent
adquates. Cette fonction entre habituellement dans les attributions du dpartement d'audit
interne.
29.
Les domaines de conflits potentiels devraient tre identifis, circonscrits aussi
troitement que possible et surveills avec attention. Des examens priodiques des
responsabilits et fonctions des personnes dtenant les postes cls devraient tre galement
effectus pour s'assurer que ces responsables ne sont pas en mesure de dissimuler des
agissements inappropris.
D.
Information et communication
- 19 33.
Un lment essentiel des oprations d'une banque rside dans la mise en place et
la maintenance de systmes d'information de la direction couvrant toute la gamme des
activits. Cette information est habituellement fournie sous forme la fois lectronique et non
lectronique. Les banques doivent tre tout particulirement informes des exigences
organisationnelles et de contrle interne lies au traitement lectronique de l'information.
34.
Les systmes lectroniques et l'utilisation de l'informatique prsentent des risques
qui doivent tre efficacement contrls par les banques, afin d'viter des dysfonctionnements
et des pertes potentielles. Les contrles sur les systmes et la technologie informatiques
devraient tre la fois gnraux et spcifiques aux applications. Les contrles gnraux
portent sur le systme informatique (c'est--dire ordinateur central et terminaux d'utilisateur)
et en assurent un fonctionnement correct en continu. Ils incluent notamment des procdures de
sauvegarde et de reprise, des politiques de dveloppement et d'acquisition de logiciels, des
procdures de maintenance et des contrles de scurit d'accs. Les contrles lis aux
applications sont des tapes informatises au sein des applications logicielles et d'autres
procdures manuelles qui examinent le traitement des oprations. Ils comprennent, entre
autres, les questions de rconciliations et de concordances. En l'absence de contrles adquats
sur les systmes et la technologie informatiques, y compris ceux qui sont en cours de
dveloppement, les banques pourraient subir des pertes de donnes et de programmes
rsultant de dispositions inappropries en matire de scurit physique et lectronique, de
dfaillances des quipements ou systmes et de procdures inadaptes de sauvegarde et de
reprise. Au niveau de la direction, la prise de dcision pourrait tre fausse par des
informations non fiables ou errones fournies par des systmes mal conus et insuffisamment
contrls. Le traitement de l'information pourrait tre entrav, voire totalement stopp, s'il
n'est pas possible, en cas de dfaillance prolonge de l'quipement, de recourir des
installations de secours compatibles. Dans des situations extrmes, de tels problmes
pourraient causer de srieuses difficults aux banques et mme compromettre leur capacit
d'effectuer leurs activits essentielles.
E.
Activits de surveillance
- 20 fonction des modifications des conditions internes et externes et les renforcer, au besoin, pour
en garantir l'efficacit.
36.
Surveiller l'efficacit des contrles internes devrait faire partie des oprations
quotidiennes de la banque mais commande galement de procder des valuations
priodiques spcifiques de l'ensemble du processus de contrle interne. La frquence de la
surveillance des diffrentes activits devrait tre fonction des risques encourus ainsi que du
rythme et de la nature des changements affectant l'environnement oprationnel. Un processus
de surveillance en continu peut permettre de dcouvrir et de corriger rapidement les
dficiences du systme de contrle interne; il atteint son efficacit maximale lorsque le
systme de contrle interne est intgr l'environnement oprationnel et donne lieu des
rapports rguliers qui font l'objet d'un examen. Dans le cadre de la surveillance en continu
figurent, par exemple, l'examen et l'approbation des enregistrements courants ainsi que la
consultation et l'approbation par la direction des rapports sur des faits exceptionnels.
37.
En revanche, les valuations spcifiques ne dtectent gnralement les problmes
qu'aprs coup; elles permettent cependant une organisation d'avoir un aperu rcent et global
de l'efficacit du systme de contrle interne et de celle, en particulier, de ses activits de
surveillance. Ces valuations du systme de contrle interne prennent souvent la forme
d'autovaluations, lorsque les personnes charges d'une fonction prcise dterminent le degr
d'efficacit des contrles pour leurs activits. Les documents et rsultats concernant les
valuations sont ensuite soumis l'attention de la direction gnrale. Les examens effectus
tous les niveaux devraient tre tays par une documentation adquate et communiqus dans
les meilleurs dlais l'chelon de direction appropri.
Principe 12: Un audit interne efficace et exhaustif du systme de contrle interne devrait
tre effectu par un personnel bien form et comptent. La fonction d'audit interne, en
tant qu'lment de la surveillance du systme de contrle interne, devrait rendre compte
directement au conseil d'administration, ou son comit d'audit, ainsi qu' la direction
gnrale.
38.
La fonction d'audit interne constitue un lment majeur de la surveillance en
continu du systme de contrle interne, parce qu'elle fournit une valuation indpendante du
caractre adquat des contrles instaurs et du respect de la conformit ces derniers. En
rendant compte directement au conseil d'administration ou son comit d'audit ainsi qu' la
direction gnrale, les auditeurs internes procurent des informations objectives sur les
diffrentes activits. En raison de l'importance de cette fonction, l'audit interne doit tre assur
par un personnel comptent et bien form ayant une parfaite comprhension de son rle et de
ses responsabilits. La frquence et l'ampleur des examens et tests des contrles internes
effectus au sein d'une banque par les auditeurs internes devraient correspondre la nature et
la complexit des activits de l'organisation et aux risques associs. Dans tous les cas, il est
- 22 IV. valuation des systmes de contrle interne par les autorits prudentielles
Principe 14: Les autorits prudentielles devraient exiger que toutes les banques, quelle
que soit leur dimension, disposent d'un systme efficace de contrle interne qui
corresponde la nature, la complexit et au degr de risque de leurs activits de bilan
et de hors-bilan et ragisse aux modifications de l'environnement et des conditions
d'activit de la banque. Dans les cas o les autorits prudentielles constatent que le
systme de contrle interne n'est pas adquat (s'il ne prend pas en compte, par exemple,
tous les principes contenus dans ce document), elles devraient intervenir auprs de la
banque pour s'assurer que des amliorations sont apportes immdiatement.
41.
Bien que le conseil d'administration et la direction gnrale soient responsables en
dernier ressort de l'efficacit du systme de contrle interne, les autorits prudentielles
devraient valuer, dans le cadre de leurs activits de contrle permanent, les systmes dont
sont dotes les diverses banques. Elles devraient galement s'assurer que la direction de
chaque tablissement accorde sans tarder l'attention requise tout problme dtect par le
processus de contrle interne.
42.
Les autorits prudentielles devraient exiger des banques soumises leur contrle
qu'elles aient une culture de contrle forte et opter, dans l'exercice de leur surveillance, pour
une approche centre sur le risque, incluant d'examiner l'adquation des contrles internes. Il
importe que les autorits prudentielles valuent non seulement l'efficacit du systme global
de contrle interne, mais aussi les contrles sur les secteurs haut risque (ceux, par exemple,
qui prsentent des caractristiques telles qu'une rentabilit inhabituelle, une croissance rapide
ou une activit nouvelle). Elles devraient donner une place particulire aux documents
prcisant les politiques et procdures en tant que mcanisme cl de communication.
43.
Dans l'valuation des systmes de contrle interne des banques, les autorits
prudentielles peuvent choisir d'accorder une attention spciale directe des activits ou
situations traditionnellement associes des dfaillances de contrle interne ayant entran
des pertes substantielles. Certaines modifications de l'environnement de la banque devraient
faire l'objet d'une considration particulire pour dterminer si des rvisions parallles sont
ncessaires dans le systme de contrle interne. Ces modifications englobent notamment:
1) un environnement oprationnel modifi; 2) un personnel nouveau; 3) des systmes
d'information nouveaux ou transforms; 4) des domaines ou activits enregistrant une
croissance rapide; 5) une technologie nouvelle; 6) des secteurs, produits ou activits nouveaux
(ceux surtout de nature complexe); 7) des restructurations, fusions et acquisitions
d'entreprises; 8) une expansion ou acquisition d'oprations l'tranger (y compris l'incidence
des modifications de l'environnement conomique et rglementaire correspondant).
44.
Pour valuer la qualit des contrles internes, les autorits prudentielles ont le
choix entre diverses approches. Elles peuvent examiner le travail du dpartement d'audit
valuer l'efficacit des lments de contrle interne, non pas par un simple
examen des politiques et procdures, mais en consultant galement l'ensemble des
documents, en discutant des oprations avec divers niveaux du personnel de la
banque, en observant l'environnement oprationnel et en contrlant par sondages
les transactions;
s'assurer, pour les carences dtectes, qu'une action corrective est mise en uvre
sans tarder.
48.
Les autorits de contrle bancaire qui ne procdent pas des examens de routine
sur place recourent gnralement aux travaux des auditeurs externes. Ceux-ci devraient alors
- 24 effectuer l'examen du processus d'activit et le contrle par sondages des transactions prciss
prcdemment.
49.
Dans tous les cas, les autorits de contrle bancaire devraient examiner les
observations et recommandations des auditeurs externes concernant l'efficacit des contrles
internes et s'assurer que la direction et le conseil d'administration de la banque ont donn suite
aux proccupations et recommandations exprimes par les auditeurs externes. Le niveau et la
nature des problmes de contrle rencontrs par les auditeurs devraient tre pris en compte
dans l'valuation, par les autorits prudentielles, de l'efficacit des contrles internes de la
banque.
50.
Les autorits prudentielles devraient galement encourager les auditeurs externes
de la banque planifier et conduire leurs audits de manire bien prendre en considration
l'ventualit d'indications errones rsultant de manipulations frauduleuses des tats
financiers. Tout cas de fraude dtect par les auditeurs externes, quelle qu'en soit la gravit,
devrait tre signal au niveau de direction appropri. Une fraude impliquant la direction
gnrale et une fraude ayant de graves consquences pour l'tablissement devraient tre
notifies au conseil d'administration et/ou son comit d'audit. Dans certaines circonstances
(en fonction des exigences nationales), les auditeurs externes peuvent avoir signaler les
fraudes des autorits prudentielles ou d'autres instances extrieures la banque.
51.
En examinant l'adquation du processus de contrle interne dans chaque
organisation bancaire, les autorits prudentielles devraient galement s'assurer de l'efficacit
du processus au niveau des divers secteurs d'activit et filiales. Il est important qu'elles
valuent le processus de contrle interne non seulement pour chaque tablissement ou entit
juridique, mais aussi pour tout l'ventail des activits et filiales au sein de l'organisation
bancaire consolide.
- 25 V.
52.
Bien que, par dfinition, les auditeurs externes ne fassent pas partie d'une
organisation bancaire et ne soient donc pas un lment de son systme de contrle interne, ils
ont une incidence importante sur la qualit des contrles internes travers leurs activits
d'audit, et notamment leurs discussions avec la direction et leurs recommandations pour
amliorer les contrles internes. Les auditeurs externes fournissent en retour des informations
utiles sur l'efficacit du systme de contrle interne.
53.
Si l'objet principal de la fonction d'audit externe est de donner un avis sur les
comptes annuels d'une banque, ou de les certifier, l'auditeur externe doit choisir de s'en
remettre ou non l'efficacit du systme de contrle interne de l'tablissement. Pour cette
raison, il doit valuer ce systme, afin de voir dans quelle mesure il peut s'y fier pour
dterminer la nature, la frquence et la porte de ses propres procdures d'audit.
54.
Le rle exact des auditeurs externes et les processus qu'ils utilisent varient d'un
pays l'autre. Dans de nombreux pays, les normes d'audit professionnelles requirent que les
audits soient planifis et excuts de manire obtenir l'assurance raisonnable que les tats
financiers ne comportent aucune erreur srieuse. Les auditeurs vrifient galement par
sondage les transactions et critures servant de base l'tablissement des tats financiers et de
la communication financire. Ils valuent les principes comptables utiliss ainsi que les
estimations significatives effectues par la direction et jugent la prsentation globale des tats
financiers. Dans certains pays, ils sont tenus par les autorits prudentielles de fournir une
valuation spcifique de la porte, de l'adquation et de l'efficacit du systme de contrle
interne des banques, y compris de leur fonction d'audit interne.
55.
Un trait commun tous les pays, cependant, est que l'on attend des auditeurs
externes qu'ils aient une ide claire du processus de contrle interne d'une banque. L'ampleur
de l'attention accorde au systme de contrle interne varie selon l'auditeur et l'tablissement;
toutefois, on escompte gnralement que les auditeurs externes dtectent les carences notables
existantes et signalent la direction ainsi que, dans de nombreux pays, l'autorit de contrle
celles qui sont srieuses soit oralement, soit par courrier confidentiel. En outre, les auditeurs
externes peuvent tre soumis des exigences prudentielles particulires prcisant la manire
d'valuer les contrles internes et d'en rendre compte.
- 26 Annexe
A.
1.
De nombreux cas de dfaillances des contrles internes ayant entran des pertes
bancaires substantielles auraient pu tre nettement moins graves, ou mme vits, si le conseil
d'administration et la direction gnrale des tablissements avaient instaur une culture de
contrle forte. Les cultures de contrle insuffisantes prsentaient souvent deux lments
communs. Tout d'abord, la direction gnrale n'tait pas parvenue souligner l'importance
d'un systme de contrle interne solide travers les termes utiliss et les actions entreprises et,
surtout, par le biais des critres dterminant les rmunrations et promotions. Deuximement,
la direction gnrale n'avait pas russi mettre en place une structure organisationnelle et des
responsabilits de direction bien dfinies. Elle n'avait pas pu, par exemple, exiger un contrle
adquat des principaux preneurs de dcisions ni la notification, dans les meilleurs dlais, de la
nature et du droulement des activits.
2.
La direction gnrale peut affaiblir la culture de contrle en promouvant et
rcompensant des responsables efficaces pour produire des bnfices mais qui ngligent
d'appliquer les politiques de contrle interne ou de traiter les problmes dcels par l'audit
interne. L'impression qui prvaut alors dans l'organisation est que les contrles internes sont
considrs comme secondaires par rapport aux autres objectifs, ce qui affecte l'engagement
l'gard de la culture de contrle ainsi que sa qualit.
3.
Certaines banques ayant connu des problmes de contrle taient dotes de
structures organisationnelles dans lesquelles les responsabilits n'taient pas clairement
dfinies, de sorte qu'une unit n'avait pas rendre directement des comptes un membre de la
direction gnrale. Autrement dit, aucun membre de la direction ne surveillait les rsultats de
cette unit de manire suffisamment rigoureuse pour observer des activits inhabituelles,
financires ou autres, et personne, au sein de la direction gnrale, n'avait une vision globale
des oprations ni de la faon dont les bnfices taient raliss. Si la direction avait compris
les oprations de l'unit, elle aurait t en mesure de dceler des signes avant-coureurs (tels
qu'un pourcentage inhabituel de profit par rapport aux niveaux de risques), d'analyser les
transactions et de prendre des mesures pour rduire les pertes ventuelles. Ces problmes
auraient pu galement tre vits si le suprieur hirarchique avait examin les oprations
ainsi que les rapports la direction et s'tait enquis auprs du personnel comptent de la
nature des transactions effectues. De telles approches fournissent aux suprieurs
- 27 hirarchiques un aperu objectif de la manire dont les dcisions sont prises et garantissent
que le personnel cl opre en respectant les critres fixs par la banque et le cadre de contrle
interne.
B.
4.
Dans un pass rcent, l'valuation inadquate des risques a t en partie l'origine
des problmes de contrle interne et des pertes qui en ont rsult dans certaines banques.
Parfois, les rendements potentiels levs lis divers prts, placements et instruments drivs
ont fait oublier la direction la ncessit d'valuer parfaitement les risques inhrents aux
transactions et de dgager des ressources suffisantes pour surveiller et examiner en
permanence les engagements. Des pertes ont galement eu lieu lorsque la direction n'est pas
parvenue adapter le processus d'valuation des risques aux modifications de l'environnement
oprationnel. Par exemple, quand des produits plus complexes ou sophistiqus apparaissent
dans un secteur d'activit, il peut arriver que les contrles internes ne soient pas renforcs pour
tenir compte de ces lments. Un second exemple concerne la mise en place d'une activit
nouvelle sans une valuation complte et objective des risques encourus. En l'absence de cette
rvaluation des risques, le systme de contrle interne peut ne pas traiter les risques de
manire adquate dans cette activit nouvelle.
5.
Comme examin prcdemment, les organisations bancaires ont fixer des
objectifs pour l'efficience et l'efficacit oprationnelles, la fiabilit de la communication
financire et le respect de la conformit aux lois et rglementations. L'valuation des risques
comporte l'identification et la dtermination des risques inhrents la ralisation de ces
objectifs. Ce processus aide s'assurer que les contrles internes de l'tablissement
correspondent la nature, la complexit et au degr de risque de ses activits de bilan et de
hors-bilan.
C.
Activits de contrle
6.
Dans les cas de pertes bancaires importantes dues un contrle interne insuffisant,
les autorits prudentielles constatent en gnral que les tablissements concerns ont nglig
certains principes essentiels du contrle interne. Il s'agit le plus souvent de la sparation des
tches, qui est l'un des piliers d'un systme de contrle interne sain. Frquemment, la direction
gnrale a confi une personne trs apprcie la responsabilit de la surveillance de deux ou
plusieurs secteurs prsentant des intrts conflictuels. Ainsi, dans de nombreux cas, la mme
personne supervisait la fois la salle des marchs et le postmarch d'une unit de ngociation;
elle pouvait alors contrler l'engagement de la transaction (par exemple, l'achat ou la vente de
titres ou de produits drivs) ainsi que la fonction d'enregistrement correspondante. Attribuer
- 28 de telles tches conflictuelles une mme personne lui donne la possibilit de manipuler des
donnes financires pour raliser un profit personnel ou de dissimuler des pertes.
7.
La sparation des tches ne concerne pas seulement des situations o la mme
personne contrle la fois la salle des marchs et le postmarch. De srieux problmes
peuvent galement apparatre lorsqu'un mme individu est charg:
de tout autre domaine o des conflits d'intrts notables apparaissent et ne sont pas
attnus par d'autres facteurs4.
8.
Les insuffisances des activits de contrle refltent toutefois l'chec des multiples
efforts destins voir si l'activit est conduite selon les attentes, depuis les examens effectus
au niveau suprieur jusqu'au bon fonctionnement de mcanismes rgulateurs spcifiques dans
un processus d'activit. Dans plusieurs cas, par exemple, la direction n'a pas ragi comme il le
fallait aux informations qu'elle recevait. Ces informations figuraient dans des rapports
priodiques sur les rsultats des oprations de toutes les units de l'organisation, qui
informaient la direction des progrs raliss par chacune vers les objectifs et lui permettaient
de poser des questions si les rsultats n'taient pas conformes aux attentes. Souvent, les units
qui ont enregistr par la suite des pertes notables avaient commenc par dgager des bnfices
nettement suprieurs ce qu'on attendait compte tenu du niveau de risque apparent qui
auraient d alerter la direction gnrale. Si des examens au niveau suprieur avaient eu lieu, la
direction gnrale aurait pu se pencher sur les rsultats anormaux et dceler puis traiter
certains des problmes, limitant ainsi ou empchant ces pertes. Cependant, comme les
diffrences par rapport aux attentes taient positives (sous forme de bnfices), aucune
question n'tait pose et les enqutes n'ont t entreprises que lorsque les problmes avaient
pris une ampleur incontrlable.
titre d'illustration d'un conflit d'intrt potentiel attnu par d'autres contrles, l'examen indpendant
d'un prt, dans le cadre des activits de surveillance du systme de classification des crdits d'une banque,
peut compenser le conflit d'intrt potentiel qui se prsente lorsqu'une personne charge d'valuer le
caractre adquat d'un dossier de crdit surveille galement la cote de crdit de l'emprunteur aprs l'octroi
du crdit.
- 29 D.
Information et communication
9.
Certaines banques ont enregistr des pertes parce que l'information au sein de
l'organisation n'tait ni fiable ni complte et que la communication n'avait aucune efficacit.
L'information financire peut tre communique de faon errone sur le plan interne; des
sries de donnes incorrectes manant de sources extrieures peuvent tre utilises pour
valuer des positions financires; de mme, des activits modestes, mais haut risque,
peuvent ne pas figurer dans les rapports la direction. Parfois, les banques avaient nglig de
faire connatre de manire adquate les tches des employs et leurs responsabilits en matire
de contrle ou faisaient part des politiques de l'tablissement par des canaux, tels que la
messagerie lectronique, qui ne garantissaient pas que ces politiques taient lues et retenues.
Par consquent, sur des priodes de temps assez longues, d'importants aspects des politiques
de la direction n'taient pas appliqus. Dans d'autres cas, aucune voie de communication
adquate ne permettait aux employs de rendre compte de prsomptions d'irrgularits. Si de
telles voies avaient t tablies pour signaler les problmes travers la structure hirarchique,
la direction aurait t en mesure d'identifier et de corriger beaucoup plus tt les irrgularits.
E.
Activits de surveillance
10.
De nombreuses banques ayant enregistr des pertes dues des problmes de
contrle interne ne surveillaient pas de manire efficace leurs systmes de contrle interne.
Souvent, ces systmes ne comportaient pas les processus de surveillance en continu
indispensables et les valuations spcifiques taient inadquates ou traites de faon
inapproprie par la direction.
11.
Dans certains cas, l'absence de surveillance a commenc par l'incapacit de prter
attention ou de donner suite aux informations transmises jour aprs jour aux suprieurs
hirarchiques ainsi qu' d'autres membres du personnel qui indiquaient une activit
inhabituelle, telle que dpassements des plafonds d'engagement, utilisation de comptes
clientle pour des oprations propres ou absence d'tats financiers courants manant des
emprunteurs. Dans une banque, les pertes associes aux activits de ngociation taient
dissimules au sein d'un compte clientle fictif. Si l'organisation avait t dote d'une
procdure exigeant que des situations des comptes soient adresses la clientle chaque mois
et que les comptes clientle soient priodiquement confirms, les pertes dissimules auraient
vraisemblablement t dcouvertes bien longtemps avant d'tre suffisamment lourdes pour
entraner la faillite de l'tablissement.
12.
Dans plusieurs autres cas, l'unit ou l'activit qui tait l'origine de pertes
massives prsentait de nombreuses caractristiques indiquant un niveau de risque accru, tel
qu'une rentabilit inhabituelle pour le niveau de risque peru et une croissance rapide dans une
activit nouvelle gographiquement distante de la banque mre. Toutefois, en raison d'une