Vous êtes sur la page 1sur 32

CADRE D'VALUATION

DES SYSTMES DE
CONTRLE INTERNE

Comit de Ble sur le contrle bancaire

Ble
Janvier 1998

Table des matires


Page
Introduction ........................................................................................................................

I.

Contexte gnral ........................................................................................................

II.

Objectifs et rle du cadre de contrle interne ........................................................

III. Principaux lments d'un processus de contrle interne ....................................... 10


A. Surveillance par la direction et culture de contrle .......................................
1. Conseil d'administration ............................................................................
2. Direction gnrale .....................................................................................
3. Culture de contrle ....................................................................................

10
10
11
12

B. valuation des risques ................................................................................... 13


C. Activits de contrle ..................................................................................... 14
D. Information et communication ...................................................................... 17
E. Activits de surveillance ............................................................................... 19
IV.

valuation des systmes de contrle interne par les autorits prudentielles ....... 22

V.

Rles et responsabilits des auditeurs externes ...................................................... 25

Annexe

Enseignements prudentiels fournis par les cas de dfaillances des


contrles internes ...........................................................................................

26

Cadre d'valuation des systmes de contrle interne

INTRODUCTION

1.
Dans le sens de l'action qu'il poursuit pour rsoudre les questions prudentielles et
renforcer le contrle des banques par des recommandations encourageant l'application de
saines pratiques de gestion des risques, le Comit de Ble sur le contrle bancaire1 sollicite les
commentaires des autorits de contrle et autres parties concernes sur le prsent projet de
cadre d'valuation. Ce cadre a t conu pour tre utilis par les autorits prudentielles dans
leur valuation des systmes de contrle interne des banques. Un systme de contrle interne
efficace est une composante essentielle de la gestion d'un tablissement et constitue le
fondement d'un fonctionnement sr et prudent d'une organisation bancaire. En se dotant de
contrles internes rigoureux, une banque pourra mieux raliser ses buts et ses objectifs de
rentabilit long terme, en assurant galement la fiabilit de sa communication financire tant
externe qu' sa direction. Un tel systme peut aussi garantir que la banque agit dans le respect
des lois et rglementations ainsi que de ses politiques, programmes, rgles et procdures
internes; il attnue, en outre, le risque de pertes imprvues ou d'atteinte la rputation de
l'tablissement. Ce document dcrit les lments cls d'un systme de contrle interne sain, en
se fondant sur l'exprience enregistre dans les pays membres et sur les principes prciss
dans les publications antrieures du Comit. Il entend dfinir certains principes destins aux
autorits prudentielles dans leur valuation des systmes de contrle interne des banques.
2.
Le Comit de Ble, conjointement avec les autorits de contrle bancaire du
monde entier, insiste de plus en plus sur l'importance de contrles internes sains. Cet intrt
accru s'explique en partie par les pertes substantielles subies par plusieurs organisations
bancaires. L'analyse des problmes lis ces pertes montre qu'elles auraient probablement pu
tre vites si les banques avaient t dotes de systmes de contrle interne efficaces. De tels
systmes auraient, en effet, empch l'apparition de ces problmes ou permis de les dtecter,
limitant ainsi les dommages causs aux organisations bancaires. En laborant ces principes, le
Comit a tir des enseignements des situations des banques en difficult dans les divers pays
membres.
3.
Ces principes se prtent donc une application gnrale, et les autorits de
contrle devraient s'y rfrer pour valuer les mthodes et procdures qu'elles emploient pour
voir comment les banques structurent leurs systmes de contrle interne. L'approche exacte

Le Comit de Ble sur le contrle bancaire, institu en 1975 par les gouverneurs des banques centrales
des pays du Groupe des Dix, rassemble les autorits de contrle des banques. Il est compos de hauts
reprsentants des autorits de contrle bancaire et banques centrales d'Allemagne, de Belgique, du
Canada, des tats-Unis, de France, d'Italie, du Japon, du Luxembourg, des Pays-Bas, du Royaume-Uni, de
Sude et de Suisse. Ses runions ont habituellement pour cadre la Banque des Rglements Internationaux,
Ble, sige de son Secrtariat permanent.

-2retenue par les divers responsables prudentiels sera fonction, bien entendu, de nombreux
facteurs, dont leurs techniques de contrle sur place et sur pices, et de la part prise par les
auditeurs externes dans l'exercice de la surveillance; nanmoins, tous les membres du
Comit de Ble reconnaissent que les principes tablis dans ce document devraient tre
utiliss pour valuer le systme de contrle interne d'une banque.
4.
Le Comit de Ble adresse ce document l'ensemble des autorits de contrle
dans le monde, tant convaincu que les principes qu'il contient fourniront un cadre utile pour
une surveillance efficace des systmes de contrle interne. D'une manire plus gnrale, le
Comit dsire souligner que des contrles internes sains sont un lment essentiel la
conduite prudente de l'activit bancaire et qu'ils favorisent galement la stabilit globale du
systme financier.
5.
Les recommandations diffuses antrieurement par le Comit de Ble
comportaient gnralement des analyses des contrles internes portant sur des domaines
spcifiques de l'activit bancaire, tels que le risque de taux d'intrt et les oprations de
ngociation et sur instruments drivs. Cette fois, cependant, elles prsentent un cadre que le
Comit encourage les autorits prudentielles utiliser pour valuer les contrles internes sur
l'ensemble des activits de bilan et de hors-bilan des organisations bancaires. Ces
recommandations ne se concentrent pas sur des secteurs ou activits spcifiques au sein d'une
banque, et leur application exacte dpend de la nature et de la complexit des oprations
effectues ainsi que des risques qu'elles comportent. Dans les sections III et IV, le Comit
nonce quatorze principes appliquer par les autorits de contrle bancaire pour valuer les
systmes de contrle interne des banques. L'annexe, pour sa part, fournit des enseignements
prudentiels tirs de cas antrieurs de contrles internes insuffisants.
Principes pour l'valuation des systmes de contrle interne
Surveillance par la direction et culture de contrle
Principe 1:
Le conseil d'administration devrait tre charg d'approuver les stratgies et
politiques, d'apprcier les risques encourus par la banque, de fixer des niveaux
acceptables en regard de ces risques en s'assurant que la direction gnrale prend
les dispositions ncessaires pour identifier, surveiller et contrler ces risques,
d'approuver la structure organisationnelle et de s'assurer que la direction gnrale
surveille l'efficacit du systme de contrle interne.

-3Principe 2:
La direction gnrale devrait tre charge de mettre en uvre les stratgies
approuves par le conseil, de dfinir des politiques de contrle interne appropries
et de surveiller l'efficacit du systme de contrle interne.
Principe 3:
Le conseil d'administration et la direction gnrale sont chargs de promouvoir
des critres levs d'thique et d'intgrit et d'instaurer, au sein de l'organisation
bancaire, une culture qui souligne et dmontre, tous les niveaux du personnel,
l'importance des contrles internes. Tous les niveaux du personnel de
l'organisation doivent comprendre leur rle dans le contrle interne et s'impliquer
activement dans ce processus.
valuation des risques
Principe 4:
La direction gnrale devrait s'assurer qu'il est procd l'identification et
l'valuation des facteurs internes et externes qui pourraient compromettre la
ralisation des objectifs de la banque. Cette valuation devrait couvrir l'ensemble
des divers risques encourus par l'tablissement (par exemple, risque de crdit,
risque-pays et risque de transfert, risque de march, risque de taux d'intrt,
risque de liquidit, risque oprationnel, risque juridique et risque de rputation).
Principe 5:
La direction gnrale devrait s'assurer que les risques affectant la ralisation des
stratgies et objectifs de la banque font l'objet d'une valuation permanente. Un
rexamen des contrles internes peut s'avrer ncessaire pour prendre en compte
de manire approprie tout risque nouveau ou jusque-l non contrl.
Activits de contrle
Principe 6:
Les activits de contrle devraient faire partie intgrante des oprations
quotidiennes de la banque. La direction gnrale doit mettre en place une
structure de contrle approprie pour garantir des contrles internes efficaces, en
dfinissant les activits de contrle chaque niveau oprationnel. Ces activits
devraient inclure les lments suivants: examens effectus au niveau suprieur;
contrles d'activit appropris pour les diffrents dpartements ou units;
contrles physiques; vrification priodique du respect des plafonds
d'engagement; systme d'approbation et d'autorisation; systme de vrification et

-4de contrle par rapprochement. La direction gnrale doit s'assurer rgulirement


que tous les domaines de la banque se conforment aux politiques et procdures
tablies.
Principe 7:
La direction gnrale devrait s'assurer qu'il existe une sparation approprie des
tches et que des responsabilits conflictuelles ne sont pas confies des membres
du personnel. Les secteurs prsentant des conflits d'intrts potentiels devraient
tre identifis, circonscrits aussi troitement que possible et surveills avec
attention.
Information et communication
Principe 8:
La direction gnrale devrait s'assurer de l'existence de donnes internes
adquates et exhaustives - d'ordre financier, oprationnel ou ayant trait au respect
de la conformit - ainsi que d'informations de march extrieures sur des
vnements et conditions intressant la prise de dcision. Ces donnes et
informations devraient tre fiables, rcentes, accessibles et prsentes sous une
forme cohrente.
Principe 9:
La direction gnrale devrait instituer des voies de communication efficaces pour
garantir que l'ensemble du personnel est parfaitement inform des politiques et
procdures affectant ses tches et responsabilits et que les autres informations
importantes parviennent leurs destinataires.
Principe 10:
La direction gnrale doit s'assurer de l'existence de systmes d'information
appropris couvrant toutes les activits de la banque. Ces systmes, notamment
ceux qui contiennent et utilisent des donnes informatises, doivent tre srs et
faire l'objet de tests priodiques.
Surveillance
Principe 11:
La direction gnrale devrait surveiller en permanence l'efficacit globale des
contrles internes de la banque pour favoriser la ralisation des objectifs fixs. La
surveillance des principaux risques devrait faire partie des oprations
quotidiennes de la banque et comporter, au besoin, des valuations spcifiques.

-5Principe 12:
Un audit interne efficace et exhaustif du systme de contrle interne devrait tre
effectu par un personnel bien form et comptent. La fonction d'audit interne, en
tant qu'lment de la surveillance du systme de contrle interne, devrait rendre
compte directement au conseil d'administration, ou son comit d'audit, ainsi qu'
la direction gnrale.
Principe 13:
Les carences dtectes dans les contrles internes devraient tre notifies dans les
meilleurs dlais au niveau de direction appropri et faire l'objet d'un traitement
rapide. Les dficiences importantes devraient tre signales la direction gnrale
et au conseil d'administration.
valuation des systmes de contrle interne par les autorits prudentielles
Principe 14:
Les autorits prudentielles devraient exiger que toutes les banques, quelle que soit
leur dimension, disposent d'un systme efficace de contrle interne qui
corresponde la nature, la complexit et au degr de risque de leurs activits de
bilan et de hors-bilan et ragisse aux modifications de l'environnement et des
conditions d'activit de la banque. Dans les cas o les autorits prudentielles
constatent que le systme de contrle interne n'est pas adquat (s'il ne prend pas
en compte, par exemple, tous les principes contenus dans ce document), elles
devraient intervenir auprs de la banque pour s'assurer que des amliorations sont
apportes immdiatement.
6.
Toutes les parties concernes sont invites faire part de leurs commentaires sur
les divers aspects de ce document, dont l'annexe, jusqu'au 30 mars 1998.

-6I.

Contexte gnral

1.
Le Comit de Ble a analys certains cas rcents de banques en difficult, afin
d'identifier les principales sources des problmes de contrle interne. Les problmes mis
jour renforcent l'ide qu'il est important que les administrateurs et la direction des banques, les
auditeurs internes et externes ainsi que les autorits de contrle bancaire consacrent une
attention soutenue au renforcement des systmes de contrle interne et l'valuation
permanente de leur efficacit. Plusieurs de ces cas montrent que des contrles internes
insuffisants peuvent entraner des pertes bancaires substantielles.
2.
Les formes de dficiences des contrles observes gnralement dans les banques
en difficult peuvent tre classes en cinq grandes catgories.

Dfaillances dans la surveillance et l'exercice des responsabilits de la part de la


direction et absence d'une forte culture de contrle au sein de la banque. Les cas de
pertes importantes refltent tous, sans exception, un manque d'attention et de rigueur de
la direction envers la culture de contrle dans la banque, une orientation et une
surveillance insuffisantes de la part du conseil d'administration et de la direction
gnrale ainsi que l'absence d'un exercice clair de ses responsabilits de la part de la
direction dans l'attribution des rles et des tches. Ces cas rvlent galement des
incitations insuffisantes exercer une surveillance hirarchique rigoureuse et
maintenir un niveau lev de conscience du contrle au sein des divers secteurs
d'activit.

valuation inadquate du risque inhrent certaines activits bancaires, tant de


bilan que de hors-bilan. De nombreuses organisations bancaires ayant subi des pertes
substantielles ngligeaient d'valuer en permanence les risques lis aux nouveaux
produits et activits ou de revoir leurs estimations des risques en fonction des
modifications notables de l'environnement ou des conditions d'activit. Plusieurs cas
rcents montrent clairement que des systmes de contrle efficaces pour des produits
traditionnels ou simples sont inoprants pour des instruments plus sophistiqus ou
complexes.

Absence ou dficience d'lments cls du contrle, tels que sparation des tches,
approbations, vrifications, concordances, analyses des rsultats d'exploitation. La
non-sparation des tches, en particulier, a jou un rle majeur dans les pertes sensibles
enregistres par les banques.

Mauvaise communication de l'information entre les niveaux de direction dans la


banque, spcialement vers le haut pour signaler les problmes. Pour tre efficaces, les
politiques et procdures doivent tre communiques de manire effective l'ensemble
du personnel associ une activit. Certaines pertes bancaires ont t dues au fait que
des agents directement concerns ne connaissaient pas ou ne comprenaient pas les

-7politiques de l'tablissement. Dans plusieurs cas, des informations sur des activits
inappropries qui auraient d tre transmises la direction par la voie hirarchique n'ont
t notifies au conseil d'administration ou la direction gnrale que lorsque les
problmes taient devenus graves. Dans d'autres cas, le contenu des rapports la
direction tait insuffisant ou inexact, donnant ainsi une impression favorable sur la
situation d'une activit qui tait, en fait, problmatique.

Programmes d'audit et autres activits de surveillance inadquats ou inefficaces. Trs


souvent, les audits effectus n'taient pas suffisamment rigoureux pour dceler et
notifier les insuffisances du contrle dans les banques en difficult. Dans d'autres cas,
mme si les auditeurs ont fait part des problmes, ceux-ci n'ont pas t corrigs par la
direction.

3.
Le cadre de contrle interne qui sous-tend ces recommandations est fond sur les
pratiques suivies actuellement dans de nombreuses grandes banques, entreprises
d'investissement et socits non financires ainsi que par leurs auditeurs. En outre, ce cadre
d'valuation va dans le sens de l'importance accrue donne par les autorits de contrle
bancaire l'examen des processus de gestion du risque et de contrle interne dans une
organisation bancaire. Il importe de souligner que le conseil d'administration et la direction
gnrale sont chargs de s'assurer de l'existence de contrles internes adquats et de
promouvoir un environnement dans lequel les individus comprennent et assument
srieusement leurs responsabilits dans ce domaine. Les autorits de contrle bancaire, pour
leur part, ont mission d'valuer l'engagement du conseil d'administration et de la direction de
la banque l'gard du processus de contrle interne.

-8II.
4.

Objectifs et rle du cadre de contrle interne


Le contrle interne est un processus mis en uvre par le conseil d'administration2,

la direction gnrale et tous les niveaux du personnel. Il ne s'agit pas simplement d'une
procdure ou d'une politique applique un certain moment, mais plutt d'un systme qui
fonctionne en continu tous les niveaux de la banque. Le conseil d'administration et la
direction gnrale sont chargs d'instaurer la culture approprie capable de favoriser un
processus de contrle interne efficace et d'en vrifier en permanence l'efficacit; il importe
toutefois que tous les membres du personnel y participent activement. Les principaux objectifs
du processus de contrle interne3 peuvent tre classs en trois groupes:
1. efficience et efficacit des oprations (objectifs oprationnels);
2. fiabilit et exhaustivit des donnes financires et des informations destines la
direction (objectifs d'information);
3. conformit aux lois et rglementations applicables (objectifs de conformit).
5.
Les objectifs oprationnels de contrle interne concernent l'efficacit et
l'efficience de la banque dans l'utilisation de ses actifs et autres ressources ainsi que dans sa
protection en cas de pertes. Le processus de contrle interne cherche s'assurer que
l'ensemble du personnel uvre avec droiture la ralisation des objectifs, sans occasionner
des cots imprvus ou excessifs ni privilgier d'autres intrts (tels que ceux d'un employ,
d'un fournisseur ou d'un client) que ceux de l'tablissement.
6.
Les objectifs d'information portent sur la prparation de rapports fiables et aussi
rcents que possible, indispensables la prise de dcision au sein de l'organisation bancaire.
Ils recouvrent galement la ncessit d'tablir des comptes annuels, tats financiers et autres
communications financires qui soient fiables, qu'il s'agisse des informations destines aux
autorits prudentielles ou d'autres usages externes. Les donnes reues par la direction, le
conseil d'administration, les actionnaires et les autorits de contrle devraient tre d'une
qualit et d'une intgrit suffisantes pour que leurs bnficiaires puissent s'y rfrer pour
fonder leurs dcisions. Le terme fiable, appliqu aux tats financiers, se rapporte la

Ce document se rfre une structure de gestion compose d'un conseil d'administration et d'une direction
gnrale. Le Comit est conscient de l'existence de diffrences notables entre les cadres lgislatifs et
rglementaires des divers pays, en ce qui concerne les fonctions de ces deux instances. Dans certains pays,
le conseil est charg principalement, mais non exclusivement, de superviser l'organe excutif (direction
gnrale), afin de s'assurer qu'il s'acquitte de ses tches; il est parfois appel, pour cette raison, conseil de
surveillance et n'a pas de rle excutif. Dans d'autres, en revanche, il dtient une autorit plus large, en ce
sens qu'il labore le cadre gnral de gestion de la banque. Du fait de ces diffrences, les notions de
conseil d'administration et de direction gnrale sont utilises dans ce document non pas pour identifier
des structures juridiques, mais plutt pour dsigner deux niveaux de prise de dcision au sein d'une
banque.

Il inclut les contrles internes sur la prservation des actifs et autres ressources contre une acquisition, un
usage ou un transfert non autoris ou en cas de pertes.

-9prparation de documents tablis sur une base sincre partir de principes et rgles
comptables exhaustifs et bien dfinis.
7.
Les objectifs de conformit garantissent que toute l'activit bancaire est conduite
en conformit avec les lois ou rglementations et exigences prudentielles applicables ainsi
qu'avec les politiques et procdures internes. Cet objectif doit tre satisfait pour prserver les
droits et la rputation de la banque.

- 10 III. Principaux lments d'un processus de contrle interne


8.
Le processus de contrle interne, qui visait traditionnellement rduire la fraude,
les dtournements de fonds et les erreurs, a rcemment pris une dimension plus vaste et
recouvre l'ensemble des risques encourus par les organisations bancaires. Il est reconnu
prsent qu'un processus de contrle interne sain est essentiel pour qu'une banque puisse
raliser les objectifs qu'elle s'est fixs et maintenir sa viabilit financire.
9.
Le contrle interne consiste en cinq lments troitement lis:
1. Surveillance par la direction et culture de contrle
2. valuation des risques
3. Activits de contrle
4. Information et communication
5. Activits de surveillance.
Les problmes rencontrs dans les cas rcents de pertes bancaires importantes
entrent dans ces cinq catgories. Le fonctionnement efficace de ces lments est capital pour
la ralisation des objectifs oprationnels, d'information et de conformit d'une banque.

A.

Surveillance par la direction et culture de contrle

1.

Conseil d'administration

Principe 1: Le conseil d'administration devrait tre charg d'approuver les stratgies et


politiques, d'apprcier les risques encourus par la banque, de fixer des niveaux
acceptables en regard de ces risques en s'assurant que la direction gnrale prend les
dispositions ncessaires pour identifier, surveiller et contrler ces risques, d'approuver
la structure organisationnelle et de s'assurer que la direction gnrale surveille
l'efficacit du systme de contrle interne.
10.
Le conseil d'administration a une mission de gouvernance, d'orientation et de
surveillance vis--vis de la direction gnrale. Il est charg de fixer les grandes stratgies et
les principales politiques de l'organisation et d'approuver sa structure organisationnelle
globale. Il lui incombe en dernier ressort de veiller la mise en place et l'application d'un
systme adquat de contrle interne. Pour tre efficaces, ses membres doivent tre objectifs,
comptents et scrupuleux et connatre les activits de la banque ainsi que les risques qu'elle
encourt. Un conseil d'administration fort et actif, surtout lorsqu'il est associ des canaux de
communication faisant bien remonter l'information et des organes financiers, juridiques et
d'audit interne efficients, est souvent le mieux en mesure de rsoudre les problmes qui
pourraient amoindrir l'efficacit du systme de contrle interne.

- 11 11.
Le conseil d'administration devrait inclure dans ses activits 1) des discussions
rgulires avec la direction sur l'efficacit du systme de contrle interne, 2) un examen, dans
les dlais les plus brefs, des valuations sur les contrles internes effectues par la direction et
les auditeurs internes et externes, 3) des actions rptes pour s'assurer que la direction a pris
en compte de manire approprie les recommandations et proccupations exprimes par les
auditeurs et autorits de contrle au sujet des carences du contrle interne.
12.
Une option utilise par les banques de nombreux pays consiste instaurer un
comit d'audit indpendant pour assister le conseil dans l'exercice de ses responsabilits. Cela
permet d'examiner dans le dtail des informations et rapports sans devoir mobiliser tous les
administrateurs et d'apporter toute l'attention ncessaire certaines questions particulires. Le
comit d'audit est gnralement responsable du suivi du processus de communication
financire et du systme de contrle interne. Dans le cadre de cette responsabilit, il est
attentif aux oprations du dpartement d'audit interne de la banque, auquel il sert de contact
direct; il engage galement les auditeurs externes et en est l'interlocuteur privilgi. Dans les
pays optant pour un comit d'audit, celui-ci devrait tre entirement compos
d'administrateurs extrieurs (c'est--dire de membres du conseil qui ne sont employs ni par la
banque ni par l'un de ses tablissements affilis) possdant une comptence en matire de
communication financire et de contrle interne. Il convient de noter que la constitution d'un
comit d'audit ne devrait en aucun cas dcharger le conseil plnier de ses tches, lui seul tant
juridiquement mandat prendre des dcisions.

2.

Direction gnrale

Principe 2: La direction gnrale devrait tre charge de mettre en uvre les stratgies
approuves par le conseil, de dfinir des politiques de contrle interne appropries et de
surveiller l'efficacit du systme de contrle interne.
13.
Il incombe la direction gnrale de mettre en uvre les directives approuves
par le conseil d'administration, en appliquant notamment les stratgies et politiques de la
banque et en instaurant un systme de contrle interne efficace. Pour l'laboration des
politiques et procdures de contrle interne plus spcifiques, les membres de la direction
gnrale dlguent habituellement leur responsabilit aux personnes charges des activits ou
fonctions d'une unit particulire. Il est donc important que la direction gnrale s'assure que
ces personnes tablissent et conduisent les politiques et procdures appropries.
14.
Le respect de la conformit un systme de contrle interne passe en grande
partie par une structure organisationnelle parfaitement transparente et connue de l'ensemble du
personnel, montrant clairement les niveaux de responsabilit et d'autorit en matire de
notification et permettant une communication adquate dans l'ensemble de l'organisation. La
rpartition des tches et responsabilits devrait garantir l'absence de ruptures dans la chane

- 12 hirarchique et l'exercice d'un degr de contrle efficace par la direction tous les niveaux de
la banque et dans toutes ses activits.
15.
Il importe que la direction gnrale prenne des mesures pour garantir que les
activits sont conduites par du personnel qualifi possdant l'exprience et les capacits
techniques requises. Le personnel devrait bnficier d'une rmunration approprie ainsi que
d'une remise niveau priodique de sa formation et de ses comptences. La direction gnrale
devrait instaurer des politiques de rmunration et de promotion rcompensant les
comportements adquats et rduisant au maximum les incitations, pour les agents, ignorer
ou contourner les mcanismes de contrle interne.

3.

Culture de contrle

Principe 3: Le conseil d'administration et la direction gnrale sont chargs de


promouvoir des critres levs d'thique et d'intgrit et d'instaurer, au sein de
l'organisation bancaire, une culture qui souligne et dmontre, tous les niveaux du
personnel, l'importance des contrles internes. Tous les niveaux du personnel de
l'organisation doivent comprendre leur rle dans le contrle interne et s'impliquer
activement dans ce processus.
16.
L'un des lments essentiels d'un systme de contrle interne efficace rside dans
une culture de contrle forte. Il incombe au conseil d'administration et la direction gnrale
de souligner, dans les termes utiliss et les actions entreprises, l'importance du contrle
interne; cela passe notamment par les valeurs thiques mises en avant par la direction dans
son comportement professionnel, tant l'intrieur qu' l'extrieur de l'organisation. Les
termes, actes et attitudes de ces deux instances affectent l'intgrit, l'thique et les autres
aspects de la culture de contrle d'un tablissement.
17.
des degrs divers, le contrle interne relve de la responsabilit de chacun.
Presque tous les employs produisent des informations utilises dans le systme de contrle
interne ou effectuent d'autres actions indispensables l'exercice du contrle. Un lment cl
d'un systme de contrle interne fort est la conscience, pour chaque employ, de la ncessit
d'assumer ses tches de manire efficace et de notifier au niveau de direction appropri tout
problme rencontr dans le cadre des oprations, toute infraction au code de conduite ainsi
que toute violation des politiques tablies ou action illgale constate. L'idal, cet effet, est
que les procdures oprationnelles soient clairement prcises par crit et mises la
disposition de l'ensemble du personnel concern. Il est essentiel que tous les agents de la
banque comprennent l'importance du contrle interne et s'impliquent activement dans ce
processus.
18.
En renforant les valeurs thiques, les organisations bancaires devraient viter des
politiques et pratiques pouvant engendrer par mgarde des incitations ou des tentations

- 13 effectuer des activits inappropries: importance exagre donne aux objectifs de


performance ou autres rsultats oprationnels, particulirement court terme; gratifications
leves lies aux performances; sparation inefficace des tches ou d'autres fonctions de
contrle pouvant conduire mal utiliser les ressources ou dissimuler des performances
mdiocres; sanctions minimes ou excessives en cas de comportement incorrect.
19.
Si l'existence d'une forte culture de contrle interne ne garantit pas une
organisation d'atteindre ses objectifs, son absence augmente les risques d'erreurs non dceles
ou d'irrgularits.

B.

valuation des risques

20.
Dans la perspective du contrle interne, l'valuation des risques devrait dceler et
apprcier les facteurs internes et externes pouvant compromettre la ralisation des objectifs
oprationnels, d'information et de conformit d'une organisation bancaire. Cette analyse
devrait prendre en compte des risques tels que le risque de crdit, le risque de march, le
risque de liquidit et le risque oprationnel (lequel inclut le risque de fraude, de dtournement
d'actifs et d'informations financires douteuses). Il existe une diffrence notable entre
l'valuation des risques dans le contexte du processus de contrle interne et le concept plus
large de gestion des risques dans l'activit globale d'une banque. Dans une organisation
bancaire, cette gestion des risques consiste tablir des objectifs organisationnels et autres (en
matire de rentabilit, par exemple) et dterminer, mesurer et fixer les plafonds
d'engagement que la banque acceptera pour les atteindre. L'objet du contrle interne est alors
de s'assurer que les objectifs et politiques sont communiqus et appliqus, que le respect des
plafonds est soumis surveillance et que les dviations sont corriges dans le sens des
politiques de la direction. Par consquent, le concept de gestion des risques s'tend, mais ne se
limite pas, l'valuation des risques et la fixation d'objectifs oprationnels tels qu'ils sont
dfinis aux fins du contrle interne.
Principe 4: La direction gnrale devrait s'assurer qu'il est procd l'identification et
l'valuation des facteurs internes et externes qui pourraient compromettre la ralisation
des objectifs de la banque. Cette valuation devrait couvrir l'ensemble des divers risques
encourus par l'tablissement (par exemple, risque de crdit, risque-pays et risque de
transfert, risque de march, risque de taux d'intrt, risque de liquidit, risque
oprationnel, risque juridique et risque de rputation).
21.
Une valuation efficace des risques recense et analyse les facteurs internes (nature
des activits de la banque, qualit du personnel, modifications organisationnelles et
mouvements d'effectifs) et externes (volution des conditions conomiques, changements au
sein de la profession et progrs technologique) pouvant compromettre la ralisation des

- 14 objectifs de la banque. Cette valuation devrait tre effectue au niveau de chaque


dpartement oprationnel ainsi que pour l'ensemble des activits et filiales de l'organisation
bancaire consolide et peut s'oprer par diverses mthodes. Pour tre efficace, elle doit porter
la fois sur les risques mesurables (risque de crdit, risque de march et risque de liquidit) et
non mesurables (risque oprationnel, risque juridique et risque de rputation).
22.
Le processus d'valuation des risques ncessite galement de dterminer ceux qui
sont contrlables par la banque et ceux qui ne le sont pas. Pour les premiers, la banque doit
tablir si elle accepte ces risques ou si elle prfre les limiter au moyen de procdures de
contrle. Pour ceux qui ne peuvent pas tre contrls, la banque doit dcider soit de les
accepter, soit de se dsengager, soit encore de rduire le niveau de l'activit concerne.
Principe 5: La direction gnrale devrait s'assurer que les risques affectant la ralisation
des stratgies et objectifs de la banque font l'objet d'une valuation permanente. Un
rexamen des contrles internes peut s'avrer ncessaire pour prendre en compte de
manire approprie tout risque nouveau ou jusque-l non contrl.
23.
Pour que l'valuation des risques et, par consquent, le systme de contrle interne
demeurent efficaces, la direction gnrale doit considrer en permanence les risques pouvant
entraver la ralisation des objectifs de la banque et ragir aux modifications des circonstances
et des conditions d'activit. Il peut s'avrer ncessaire de revoir les contrles internes, afin de
bien prendre en compte des risques nouveaux ou jusque-l non contrls. Par exemple, avec
l'innovation financire, une banque doit valuer les nouveaux instruments financiers et
oprations de march et examiner les risques qu'ils font encourir. Souvent, la meilleure faon
de comprendre ces risques est de voir comment divers scnarios (conomiques ou autres)
affectent les flux de trsorerie et le rendement des transactions et instruments financiers. Un
examen attentif de l'ventail des problmes possibles, allant des malentendus avec la clientle
aux dfaillances oprationnelles, soulignera certains aspects importants en matire de
contrle.

C.

Activits de contrle

Principe 6: Les activits de contrle devraient faire partie intgrante des oprations
quotidiennes de la banque. La direction gnrale doit mettre en place une structure de
contrle approprie pour garantir des contrles internes efficaces, en dfinissant les
activits de contrle chaque niveau oprationnel. Ces activits devraient inclure les
lments suivants: examens effectus au niveau suprieur; contrles d'activit
appropris pour les diffrents dpartements ou units; contrles physiques; vrification
priodique du respect des plafonds d'engagement; systme d'approbation et

- 15 d'autorisation; systme de vrification et de contrle par rapprochement. La direction


gnrale doit s'assurer rgulirement que tous les domaines de la banque se conforment
aux politiques et procdures tablies.
24.
Les activits de contrle sont conues et mises en uvre pour faire face aux
risques dcels par la banque par le biais du processus d'valuation des risques dcrit
prcdemment. Ces activits comportent trois tapes: 1) l'tablissement des politiques; 2) la
performance des procdures au regard de ces politiques; 3) la vrification du respect de la
conformit aux politiques. Les activits de contrle se situent tous les niveaux du personnel
de la banque, y compris la direction gnrale et les personnels directement en contact avec le
march. Voici diffrents exemples d'activits de contrle.

Examens effectus au niveau suprieur Le conseil d'administration et la


direction gnrale demandent souvent des prsentations et comptes rendus de
rsultats qui leur permettent d'valuer les progrs raliss par la banque vers ses
objectifs. Par exemple, la direction gnrale peut vouloir consulter des rapports
indiquant les rsultats financiers effectifs en cours d'exercice par rapport au
budget. Les questions de la direction gnrale qui en rsultent et les rponses
fournies par les niveaux hirarchiques infrieurs constituent une activit de
contrle qui peut mettre en vidence des problmes, tels que carences du contrle,
erreurs dans la communication financire interne ou fraudes.

Contrles d'activit La direction, au niveau d'un dpartement ou d'une unit,


reoit et examine des comptes rendus normaux ou exceptionnels sur une base
quotidienne, hebdomadaire ou mensuelle. Les examens fonctionnels sont plus
frquents que ceux effectus au niveau suprieur et sont habituellement plus
dtaills. Par exemple, le responsable du secteur des prts commerciaux consulte
des rapports hebdomadaires sur les dfauts de paiement, les paiements reus et les
revenus d'intrts produits par le portefeuille, tandis que le responsable du crdit
au sein de la direction gnrale a connaissance de documents similaires une fois
par mois et sous une forme plus condense couvrant toutes les catgories de prts.
Comme pour les examens au niveau suprieur, les questions qui rsultent de
l'analyse des rapports et les rponses qu'elles amnent reprsentent l'activit de
contrle.

Contrles physiques Les contrles physiques portent en gnral sur les


limitations d'accs aux actifs physiques, dont les titres et autres actifs financiers.
Les activits de contrle incluent les restrictions physiques, la double conservation
et les inventaires priodiques.

- 16

Conformit aux plafonds d'engagement L'tablissement de limites prudentes sur


les engagements constitue un lment majeur de la gestion des risques. Par
exemple, la conformit aux limites fixes pour les emprunteurs et les autres
contreparties rduit la concentration du risque de crdit de la banque et permet de
diversifier son profil de risque. Par consquent, un aspect important des contrles
internes rside dans la vrification, intervalles rguliers, du respect de telles
limites.

Approbation et autorisation La ncessit de solliciter une approbation et une


autorisation pour les transactions dpassant certaines limites garantit qu'un niveau
de direction appropri a connaissance de la transaction ou de la situation, ce qui
aide tablir les responsabilits.

Vrification et concordance La vrification des caractristiques dtailles des


transactions ainsi que des diverses activits et des rsultats fournis par les modles
de gestion des risques utiliss par la banque constitue une activit de contrle
importante. La concordance priodique, par exemple entre les flux de trsorerie et
les rapports et tats financiers, peut mettre en vidence des activits et
enregistrements comptables exigeant d'tre amends. Par consquent, les
conclusions de ces contrles devraient tre notifies rgulirement aux niveaux de
direction appropris.

25.
Les activits de contrle ont leur efficacit optimale lorsque la direction et
l'ensemble du personnel les considrent comme faisant intrinsquement partie, et non comme
un complment, des oprations quotidiennes de la banque. Lorsque les contrles sont vus
comme un complment des oprations de chaque jour, ils sont souvent jugs moins
importants et peuvent ne pas tre raliss dans des situations o des agents s'estiment presss
par le temps pour effectuer leurs activits. En outre, les contrles qui sont vritablement
intgrs aux oprations quotidiennes permettent de ragir rapidement des modifications des
conditions et vitent des cots inutiles. Dans le cadre de l'action visant instaurer la culture de
contrle approprie au sein d'une banque, la direction gnrale devrait s'assurer que les
activits de contrle adquates font vritablement partie des fonctions quotidiennes de
l'ensemble du personnel concern.
26.
La direction gnrale ne doit pas se contenter de dfinir des politiques et
procdures appropries pour les diverses activits et units de la banque. Elle doit s'assurer
priodiquement que tous les domaines de la banque oprent en conformit avec ces politiques
et procdures et faire en sorte galement que les politiques et procdures existantes demeurent
adquates. Cette fonction entre habituellement dans les attributions du dpartement d'audit
interne.

- 17 Principe 7: La direction gnrale devrait s'assurer qu'il existe une sparation


approprie des tches et que des responsabilits conflictuelles ne sont pas confies des
membres du personnel. Les secteurs prsentant des conflits d'intrts potentiels
devraient tre identifis, circonscrits aussi troitement que possible et surveills avec
attention.
27.
Dans les cas de pertes bancaires importantes dues un contrle interne insuffisant,
les autorits prudentielles constatent en gnral que l'une des causes principales rside dans
l'absence de sparation adquate des tches. Le fait de confier la mme personne des
responsabilits conflictuelles (par exemple, celles des fonctions de march et de postmarch
d'une unit de ngociation) lui donne la possibilit d'avoir accs des actifs de valeur et de
manipuler des donnes financires en vue d'un profit personnel ou de dissimuler des pertes.
C'est pourquoi, au sein d'une banque, certaines tches devraient tre rparties entre plusieurs
individus, afin de rduire le risque de manipulation de donnes financires ou de
dtournement d'actifs.
28.
La sparation des tches ne concerne pas seulement des situations o la mme
personne contrle la fois la salle des marchs et le postmarch. En l'absence de contrles
appropris, de srieux problmes peuvent galement se poser lorsqu'un individu est charg:

de l'approbation du dcaissement de fonds et de leur dcaissement effectif;

des comptes clientle et des comptes propres;

des transactions au titre du portefeuille bancaire et du portefeuille de


ngociation;

de la fourniture informelle d'informations des clients sur leurs positions et


de la relation commerciale avec ces mmes clients;
de l'valuation du caractre adquat des dossiers de crdit et de la
surveillance des emprunteurs aprs l'octroi des crdits;
de tout autre domaine o des conflits d'intrts notables apparaissent et ne
sont pas attnus par d'autres facteurs.

29.
Les domaines de conflits potentiels devraient tre identifis, circonscrits aussi
troitement que possible et surveills avec attention. Des examens priodiques des
responsabilits et fonctions des personnes dtenant les postes cls devraient tre galement
effectus pour s'assurer que ces responsables ne sont pas en mesure de dissimuler des
agissements inappropris.

D.

Information et communication

Principe 8: La direction gnrale devrait s'assurer de l'existence de donnes internes


adquates et exhaustives - d'ordre financier, oprationnel ou ayant trait au respect de la

- 18 conformit - ainsi que d'informations de march extrieures sur des vnements et


conditions intressant la prise de dcision. Ces donnes et informations devraient tre
fiables, rcentes, accessibles et prsentes sous une forme cohrente.
30.
Une information adquate et une communication efficace sont deux lments
essentiels au bon fonctionnement d'un systme de contrle interne. S'agissant des banques,
pour que l'information soit utile, elle doit tre pertinente, fiable, rcente, accessible et
prsente sous une forme cohrente. Il peut s'agir de donnes internes d'ordre financier,
oprationnel ou ayant trait au respect de la conformit ainsi que d'informations de march
extrieures sur des vnements et conditions intressant la prise de dcision. L'information
interne fait partie d'un processus d'enregistrement qui devrait comporter des procdures
dfinies pour la conservation des supports d'enregistrement.
Principe 9: La direction gnrale devrait instituer des voies de communication efficaces
pour garantir que l'ensemble du personnel est parfaitement inform des politiques et
procdures affectant ses tches et responsabilits et que les autres informations
importantes parviennent leurs destinataires.
31.
En l'absence d'une communication efficace, l'information est inutile. La direction
gnrale d'une banque doit instaurer des voies effectives de communication, afin que les
informations ncessaires parviennent leurs destinataires. Ces informations portent la fois
sur les politiques et procdures oprationnelles de l'tablissement ainsi que sur les rsultats
d'exploitation rels.
32.
La structure organisationnelle de la banque devrait faciliter la libre circulation
horizontale et verticale de l'information dans toute l'organisation. Une telle structure garantit
que les informations remontent et permet au conseil d'administration et la direction gnrale
de connatre les risques encourus dans le cadre de l'activit et les rsultats d'exploitation.
L'information qui redescend travers l'organisation garantit que les objectifs, les stratgies, et
aussi les attentes, de la banque ainsi que les politiques et procdures tablies sont
communiqus au niveau de direction infrieur et au personnel charg des oprations. Cette
communication est essentielle pour obtenir un effort commun de tous les employs vers les
objectifs de la banque. Enfin, la communication horizontale dans l'organisation est ncessaire
pour que l'information parvenant une unit ou un dpartement puisse tre connue des autres
units ou dpartements concerns.
Principe 10: La direction gnrale doit s'assurer de l'existence de systmes
d'information appropris couvrant toutes les activits de la banque. Ces systmes,
notamment ceux qui contiennent et utilisent des donnes informatises, doivent tre srs
et faire l'objet de tests priodiques.

- 19 33.
Un lment essentiel des oprations d'une banque rside dans la mise en place et
la maintenance de systmes d'information de la direction couvrant toute la gamme des
activits. Cette information est habituellement fournie sous forme la fois lectronique et non
lectronique. Les banques doivent tre tout particulirement informes des exigences
organisationnelles et de contrle interne lies au traitement lectronique de l'information.
34.
Les systmes lectroniques et l'utilisation de l'informatique prsentent des risques
qui doivent tre efficacement contrls par les banques, afin d'viter des dysfonctionnements
et des pertes potentielles. Les contrles sur les systmes et la technologie informatiques
devraient tre la fois gnraux et spcifiques aux applications. Les contrles gnraux
portent sur le systme informatique (c'est--dire ordinateur central et terminaux d'utilisateur)
et en assurent un fonctionnement correct en continu. Ils incluent notamment des procdures de
sauvegarde et de reprise, des politiques de dveloppement et d'acquisition de logiciels, des
procdures de maintenance et des contrles de scurit d'accs. Les contrles lis aux
applications sont des tapes informatises au sein des applications logicielles et d'autres
procdures manuelles qui examinent le traitement des oprations. Ils comprennent, entre
autres, les questions de rconciliations et de concordances. En l'absence de contrles adquats
sur les systmes et la technologie informatiques, y compris ceux qui sont en cours de
dveloppement, les banques pourraient subir des pertes de donnes et de programmes
rsultant de dispositions inappropries en matire de scurit physique et lectronique, de
dfaillances des quipements ou systmes et de procdures inadaptes de sauvegarde et de
reprise. Au niveau de la direction, la prise de dcision pourrait tre fausse par des
informations non fiables ou errones fournies par des systmes mal conus et insuffisamment
contrls. Le traitement de l'information pourrait tre entrav, voire totalement stopp, s'il
n'est pas possible, en cas de dfaillance prolonge de l'quipement, de recourir des
installations de secours compatibles. Dans des situations extrmes, de tels problmes
pourraient causer de srieuses difficults aux banques et mme compromettre leur capacit
d'effectuer leurs activits essentielles.

E.

Activits de surveillance

Principe 11: La direction gnrale devrait surveiller en permanence l'efficacit globale


des contrles internes de la banque pour favoriser la ralisation des objectifs fixs. La
surveillance des principaux risques devrait faire partie des oprations quotidiennes de la
banque et comporter, au besoin, des valuations spcifiques.
35.
L'activit bancaire est un secteur dynamique, o tout volue rapidement. Les
banques doivent en permanence surveiller et valuer leurs systmes de contrle interne en

- 20 fonction des modifications des conditions internes et externes et les renforcer, au besoin, pour
en garantir l'efficacit.
36.
Surveiller l'efficacit des contrles internes devrait faire partie des oprations
quotidiennes de la banque mais commande galement de procder des valuations
priodiques spcifiques de l'ensemble du processus de contrle interne. La frquence de la
surveillance des diffrentes activits devrait tre fonction des risques encourus ainsi que du
rythme et de la nature des changements affectant l'environnement oprationnel. Un processus
de surveillance en continu peut permettre de dcouvrir et de corriger rapidement les
dficiences du systme de contrle interne; il atteint son efficacit maximale lorsque le
systme de contrle interne est intgr l'environnement oprationnel et donne lieu des
rapports rguliers qui font l'objet d'un examen. Dans le cadre de la surveillance en continu
figurent, par exemple, l'examen et l'approbation des enregistrements courants ainsi que la
consultation et l'approbation par la direction des rapports sur des faits exceptionnels.
37.
En revanche, les valuations spcifiques ne dtectent gnralement les problmes
qu'aprs coup; elles permettent cependant une organisation d'avoir un aperu rcent et global
de l'efficacit du systme de contrle interne et de celle, en particulier, de ses activits de
surveillance. Ces valuations du systme de contrle interne prennent souvent la forme
d'autovaluations, lorsque les personnes charges d'une fonction prcise dterminent le degr
d'efficacit des contrles pour leurs activits. Les documents et rsultats concernant les
valuations sont ensuite soumis l'attention de la direction gnrale. Les examens effectus
tous les niveaux devraient tre tays par une documentation adquate et communiqus dans
les meilleurs dlais l'chelon de direction appropri.
Principe 12: Un audit interne efficace et exhaustif du systme de contrle interne devrait
tre effectu par un personnel bien form et comptent. La fonction d'audit interne, en
tant qu'lment de la surveillance du systme de contrle interne, devrait rendre compte
directement au conseil d'administration, ou son comit d'audit, ainsi qu' la direction
gnrale.
38.
La fonction d'audit interne constitue un lment majeur de la surveillance en
continu du systme de contrle interne, parce qu'elle fournit une valuation indpendante du
caractre adquat des contrles instaurs et du respect de la conformit ces derniers. En
rendant compte directement au conseil d'administration ou son comit d'audit ainsi qu' la
direction gnrale, les auditeurs internes procurent des informations objectives sur les
diffrentes activits. En raison de l'importance de cette fonction, l'audit interne doit tre assur
par un personnel comptent et bien form ayant une parfaite comprhension de son rle et de
ses responsabilits. La frquence et l'ampleur des examens et tests des contrles internes
effectus au sein d'une banque par les auditeurs internes devraient correspondre la nature et
la complexit des activits de l'organisation et aux risques associs. Dans tous les cas, il est

- 21 capital que la fonction d'audit interne soit indpendante du fonctionnement de la banque au


quotidien et qu'elle ait accs toutes les activits conduites par l'organisation bancaire.
39.
Il est important que la fonction d'audit interne rende compte directement au plus
haut niveau de l'organisation bancaire, habituellement le conseil d'administration ou son
comit d'audit, et la direction gnrale. Cela permet la gouvernance d'entreprise de
s'exercer correctement, le conseil bnficiant d'informations qui ne sont altres en aucune
faon par les niveaux de direction couverts par ces comptes rendus. Le conseil devrait
galement renforcer l'indpendance des auditeurs internes, en faisant en sorte que des
questions ayant trait, par exemple, leur rmunration ou aux affectations budgtaires les
concernant soient traites par le conseil ou par les niveaux de direction suprieurs plutt que
par des responsables qui sont affects par les travaux des auditeurs internes.
Principe 13: Les carences dtectes dans les contrles internes devraient tre notifies
dans les meilleurs dlais au niveau de direction appropri et faire l'objet d'un traitement
rapide. Les dficiences importantes devraient tre signales la direction gnrale et au
conseil d'administration.
40.
Les dficiences des contrles internes, ou les politiques ou procdures inefficaces,
devraient tre signales ds leur dtection la ou aux personnes appropries, les problmes
graves tant ports l'attention de la direction gnrale et du conseil d'administration. Lorsque
ces insuffisances ont t notifies, il est important que la direction y remdie dans les
meilleurs dlais. Les auditeurs internes devraient en effectuer le suivi et informer
immdiatement la direction gnrale ou le conseil de toute insuffisance non corrige. Pour
faire en sorte que toutes les dficiences soient traites au plus tt, la direction devrait prvoir
un systme pour suivre les faiblesses du contrle interne ainsi que les actions destines y
remdier.

- 22 IV. valuation des systmes de contrle interne par les autorits prudentielles
Principe 14: Les autorits prudentielles devraient exiger que toutes les banques, quelle
que soit leur dimension, disposent d'un systme efficace de contrle interne qui
corresponde la nature, la complexit et au degr de risque de leurs activits de bilan
et de hors-bilan et ragisse aux modifications de l'environnement et des conditions
d'activit de la banque. Dans les cas o les autorits prudentielles constatent que le
systme de contrle interne n'est pas adquat (s'il ne prend pas en compte, par exemple,
tous les principes contenus dans ce document), elles devraient intervenir auprs de la
banque pour s'assurer que des amliorations sont apportes immdiatement.
41.
Bien que le conseil d'administration et la direction gnrale soient responsables en
dernier ressort de l'efficacit du systme de contrle interne, les autorits prudentielles
devraient valuer, dans le cadre de leurs activits de contrle permanent, les systmes dont
sont dotes les diverses banques. Elles devraient galement s'assurer que la direction de
chaque tablissement accorde sans tarder l'attention requise tout problme dtect par le
processus de contrle interne.
42.
Les autorits prudentielles devraient exiger des banques soumises leur contrle
qu'elles aient une culture de contrle forte et opter, dans l'exercice de leur surveillance, pour
une approche centre sur le risque, incluant d'examiner l'adquation des contrles internes. Il
importe que les autorits prudentielles valuent non seulement l'efficacit du systme global
de contrle interne, mais aussi les contrles sur les secteurs haut risque (ceux, par exemple,
qui prsentent des caractristiques telles qu'une rentabilit inhabituelle, une croissance rapide
ou une activit nouvelle). Elles devraient donner une place particulire aux documents
prcisant les politiques et procdures en tant que mcanisme cl de communication.
43.
Dans l'valuation des systmes de contrle interne des banques, les autorits
prudentielles peuvent choisir d'accorder une attention spciale directe des activits ou
situations traditionnellement associes des dfaillances de contrle interne ayant entran
des pertes substantielles. Certaines modifications de l'environnement de la banque devraient
faire l'objet d'une considration particulire pour dterminer si des rvisions parallles sont
ncessaires dans le systme de contrle interne. Ces modifications englobent notamment:
1) un environnement oprationnel modifi; 2) un personnel nouveau; 3) des systmes
d'information nouveaux ou transforms; 4) des domaines ou activits enregistrant une
croissance rapide; 5) une technologie nouvelle; 6) des secteurs, produits ou activits nouveaux
(ceux surtout de nature complexe); 7) des restructurations, fusions et acquisitions
d'entreprises; 8) une expansion ou acquisition d'oprations l'tranger (y compris l'incidence
des modifications de l'environnement conomique et rglementaire correspondant).
44.
Pour valuer la qualit des contrles internes, les autorits prudentielles ont le
choix entre diverses approches. Elles peuvent examiner le travail du dpartement d'audit

- 23 interne de la banque partir de ses documents de travail, y compris sa mthode d'valuation


du risque. Si elles sont satisfaites des prestations de l'audit interne, elles peuvent utiliser les
rapports des auditeurs internes comme premier lment d'identification des problmes de
contrle dans la banque ou pour dtecter des domaines de risque potentiel qui n'ont pas t
passs en revue rcemment par les auditeurs. Les autorits prudentielles peuvent opter pour un
processus d'autovaluation, par lequel la direction examine les contrles internes secteur par
secteur et certifie l'autorit prudentielle que les contrles sont adquats pour les activits de
la banque. D'autres peuvent exiger des audits externes priodiques des domaines cls, dont
elles dterminent elles-mmes l'ampleur. Enfin, les autorits prudentielles peuvent associer
une ou plusieurs de ces mthodes leurs propres examens sur place des contrles internes.
45.
Dans de nombreux pays, les autorits prudentielles effectuent des examens sur
place qui comportent une rvision des contrles internes. Un tel examen pourrait inclure la
fois une analyse de tout le processus d'activit et un contrle appropri des transactions sous
forme de sondages, afin d'avoir une vrification indpendante des processus de contrle
interne de la banque.
46.
Un contrle appropri des transactions devrait tre effectu sous forme de
sondages pour vrifier:

l'adquation des politiques, procdures et limites internes et leur respect;

l'exactitude et l'exhaustivit des rapports la direction et documents financiers;

la fiabilit (c'est--dire un fonctionnement conforme aux attentes de la direction)


des contrles spcifiques considrs comme essentiels pour l'lment de contrle
interne faisant l'objet de l'valuation.
47.
Pour apprcier l'efficacit des cinq lments de contrle interne d'une organisation
bancaire (ou de l'une de ses units ou activits), les autorits prudentielles devraient:

dterminer les objectifs de contrle interne adapts l'organisation, l'unit ou


l'activit examine (par exemple, prts, placements, comptabilit);

valuer l'efficacit des lments de contrle interne, non pas par un simple
examen des politiques et procdures, mais en consultant galement l'ensemble des
documents, en discutant des oprations avec divers niveaux du personnel de la
banque, en observant l'environnement oprationnel et en contrlant par sondages
les transactions;

faire part, dans les meilleurs dlais, au conseil d'administration et la direction de


leurs proccupations prudentielles au sujet des contrles internes et des
recommandations visant les amliorer;

s'assurer, pour les carences dtectes, qu'une action corrective est mise en uvre
sans tarder.
48.
Les autorits de contrle bancaire qui ne procdent pas des examens de routine
sur place recourent gnralement aux travaux des auditeurs externes. Ceux-ci devraient alors

- 24 effectuer l'examen du processus d'activit et le contrle par sondages des transactions prciss
prcdemment.
49.
Dans tous les cas, les autorits de contrle bancaire devraient examiner les
observations et recommandations des auditeurs externes concernant l'efficacit des contrles
internes et s'assurer que la direction et le conseil d'administration de la banque ont donn suite
aux proccupations et recommandations exprimes par les auditeurs externes. Le niveau et la
nature des problmes de contrle rencontrs par les auditeurs devraient tre pris en compte
dans l'valuation, par les autorits prudentielles, de l'efficacit des contrles internes de la
banque.
50.
Les autorits prudentielles devraient galement encourager les auditeurs externes
de la banque planifier et conduire leurs audits de manire bien prendre en considration
l'ventualit d'indications errones rsultant de manipulations frauduleuses des tats
financiers. Tout cas de fraude dtect par les auditeurs externes, quelle qu'en soit la gravit,
devrait tre signal au niveau de direction appropri. Une fraude impliquant la direction
gnrale et une fraude ayant de graves consquences pour l'tablissement devraient tre
notifies au conseil d'administration et/ou son comit d'audit. Dans certaines circonstances
(en fonction des exigences nationales), les auditeurs externes peuvent avoir signaler les
fraudes des autorits prudentielles ou d'autres instances extrieures la banque.
51.
En examinant l'adquation du processus de contrle interne dans chaque
organisation bancaire, les autorits prudentielles devraient galement s'assurer de l'efficacit
du processus au niveau des divers secteurs d'activit et filiales. Il est important qu'elles
valuent le processus de contrle interne non seulement pour chaque tablissement ou entit
juridique, mais aussi pour tout l'ventail des activits et filiales au sein de l'organisation
bancaire consolide.

- 25 V.

Rles et responsabilits des auditeurs externes

52.
Bien que, par dfinition, les auditeurs externes ne fassent pas partie d'une
organisation bancaire et ne soient donc pas un lment de son systme de contrle interne, ils
ont une incidence importante sur la qualit des contrles internes travers leurs activits
d'audit, et notamment leurs discussions avec la direction et leurs recommandations pour
amliorer les contrles internes. Les auditeurs externes fournissent en retour des informations
utiles sur l'efficacit du systme de contrle interne.
53.
Si l'objet principal de la fonction d'audit externe est de donner un avis sur les
comptes annuels d'une banque, ou de les certifier, l'auditeur externe doit choisir de s'en
remettre ou non l'efficacit du systme de contrle interne de l'tablissement. Pour cette
raison, il doit valuer ce systme, afin de voir dans quelle mesure il peut s'y fier pour
dterminer la nature, la frquence et la porte de ses propres procdures d'audit.
54.
Le rle exact des auditeurs externes et les processus qu'ils utilisent varient d'un
pays l'autre. Dans de nombreux pays, les normes d'audit professionnelles requirent que les
audits soient planifis et excuts de manire obtenir l'assurance raisonnable que les tats
financiers ne comportent aucune erreur srieuse. Les auditeurs vrifient galement par
sondage les transactions et critures servant de base l'tablissement des tats financiers et de
la communication financire. Ils valuent les principes comptables utiliss ainsi que les
estimations significatives effectues par la direction et jugent la prsentation globale des tats
financiers. Dans certains pays, ils sont tenus par les autorits prudentielles de fournir une
valuation spcifique de la porte, de l'adquation et de l'efficacit du systme de contrle
interne des banques, y compris de leur fonction d'audit interne.
55.
Un trait commun tous les pays, cependant, est que l'on attend des auditeurs
externes qu'ils aient une ide claire du processus de contrle interne d'une banque. L'ampleur
de l'attention accorde au systme de contrle interne varie selon l'auditeur et l'tablissement;
toutefois, on escompte gnralement que les auditeurs externes dtectent les carences notables
existantes et signalent la direction ainsi que, dans de nombreux pays, l'autorit de contrle
celles qui sont srieuses soit oralement, soit par courrier confidentiel. En outre, les auditeurs
externes peuvent tre soumis des exigences prudentielles particulires prcisant la manire
d'valuer les contrles internes et d'en rendre compte.

- 26 Annexe

Enseignements prudentiels fournis


par les cas de dfaillances des contrles internes

A.

Surveillance par la direction et culture de contrle

1.
De nombreux cas de dfaillances des contrles internes ayant entran des pertes
bancaires substantielles auraient pu tre nettement moins graves, ou mme vits, si le conseil
d'administration et la direction gnrale des tablissements avaient instaur une culture de
contrle forte. Les cultures de contrle insuffisantes prsentaient souvent deux lments
communs. Tout d'abord, la direction gnrale n'tait pas parvenue souligner l'importance
d'un systme de contrle interne solide travers les termes utiliss et les actions entreprises et,
surtout, par le biais des critres dterminant les rmunrations et promotions. Deuximement,
la direction gnrale n'avait pas russi mettre en place une structure organisationnelle et des
responsabilits de direction bien dfinies. Elle n'avait pas pu, par exemple, exiger un contrle
adquat des principaux preneurs de dcisions ni la notification, dans les meilleurs dlais, de la
nature et du droulement des activits.
2.
La direction gnrale peut affaiblir la culture de contrle en promouvant et
rcompensant des responsables efficaces pour produire des bnfices mais qui ngligent
d'appliquer les politiques de contrle interne ou de traiter les problmes dcels par l'audit
interne. L'impression qui prvaut alors dans l'organisation est que les contrles internes sont
considrs comme secondaires par rapport aux autres objectifs, ce qui affecte l'engagement
l'gard de la culture de contrle ainsi que sa qualit.
3.
Certaines banques ayant connu des problmes de contrle taient dotes de
structures organisationnelles dans lesquelles les responsabilits n'taient pas clairement
dfinies, de sorte qu'une unit n'avait pas rendre directement des comptes un membre de la
direction gnrale. Autrement dit, aucun membre de la direction ne surveillait les rsultats de
cette unit de manire suffisamment rigoureuse pour observer des activits inhabituelles,
financires ou autres, et personne, au sein de la direction gnrale, n'avait une vision globale
des oprations ni de la faon dont les bnfices taient raliss. Si la direction avait compris
les oprations de l'unit, elle aurait t en mesure de dceler des signes avant-coureurs (tels
qu'un pourcentage inhabituel de profit par rapport aux niveaux de risques), d'analyser les
transactions et de prendre des mesures pour rduire les pertes ventuelles. Ces problmes
auraient pu galement tre vits si le suprieur hirarchique avait examin les oprations
ainsi que les rapports la direction et s'tait enquis auprs du personnel comptent de la
nature des transactions effectues. De telles approches fournissent aux suprieurs

- 27 hirarchiques un aperu objectif de la manire dont les dcisions sont prises et garantissent
que le personnel cl opre en respectant les critres fixs par la banque et le cadre de contrle
interne.

B.

valuation des risques

4.
Dans un pass rcent, l'valuation inadquate des risques a t en partie l'origine
des problmes de contrle interne et des pertes qui en ont rsult dans certaines banques.
Parfois, les rendements potentiels levs lis divers prts, placements et instruments drivs
ont fait oublier la direction la ncessit d'valuer parfaitement les risques inhrents aux
transactions et de dgager des ressources suffisantes pour surveiller et examiner en
permanence les engagements. Des pertes ont galement eu lieu lorsque la direction n'est pas
parvenue adapter le processus d'valuation des risques aux modifications de l'environnement
oprationnel. Par exemple, quand des produits plus complexes ou sophistiqus apparaissent
dans un secteur d'activit, il peut arriver que les contrles internes ne soient pas renforcs pour
tenir compte de ces lments. Un second exemple concerne la mise en place d'une activit
nouvelle sans une valuation complte et objective des risques encourus. En l'absence de cette
rvaluation des risques, le systme de contrle interne peut ne pas traiter les risques de
manire adquate dans cette activit nouvelle.
5.
Comme examin prcdemment, les organisations bancaires ont fixer des
objectifs pour l'efficience et l'efficacit oprationnelles, la fiabilit de la communication
financire et le respect de la conformit aux lois et rglementations. L'valuation des risques
comporte l'identification et la dtermination des risques inhrents la ralisation de ces
objectifs. Ce processus aide s'assurer que les contrles internes de l'tablissement
correspondent la nature, la complexit et au degr de risque de ses activits de bilan et de
hors-bilan.

C.

Activits de contrle

6.
Dans les cas de pertes bancaires importantes dues un contrle interne insuffisant,
les autorits prudentielles constatent en gnral que les tablissements concerns ont nglig
certains principes essentiels du contrle interne. Il s'agit le plus souvent de la sparation des
tches, qui est l'un des piliers d'un systme de contrle interne sain. Frquemment, la direction
gnrale a confi une personne trs apprcie la responsabilit de la surveillance de deux ou
plusieurs secteurs prsentant des intrts conflictuels. Ainsi, dans de nombreux cas, la mme
personne supervisait la fois la salle des marchs et le postmarch d'une unit de ngociation;
elle pouvait alors contrler l'engagement de la transaction (par exemple, l'achat ou la vente de
titres ou de produits drivs) ainsi que la fonction d'enregistrement correspondante. Attribuer

- 28 de telles tches conflictuelles une mme personne lui donne la possibilit de manipuler des
donnes financires pour raliser un profit personnel ou de dissimuler des pertes.
7.
La sparation des tches ne concerne pas seulement des situations o la mme
personne contrle la fois la salle des marchs et le postmarch. De srieux problmes
peuvent galement apparatre lorsqu'un mme individu est charg:

de l'approbation du dcaissement de fonds et de leur dcaissement effectif;

des comptes clientle et des comptes propres;

des transactions au titre du portefeuille bancaire et du portefeuille de ngociation;

de la fourniture informelle d'informations des clients sur leurs positions et de la


relation commerciale avec ces mmes clients;

de l'valuation du caractre adquat des dossiers de crdit et de la surveillance des


emprunteurs aprs l'octroi des crdits;

de tout autre domaine o des conflits d'intrts notables apparaissent et ne sont pas
attnus par d'autres facteurs4.
8.
Les insuffisances des activits de contrle refltent toutefois l'chec des multiples
efforts destins voir si l'activit est conduite selon les attentes, depuis les examens effectus
au niveau suprieur jusqu'au bon fonctionnement de mcanismes rgulateurs spcifiques dans
un processus d'activit. Dans plusieurs cas, par exemple, la direction n'a pas ragi comme il le
fallait aux informations qu'elle recevait. Ces informations figuraient dans des rapports
priodiques sur les rsultats des oprations de toutes les units de l'organisation, qui
informaient la direction des progrs raliss par chacune vers les objectifs et lui permettaient
de poser des questions si les rsultats n'taient pas conformes aux attentes. Souvent, les units
qui ont enregistr par la suite des pertes notables avaient commenc par dgager des bnfices
nettement suprieurs ce qu'on attendait compte tenu du niveau de risque apparent qui
auraient d alerter la direction gnrale. Si des examens au niveau suprieur avaient eu lieu, la
direction gnrale aurait pu se pencher sur les rsultats anormaux et dceler puis traiter
certains des problmes, limitant ainsi ou empchant ces pertes. Cependant, comme les
diffrences par rapport aux attentes taient positives (sous forme de bnfices), aucune
question n'tait pose et les enqutes n'ont t entreprises que lorsque les problmes avaient
pris une ampleur incontrlable.

titre d'illustration d'un conflit d'intrt potentiel attnu par d'autres contrles, l'examen indpendant
d'un prt, dans le cadre des activits de surveillance du systme de classification des crdits d'une banque,
peut compenser le conflit d'intrt potentiel qui se prsente lorsqu'une personne charge d'valuer le
caractre adquat d'un dossier de crdit surveille galement la cote de crdit de l'emprunteur aprs l'octroi
du crdit.

- 29 D.

Information et communication

9.
Certaines banques ont enregistr des pertes parce que l'information au sein de
l'organisation n'tait ni fiable ni complte et que la communication n'avait aucune efficacit.
L'information financire peut tre communique de faon errone sur le plan interne; des
sries de donnes incorrectes manant de sources extrieures peuvent tre utilises pour
valuer des positions financires; de mme, des activits modestes, mais haut risque,
peuvent ne pas figurer dans les rapports la direction. Parfois, les banques avaient nglig de
faire connatre de manire adquate les tches des employs et leurs responsabilits en matire
de contrle ou faisaient part des politiques de l'tablissement par des canaux, tels que la
messagerie lectronique, qui ne garantissaient pas que ces politiques taient lues et retenues.
Par consquent, sur des priodes de temps assez longues, d'importants aspects des politiques
de la direction n'taient pas appliqus. Dans d'autres cas, aucune voie de communication
adquate ne permettait aux employs de rendre compte de prsomptions d'irrgularits. Si de
telles voies avaient t tablies pour signaler les problmes travers la structure hirarchique,
la direction aurait t en mesure d'identifier et de corriger beaucoup plus tt les irrgularits.

E.

Activits de surveillance

10.
De nombreuses banques ayant enregistr des pertes dues des problmes de
contrle interne ne surveillaient pas de manire efficace leurs systmes de contrle interne.
Souvent, ces systmes ne comportaient pas les processus de surveillance en continu
indispensables et les valuations spcifiques taient inadquates ou traites de faon
inapproprie par la direction.
11.
Dans certains cas, l'absence de surveillance a commenc par l'incapacit de prter
attention ou de donner suite aux informations transmises jour aprs jour aux suprieurs
hirarchiques ainsi qu' d'autres membres du personnel qui indiquaient une activit
inhabituelle, telle que dpassements des plafonds d'engagement, utilisation de comptes
clientle pour des oprations propres ou absence d'tats financiers courants manant des
emprunteurs. Dans une banque, les pertes associes aux activits de ngociation taient
dissimules au sein d'un compte clientle fictif. Si l'organisation avait t dote d'une
procdure exigeant que des situations des comptes soient adresses la clientle chaque mois
et que les comptes clientle soient priodiquement confirms, les pertes dissimules auraient
vraisemblablement t dcouvertes bien longtemps avant d'tre suffisamment lourdes pour
entraner la faillite de l'tablissement.
12.
Dans plusieurs autres cas, l'unit ou l'activit qui tait l'origine de pertes
massives prsentait de nombreuses caractristiques indiquant un niveau de risque accru, tel
qu'une rentabilit inhabituelle pour le niveau de risque peru et une croissance rapide dans une
activit nouvelle gographiquement distante de la banque mre. Toutefois, en raison d'une

- 30 valuation de risque inadquate, les tablissements n'avaient pas dgag suffisamment de


ressources additionnelles pour contrler ou surveiller les activits haut risque. En fait, dans
quelques exemples, les activits haut risque taient moins suivies que d'autres qui
prsentaient des profils de risque nettement infrieurs plusieurs avertissements des auditeurs
internes et externes au sujet des activits de l'unit avaient d'ailleurs t ignors de la
direction.
13.
Si l'audit interne peut constituer une source efficace d'valuations spcifiques, son
efficacit tait nulle dans de nombreuses organisations bancaires en difficult. Trois facteurs
contribuaient ce dysfonctionnement: le fait de procder des audits fragments, le manque
de comprhension globale des processus d'activit et le suivi inadquat des problmes aprs
leur dtection. L'approche d'audits fragments venait essentiellement de ce que les
programmes d'audit interne taient structurs en sries d'audits partiels sur des activits
spcifiques au sein de la mme unit ou du mme dpartement, de secteurs gographiques ou
encore d'entits juridiques. Du fait de cette fragmentation, les processus d'activit n'taient pas
pleinement compris par le personnel de l'audit interne. Une conception d'audit qui aurait
permis aux auditeurs de suivre les processus et fonctions du dbut jusqu' la fin (c'est--dire
en prenant la mme transaction de son point de dpart jusqu' sa notification dans les comptes
rendus financiers) leur aurait permis de mieux comprendre la situation; en outre, elle aurait
fourni l'occasion de vrifier et de tester l'adquation des contrles chaque tape du
processus.
14.
Dans certains cas, les problmes d'audit interne ont galement rsult d'une
connaissance et d'une formation inadquates du personnel d'audit interne sur les produits et
marchs, les systmes d'information lectronique et d'autres domaines hautement
sophistiqus. Comme ce personnel ne possdait pas les comptences ncessaires, il hsitait
souvent poser des questions lorsqu'il entrevoyait des problmes et, quand les questions
taient poses, avait tendance accepter une rponse plutt qu' la remettre en cause.
15.
L'audit interne peut galement devenir inefficace lorsque la direction n'assure pas
un suivi appropri des problmes dcels par les auditeurs. Des dlais ont pu intervenir
cause d'un manque de reconnaissance par la direction du rle et de l'importance de l'audit
interne. En outre, l'efficacit de l'audit interne est compromise lorsque la direction gnrale et
les membres du conseil d'administration (ou, le cas chant, le comit d'audit) ne reoivent
pas en temps voulu et de manire rgulire des rapports de suivi signalant les problmes
critiques et les actions correctives prises ensuite par la direction. Un tel suivi priodique peut
aider la direction gnrale traiter les questions importantes dans les meilleurs dlais.