Vous êtes sur la page 1sur 15

Directives pour le contrôle interne Association suisse des banquiers (ASB) Juin 2002

objectifs et délimitation Surveillance par le management et culture du contrôle a) Responsabilités du conseil d’administration b) Responsabilités de la direction c) Philosophie du risque et culture du contrôle III.2 Table des matières Préambule I. V. Identification et évaluation des risques Activités de contrôle et séparation des fonctions Information et communication Détection continue des déficiences et mesures de correction 3 4 6 6 7 7 8 9 11 12 13 14 Entrée en vigueur Glossaire . IV. II. VI. Définition.

l’Association suisse des banquiers émet les présentes directives relatives au contrôle interne. organisation. Le contrôle du risque (Risk Control) et la compliance sont considérés comme faisant partie intégrante du contrôle interne. Ces directives se fondent sur le «Framework for Internal Control Systems in Banking Organisations» élaboré en septembre 1998 par le Comité de Bâle sur le contrôle bancaire. Consciente qu’un aménagement optimal du contrôle interne dépend de différents facteurs parfois étroitement liés à l’établissement considéré (taille. champ d’activité. dont l’objectif est de formuler des principes généraux applicables à tous les établissements bancaires afin de permettre à chacun d’entre eux d’aménager son propre système de contrôle interne. degré d’automatisation). Le contrôle interne s'entend au sens général et désigne ici l’ensemble des mesures internes visant à soutenir la réalisation des objectifs de l'entreprise. Un système de contrôle interne efficace est indispensable à une gestion conséquente des risques et contribue ainsi à la stabilité de l’ensemble du système financier. .3 Préambule Le système de contrôle interne constitue l’un des principaux éléments de la gestion bancaire moderne. structure du risque.

Définition. de protéger le patrimoine de l’entreprise.4 I. En revanche. Le contrôle interne s’inscrit dans un cadre continu: il doit faire apparaître les divergences existant par rapport aux objectifs fixés et indiquer le besoin d’intervention. ce qui suppose qu’il implique non seulement le conseil d’administration et la direction. limiter et éviter les éventuelles erreurs et autres irrégularités. qui opère au service du conseil d’administration et dont la fonction première consiste à superviser le contrôle interne. Les mesures d’organisation du contrôle interne sont intégrées aux processus de travail de l’établissement: soit elles accompagnent le travail. de veiller au respect des lois et réglementations. mais également l’ensemble des collaborateurs. objectifs et délimitation Le contrôle interne (système de contrôle interne) désigne l’ensemble des processus. mais également celles en rapport avec la gestion et la planification. de détecter. la révision interne (inspectorat) est un service indépendant des affaires courantes de l’entreprise . méthodes et mesures arrêtés par le conseil d'administration. Ses activités de surveillance et de conseil indépendantes et objectives contribuent à la création de valeur et à la réalisation des objectifs de l’établissement en fournissant une procédure systématique et rigoureuse permettant d’évaluer et d’améliorer l'efficacité du contrôle interne et de la gestion d'entreprise. la direction et les autres instances responsables de la conduite de l’entreprise en vue de garantir le déroulement réglementaire des activités de l’établissement. de garantir la fiabilité et le caractère exhaustif de la comptabilité ainsi que la publication de rapports financiers fiables et ponctuels. . soit elles précèdent ou suivent son accomplissement. Le contrôle interne permet notamment: • • • • • • de réaliser les objectifs stratégiques de l’établissement. Le contrôle interne ne comprend donc pas uniquement les activités de contrôle en elles-mêmes. de diriger efficacement l’entreprise .

. identification continue des déficiences et mesures de correction. information et communication. activités de contrôle et séparation des fonctions. identification et évaluation des risques. Ces différents éléments sont liés et interdépendants.5 Le processus de contrôle interne se compose de cinq éléments: • • • • • surveillance par le management et culture de contrôle.

6 II. de réviseurs internes et externes et d’autorités de surveillance. Le conseil d’administration ne peut toutefois se dégager de l’ensemble de ses responsabilités en la matière. ainsi que • de veiller à ce que la direction contrôle l’efficacité des systèmes de contrôle interne. procéder en temps utile à des évaluations des systèmes de contrôle par l’intermédiaire du management. évaluation. surveillance et contrôle des risques encourus par la banque). Il est notamment chargé: • d’approuver les décisions stratégiques et de les examiner périodiquement. Le conseil d’administration doit avant tout garantir la mise en place de mesures de correction adéquates en cas de déficiences avérées du contrôle interne. superviser l’instauration et l’exécution des mesures de correction nécessaires et examiner régulièrement la stratégie et les limites de risque. . le conseil d’administration doit débattre régulièrement de l’efficacité des mesures de contrôle interne avec la direction. en tirer les conséquences qui s’imposent. • de garantir la mise en place des mesures devant être prises par la direction dans le cadre du contrôle interne (identification. • d’établir des plafonds adéquats afin que les types de risques encourus soient définis et sélectionnés de manière conséquente. Surveillance par le management et culture du contrôle a) Responsabilités du conseil d’administration Le conseil d’administration doit veiller à la mise en place et au maintien d'un contrôle interne conséquent. Pour assumer ces responsabilités. Le conseil d’administration peut avoir recours à un comité d’audit afin que celui-ci l'aide à assumer ses fonctions dans le domaine du contrôle interne.

Le conseil d’administration et la direction répondent de la formation du personnel.7 b) Responsabilités de la direction La direction est responsable de la mise en œuvre des stratégies et principes élaborés par le conseil d’administration. . ainsi que • de veiller à l’utilisation optimale des ressources dans le domaine du contrôle interne. • de maintenir et de justifier d’une structure d’organisation définissant clairement les responsabilités. La pression exercée le cas échéant par le management sur les collaborateurs afin de les inciter à fournir de meilleures performances ne doit entraîner aucune négligence des mécanismes de contrôle. Elle est notamment chargée: • de développer des processus adaptés permettant d’identifier. • de garantir l’exécution des tâches déléguées. les compétences et le flux d’information. qui doit refléter un degré d’intégrité particulièrement élevé. de surveiller et de contrôler les risques encourus par la banque. Les collaborateurs de tous les niveaux hiérarchiques doivent connaître et comprendre leurs responsabilités et leurs tâches dans le processus de contrôle interne. d’évaluer. Le conseil d’administration et la direction doivent justifier et communiquer par écrit leur philosophie du risque et leur culture du contrôle. Les structures d’indemnisation et d’encouragement du personnel ne doivent comporter aucune incitation à la négligence des mécanismes de contrôle interne. c) Philosophie du risque et culture du contrôle L’attitude du conseil d’administration et de la direction influence considérablement la culture d’entreprise. notamment en matière de risque et de contrôle. en particulier de l’élaboration et de la mise en œuvre d’un concept de formation. La direction doit garantir à la fois la quantité et la qualité dans l’exécution des tâches précédemment citées et répond en particulier de l’expérience et de la qualification des collaborateurs en cause.

de taux d’intérêt et de liquidité ainsi qu’aux risques opérationnels. Cette évaluation doit permettre d’identifier les facteurs intervenant dans les décisions. de transfert. La gestion du risque doit être effectuée au moyen de méthodes adéquates qui tiennent compte des particularités de l’établissement. Identification et évaluation des risques Un système de contrôle interne garantit que tous les risques susceptibles d’influencer de manière substantielle la réalisation des objectifs de l’entreprise puissent être détectés et évalués en temps utile au cours d’un processus continu. Les facteurs d’influence internes (p. La gestion du risque doit être effectuée aux niveaux d’organisation adéquats. de pays. Il est notamment nécessaire de veiller à ce que l’ensemble des informations relatives à la gestion du risque soient disponibles à un degré d’agrégation et de détail adapté à chaque niveau hiérarchique. de déduire les évolutions possibles et d’élaborer des solutions alternatives sur cette base. .ex. conditions économiques ou évolution technologique) doivent être pris en compte. d’en tirer des conséquences. Le système de contrôle interne doit également offrir la flexibilité nécessaire pour réagir rapidement et de manière adaptée à de nouveaux types de risques où à des risques jusque-là incontrôlés.8 III. complexité de la structure d’organisation ou des activités) et externes ( p. de marché. juridiques et à ceux engageant la réputation de l’établissement.ex. Cette évaluation doit s’attacher tout particulièrement aux risques de crédit.

Elle est surtout effectuée lorsque les résultats ne sont pas observables. • Les contrôles des résultats permettent d’examiner le degré de réalisation des objectifs en comparant les objectifs fixés aux résultats effectivement obtenus. par exemple). Il faut avoir recours méthodiquement aux types de contrôle suivants: • Surveillance par les hautes instances de l’entreprise: le conseil d’administration et la direction doivent recevoir régulièrement des rapports de performance et les examiner de manière critique (p. hebdomadaire ou mensuelle) des rapports de performance correspondant à leur échelon et les examiner de manière critique. • Surveillance et coordination de transactions ainsi que de modèles de gestion du risque. • Les contrôles des processus ont pour but de détecter les divergences existant par rapport aux objectifs fixés alors qu’il est encore temps d’entreprendre des mesures de correction (ex ante). Activités de contrôle et séparation des fonctions Les activités de contrôle font partie intégrante des processus de travail. • L’observation des comportements consiste à examiner le comportement des individus et des unités d’organisation. • Activités de contrôle: tous les niveaux hiérarchiques concernés doivent recevoir régulièrement (sur une base quotidienne. Contrôle du respect des limites fixées: le contrôle d'exposition aux risques en fonction des limites fixées constitue un aspect important du contrôle du risque. inventaires périodiques. • • Compétences (financières) et autorisations: contrôle sporadique et régulier du respect des compétences et autorisations pour certaines transactions. Il faut distinguer les contrôles axés sur les processus.9 IV. • Contrôles physiques: principe du double contrôle. les contrôles axés sur les résultats et l’observation des comporteme nts. . Les limites applicables à certains débiteurs et contreparties peuvent notamment réduire le risque de crédit et contribuer ainsi à la diversification du profil de risque. Ils sont mis en place lorsqu’il n’est pas nécessaire et/ou possible d’entreprendre des mesures de correction immédiates (ex post). évolution des résultats financiers par rapport au budget et aux objectifs.ex. limitation de l’accès technique aux liquidités et aux objets de valeur.

il faudra veiller à confier aux différentes instances hiérarchiques des responsabilités de direction accrues. Le respect des dispositions du contrôle interne doit notamment être contrôlé par des unités d’organisation n’intervenant ni dans le négoce ni dans l’octroi de crédits (séparation du back-office et du front office). Dans le cas où cette séparation des fonctions ne pourrait être mise en place en raison de la taille de l'établissement. . Les mesures d’organisation doivent donc garantir une séparation adéquate des fonctions ainsi que l’indépendance du reporting.10 L’efficacité du système de contrôle interne exige de séparer distinctement les différentes fonctions et de minimiser l’existence de conflits de responsabilité.

L'efficacité du système de contrôle interne exige en particulier des systèmes d'information adéquats. Information et communication Un système de contrôle interne efficace suppose que les informations internes et externes nécessaires à la prise de décisions soient disponibles. . fiables. MIS). garantissant que toutes les informations importantes relatives aux domaines d’activités de l’établissement soient collectées. L’élaboration de structures d’organisation appropriées doit également permettre au flux d’information nécessaire à la coordination et à la faculté de réaction de circuler de manière «top down». Une importance particulière devra également être accordée à la communication des objectifs. résultats et mesures de contrôle interne à tous les échelons de l’établissement. Ces informations doivent être actualisées. Les collaborateurs doivent tous connaître les principes et processus de contrôle interne impliquant leur propre responsabilité. «bottom up» et horizontale. traitées et communiquées (Management Information Systems. cohérentes et accessibles.11 V.

IV. fusions. fluctuations du personnel. être documentés de manière appropriée. nouveaux systèmes d'information. modifications de l'activité internationale.12 VI. Le conseil d'administration et la direction devront également être informés pour les cas graves. Les services et échelons hiérarchiques concernés devront être informés des problèmes correspondants en temps utile. L’introduction de mesures de correction adéquates doit être garantie en cas d’écarts et de déficiences avérés. Les contrôles et les résultats établis (v. L’identification et la surveillance des principaux risques doivent être assurées tout au long des affaires courantes et faire l’objet d’évaluations périodiques par le management et la révision interne (inspectorat). restructurations. Pour ce faire. la direction doit définir les responsabilités en conséquence. si possible. Détection continue des déficiences et mesures de correction L’efficacité du contrôle interne doit être contrôlée en permanence. Les changements suivants doivent notamment faire l’objet de mesures de contrôle: lancement de nouveaux produits. modifications du cadre légal et réglementaire.) doivent. L'évolution des conditions internes et externes doit être prise en compte. . croissance rapide de certains champs d'activité précis.

Elles entrent en vigueur à compter du 1er janvier 2003 et remplacent les "Directives de 1987 sur le contrôle interne dans les banques: une tâche de la direction". .13 Entrée en vigueur Les présentes directives ont été adoptées par le Conseil d'administration de l'Association suisse des banquiers (ASB) en date du 22 avril 2002 et approuvées par la Commission fédérale des banques (CFB) le 22 mai 2002.

Le contrôle interne ne comprend donc pas uniquement les activités de contrôle en elles-mêmes.14 Glossaire Le glossaire suivant définit les principaux termes abordés dans les présentes directives. Contrôle interne (Internal Control): Le contrôle interne (système de contrôle interne) désigne l’ensemble des processus. Il ne décharge pas le conseil d’administration de sa responsabilité en matière de surveillance et de contrôle. etc. de les éviter dans la mesure du possible et de garantir une activité irréprochable de l’établissement. réglementaires et internes. statuts. . Contrôle des résultats: Forme de contrôle examinant la réalisation des objectifs en comparant les objectifs fixés et les résultats effectivement obtenus et qui est mis en œuvre lorsqu’il n’est pas nécessaire et/ou possible d’entreprendre des mesures de correction (ex post). qui se charge essentiellement de la méthode et de la qualité des révisions externes. mais avant tout celles en rapport avec la gestion et la planification. Le comité d’audit du conseil d’administration est l’interlocuteur privilégié de la société de révision. la direction ou les autres instances responsables de la conduite de l’entreprise en vue de garantir le déroulement réglementaire des activités de l’établissement. L’une des fonctions fondamentales de la direction consiste à garantir le respect de l’ensemble des lois. de la qualité des rapports annuels ainsi que de la collaboration et de l’indépendance de la révision interne et externe. directives. règlements. mais assiste celui-ci dans l’accomplissement de sa tâche. Ces définitions ont été élaborées afin d’être aussi pertinentes que possible dans ce contexte précis et ne prétendent donc pas avoir de portée générale. Contrôle des processus: Forme de contrôle identifiant les divergences entre la situation et les objectifs fixés alors qu’il est encore temps d’entreprendre des mesures de correction (ex ante). Comité d’audit (Commission d’examen): Le comité d’audit est un comité de l'organe responsable de la conduite de l’entreprise . Compliance: Conformité des activités de l’entreprise avec les dispositions légales. de la surveillance et du contrôle (comité spécialisé indépendant du c onseil d'administration). méthodes et mesures décidés par le conseil d’administration. La fonction de compliance assiste la direction dans l'accomplissement de cette tâche et veille au respect des dispositions applicables afin d’identifier de manière précoce les risques relatifs à la réglementation et pouvant nuire à la réputation de l'établissement.

l’évaluation. ___________________________________ . de la propension au risque (Risk Appetite) ainsi que des limites de risque. la mesure. qui doivent être fixées par les services compétents.15 Révision interne (inspectorat. des contrôles des résultats et de l’observation des comportement. Activités de contrôle: Mesures de surveillance mises en place dans le cadre du contrôle interne et se composant notamment des contrôles des processus. contribuant à la création de valeur et à la réalisation des objectifs en fournissant une procédure systématique et rigoureuse permettant d’évaluer et d’augmenter l'efficacité du contrôle interne et de la gestion d'entreprise. Philosophie de risque: Ensemble des stratégies et valeurs découlant de la façon dont une banque traite certains types de risques. La gestion du risque comprend l’identification. Le contrôle du risque doit veiller à ce que le cadre fixé soit respecté. Surveillance des comportements: Forme de contrôle du comportement d’individus et d’unités d’organisation en lieu et place des résultats. audit interne): La révision interne est une activité de surveillance et de conseil indépendante et objective. Gestion du risque (Risk Management): Gestion et restriction complètes et systématiques des risques sur la base de connaissances économiques et statistiques. la gestion et l’établissement de rapports sur des positions-risques simples ou agrégées. Le contrôle du risque constitue la base de la politique de risque de l’entreprise (Risk Policy). Contrôle du risque (Risk Control): Surveillance indépendante du profil de risque d’un établissement.