Vous êtes sur la page 1sur 264

1

AUDIT INTERNE EN BANQUE


Denis Caprasse
Karin Maquet
6 décembre 2000
2
Table des matières
Evolution de la fonction d‟audit interne
L ‟environnement de l‟auditeur interne en banque
Contrôle interne : cadre de référence COSO
La notion de risque
Relations entre COSO et l‟approche d‟audit
Organisation d‟une banque
La stratégie d‟audit et sa réalisation
COBIT - un cadre de référence intégré pour évaluer les systèmes
d‟information
Le comité d‟audit
Avis et recommandations de la Commission bancaire et financière
La Collaboration entre les reviseurs, les auditeurs internes et la CBF
COSO et la mise en place de structures intégrées de « risk management »
3
Evolution de la fonction
d‟audit interne
4
Audit interne : évolution historique
AVANT-HIER UN MAL NECESSAIRE

HIER DESIR DE CHANGEMENT

AUJOURD’HUI AUDIT PARTICIPATIF

LES NOUVELLES TENDANCES
LES DEFIS DU FUTUR
5
L‟audit interne avant-hier
MARCHE



AUDITEUR




DEPARTEMENT AUDIT
Faible concurrence
Produits traditionnels
Gestion patriarcale

“Mal nécessaire”
Policier et pompier
Redoute des “audités”
Cherche les erreurs

Pas d’embauche sélective
Peu d’autonomie
Sans accès hiérarchique élevé
Budgets limités & Missions routinières
6
L‟audit interne d‟hier
MARCHE



AUDITEUR




DEPARTEMENT AUDIT
Concurrence accrue
Croissance volumes et produits
Développements informatiques

Distinct de l’inspecteur
Spécialisation professionnelle
Prévention ; détection
Qualité ; quantité

Auditeur du management
Expert impartial
Conseiller des directeurs
Banquier / Technicien Compétents
7
L‟audit interne aujourd‟hui
MARCHE



AUDITEUR



DEPARTEMENT AUDIT
Concurrence multiple et diversifiée
Décentralisation des opérations
Réglementations en croissance
Délégation “forcée” des pouvoirs
“Problem solver”
Conscient des coûts
Validation de procédures
Collabore aux objectifs
Centré sur les risques
Soucieux de ses “clients”
Flexible et réactif
Grand utilisateur d’informatique
Soucieux de la formation
8
Audit interne : Les défis du futur
QUALITE TOTALE
 DISPARITION DE L’AUDIT?
 Outsourcing - cosourcing
 « Self controlled organisation » - systèmes de contrôle intégré avec auto-évaluation
 EMERGENCE DE NOUVELLES MISSIONS?

EVOLUTION POSSIBLE DE LA FONCTION
SURVEILLANT RISK MANAGER
REACTIF PREVENTIF
OBSERVATEUR EDUCATEUR
SEPARATISTE AGENT DE COMMUNICATION

EFFETS SUR LES MISSIONS
 FOCALISATION SUR RISQUES ELEVES
 PARTICIPATION AUX CHANGEMENTS
 DISPONIBILITE POUR URGENCES
 ACCENTUATION DU COUT/BENEFICE
9
Stand Alone
Audit Function
Participating With
Management
Supporting
Management
Self-Assessments
Process
Focus
Enterprise
Risk Management
Consultant
Business
Enhancement/
Efficiency
Detection
Internal Auditor
Financial
reporting
Transaction
Focus
Risk
Exposure/Identification
Prevention
Reactive Proactive Strategic
L‟évolution du métier d‟audit interne
10
L‟évolution du métier d‟audit interne
Nouvelle définition de l’audit interne par le “Institute
of Internal Auditors:”

 “Internal audit is an objective assurance and consulting
activity that is independently managed within an organisation
and guided by a philosophy of adding value to improve the
operations of the organisation.

 It assists an organisation … to evaluate and improve the
effectiveness of the organisation’s risk management, control,
and governance processes.”

11
L‟environnement
de l‟auditeur interne
en banque
12
Internal control
Internal audit
Supervision by auditor
Supervision by CBF
Conception et pratique du contrôle prudentiel
Les cercles concentriques du contrôle prudentiel
Rapport CBF 1996-1997 pp 26-31
13
Le contrôle interne
Circulaire CBF D1 97/4 du 30 juin 1997
Le contrôle interne se définit généralement comme
l’ensemble des mesures qui, sous la responsabilité de la
direction de l’établissement de crédit doivent assurer
avec une certitude raisonnable :
 une conduite des affaires ordonnées et prudente, encadrée
d’objectifs bien définis;
 une utilisation économique et efficace des moyens engagés;
 l’intégrité et la fiabilité de l’information financière et celle
relative à la gestion;
 le respect des lois et règlements ainsi que des politiques
générales, plans et procédures internes

14
Le contrôle interne
Les éléments constitutifs
 un environnement d’entreprise qui encourage une attitude
positive à l’égard du contrôle;
 des objectifs suivi de l’identification des risques et de leur
analyse
 la mise en place de système d’information et de
communication ainsi qu’un reporting
 la surveillance et l'évaluation régulière des mesures prises

15
Le contrôle interne
Responsabilité du conseil d’administration de vérifier
l’adéquation du contrôle interne

Le comité de direction doit mettre en oeuvre un
contrôle interne adéquat et procéder à son évaluation

L’audit interne est une fonction indépendante qui a
pour objet d’examiner et d’évaluer le bon
fonctionnement, l’efficacité et l’efficience du contrôle
interne
16
Le contrôle interne
La Commission bancaire et financière a transposé les
principes énoncés dans le cadre de référence COSO

Comité de Bâle
 “Framework for internal control systems in banking
organisations” - Septembre 1998
• “Management oversight and control culture”
• “Risk recognition and assessment”
• “Control activities and segregation of duties”
• “Information and communication”
• “Monitoring activities and correcting deficiencies”
 Transposition des principes COSO
17
Contrôle interne
COSO ????
18
Contrôle interne :
cadre de référence COSO
19
COSO : les concepts fondateurs
22
Globalisation
“Empowerment”
Plus forte délégation
Des structures organisationnelles moins pyramidales
Outsourcing/Technologies décentralisées
Nécessitant un
changement des
pratiques
opérationnelles
Forces externes
de changement
Changement des
facteurs de risque
opérationnel
Des risques accrus
23
L'accroissement des risques opérationnels résulte de ces
changements
0
2000
4000
6000
8000
10000
12000
1 2
Changement
Niveau de risque
L'enjeu : identifier ces risques à temps pour rester
dynamique et augmenter la résistance de l'entreprise.
Des risques accrus
24
Un risque accru face à des procédures
de contrôle interne adaptées à une période révolue
Forces internes Forces externes
Procédures de
conformité et
de contrôle
“Shareholder value and corporate governance”
Changements
organisationnels
Gestion des
coûts
Réorganisation
des processus
Concurrence
Globalisation
Nouvelles
technologies
25
Robert Maxwell
Fraudes
Comté d’Orange
Pertes sur produits dérivés
Metallgeselleschaf
Pertes sur
positions spéculatives
Groupe Crédit Lyonnais
Pertes importantes
Showa Shell
Sekiyu
f/x trading non autorisé
United Way
Pratiques de gestion
douteuses
BCCI
Fraudes
Daiwa
$1 milliard de perte sur
positions spéculatives
Barings
Positions non autorisées
General Motors
Ventes fictives
Besoin
d‟un
contrôle
accrû
Sumitomo
Positions non autorisées
… Et quelques exemples de scandales
26
Risques
L'Entreprise
Objectifs
Contrôles
Nécessité d'une nouvelle culture du contrôle
27
Une structure intégrée pour le contrôle interne
•Commission Treadway formée en 1985

•Commission Treadway publie le rapport en
1987 - demande un étude pour développer une
structure intégrée pour le contrôle interne

•Coopers & Lybrand a été sélectionnée pour
mener l’étude et rédiger le rapport

•Rapport intitulé “Internal Control - Integrated
Framework” est publié en septembre 1992
STRUCTURE INTEGREE
POUR LE CONTROLE INTERNE
Committee of Sponsoring
Organizations of the
Treadway Commission
Une perception plus étendue de la notion de contrôle intégrant la gestion des risques
par rapport aux objectifs de l’entreprise
28
Une structure intégrée pour le contrôle interne
Contenu du rapport COSO
 “Executive summary” (septembre 92)

 “Framework” (septembre 92)

 “Reporting to external parties” (septembre 92)

 “Addendum to reporting to external parties” (Mai 94)

 “Evaluation tools” (septembre 92)

 “Internal Control Issues in Derivatives Usage” (1999)
29
Une nouvelle perception du contrôle interne
Le Contrôle Interne est un processus,
mis en œuvre par le conseil d’administration,
la direction et les membres du personnel de
toute entité économique ou administrative, en
vue de fournir des assurances raisonnables
sur les objectifs limités à :

•L’efficacité et l’efficience des opérations;
•La fiabilité des documents et des rapports
financiers;
•La conformité aux lois et règlements
applicables
Committee of Sponsoring Organizations
(COSO) of the Treadway Commission - 1992
30
Le “cube” COSO
31
Interactions entre les différents éléments constitutifs
32
L‟environnement de contrôle
Donne le ton de l‟organisation
•Intégrité
•Valeurs éthiques
•Compétences
Transmet la philosophie de
gestion

•Responsabilité et responsabilisation
•Autorité
•Politique et développement des
ressources humaines
“The control environment sets the tone of the organisation
and communicates management philosophy”
33
L‟évaluation des risques
Identification et analyse des
risques menaçant la
réalisation des objectifs de
l‟organisation
•risques stratégiques
•risques opérationnels
•risques organisationnels et
liés aux ressources humaines
Gestion du changement

“Risk assessment is the effective management of change by the
identification and analysis of relevant risks”
34
Les activités de contrôle
Procédures liées à la mise en
oeuvre de la gestion

•Approbation, autorisations
•Vérifications et contrôles physiques
•Programme de qualité
•Séparation des fonctions
•etc ...
Mécanismes de gestion visant
la réalisation des objectifs


“Control activities are procedures to implement and manage
objectives”
35
L‟information et la communication
Gestion de la communication au
sein de l’organisation

Information de gestion adéquate
communiquée dans des délais
appropriés

Identification et utilisation des
informations externes ad hoc
“Timely and accurate access to information and
communication is critical to the control process”
36
La surveillance
Mécanismes afin de rapporter
les déficiences majeures

Evaluation des systèmes de
contrôle

Activités ponctuelles et
continues
“Monitoring is a continual process to assess control systems
and activities”
37
COSO : la référence en matière de contrôle interne
Approches du contrôle interne
Traditionnelle
COSO
Juxtaposition des
activités
Intégration des
objectifs
From
Pilotage
Information &
Communication
Activités de Contrôle
Evaluation du risque
Environment de Contrôle
38
Permettre, … Pas empêcher
Idéalement, les contrôles devraient ...
39
Les procédures de contrôles ne doivent ...
Ni alourdir
Ni survoler
40
Equilibre
Contrôle Interne Risque d'Activité
Mais doivent correspondre au niveau des risques...
41
Le contrôle interne, c'est l'affaire de tous !

Aujourd'hui, les meilleures entreprises savent que ...

42
Pilotage
Environnement de contrôle
Evaluation des risques
Audit Externe
Audit Interne

Activités de contrôle
Information &
Communication
Problème :
Qui contrôle l'espace en blanc ?
Traditionnellement ...

43
Pourquoi “COSO” est une structure intégrée?
Traditionelle COSO
Responsibilité du
Controller/Audit Interne
Le contrôle est la tâche de
chacun
Mecanisme Le contrôle est basé sur les
risques
L’accent sur les systèmes
comptables
L’accent est mis sur tous
les risques opérationnels
Les contrôles sont
« ajoutés » aux systèmes
Le contrôle est incorporé
dans les procédures
opérationnelles
44
Adoption de COSO
CoCo
COSO
GARP
Cadbury
King Report
Pays qui ont traduit COSO dans leur langue nationale
entre autres : Chine, France, Italie, Japon, Norvège, Pologne et Espagne
45
Mise en oeuvre de COSO
46
Phase I :
Evaluation de
l'Environnement
Phase IV :
Evaluation intégrée
et
Recommandations
Phase II :
Diagnostic par
cycle
Phase III :
Revue des
procédures
Comité de
Direction
Approbation et Revue par le Conseil
d'Administration et / ou la Direction
Mise en place et pilotage continu
L'évaluation du contrôle - Méthodologie

47
Envoie un message fort à l'organisation

Est ouvert au changement

S'adapte tout au long du processus

Détermine les plans d'amélioration

Conduit la mise en place
S'assure que l'approche est rigoureuse et
structurée, tout en demeurant flexible
Comité de
Direction
Le Comité de Direction joue un rôle déterminant
48
Idées
Causes
Chercher au-delà
des symptômes :
trouver les
causes profondes
Recherche des causes ...

49
Les principales limites du contrôle interne
1. Assurance “raisonnable” et non absolue

2. Le Contrôle Interne précise les objectifs liés à la
réalisation et à l’optimisation des opérations, mais
ne peut pas garantir leur réalisation

3. Décalage inéluctable entre les recommandations et
leur application
50
Souvent, la solution passe par un changement de comportement !
51
La notion de risque
52
Une nouvelle perception des risques
53
Evolution de la perception du risque par le Management
 Niveau opérationnel.
 « Risk monitoring » est délégué aux auditeurs
internes
 Le risque est un facteur négatif à contrôler
 Le risque est géré dans des silos
organisationnels
 La responsabilité du management en matière
de gestion des risques est déléguée au niveau
inférieur
 La mesure du risque est subjective
 Des fonctions de « risk management » non
structurées
 Le job du CEO’s Job (avec le contrôle du
Conseil d’administration)
 Le risque est également considéré comme
une opportunité
 Le risque est géré de manière intégrée et
couvre toutes les activités de l’entreprise
 La fonction de “risk management” est
acceptée par le “senior” et le “line
management”
 Quantification/mesure du risque
 Le “risk management “ est intégré dans
tous les systèmes de gestion de l’entreprise



from BACK ROOM to BOARD ROOM
Impact de cette nouvelle perception
54
Définition
RI SQUE:
 Tout événement
pouvant affecter
la réalisation des
objectifs
55
Les problèmes suivants attirent l’attention sur l ’importance d’un
système de « Risk Management intégré »:
Environnement
très réglementé
Marges étroites
Globalisation
Technologie en
évolution
constante
RISK
MANAGEMENT
Différentiation
compétitive
Complexité des
marchés et des
investissements
Convergence
et Consolidation
Disponibilité de
ressources
qualifiées
Les facteurs de risque
56
Danger
Survenance d’un danger non maîtrisé
I ncertitude
Ne pas rencontrer les attentes
Opportunité
Maîtrise du risque
Eléments constitutifs
57
Gestion de crise et
“compliance”
Préserver la continuité
des activités
Amélioration de la
“Shareholder value”
Danger
I ncertitude
Opportunité
Le continuum du risque
58
Crises management
and compliance
Business continuity
protection
Shareholder value
enhancement
• Improved returns through
value-based management
• Enhancing capital allocation
• Protecting corporate reputation
• Achieving global best practices
• Understanding & evaluating business strategy risks
• Understanding full range of risks facing business today
• Avoiding personal liability failure (the personal fear factor)
• Compliance with corporate governance standards (fiduciary responsibility)
• Other company crises
• Own company crises
Hazard
Uncertainty
Opportunity
Independent market survey findings 1997 - Diefenbach Elkins Survey Results
The Market Study - The Market Continuum
59
Danger
I ncertitude
Opportunité
“Compliance”
et prévention
Performance
opérationnelle
Initiatives
stratégiques
Le continuum du risque
60
6
Une approche intégrée de la gestion du risque
61
Objectifs
“Return on Investment”
Satisfaction des clients
Emploi
Amélioration de la “Shareholder value”
“World class products”
Environnement
Compliance
“Preferred employer”
Ethique
62
Risques
63
Les risques bancaires généraux
Crédit
Intérêt
Liquidité
Devises
Marché
Opérationnel
« Settlement »
Juridique

64
Risque de crédit
Nombre de débiteurs
Concentration
 Géographique
 Sectorielle
Culture prudente et conservatrice
Plafonds et limites
Procédure sévère d’approbation
Suivi permanent des engagements
Partage des risques
Assurance crédit
FACTEURS DE PONDÉRATION
+
-
RISQUE DE DÉFAUT DE LA CONTREPARTIE
65
Risque d‟intérêt
Volatilité des taux
Dysharmonie des positions
Limite des positions
Contrôle permanent des positions
Couvertures systématiques
A.L.M. performant
FACTEURS DE PONDÉRATION
+
-
RISQUE PROVOQUE PAR DES CHANGEMENTS
DE TAUX
66
Risque de liquidité
Crise des marchés monétaires
Perte de confiance dans la banque
Concentration
 des dépôts
 des emprunts
Financements L.T. placés C.T.
Disponibilité des fonds externes
Volume élevé d’actifs liquides
Régime de protection des épargnants
A.L.M. performant
FACTEURS DE PONDÉRATION
+
-
RISQUE D’INSUFFISANCE DE DISPONIBILITES
67
Risque de devises
Volatilité des taux
Déséquilibre des positions
Limites des positions
Contrôle sévère des positions
Techniques de couvertures
FACTEURS DE PONDÉRATION
+
-
RISQUE PROVOQUE PAR UN DESEQUILIBRE
DES TAUX DE CHANGE
68
Risque de marché
politique agressive d’investissements
Volatilité des marchés financiers
Accroissement du trading
Liquidité des marché
Limites des volumes d’action
Politique d’investissement
conservatrice
FACTEURS DE PONDÉRATION
+
-
RISQUE D’APPAUVRISSEMENTS DES ACTIFS
FINANCIERS
69
Risque opérationnel
Nature des opérations
Volume des opérations
Qualité du management
Qualité du personnel
Qualité des systèmes
Liberté d’action des départements
Outil de contrôle
 Internes
 Externes
FACTEURS D’INFLUENCE
RISQUE DE PERTE, D’ERREUR OU D’OMISSION INTERNE
70
Risque de « settlement »
Qualité des correspondants
Fixation de limites par contrepartie
Suivi rapide du Back Office
...
FACTEURS D’INFLUENCE
RISQUE DE NON RESPECT DES ENGAGEMENTS DE LA CONTREPARTIE
71
Risque juridique
Complexité des contrats
Changement et inflation
réglementaire
“Soft law”
Mise en oeuvre d’un Legal Audit
...
FACTEURS D’INFLUENCE
RISQUE DE CONVENTIONS OU DE DOCUMENTS JURIDIQUEMENT IMPARFAITS
RISQUE D’INFRACTION PAR RAPPORT A L’ENVIRONNEMENT LEGAL ET
STATUTAIRE
72
Risque opérationnel

Exemples
 Défaillance des systèmes informatiques
 Interruptions des activités
 Accès et utilisations de données confidentielles
 Manque de compétitivité suite à une mauvaise gestion
d’activités “non core business”
 Gestion des prestataires de services
 Canaux de distribution inefficaces
Méthodes de quantification des risques opérationnels
 OpVar (operational value at risk)
73
Gestion des risques opérationnels
Indicateurs d’une mauvaise gestion des risques
opérationnels …
 Pertes
 Amendes et pénalités
 Litiges
 Suspens/rejets
 Plaintes des clients
 Constatations de l’audit et des autorités de contrôle
 Fraudes
 Défaillances des systèmes d’information
 Back Office “Overtime”
 Rotation du personnel
76
Contrôles - Cadre de référence COSO
Cadre de “corporate governance” reconnu par le monde financier
77
Exemples
Système de mesure de risque
dépassé
Système d’information inadéquat
Eléments de réconciliation
Mauvaise diversification du risque
de crédit
Non respect du prescrit
réglementaire et prudentiel
Décisions imprudentes en matière
d’octroi de crédit et d’investissement
Mauvaises notations par les agences
de “rating”
Coûts de financement excessifs
“Allocation of capital” mauvaise ou
inadéquate
Volatilité du rendement et du cours de
l’action
Contrôles confinés en silo
Fonction d’audit interne
dépassée/inefficace
Fraude et blanchiment d’argent
Mauvais pricing des produits du fait
d’une non prise en compte de certains
risques
78
Evaluation COSO
1
2
3
4
5
Integrity and Ethical values
Commitment to competence
Board of director or Audit Committee
Management philisophy and operating style
Organisational structure
Assignment of authority and responsibility
Human resource policies and practices
Entity-wide objectives
Activity level objectives
Risks
Managing change
Existence of policies and procedures
Application of controls in place
Information
Communication
Ongoing monitoring
Separate evaluations
Reporting deficiencies
COSO '97 COSO '99
Control environment
Risk assessment
Control activities
Information and communication
Monitoring
80
Alignement
81
Options possibles ….
Options
Re-engineering des processus
Outsourcing des fonctions - Shared
Services
Transfer Risk (Assurance)
Améliorer les contrôles
82
Relations entre COSO et
l‟approche d‟audit
83
Une approche d‟audit intégrée
84
Une approche intégrée de la gestion du risque
85
Approche d‟audit
Objectifs
Evaluation des
risques
Analyse des
contrôles
Plan
d‟Action
86
Approche d‟audit
Objectifs
organisationnels
Evaluer les
risques
Déterminer les
contrôles nécessaires
Stratégie d‟audit
Plan d ‟audit
Plan
Annuel
Plan
Pluriannuel
87
Audit Interne : Application de la séquence COSO
Déterminer
les objectifs
organisationnels
Evaluer
les risques
Déterminer
les contrôles
nécessaires
Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999
Nouvelle méthodologie : “Risk Based Auditing”
Stratégie d ‟audit:
88
Nouvelles méthodologies : “Risk Based Auditing”
Establish
Organisational
Objectives
Assess
Risk
Manage
Risk
What are the steps in
the business process?
What are the risks? How are risk managed?
What is the logical
sequence of steps the
auditable unit must take
to reach its objectives or
purposes? Practically
speaking, these steps are
usually combined or
grouped so that the total
does not exceed 12-15
steps.
What is the essential
elements of risk in each
step of business process?
Errors, omissions, delays,
and fraud are the most
common types or risks.
What techniques mitigate
the risks identified in
column B? It is sound
practice not only to
identify how the risks are
managed, but also to
document the evidence
for those actions, so that
an audit programme can
be derived quickly and
accurately
Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999
89
Les risques de contrôle
Dangers des systèmes
d’insuffisance
de faiblesses
de
Détection Prévention
des
Erreurs ou fraudes
Fonction de la qualité des contrôles
•de gestion
•internes
•externes
•etc.
90
Les risques de contrôle
Risques d’erreurs, d'irrégularités
Systèmes de prévention, détection
(contrôle interne)
Audit interne
Erreurs, irrégularités subsistantes
91
Incidence du contrôle interne sur la stratégie d‟audit
La perception des risques et l’approche d’audit

AR = IR * CR * DR

AR = “audit risk”
IR = “inherent risk”
CR = “control risk”
DR = “detection risk”

Impact
 Opinion incorrecte (Mauvaise évaluation des risques)
 Approche inadaptée (trop de “tests substantifs” par rapport aux risques en
présence)
92
Approche d‟audit
Understand and assess control environment

Understand and update our information about the systems and the computer environment

Plan to rely on controls
and limit substantive tests?
Design substantive
tests to obtain high
assurance
Select and test monitoring controls to confirm
assessment
Design substantive tests - analytics and
moderate to low levels of substantive tests
Select and test key monitoring, application and
general computer controls to confirm assessment
Design substantive tests - mainly analytics
and tests for audit objectives not covered by
controls testing
Document and assess
application and general computer controls
No controls
reliance
YES
NO
High controls reliance
Some
Controls
reliance

No tests
of controls
Document and assess
monitoring controls
93
Bénéfices
Test les contrôles clés

Diminue la charge de tests “substantifs”

Facilite l’intervention (interim vs. final)

Travail plus enrichissant pour l’équipe d’audit
94
Classify by
Risk Type
I dentify Key
Controls
Core Business Processes
Develop
I nternal
Audit
Plan
Key Business Objectives
Strategic
Systems
Operational
Financial
Compliance
High
Moderate
High
High
Low
High
Low
Moderate
High
Low
Moderate
Low
Eléments importants de la méthodologie
Identifier les risques importants pour chaque objectif
Approche top-down en analysant les risques
Identifier les processus / contrôles liés aux risques identifiés
Développement du plan d’audit
L‟évolution du métier d‟audit interne

95
Organisation d‟une banque
96
Division d‟une banque
Exemples de subdivisions
 Par fonctions
 Par métiers
 Par centres de profits
 Par zones géographiques
 Par produits
 Par domaines d’activités
 ...
97
Division d‟une banque par fonctions
Exemples
 Télécommunication
 Réconciliation
 Guichet / agences
 A.L.M.
 Analyse financière
 Conservation des actifs
 ressources humaines
 Agents délégués
 ...
98
Division d‟une banque par métiers
Exemples
 Gestion du patrimoine
 Corporate banking
 Private banking
 Mergers and acquisitions
 Crédits
 Trésorerie
 ...
99
Division d‟une banque par centres de profits
Exemples
 Trésorerie à court terme
 Trésorerie à long terme
 Change
 Opérations particuliers
 ...
100
Division d‟une banque par régions
Exemples
 “Nord-ouest”
 “Nord-est”
 “Centre”
 “Sud-ouest”
 “Sud-est”
 International
 ...
101
Division d‟une banque par produits
Exemples
 Bons de caisse
 Prêts hypothécaires
 Crédit d’investissement
 Livret d'épargne
 CREDOC
 OLO
 Financial futures
 ...
102
Division d‟une banque sur base du bilan
Emplois
Ressources
Fiducie
Crédits
Val. mob.
Investissem.
Dépôts
Emprunts
Gestion
Conservation
Corporate
Institut.
Consomma.
Actions
Effets
Obligations
Interbanc.
Corporate
Institut.
Interbanc.
Emissions
Discrétionn.
Assistée
Coffres
Correspond.
103


Division d‟une banque par domaines d‟activités
RISQUES CREDIT
Trésorerie
Autres activités
Trading et investissement
Trade finance
Prêts et engagements
Transfert de fonds
COMPENSATION
Dépôts Activités fiduciaires
104
Division d‟une banque par domaines d‟activités
Risques crédit
 Par contreparties
• Secteur public
• Grandes entreprises
• P.M.E.
• Particuliers
• ...
 Par fonctions
• Evaluation contreparties / garanties
• Octroi - autorisation
• Respect des lignes / limites
• Consommation en fonds propres
• ...
105
Division d‟une banque par domaines d‟activités
Dépôts
 Par produits
• Dépôts à vue
• Dépôts à terme
• Livrets d'épargne
• Bons de caisse
• ...
 Par fonctions
• Ouverture de comptes
• Gestion des dépôts et retraits
• Clôture des comptes
• Gestion des postes restantes
• ...
106
Division d‟une banque par domaines d‟activités
Prêts et engagements
 Par produits
• Crédits hypothécaires
• Prêts personnels
• Crédits d’investissements
• Financements et exploitation
• ...
 Par fonctions
• Octroi et approbation
• Transferts de fonds
• Gestion des en cours
• Rémunération (intérêts et commissions)
• ...
107
Division d‟une banque par domaines d‟activités
Trade finance
 Par produits
• Lettres de crédits
• Forfaiting
• Escomptes
• Performance bonds
• ...
 Par fonctions
• Refinancements - mobilisation
• Assurance (OND)
• Octroi et documentations
• Suivi des sinistres
• ...
108
Division d‟une banque par domaines d‟activités
Autres activités
 Par services
• Conseil en financements
• Assurances
• Placements privés
• Mergers / acquisitions
• Immobilier
• Emissions
• ...
 Par fonctions
• Etablissement : revue des contrats
• Fixation des commissions
• Documentation / analyse
• ...
109
Division d‟une banque par domaines d‟activités
Trésorerie
 Par produits
• Placements interbancaires
• Repos
• Certificats de dépôts
• Certificats de trésorerie
• ...
 Par fonctions
• A.L.M.
• Etablissements : enregistrements des deals
• Confirmations
• Contrôle des positions / limites
• ...
110
Division d‟une banque par domaines d‟activités
Trading et investissements
Par produits
• Change spot
• Change terme
• Swaps et dérivés
• Options et dérivés
• Obligations et actions
• ...

Par fonctions
• Enregistrement /
confirmation
• Reporting / suivi des
positions
• Respects des limites /
lignes
• Instructions règlements
• Evaluation / résultats
• ...

111
Division d‟une banque par domaines d‟activités
Activités fiduciaires
 Par services
• Gestion de fortune
– Discrétionnaire
– Assistée
• Conservation d’actifs
• “Corporate actions”
• ...
 Par fonctions
• Procédures d’acceptation
• Communication clientèle
• Sauvegarde des actifs
• ...
112
Division d‟une banque par domaines d‟activités
Compensation

 Par produits

 Par domaines
• Comptes Nostro - suivi des réconciliations
• Comptes avec banques centrales
• En cours de recouvrements
• Conformité aux instructions internes / externes
• ...
113
La stratégie d‟audit
et sa réalisation
114
Stratégie d‟audit interne
Le but de la stratégie d’audit interne
 focaliser les ressources disponibles sur les composants
présentant les risques les plus élevés

Outils permettant de mesurer / quantifier les risques
115
Audit Interne : Application de la séquence COSO
Déterminer
les objectifs
organisationnels
Evaluer
les risques
Déterminer
les contrôles
nécessaires
Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999
Nouvelle méthodologie : “Risk Based Auditing”
116
Classify by
Risk Type
I dentify Key
Controls
Core Business Processes
Develop
I nternal
Audit
Plan
Key Business Objectives
Strategic
Systems
Operational
Financial
Compliance
High
Moderate
High
High
Low
High
Low
Moderate
High
Low
Moderate
Low
Key Components
Identifier les risques importants pour chaque objectif
Approche top-down en analysant les risques
Identifier les processus / contrôles liés aux risques identifiés
Développement du plan d’audit
L‟évolution du métier d‟audit interne

117
Identification des objectifs par processus
118
Identification des risques
119
Identification des contrôles
120
Evaluation des risques et des contrôles
121
Identifier et évaluer les contrôles - clés : exemples
Séparation des fonctions

Compétence du personnel

Autorisation et supervision

Restriction d'accès
122
Identification des “gaps”
123
Approche d‟audit
Understand and assess control environment

Understand and update our information about the systems and the computer environment

Plan to rely on controls
and limit substantive tests?
Design substantive
tests to obtain high
assurance
Select and test monitoring controls to confirm
assessment
Design substantive tests - analytics and
moderate to low levels of substantive tests
Select and test key monitoring, application and
general computer controls to confirm assessment
Design substantive tests - mainly analytics
and tests for audit objectives not covered by
controls testing
Document and assess
application and general computer controls
No controls
reliance
YES
NO
High controls reliance
Some
Controls
reliance

No tests
of controls
Document and assess
monitoring controls
124
Bénéfices
Test les contrôles clés

Diminue la charge de tests “substantifs”

Facilite l’intervention (interim vs. final)

Travail plus enrichissant pour l’équipe d’audit
125
Documenter les contrôles/ procédures d‟audit
Objectif du contrôle/ de la procédure d’audit appliqué
Documents de base
Echantillon
Travail effectué
Constatations
Conclusions
126
Documenter les contrôles/ procédures d‟audit
Tenue des documents d’audit
 identification du composant audité
 titre du document d’audit
 référence à la page de garde
 date
 référence au programme d’audit
 cross références
 identification de l’auditeur
Evidence d’une revue du travail effectué
Règles en matière de conservation et archivage des
dossiers
127
Les constatations et conclusions
Types de constatations possibles
 incidents isolés
 absences / déficiences de contrôle interne
 erreurs (non volontaires)
 irrégularités (à caractère volontaire ou accepté)
 les “fraudes”
L’auditeur doit conclure, si sur base des constatations,
il est en mesure d’affirmer que l’objectif d’audit a été
rempli
128
Définition d‟un plan d‟actions
129
Déterminer un plan d‟audit pluriannuel
Le plan stratégique doit contenir les informations
suivantes :
 responsabilités et champ d’intervention de l’audit interne
 budget des ressources par rapport aux composants
 les priorités d’audit
 détails des revues spécifiques et de leur “sponsor” spécifique
 information quant à la collaboration avec l’auditeur externe
 la nature et la fréquence du reporting au comité d’audit et à la
direction
Le plan stratégique doit être formellement approuvé
par l’autorité à laquelle l’Audit Interne rapporte
fonctionnellement
130
Plan Pluriannuel
PRIORITE OU RISQUE PERIODICITE DES MISSIONS
ELEVE
MODERE
FAIBLE
INSIGNIFIANT
2 x/ an
1 x/ an
1 x/ an
1 x/ 3 ans
BUT
EFFICIENCE
RESSOURCES NECESSAIRES
MOYEN
CONSERVER RESERVE ANNUELLE POUR
MISSIONS AD HOC
131
Reporting au Management
132
Exemple d‟outil de travail : DB Notes
133
Décomposition du travail à faire en « Area/Task/Step »
134
Documentation du travail : « WP, Issues, Coaching Notes »
135
Evaluation de l‟état d‟avancement du travail et de la revue
136
Liste des problèmes soulevés et recommandations faites
137
Gestion des points en suspens et des commentaires de revue
138
Project management : attribution de tâches, de timing, de coûts
139
Gestion du temps et/ou du budget
140
Reporting et suivi
Rapport d’audit
Rapports résumés
aux organes
de surveillance et
de direction
(Comité d’audit,
Direction générale)
Rapport annuel
d’activité
Suivi des
rapports
141
Rapport d‟audit - les constatations
Traitement de leurs conséquences
Erreurs
constatées
Faiblesses
constatées
Extension
des travaux
Erreurs
isolées
Erreurs
systématiques
Douteuses? Caractère douteux?
Non Oui Non
Mention Comité de
Direction
Recommandation
et suivi
142
Rapport d‟audit
Pas de format idéal
Contenu
“executive summary”
décrire les objectifs et le travail accompli
les constatations doivent être étayées
les recommandations doivent être confrontées aux risques
sous-jacents à la non application de celles-ci
les commentaires des responsables des services audités
doivent être inclus dans le rapport final
143
Rapports résumés aux organes
de surveillance et de direction

Pas de format idéal
Contenu
aperçu du travail effectué
les recommandations doivent être confrontées aux risques
sous-jacents à la non application de celles-ci
les responsables pour l’application des recommandations
un calendrier de mise en oeuvre
144
Rapport annuel d‟activité
Pas de format idéal
Contenu
Revue du travail accompli
Les grands risques identifiés
Un résumé des principales recommandations
Une évaluation générale de la qualité du contrôle interne
145
Suivi des rapports
En cas de déficiences importantes constatées lors de
contrôles antérieurs, un suivi est nécessaire
Les rapports de suivi doivent comprendre
les points soulevés lors du précédent audit
les mesures prises par le management
l’adéquation des mesures prises
Pour les déficiences légères, il y a lieu d’assurer un
suivi à l’occasion du prochain audit
Mise en place d’une base de données des constatations
et du suivi effectué
146
COBIT - Un cadre de référence intégré
pour évaluer les systèmes d‟information
147
COBIT - Un cadre de référence intégré
pour évaluer les systèmes d‟information

Control Objectives for Information
and Related Technology
148
Centralised
ITControl
End-user
empowerment
ITroleasenabler
IT‟s future … an organisational shift
The future will require a dramatic rethinking of how IS
organisations are run, how they are measured and
controlled, and their relationship and involvement with
the "business"
By 2001, 70 % of enterprises will have adapted their IT
organisational structure into a "federated business of IT
Model" (Gartner)
149
“IT has been the longest running disappointment in business
in the last 30 Years! ”
J ack Welch, CEO
GE, 1997
Personal & visual
contact
Complexity &
Growth
“Technology can help fulfil a visionary dream, but often its
use is closer to a sobering nightmare! ”
Vesa Vaino, CEO
Merita, 1998
“Ten years ago we were afraid of rockets destroying
computing centres…. right now, we should be aware of
software errors destroying rockets”
Management‟s major control concern for IT
150
Typical five problems listed by senior executives*
 IT investments are unrelated to business strategy
 Payoff from IT investments is inadeqate
 There’s too much “(e)technology for technology’sake”
 Relations between IT users and IT specialists is poor
 System designers do not consider users’preferences and
work habits

* Harvard Business Review
151
Networks
Operating System
DBMS
Applications
Différents niveaux de contrôles
152
CobiT: Champ d ‟intervention et objectifs
Définition des standards généralement appliqués et
acceptés en matière de contrôles des systèmes
informatiques

Approche convenant tant aux contrôles des
applications qu’aux systèmes d’information dans leur
ensemble

Standards établis sur cadre de référence d’un modèle
de contrôle de la fonction IT

Approche orientée vers le Management
153
CobiT Principles
IT

R
E
S
O
U
R
C
E
S
•Data
•Applications
•Technology
•Facilities
•People
•Effectiveness
•Efficiency
•Confidentiality
•Integrity
•Availibility
•Compliance
•Reliability
I
N
F
O
R
M
A
T I
O
N
B
U
S
I
N
E
S
S
What you get
What you need
Monitoring
Planning & Organisation
Acquisition & Implementation
Delivery & Support
154
Business requirements=Information criteria
effectiveness- deals with information being relevant and pertinent to the business process as well as
being delivered in a timely, correct, consistent and usable manner.
efficiency- concerns the provision of information through the optimal (most productive and economical)
usage of resources.
confidentiality- concerns protection of sensitive information from unauthorized disclosure.
integrity- relates to the accuracy and completeness of information as well as to its validity in accordance
with the business' set of values and expectations.
availability- relates to information being available when required by the business process, and hence
also concerns the safeguarding of resources.
compliance- deals with complying with those laws, regulations and contractual arrangements to which
the business process is subject; i.e., externally imposed business criteria.
reliability of information - relates to systems providing management with appropriate information
for it to use in operating the entity, in providing financial reporting to users of the financial information, and
in providing information to report to regulatory bodies with regard to compliance with laws and regulations.


155
Information Technology resources
Data : Data objects in their widest sense, i.e., external and internal, structured
and non-structured, graphics, sound, etc.
Application Systems: Application systems is understood to be the sum of
manual and programmed procedures.
Technology: Technology covers hardware, operating systems, database
management systems, networking, multimedia, etc.
Facilities: Resources to house and support information systems.
People: Staff skills, awareness and productivity to plan, organise,acquire,
deliver, support and monitor information systems and services.
156
IT Processes
Natural grouping of processes,
often matching an organisational
domain of responsibility.

A series of joined activities with
natural (control) breaks.

Actions needed to achieve a
measurable result. Activities have
a life-cycle whereas tasks are
discrete.
Domains
Processes
Acivities

PO1 define a strategic IT plan
PO2 define the information architecture
PO3 determine technological direction
PO4 define the IT organisation and relationships
PO5 manage the investment in IT
PO6 communicate management aims and direction
PO7 manage human resources
PO8 ensure compliance with external requirements
PO9 assess risks
PO10 manage projects
PO11 manage quality
Planning & Organisation
157
CobiT Summary Table
158
CobiT Product Family
Implementation
Tool Set
EXECUTIVE SUMMARY
Framework
with High-Level Control Objectives
Management
Guidelines
Audit
Guidelines
Detailed Control
Objectives
Key Performance and Goal Indicators
Critical Succes Factors


Maturity Model
159
CobiT product definition
Executive Summary
 There is a Method ...
Framework
 The Method is ...
Control Objectives
 The desired results or purposes to be achieved by ...
Audit Guidelines
 Suggested Audit steps corresponding ...
Implementation Tool Set
 How to implement …
Management Guidelines
 How to measure...
160
e
f
f
e
c
t
i
v
e
n
e
s
s
e
f
f
i
c
i
e
n
c
y
c
o
n
f
i
d
e
n
t
i
a
l
i
t
y
i
n
t
e
g
r
i
t
y
a
v
a
i
l
a
b
i
l
i
t
y
c
o
m
p
l
i
a
n
c
e
r
e
l
i
a
b
i
l
i
t
y
p
e
o
p
l
e
a
p
p
l
i
c
a
t
i
o
n
s
t
e
c
h
n
o
l
o
g
y
f
a
c
i
l
i
t
i
e
s
d
a
t
a
Planning &
Organisation
Acquisiton &
Implementation
Delivery &
Support
Monitoring
IT Processes
Business
Requirements
Control
Statements
Control
Practices
The control of
which satisfy
is enabled by
and considers
P
S P P P
CobiT‟s Waterfall and Navigation Aids
161

Control over the IT process of
managing changes
that satisfies the business requirement
to minimise the likehood of disruption, unauthorised alternations,
and errors
is enabled by
a management system which provides for the analysis,
implementation and follow-up of all changes requested
and made to the existing IT infrastructure
and takes into consideration
- identification of changes
- categorisation, prioritisation and emergency
procedures
- Impact assessment
- change authorisation
- release management
- software distribution
Example: IT Process „Manage Changes‟
Key Goal Indicators
Reduced number# of errors introduced into systems due to changes
Reduced number# of disruptions (loss of availability) caused by poorly
managed change
Reduced impact of disruptions caused by change
Reduced level of resources and time required as a ratio to number# of changes
Number# of emergency fixes/time
….


Key Performance Indicators
Number# of different versions installed at the same time
Number# of software release/and distribution methods per platform
Number# of deviations from the standard configuration
Number# of emergency fixes for which the normal change management
process was not applied retro-actively
Ttime lage between availability of fix and implementation of it. .
ratio of accepted vs refused change implementation requests.

Critical Success Factors
 Expedient and comprehensive acceptance test procedures are applied
prior to making the change.
 There is a reliable hardware and software inventory.
 There is segregation of duties between production and development
 ….
162
Le Comité d ‟audit
163
Le comité d‟audit : une règle fondamentale
du corporate governance
Le corporate governance comprend deux piliers importants :
 “Responsabilité” : “ Rendre des comptes” aux actionnaires et autres
intervenants
 Communication : Comment l’entreprise se présente aux marchés
financiers et à la communauté en général
Les comités d’audit jouent un rôle important dans ces deux
processus
Il s’agit d’un organe de supervision assurant :
 un contrôle opérationnel du management
 un contrôle sur la fiabilité de l’information financière communiquée au
marché
164
L‟importance du comité d‟audit
L’importance des comités d’audit composés majoritairement
d’administrateurs indépendants est reconnue tant par les organes
réglementaires (Commission européenne, SEC) que par les
marchés
La plupart des codes de corporate governance contiennent des
recommandations en la matière (adoption sur base volontaire)
Une enquête pan-Européenne menée par PwC en 1997(1) a
révélé que même en l’absence de règle contraignante
 le taux d’adoption était relativement élevé (plus de 60% des entreprises
interrogées avaient mis en place un comité d’audit)
 Les pays où la pratique est la plus élevée : Royaume-Uni, France et Suisse
(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997
165
L‟émergence de pratiques de référence internationales
Influence du Rapport Cadbury (remplacé par le « Combined
Code ») sur les autres codes de corporate governance
Prises de position par des instances internationales
 Commission européenne - Financial Services Policy Group [FSPG] DG
XV - "The Commission will continue to work alongside public and
private bodies to improve the framework for corporate governance."
 OCDE - « Global Governance Principles »
 Banque Mondiale et OCDE - « Global Corporate Governance Forum »
Groupes de pression
 CalPERS (The California Public Retirement System)
• Global Principles for Corporate Governance
• Corporate Governance Market Principles, France, Allemagne,
Royaume-Uni et Japon

166
Une constante évolution du rôle du comité d ‟audit
Rôle traditionnel limité :
 La revue des états financiers
 Supervision des relations avec les auditeurs internes et externes
 L’examen des recommandations relatives au contrôle interne
Nouveaux challenges
 La globalisation des marchés
 Technologie
 Complexité des transactions
 Difficultés économiques
 Risk management
 Emergence de l’éthique
167
Une constante évolution du rôle du comité d‟audit
La globalisation des marchés qui a engendré une compétition
accrue
Les développements technologiques (internet et autres) et leurs
influences sur la communication de l’information
La complexité des transactions et le fait que dans certains pays,
les entreprises peuvent choisir parmi différents référentiels
comptables (national, US ou IAS)
Les difficultés économiques qui ont récemment affecté l’extrême
orient, la Russie, l’Amérique latine
La mise en place de système de contrôle interne intégré (COSO,
Turnbull, KonTraG) et la supervision des risques opérationnels
L’émergence du “corporate citizenship” et l’adoption de règles
éthiques propres à l’entreprise (l’influence prépondérante du
risque de réputation)
168
Une constante évolution du rôle du comité d‟audit
Fin 1998, Arthur Levitt, le Président de la SEC lança un appel
solennel pour le renforcement du contrôle de l ’information
financière par les conseils d ’administration
La constitution du « Blue Ribbon Committee on Improving the
Effectiveness of Corporate Audit Committees » (cfr. section
spécifique en fin d’exposé)


169
La mise en place d‟un comité d‟audit
Un principe fondamental
 L’indépendance des administrateurs composant le comité d’audit
Les étapes à accomplir pour mettre en place un comité d’audit
efficace
 Rédiger une charte du comité d’audit
 Nommer des membres qualifiés
 L’indépendance et l’objectivité des membres
 La durée du mandat
 La fréquence des réunions du comité
 Allouer des ressources suffisantes
 Formation des membres

170
Rédiger une charte du comité d‟audit
Importance d ’une charte écrite (termes de référence) qui précise
de manière claire le rôle du comité
 Cadre de référence tant pour le comité, ses membres, le conseil
d’administration, la direction, les auditeurs internes et les reviseurs
 Quid de la communication de la charte aux actionnaires? (inclure celle-ci
dans le rapport annuel)
La charte doit être revue et approuvée par le conseil
d’administration. Elle doit permettre au comité de travailler de
manière efficace
Elle doit être utilisée à bon escient - exemples:
 Servir de base pour établir l’agenda des réunions du comité
 Etre revue annuellement afin de s’assurer que les objectifs sont atteints
 Servir de cadre de référence pour les rapports aux conseil d’administration
171
Contenu de la charte

Les objectifs
Les pouvoirs du comité d’audit
L ’organisation (la composition du comité, la fréquence et la
durée des réunions)
Les rôles et responsabilités en ce compris les qualifications
requises et la durée du mandat de ses membres
 Contrôle interne
 Reporting financier
 Respect des lois et réglementations
 Respect du code de bonne conduite
Les relations avec la direction, les auditeurs internes et les
reviseurs
Les responsabilités en matière de rapport
Autres responsabilités éventuelles
172
Nommer des membres qualifiés
Qualités requises
 Intégrité
 Disponibilité (en temps et énergie)
 Compréhension de l’activité de l’entreprise, de ses produits et services
 Connaissance des risques inhérents et des contrôles mis en oeuvre
 Esprit inquisiteur et capacité de jugement indépendant
 Capacité de proposer des perspectives nouvelles et des suggestions
constructives
 Connaissances comptables et financières
173
Nommer des membres qualifiés
Engagement et disponibilité
 Comprendre les activités de l’entreprise
 Préparation et présence aux réunions
 Réunions informelles
 Considérer le nombre de mandats des candidats potentiels
Taille du comité d ’audit
 Suffisamment grand pour présenter une vue équilibrée
 Suffisamment petit pour opérer de manière efficace
 Généralement entre 3 et 6 membres
• Une enquête pan-Européenne menée par PwC en 1997 a révélé que plus
de 70% des comités d’audit étaient composés de 3 à 4 membres (1)
(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997


174
L‟indépendance et l‟objectivité des membres
Des administrateurs indépendants
 Du fait de son rôle de supervision, l’indépendance du comité d’audit est
primordiale
 Un comité uniquement composé d ’administrateurs indépendants est la
solution optimale
 Indépendance?
• Emploi ou ayant été employé au sein de l ’entreprise (au cours des 5
dernières années)
• Obtention d’une rémunération / compensation de l’entreprise ou d’une
de ses filiales
• Parent d’un membre de la direction
• Actionnaire principal ou être le représentant de celui-ci
• Administrateur d’un actionnaire, d’un client ou d’un fournisseur
importants
175
La durée du mandat
En général : un terme 1 à 3 ans renouvelable 1 seule fois
 Des termes plus longs ne sont pas incompatibles
Juste équilibre entre la continuité et la « fraîcheur »
 Eviter que tous les mandats soient renouvelés en même temps
Utilité d’un programme d’évaluation de la performance des
membres du comité d’audit
176
La fréquence des réunions du comité
Dépend des objectifs et du champ d’intervention du comité Les
réunions doivent être régulières et planifiées (convocations,
agenda, listes des participants, …)
En moyenne, 3-4 réunions par an
Un minimum de 3 réunions correspondant aux phases du cycle
de l ’élaboration des états financiers
 Une réunion avant la communication des résultats intermédiaires
 Une réunion durant l’exercice afin de discuter des programmes d’audit
interne et externe, les questions de contrôle interne afin d’identifier les
éventuels problèmes/domaines à risques liés à l’élaboration des états
financiers en fin d ’exercice
 Une réunion avant l’annonce des résultats financiers (avec la mise à
disposition des informations suivantes : annonce préliminaire, projet des
états financiers, projet de rapport de gestion, commentaires sur la
performance financière et opérationnelle, constatations d’audit)
177
Les principales responsabilités du Comité d‟audit
Le comité d’audit exerce, pour le compte du conseil
d’administration, la supervision des domaines et activités
suivants :
 Le contrôle interne et du système de risk management
 Le reporting financier et le processus sous-jacent à son élaboration
 Le processus mis en oeuvre pour assurer le respect des règlements
 Le processus de suivi du respect du code de bonne conduite en vigueur au
sein de l’entreprise

178
Le contrôle interne
L’évaluation de la « culture de contrôle »
 Le conseil d’administration est responsable quant à la mise en oeuvre d’un
environnement de contrôle interne adéquat
 Toutefois le comité d’audit peut contribuer efficacement au renforcement
de la culture de contrôle au sein de l’entreprise. Il peut également évaluer
si le management communique de manière adéquate l’importance d’un
bon système de contrôle interne (« tone at the top »)
Le suivi de la mise en oeuvre des systèmes de contrôle interne
 Le comité d’audit s’assurera que les actions prises par le management
garantissent la mise en oeuvre d’un système de contrôle adéquat
Les recommandations de l’audit sont-elles mises en oeuvre?
 Le comité d’audit doit s’assurer que les recommandations de l’audit
(interne et externe) en la matière ont été correctement mises en place
179
L‟information financière
Les comptes annuels - un aspect primordial
 Revoir le processus d’élaboration des états financiers (gestion des risques,
adéquation des systèmes comptables, mise en oeuvre des
recommandations de l ’audit en la matière, gestion du « going concern »)
 Revoir les questions importantes de comptabilité et de reporting financier,
en ce compris les modifications de la réglementation en vigueur et
l’impact de celles-ci sur les états financiers
 Le comité d’audit doit revoir les états financiers annuels et s’assurer que
ceux-ci sont complets et consistants avec l’information dont disposent ses
membres. Il doit également s’assurer que les principes comptables ont été
respectés
 Revoir toutes les autres sections du rapport annuel et s’assurer que les
commentaires sont consistants avec l’information dont disposent les
membres du comité d’audit
 Discuter les résultats et constatations de l ’audit externe
180
L‟information financière
La revue de tout autre information financière sujette à
communication
 De plus en plus, les comités d’audit doivent revoir toutes les informations
financières publiées par l’entreprise :
• annonces préliminaires
• résultats intermédiaires
• briefings pour les analystes financiers
Le comité d’audit doit comprendre
 Comment la direction développe cette information et l’implication
éventuelle des auditeurs dans l’examen d’une telle information
 Obtenir de la direction et des auditeurs des explications quant au respect
des principes comptables et s’assurer que l’information communiquée
répond aux exigences en la matière

181
Les questions réglementaires, fiscales et juridiques
La revue de la fonction « compliance »
 Le respect de la réglementation est devenu de plus en plus important
(particulièrement dans les secteurs financiers)
 Le comité d’audit doit comprendre comment l’entreprise s’assure du
respect de ces réglementations :
• Feedback du compliance officer
• Briefing de la part du management
• Avis des conseillers juridiques et fiscaux
• Revue des rapports des autorités de contrôle (CBF, OCA, …)
La prévention des fraudes et des actes de corruption
182
Ethique et code de bonne conduite

Existence d’un code de bonne conduite formalisé
 “Corporate citizenship”
 Les sociétés développent et mettent en oeuvre des codes de bonne
conduite. Le comité d’audit devra évaluer les mesures adoptées par le
conseil et la direction en la matière
 Le comité d’audit peut être appelé à revoir la manière dont le code est mis
en oeuvre par la direction (« tone at the top »)
Les procédures de suivi et de respect du code
 Le comité d’audit peut être appelé à examiner les procédures mises en
place pour s’assurer du respect du code de bonne conduite.
Le risque de réputation est-il correctement mesuré?
 Le comité d’audit peut être appelé à revoir les procédures mise en oeuvre
pour sauvegarder la réputation de l’entreprise (cfr. Disney, Nike, Shell,
TotalFina)
183
Collaboration avec les auditeurs internes
Les responsabilités du comité d’audit en la matière :

 Revoir les activités et la structure organisationnelle de la fonction d’audit
interne
 Evaluer la qualification de la fonction d’audit interne
 S’assurer de l’efficacité de l’audit interne
184
Revues des activités et de la structure
organisationnelle de l‟audit interne

Le comité d’audit doit réunir les informations suivantes :
 Revue de la charte d’audit interne
 Revue du programme d’audit qui doit comprendre une évaluation du profil
de risques de l’entreprise
 Les rapports d ’activités de l’audit interne
• Liste des projets et missions accomplies
• Listes des projets en cours
• Les principales constatations et recommandations
 Une description du système de suivi permettant de s’assurer que les
recommandations sont mises en oeuvre par le management
 Les informations relatives aux ressources actuelles du département
 Les plans de recrutement

185
Qualification de la fonction d‟audit interne
Le comité d’audit doit s’assurer des qualifications et des
capacités des membres de l’audit interne. Le comité d ’audit peut
contribuer à améliorer la qualité de l’audit interne en déterminant
si les auditeurs internes :
 Ont réalisé les objectifs qui leur étaient assignés
 Sont adéquatement formés
 Sont capables de maîtriser les systèmes d’information
 Ont les qualifications professionnelles requises
Le comité d’audit doit pouvoir évaluer l’adéquation de la taille
du département d’audit interne par rapport aux activités de
l’entreprise
Le comité d’audit doit être consulté voire donner son
approbation quant a l’engagement, au remplacement ou la
démission du responsable du département d’audit interne
186
Efficacité de l‟audit interne
Le comité d’audit doit s’assurer que l’entreprise utilise au mieux
les ressources de l’audit interne et lui fournit également le
support nécessaire à l’accomplissement de sa mission
Il devra s ’assurer que:
 Le mandat de l’audit interne est adéquat
 L’audit interne a une bonne maîtrise et compréhension des processus
opérationnels et des systèmes d’information
 L’audit interne dispose des ressources suffisantes tant humaines que
financières
 Le programme d’audit est établi d’une manière adéquate
 Les domaines présentant les risques les plus importants sont couvertes par
les investigations de l’audit interne
 L’entreprise met en oeuvre les recommandations de l ’audit interne
 La collaboration avec les reviseurs est efficace
187
Efficacité de l‟audit interne (suite)
Le comité d’audit devra également considérer si la fonction
pourrait être mieux assurée si certaines activités étaient sous-
traitées (exemple : outsourcing de l’audit informatique)
Il procédera éventuellement au benchmarking de la fonction
d’audit interne par rapport aux pratiques de référence
 Revue indépendante des activités de l’audit interne

188
Collaboration avec les reviseurs
Principales responsabilités du comité d’audit
 Revoir le champ d’intervention de l’audit et l’approche
 Analyser les constatations de l’audit des états financiers
 Analyser la performance des reviseurs
 Considérer l’indépendance des reviseurs
La participation du reviseur aux réunions du comité d’audit est
conseillée
189
Revoir le champ d‟intervention et l‟approche
Revoir le champ d’intervention et l’approche
 Objectifs de l’audit
 Obligations en matière de reporting financiers et les délais y afférents
 Evaluation du système de contrôle interne
 Les domaines sur lesquels l’audit va se concentrer - Pourquoi?
 Les changements de la réglementation comptable et leurs impacts
 L’impact de certaines transactions sur les états financiers
 Revue des systèmes d’information
 Coordination avec l’audit interne
 Audit des filiales - par qui, si par un autre reviseur, quelles sont les
procédures de reporting mises en oeuvre?
 Responsabilité du reviseur dans la détection d’erreurs matérielles, de
fraudes, d’actes illégaux
190
Revoir le champ d‟intervention de l‟audit et l‟approche
Le reviseur doit pouvoir avoir accès au comité:
 En cas d’éventuelles restrictions imposées par la direction dans le cadre de
sa mission
 La survenance de problèmes importants et nécessitant une communication
immédiate (fraudes, malversations, systèmes comptables défaillants, …)

191
Analyser les constatations de l‟audit des états financiers
Réunion du comité d’audit, de la direction et du reviseur afin de
présenter les états financiers et les constatations d’audit
Le reviseur doit pouvoir présenter les recommandations sur le
contrôle interne. Le comité doit interroger la direction sur les
mesures correctrices mises/à mettre en oeuvre
Le comité d’audit doit également s’assurer du suivi des
recommandations émises lors des exercices précédents
Ces discussions doivent avoir lieu avant la publication des
comptes
Le comité « Blue Ribbon » recommande que le comité d’audit
aborde avec le reviseur la question de la qualité des règles
comptables adoptées par l’entreprise
192
Analyser la performance des reviseurs
Critères pris en compte
 Capacités professionnelles du reviseur et des collaborateurs impliqués
 L’approche d’audit
 La connaissance de l’entreprise et de ses processus
 La couverture géographique (dans le cas de groupe multinationaux)
Le comité d’audit va également fonder son jugement sur base
d’informations qu’il demandera à la direction (CFO et
collaborateurs, Responsable de l’audit interne, …). Il devra s’assurer
que les informations obtenues sont fiables et objectives
Le comité d’audit doit également revoir les honoraires et
éventuellement les honoraires liés à d’autres travaux fournis par le
reviseur ou un service lié à la société d’audit
Dans le cas de renouvellement du mandat ou de nouvelle
nomination, le comité d’audit doit pouvoir émettre un avis
193
Considérer l‟indépendance des reviseurs
Le comité d’audit doit aborder la question de l’indépendance du
reviseur par rapport à d ’autres services fournis (conseils en
management, fiscalité, juridiques, …)

194
La situation en Belgique
 Recommandations de l’autorité de marché de la Bourse de
Bruxelles élaborées par la Commission Belge du Corporate
Governance (Commission Cardon) - 1998
 Recommandations de la Commission bancaire et financière
quant aux informations sur le corporate governance à publier
dans les rapports annuels - 1998
 FEB - Recommandations en matière de corporate governance
- 1998
 Les directives de la CBF et de l’OCA dans les secteurs
bancaires et d’assurances
195
La commission Cardon sur le corporate governance
Système d ’adhésion et non de contrainte
Approche dite « comply or explain » (satisfaire ou expliquer)
 Exposer dans le rapport annuel les circonstances ou les raisons spécifiques
expliquant une attitude divergente par rapport aux directives
 Au titre 4 - Information et contrôles : 4.3
• « La Commission Belge du Corporate Governance recommande de
mettre en place un comité d ’audit composé au moins de trois
administrateurs non exécutifs, dont l’ordre de mission précise
clairement les pouvoirs et les obligation »

196
Les recommandations de la Commission Cardon
a « Les comités d’audit devraient formellement être constitués au
sein du conseil, auquel ils doivent répondre et faire rapport
régulièrement; leurs attributions devront être communiquées par
écrit, en ce qui concerne la composition des comités, leurs
pouvoirs et leurs obligations; ils devront se réunir au moins
deux fois par an ».
b « Tous les membres devrait être des administrateurs non-
exécutifs, la majorité d’entre eux devraient être des
administrateurs indépendants au sens de la règle 2.2 du présent
code ».
c « Le comité d’audit devrait rencontrer les auditeurs internes et
externes (y compris les commissaires reviseurs) au moins une
fois par an. Cette rencontre peut avoir lieu en l’absence de la
direction pour s’assurer qu’il ne subsiste aucun sujet de
préoccupation non résolu ».
197
Les recommandations de la Commission Cardon
d « Le comité d’audit devrait avoir le pouvoir explicite d’enquêter
dans toute matière qui relève de ses attributions, disposer des
ressources nécessaires à cette fin et de l’accès à toute
l’information. Le comité devrait pouvoir demander des avis
d’experts internes et externes et, le cas échéant, inviter des
experts externes à assister au réunions, compte tenue de la
procédure définie au point 1.6 ».
e « La composition du comité devrait être publiée dans le rapport
annuel ».
198
Recommandations de la CBF quant aux informations sur le corporate
governance à publier dans les rapports annuels
Comités créés par le conseil d ’administration
 « Indication des éventuels comités créés par le conseil d’administration
(autres que ceux visés au point 4 - gestion journalière), de leur
composition, de leurs attributions, de leur mode de fonctionnement et de
leur fréquence de réunions (exemples : bureau du conseil, comité
stratégique, comité d’audit, comité des nominations, comité des
rémunérations, …) ».
199
Recommandations de la FEB en matière de corporate governance

Recommandations publiées en 1998
 Inspirée de Cadbury et vise essentiellement les grandes sociétés et
sociétés cotées
 Adoption sur base volontaire
« 4.3 Le conseil d'administration doit exercer une fonction
d'audit. Il peut constituer à cette fin un comité d'audit dont il
arrête la composition et la mission. »
 « S'il y a un comité d'audit, il devrait répondre aux règles suivantes »:
• « a ) Il est une émanation du conseil d'administration devant lequel il
est responsable et devant lequel il rend régulièrement compte de sa
mission. Il se réunit au moins deux fois l'an ».
• « b) La composition du comité est arrêtée par le conseil
d'administration.Il veillera à ce qu'il comprenne des administrateurs
non exécutifs et des administrateurs indépendants ...».
200
Recommandations de la FEB en matière de corporate governance

 « S'il y a un comité d'audit, il devrait répondre aux règles suivantes »:
• « c) Les commissaires-réviseurs et, lorsqu'il y en a, le responsable de
l'audit interne ainsi que le directeur financier, devraient assister aux
réunions du comité.Ces réunions sont également ouvertes à tous les
administrateurs qui le souhaitent ».
• « d) Le comité devrait entendre les commissaires-réviseurs au moins
une fois par an en-dehors de la présence des administrateurs
exécutifs ».
• « e) Le comité possède les pouvoirs d'investigations les plus larges
dans son domaine, et peut par une décision majoritaire faire appel à
des professionnels extérieurs à la société et les faire assister le cas
échéant à ses réunions ».
• « f) La composition du comité est publiée dans le rapport de gestion et
le président du comité répond aux questions qui lui sont posées à
l'assemblée générale au sujet de l'activité du comité ».
201
Avis et Recommandations de la
Commission bancaire et financière
202
Internal control
Internal audit
Supervision by auditor
Supervision by CBF
Conception et pratique du contrôle prudentiel
Les cercles concentriques du contrôle prudentiel
Rapport CBF 1996-1997 pp 26-31
203
L‟importance du contrôle interne
Le contrôle interne :

Exigence de management

Exigences légales/statutaires/prudentielles dans
certains secteurs

Stratégie d’audit
204
Exigences de management
Le management ne peut se fier uniquement aux
contrôles traditionnels pour protéger la “shareholder
value”.

Les contrôles “soft” ainsi que les mécanismes de “risk
management” sont les fondements d’un système de
contrôle interne intégré.
205
Exigences légales, statutaires et prudentielles
Circulaire du 6 avril 1987
 CBF formulait une série de recommandations
relatives à l’exercice de la fonction d’audit
interne

Loi du 22 mars 1993 sur le statut et le
contrôle des établissements de crédit
 Article 20 instaure l’obligation d’une
organisation administrative et comptable
appropriée et de procédures de contrôle
interne adéquates

206
Exigences légales, statutaires et prudentielles
Protocole sur l’autonomie de la fonction bancaire
Circulaire D1 97/4 du 30 juin 1997 sur le contrôle
interne et l’audit interne + Lettre circulaire D1/1690 du
9 juin 1998
 8 grands principes traitant :
• contrôle interne
• audit interne
• comité d’audit permanent - à ce sujet cfr. section
spécifique : Le comité d’audit
Circulaire D1 99/1 du 12 mars 1999 sur les modalités
du trialogue entre les Auditeurs Internes, les reviseurs
agréés et la Commission
207
Exigences légales, statutaires et prudentielles
Circulaire D1 99/2 du 16 avril 1999 sur la synergie
CBF-reviseur-audit interne

208
Autres exigences que celles de la CBF (pas exhaustif)
“Framework for internal control systems in banking
organisations » - Basle Committee on Banking
Supervision - September 1998
Recommandations en matière de “Corporate
Governance” pour les sociétés cotées
 Rapport de la Commission « Cardon »
• “Le conseil devrait veiller à ce que la direction développe
et mette en oeuvre les instruments nécessaires afin
d’assurer un contrôle interne suffisant et efficace”
 Cadbury/Hampel/Turnbull - Combined Code (Septembre 99)
Rapport du commissaire-reviseur sur l’adéquation du
contrôle interne

209
Contrôle interne
Principe 1
 Le conseil d'administration doit :
• vérifier l’adéquation du contrôle interne
• stimuler une attitude positive à l’égard du contrôle

Principe 2
 Le comité de direction doit :
• mettre en place un contrôle interne adéquat
• procéder à son évaluation
• informer le conseil d’administration de l’état de la
situation (le cas échéant par l’intermédiaire du comité
d’audit)
210
Audit interne
Principe 3
 Le comité de direction doit
• prendre les mesures pour que l’établissement
dispose en permanence d’une fonction d’audit
adéquate

211
Audit interne
Principe 4
 Le service d’audit interne
• est indépendant
– rapporte directement au comité de direction
– a la faculté d’informer directement le conseil
d'administration et le comité d’audit
• dispose d’un statut approprié défini par la charte
d’audit
– objectif et portée de la fonction
– la place dans l’organisation, les compétences et
responsabilités
• exécute ses missions avec impartialité
– ne peut pas être impliqué dans les tâches opérationnelles
212
Audit interne
Principe 5
 La compétence de chaque auditeur et du service d’audit
interne dans son ensemble est essentielle
• motivation et formation permanente
• compétence individuelle appréciée en fonction des
missions
• compétence dans son ensemble
• rotation des tâches pour éviter l’accoutumance
• recours à des experts externes et sous-traitance
– Indépendance par rapport au commissaire-reviseur agréé
213
Audit interne
Principe 6
 Chaque activité et chaque entité de l’établissement entrent
dans le champ d’investigation du service d’audit interne
• examen et évaluation de l’adéquation du contrôle
interne
• l’audit interne vérifie :
– le respect des politiques
– la maîtrise des risques
– la fiabilité de l’information financière, de gestion, de reporting
externe
– la continuité et la fiabilité des systèmes d’information
– le statut légal de contrôle
214
Audit interne
Principe 7
 Le travail d’audit comprend l’établissement d’un plan
d’audit, l’examen et l’évaluation de l’information
disponible, la communication des résultats et leur suivi
• Le plan d’audit détermine les objectifs à atteindre
• Ces objectifs peuvent nécessiter différentes méthodes
– Audit de conformité, Audit financier, Audit opérationnel
– Audit de gestion / management
• Programme de travail
• Documents de travail
• Rapport écrit
• Suivi
215
Audit interne
Principe 8
 Le responsable du service d’audit interne dirige son service
de manière adéquate
• Respect des principes édictés par la CBF
• Il est responsable de l’établissement
– de la charte d’audit interne
– d’un plan d’audit pluriannuel fondé sur une analyse méthodiques des
risques
– de politiques et procédures écrites en matière d’audit interne
• Communication au comités de direction et de surveillance
– rapport d’activité, résumé des recommandations & état du suivi
• Tout remplacement du responsable de l’audit interne doit être notifié à la
CBF
216
Comité d‟audit
Le protocole de l’autonomie de la fonction bancaire
 « Le conseil peut, s’il le souhaite, se faire assister par un comité d’audit
composé d’administrateurs non membres du comité de direction ».
 « le comité d’audit a pour but de faciliter l’exercice effectif de la
surveillance par le conseil d’administration. Il fonctionne soit sur une
base permanente, soit dans le cadre de l’examen d’un problème
particulier ».
 « De la même manière que le conseil lui-même, le comité d’audit peut à
tout moment demander au comité de direction ou aux reviseurs des
rapports spéciaux sur tous aspects de l’activité de la banque. Il peut se
faire produire tout renseignement ou document utile et faire procéder à
toute investigation. Il peut notamment faire appel au service d’audit
interne de la banque, celui-ci demeurant toutefois sous la dépendance
hiérarchique du comité de direction. Le comité d’audit fait régulièrement
rapport au conseil d’administration. Son rôle ne peut en aucune façon
faire double emploi avec celui de l’audit interne ni s’y substituer ».
 « Au cas où la banque souhaite créer un comité d’audit, elle consulte
préalablement la CBF au sujet de la définition des fonctions de ce comité
et sa composition ».
217
Comité d‟audit
Recommandation
 Le comité d’audit permanent
• réponse adéquate aux difficultés de
l’exercice collégial de la mission de
surveillance
• renforce le contrôle interne et l’audit
interne
• fortement recommandé lorsque
l’institution encoure des risques nombreux
et complexes
 Consultation préalable de la CBF avant la
mise en place d’un tel comité
218
Comité d‟audit
Charte du comité d’audit déterminant
• composition
• compétence
• fonctionnement
• modalités de rapport au conseil d’administration
Composition
 Au moins 3 administrateurs non membres du comité de
direction
 Sans en être membres, participent également aux réunions :
• le président du comité de direction
• l’auditeur interne
• le commissaire-reviseur agréé
219
Comité d‟audit
Compétences
 Il peut
• faire produire tout document ou renseignement
• faire procéder à des investigations
– fait appel à l’audit interne
 Il doit
• faire rapport régulièrement au conseil d’administration
 Il ne peut pas
• se substituer à l’audit interne
– double emploi
l’audit interne demeure sous la dépendance
hiérarchique du comité de direction
220
Comité d‟audit
Champ d’action (en matière d’audit interne)
 Favoriser la communication entre :
• membres du conseil d’administration
• membres du comité de direction
• l’audit interne
• les commissaires-reviseurs agréés
• la CBF
 Valider la charte d’audit
 Valider le plan d’audit et les moyens engagés
 Prendre connaissance du rapport d’activité
 Prendre connaissance des principales recommandations et de
leur suivi
221
Comité d‟audit
Champ d’action (suite)
 Le commissaire-reviseur agréé doit lui exposer son
programme d’audit et faire part de ses conclusions et
recommandations
 Délibération régulière sur :
• l’état du contrôle interne
• le fonctionnement du service d’audit interne
• l’information financière externe en ce compris
– le respect des dispositions légales et statutaires
 Avis au conseil d’administration lors de la nomination du
commissaire-reviseur agréé
222
La Collaboration entre les reviseurs,
les auditeurs internes et la CBF
223
Relations audit interne et externe
EVOLUTION HISTORIQUE
1950
AUCUNE
COOPERATION
1970
ASSISTANCE DE
L’AUDIT INTERNE
1990
COLLABORATION
MUTUELLE
DES AUDITEURS
1999
SYNERGIE CBF-
REVISEURS-
AUDIT INTERNE
224
Différences audit interne et externe
MANDATAIRES
•CONSEIL
•DIRECTION
•COMITE D’AUDIT
•LEGISLATEUR
•ACTIONNAIRE
•COM. BANCAIRE
DOMAINES
D’INTERVENTION
SURVEILLANCE
PRODUIT FINAL
DETECTION DES FRAUDES
•FINANCIER
•OPERATIONNEL
•GESTION
•PLANS
•PROCEDURES
•REGLEMENT.
•INTEGRITE
•ECONOMIE
•EFFICIENCE
•FINANCIER
•COMPTABLE
•REGLEMENT.
•LOIS COMM.
•REGLES COMPT.
•REGLEMENT.
•COMPTES ANNUELS
•REGLEMENT.
RECOMMANDATIONS ATTESTATIONS
? ?
AUDIT INTERNE AUDIT EXTERNE
225
Détection des fraudes
RESPONSABILITES MAL DEFINIES
 RESPONSABILITE ULTIME
 ADMINISTRATEURS
 SI COMPTES ERRONES
 COMMISSAIRE?

FRAUDES
FAILLITES
BANCAIRES
FDIC
IMPROVEMENT
ACT (USA)
= EXAMEN ANNUEL DES CONTROLES INTERNES DES BANQUES > 150 M $
EXECUTER PAR AUDIT INTERNE OU EXTERNE
+ ATTESTATION DES COMMISSAIRES DE LA QUALITE ET DES RESULTATS DE L’EXAMEN
AUDIT INTERNE?
226
Relations audit interne et externe
NORMES DISPONIBLES
AUDITEURS INTERNES
SIAS 5 “INTERNAL AUDITOR’S RELATIONSHIP WITH
INDEPENDANT OUTSIDE AUDITORS”

AUDITEURS EXTERNES
ISA 10 “CONSIDERING THE WORK OF INTERNAL
AUDIT”

REVISEURS D’ENTREPRISES
RECOM. “UTILISATION DU TRAVAIL D’UN SERVICE
D’AUDIT INTERNE”
PAS DE NORMES SUR COOPERATION
227
Relations audit interne et externe
AUDIT INTERNE - SIAS 5
EFFICACITE
COLLABORATION SOUHAITEE POUR ECONOMIE
EFFICIENCE
 EFFICACITE = NECESSITE DE COMMUNICATION
 ERREURS ET FAIBLESSES
 ACTES ILLEGAUX
 RESTRICTIONS DES TRAVAUX & DESACCORDS
 ECONOMIE = NECESSITE DE RECONNAISSANCE
 PLANS D’INTERVENTION
 ACCES AUX DOSSIERS & ECHANGE DE RAPPORTS
 EFFICIENCE = NECESSITE DE COORDINATION
 CHOIX DE NORMES COMMUNES POUR TRAVAUX COMMUNS
{
228
Relations audit interne et externe
AUDIT EXTERNE - ISA 10
RAPPORTS
COMMISSAIRE SEUL RESPONSABLE TRAVAUX
DELEGATION
CONDITIONS DE COLLABORATION

ETENDUE DES TRAVAUX

EVALUATION
COMPETENCES


QUALITE


INDEPENDANCE



BANCAIRES
AUDIT
BANCAIRES
AUDIT
{
{
SI SATISFAISANTE
PLANIFICATION
SONDAGES LIMITES
229
Collaboration audit interne et externe
BENEFICE MUTUELS

POUR L’AUDIT EXTERNE
AMELIORATION DES CONNAISSANCES
 ORGANISATION INTERNE
 OPERATIONS EXTERNES
INTRODUCTION FACILITEE DANS LA
BANQUE
CONCENTRATION SUR RISQUES
PRIORITAIRES
OUVERTURE MULTIDISCIPLINAIRE
}
DE LA BANQUE
230
Collaboration audit interne et externe
BENEFICES MUTUELS

POUR L’AUDIT INTERNE
APPORT D’EXPERIENCES EXTERNES
INFORMATION REGLEMENTAIRE CONTINUE
COMPREHENSION DES OBJECTIFS DE REVISION
TECHNIQUE DE GESTION DES RISQUES

POUR L’AUDIT EXTERNE ET INTERNE
PLUS DE DUPLICATIONS

231
Collaboration audit interne et externe
COMMENT L’AMELIORER?
 COMBATTRE LES IDEES PRECONCUES
SEPARATION RECONNAISSANCE
HISTORIQUE MUTUELLE

 LOCALISER LES CONTROLES A LEUR SOURCE
“DO IT YOURSELF” CONTROLES PAR LES
USAGERS (CSA)

 IDENTIFIER LES ECONOMIES COMMUNES
ATTITUDE ATTITUDE
“ENQUETEUR” “GESTIONNAIRE
“RAPPORTEUR” DES RISQUES”
232
D1 99/1 nouvelles instructions aux reviseurs agréés
1. Cadre
 Circulaire abordant le 3ème cercle concentrique
 Clarification du rôle du reviseur agrée afin d’améliorer l’efficacité du
contrôle prudentiel
 2. Principales innovations
 Collaboration entre les différents cercles
• “trialogue”
• objectif = optimaliser la collaboration
233
D1 99/2 : Synergies CBF- reviseurs - auditeurs internes
1. Introduction
 Les cercles concentriques du modèle de contrôle prudentiel
• Confiance mutuelle entre les différentes parties intéressées
 CBF entend mettre en oeuvre des synergies fondées sur des
principes clairement énoncés



234
D1 99/2 : Lignes de forces
Ligne de force 1 :
 Dans l’intérêt d’un contrôle bancaire adéquat et en vue de
parvenir à une synergie optimale, la CBF, les reviseurs agréés
et l’audit interne s’efforcent d’améliorer leur collaboration et
leur interaction
Ligne de force 2 :
 Le surveillance interne exercée par l’établissement de crédit
lui-même s’appuie sur le contrôle interne et l’audit interne.
Dans ces domaines, la Commission s’attache à formuler les
bonnes pratiques bancaires et veille à leur suivi

235
D1 99/2 : Lignes de forces
Ligne de force 3 :
 La collaboration entre le reviseur et la Commission repose sur
le principe que les tâches du reviseur, en tant que
collaborateur du contrôle prudentiel, doivent constituer le
complément de sa mission de droit privé
Ligne de force 4 :
 La Commission encourage la collaboration et la concertation
entre les groupes professionnels des reviseurs agréés et des
auditeurs internes. Elle tient à être tenue informée de cette
concertation
236
D1 99/2 : Lignes de forces
Ligne de force 5 :
 Le contrôle exercé par la Commission comprend tant des
examens sur place que des inspections. Les inspections seront
de préférence, mais non exclusivement axées sur les
domaines dans lesquels la CBF dispose d’indications laissant
présumer un risque accru. Des inspections peuvent également
être effectuées pour examiner, dans plusieurs établissements,
la même activité ou un aspect de celle-ci (inspections dites
thématiques ou horizontales)
237
D1 99/2 : Lignes de forces
Ligne de force 6 :
 Dans l’exercice de son contrôle, la Commission s’appuie sur
la concertation périodique entre ses services et le responsable
du service d’audit interne. La Commission recommande en
outre qu’au niveau du secteur, une concertation structurée
prenne place entre les auditeurs internes, dans le but
d’échange d’information
Ligne de force 7 :
 La collaboration entre la CBF, les reviseurs et les auditeurs
internes prend appui sur une concertation périodique entre les
parties concernées, tout en maintenant les responsabilités de
chacune d’elles


238
COSO et la mise en place de structures
intégrées de « risk management »
239
Architecture de “risk management"
240
Evolution
Environnement où l’auto-contrôle joue un rôle
prépondérant
 CSA/CRSA - « control/risk self assessment »
 Processus de remise en question continue
 Auditeur interne facilite et supervise le processus
• Valeur ajoutée de l’audit interne
241
Mission
Le concept “Enterprise-Wide Risk Architecture”
242
Les méthodes conventionnelles pour gérer les risques ne
permettent qu‟une appréhension fragmentée
Pourquoi une architecture ?
243
Stratégie
“Risk Process”
Infrastructure
Environnement
L‟architecture de risque met à disposition une approche permettant d‟identifier,
évaluer, améliorer, rapporter et prendre les mesures de corrections nécessaires à
l‟égard de tous les risques présents au sein d‟une entreprise
Une architecture de risque
244
1. L’engagement du Senior Management
2. Des langages et des processus communs
3. Un responsable du Risk Management et du processus
de changement
4. Un processus assurant un risk management continu
5. Une communication et une formation adéquats
6. Des instruments de mesure
7. Renforcement via des mécanismes HR
8. Suivi du processus de risk management
Les éléments nécessaires à la mise en oeuvre d‟une architecture
245
Appliquer les mêmes principes au sein du groupe
Approche
consistante
96
1. L’engagement du Senior Management
1. 1. L’engagement du Senior Management L’engagement du Senior Management
2. Des langages et des processus communs
2. Des langages et des processus communs 2. Des langages et des processus communs
3. Un responsable du Risk Management et du processus
de changement
3. Un responsable du Risk Management et du processus 3. Un responsable du Risk Management et du processus
de changement de changement
4. Un processus assurant un risk management continu
4. Un processus assurant un risk management continu 4. Un processus assurant un risk management continu
5. Une communication et une formation adéquats
5. Une communication et une formation adéquats 5. Une communication et une formation adéquats
6. Des instruments de mesure
6. Des instruments de mesure 6. Des instruments de mesure
7. Renforcement via des mécanismes HR
7. Renforcement via des mécanismes HR 7. Renforcement via des mécanismes HR
8. Suivi du processus de risk management
8. Suivi du processus de risk management 8. Suivi du processus de risk management
Les éléments nécessaires à la mise en oeuvre d‟une
architecture
246
Déterminer les objectifs et les catégories de risque
Economique
Politique
Juridique
Technologique
Compétition
Change
Stagnation des marchés
Fournisseurs
Marché
Sécurité/fraude
Stratégie
Changement IT
Personnel
Réputation/media
Production
Achats
Finance et reporting
“Working capital”
management
Management information
Contrôles financiers
247
Etablir des cartographies de risque pour chaque entité
248
Outils de mise en oeuvre
249
Risk assessment and Analysis
Organization
& Culture
Processes
RISK





Mission clarity
Accountability
Documentation
Communication
Monitoring
“Soft Controls”
“Hard Controls”
250

Risk
People&Culture
BusinessProcess
Define
Objectives
ActionPlanning/
Accountabilities
Assess
Risks
Analyze
Controls
Control CultureSurvey
Missionclarity
Accountability
Documentation
Communication
Monitoring
Objective, Risk&
Control Alignment
FCASession
"Soft Controls"
"HardControls"
Methodology
“Facilitated Control Assessment”
In FCA sessions, business processes are analysed along two dimensions of risk :
251


Control Culture
Survey
ProcessMap
Review
DefineObjectives
ActionPlanning/
Accountabilities
AnalyzeControls
Reporting/
Follow-up
FCASession
SessionFlow
AssessRisks
Control Education
“Facilitated Control Assessment”
FCA relies upon a consistent application of CSA and ORCA methodologies
but session structure is highly flexible
252

“Facilitated Control Assessment”
253
“Groupsystems”
Electronic decision
conferencing software
Flexible, anonymous,
democratic
Standard agenda but
flexible
Ranking of key risks
Client then selects top
3-5 for action planning
Actions prioritized
254

Anonymously brainstorming, ranking and voting.
“Groupsystems”
255

“Groupsystems”
Anonymously brainstorming, ranking and voting.
256

Anonymously brainstorming, ranking and voting.
“Groupsystems”
257

Action
Planning
and
Reporting
Key Actions
Issues Analysis
Enterprise
Employee
Dept/Process
BU/Group
ORCA-
Objectives
Risks and
Control
Alignment
Risk &
Control
Survey
“Risk management architecture capturing tools”
258
“Risk management architecture capturing tools”
Leads management through a proven methodology and
framework for business risk and control assessment.
Provides an automated medium for performing an overall control
system evaluation based on the best practice of the COSO
integrated framework, applicable to all levels of an organization.
Provides an efficient platform for planning and executing
assessment of business objectives, risks and controls and
alignment at all levels of an organization, including specific
business processes.
Manages data and information emanating from risk and control
assessment projects for productive use by the organization.
Facilitates action toward risk management and control
improvement.
259
Comment automatiser le processus?
SABRA : “Self Assessment Based Risk Analysis”
260
Comment automatiser le processus?
261
Comment automatiser le processus?
262
Annexes

Autres cadres de référence :

•KonTraG (D)

•“The Combined Code” - Cadbury, Hampel, Turnbull (UK)

263
KonTraG (Allemagne)
Nouvelle législation sur le contrôle et la transparence (Kontroll- und
Transparenzgesetz)
Effective pour les exercices débutant après le 31 décembre 1998
KonTraG est une consolidation des changements apportés aux différentes
réglementations existantes
Différents types d’entreprises sont affectées: AG and GmbH
Vise également les filiales étrangères si ces dernières ont un impact potentiel
sur le système de “risk management” de la maison mère
La notion de risque est toutefois limitée au danger
Risque selon KonTraG =
“la possibilité qu’une activité économique fasse l’objet
d’une moins-value, subisse des pertes ou soit
confrontée à tout autre désavantage économique”
264
KonTraG (Allemagne)
Meilleure définition des rôles respectifs et des mesures de ségrégation des
tâches en application des principes de corporate governance
Obligation de mettre en oeuvre un système adéquat de contrôle des risques et
d’un “early warning system” (comprenant l’identification du risque et son
évaluation mais pas les mesures à mettre en oeuvre)
Reporting spécifique dans les états financiers sur les risques pouvant affecter le
développement futur de l’entreprise
Considérations sur l’utilité d’un département d’audit interne agissant en tant
que risk manager
Obligation du reviseur d’entreprises de procéder à l’examen et l’évaluation de:
 L’adéquation et l'efficacité du système de contrôle des risques (uniquement pour les
sociétés cotée en bourse
 Du fonctionnement de l’audit interne en tant que risk manager
 Rapport sur les risques pouvant affecter l’avenir de l’entreprise
265
Cadbury (Royaume Uni)
Rapport Cadbury fut publié en 1992 et visait à promouvoir un code des
pratiques de référence (Best Practices) en matière corporate governance.
Cadbury recommandait que les administrateurs établissent un rapport sur les
mesures adoptées quant à la mise en oeuvre des règles de corporate
governance :
 Reconnaissance par les administrateurs du fait qu’ils sont responsables du système
de contrôle interne en place au sein de l’entreprise
 Explication qu’un tel système ne peut procurer une certitude absolue contre les
erreurs matérielles pouvant figurer dans les états financiers
 Description des principales procédures mise en place afin d’assurer un système de
contrôle interne efficace
 Confirmation par les administrateurs (ou le conseil d’administration) qu’ils ont
procédé à la revue de l’efficacité du système de contrôle interne
266
Hampel/Turnbull (Royaume Uni)
Combined Code publié en juin 1998 en y incluant les travaux de Cadbury
Développements récents : “Turnbull requirements on Board’s statement on
internal control in the annual report” (septembre 1999)
 Applicable à toute entreprise coté au LSE
• Obligation de s’y conformer au terme de l’exercice 2000
• Les sociétés doivent rapporter si elles se conforment aux obligations du Code
et elles doivent décrire les mesures mise en oeuvre en application des
principes du Code
 “Internal Control - Guidance for Directors on the Combined Code”
• Sur l’importance du contrôle interne et du risk management

267
Hampel/Turnbull (Royaume Uni)
Rapport de gestion annuel du conseil d'administration doit aborder les points
suivants :
 Les changements depuis la dernière évaluation
 La nature des risques en présence et l’aptitude de l’entreprise à pouvoir les contrer
 L’étendue et la qualité du système de contrôle permanent des risques et du
système de contrôle interne
 L’étendue et la fréquence de la communication au conseil des résultats afférents à
ces contrôle
 L’efficacité du système de gestion des risques
 L’incidence des défaillances des principaux contrôles
 L’efficacité du système de communication auprès des investisseurs
268
Annexes
269
Annexes
 Internal control - Integrated framework - Executive Summary - September 1992,
Committee of Sponsoring Organizations of the Treadway Commission
 Institut des Reviseurs d’Entreprises - Le gouvernement d’entreprise et le commissaire-
reviseur - Réflexions et opinions - numéro 5/1996 (extraits)
 Framework for internal control systems in banking organisation - Basle Committee on
Banking Supervision - Basle September 1998
 ISA 10 - Considering the work of internal audit
 IRE - Recommandation relative à l’utilisation du travail d’un service d’audit interne
 Rapport CBF 1996-1997 - extraits : Conception et pratique du contrôle prudentiel
 Circulaire CBF D1 97/4 du 30 juin 1997 sur le contrôle interne et l’audit interne
 Circulaire CBF D1/1690 du 9 juin 1998 sur le contrôle interne et l’audit interne -
Questionnaire sur le contrôle interne et l’audit interne
 Circulaire CBF D1 99/2 du 16 avril 1999 sur la synergie CBF-reviseurs-audit interne