Vous êtes sur la page 1sur 264
AUDIT INTERNE EN BANQUE
AUDIT INTERNE EN BANQUE

6 décembre 2000

AUDIT INTERNE EN BANQUE 6 décembre 2000 1 Denis Caprasse Karin Maquet

1

Denis Caprasse Karin Maquet

AUDIT INTERNE EN BANQUE 6 décembre 2000 1 Denis Caprasse Karin Maquet

Table des matières

Evolution de la fonction d‟audit interne

L ‟environnement de l‟auditeur interne en banque

Contrôle interne : cadre de référence COSO

La notion de risque

Relations entre COSO et l‟approche d‟audit

Organisation d‟une banque

La stratégie d‟audit et sa réalisation

COBIT - un cadre de référence intégré pour évaluer les systèmes d‟information

Le comité d‟audit

Avis et recommandations de la Commission bancaire et financière

La Collaboration entre les reviseurs, les auditeurs internes et la CBF

COSO et la mise en place de structures intégrées de « risk management »

les auditeurs internes et la CBF  COSO et la mise en place de structures intégrées

2

les auditeurs internes et la CBF  COSO et la mise en place de structures intégrées

Evolution de la fonction

Evolution de la fonction d‟audit interne 3

d‟audit interne

3

Evolution de la fonction d‟audit interne 3

Audit interne : évolution historique

AVANT-HIER

HIER

AUJOURD’HUI

: évolution historique AVANT-HIER HIER AUJOURD’HUI UN MAL NECESSAIRE DESIR DE CHANGEMENT AUDIT PARTICIPATIF LES
: évolution historique AVANT-HIER HIER AUJOURD’HUI UN MAL NECESSAIRE DESIR DE CHANGEMENT AUDIT PARTICIPATIF LES
: évolution historique AVANT-HIER HIER AUJOURD’HUI UN MAL NECESSAIRE DESIR DE CHANGEMENT AUDIT PARTICIPATIF LES

UN MAL NECESSAIRE

DESIR DE CHANGEMENT

AUDIT PARTICIPATIF

LES NOUVELLES TENDANCES

LES DEFIS DU FUTUR

HIER AUJOURD’HUI UN MAL NECESSAIRE DESIR DE CHANGEMENT AUDIT PARTICIPATIF LES NOUVELLES TENDANCES LES DEFIS DU

4

HIER AUJOURD’HUI UN MAL NECESSAIRE DESIR DE CHANGEMENT AUDIT PARTICIPATIF LES NOUVELLES TENDANCES LES DEFIS DU

L‟audit interne avant-hier

L‟audit interne avant -hier MARCHE AUDITEUR DEPARTEMENT AUDIT  Faible concurrence  Produits traditionnels 

MARCHE

AUDITEUR

DEPARTEMENT AUDIT

Faible concurrence

Produits traditionnels

Gestion patriarcale

“Mal nécessaire”

Policier et pompier

Redoute des “audités”

Cherche les erreurs

Pas d’embauche sélective

Peu d’autonomie

Sans accès hiérarchique élevé

Budgets limités & Missions routinières

5

 Peu d’autonomie  Sans accès hiérarchique élevé  Budgets limités & Missions routinières 5

L‟audit interne d‟hier

L‟audit interne d‟hier MARCHE AUDITEUR DEPARTEMENT AUDIT  Concurrence accrue  Croissance volumes et produits

MARCHE

AUDITEUR

DEPARTEMENT AUDIT

Concurrence accrue

Croissance volumes et produits

Développements informatiques

Distinct de l’inspecteur

Spécialisation professionnelle

Prévention

Qualité

professionnelle  Prévention  Qualité ; détection ; quantité  Auditeur du management 

; détection

professionnelle  Prévention  Qualité ; détection ; quantité  Auditeur du management  Expert
professionnelle  Prévention  Qualité ; détection ; quantité  Auditeur du management  Expert
professionnelle  Prévention  Qualité ; détection ; quantité  Auditeur du management  Expert

; quantité

Auditeur du management

Expert impartial

Conseiller des directeurs

Banquier / Technicien Compétents

 Auditeur du management  Expert impartial  Conseiller des directeurs  Banquier / Technicien Compétents

6

 Auditeur du management  Expert impartial  Conseiller des directeurs  Banquier / Technicien Compétents

L‟audit interne aujourd‟hui

MARCHE

AUDITEUR

DEPARTEMENT AUDIT

interne aujourd‟hui MARCHE AUDITEUR DEPARTEMENT AUDIT  Concurrence multiple et diversifiée 

Concurrence multiple et diversifiée

Décentralisation des opérations

Réglementations en croissance

Délégation “forcée” des pouvoirs

“Problem solver”

Conscient des coûts

Validation de procédures

Collabore aux objectifs

Centré sur les risques

Soucieux de ses “clients”

Flexible et réactif

Grand utilisateur d’informatique

Soucieux de la formation

7

de ses “clients”  Flexible et réactif  Grand utilisateur d’informatique  Soucieux de la formation

Audit interne : Les défis du futur

QUALITE TOTALE

DISPARITION DE L’AUDIT?

Outsourcing - cosourcing

« Self controlled organisation » - systèmes de contrôle intégré avec auto-évaluation

EMERGENCE DE NOUVELLES MISSIONS?

EVOLUTION POSSIBLE DE LA FONCTION

SURVEILLANT

REACTIF

OBSERVATEUR

SEPARATISTE

DE LA FONCTION SURVEILLANT REACTIF OBSERVATEUR SEPARATISTE EFFETS SUR LES MISSIONS RISK MANAGER PREVENTIF EDUCATEUR
DE LA FONCTION SURVEILLANT REACTIF OBSERVATEUR SEPARATISTE EFFETS SUR LES MISSIONS RISK MANAGER PREVENTIF EDUCATEUR
DE LA FONCTION SURVEILLANT REACTIF OBSERVATEUR SEPARATISTE EFFETS SUR LES MISSIONS RISK MANAGER PREVENTIF EDUCATEUR
DE LA FONCTION SURVEILLANT REACTIF OBSERVATEUR SEPARATISTE EFFETS SUR LES MISSIONS RISK MANAGER PREVENTIF EDUCATEUR

EFFETS SUR LES MISSIONS

RISK MANAGER

PREVENTIF

EDUCATEUR AGENT DE COMMUNICATION

FOCALISATION SUR RISQUES ELEVES

PARTICIPATION AUX CHANGEMENTS

DISPONIBILITE POUR URGENCES

ACCENTUATION DU COUT/BENEFICE

RISQUES ELEVES  PARTICIPATION AUX CHANGEMENTS  DISPONIBILITE POUR URGENCES  ACCENTUATION DU COUT/BENEFICE 8

8

RISQUES ELEVES  PARTICIPATION AUX CHANGEMENTS  DISPONIBILITE POUR URGENCES  ACCENTUATION DU COUT/BENEFICE 8

L‟évolution du métier d‟audit interne

Reactive

L‟évolution du métier d‟audit interne Reactive Proactive Strategic Participating With Management Process Stand

Proactive

du métier d‟audit interne Reactive Proactive Strategic Participating With Management Process Stand

Strategic

Participating With Management Process Stand Alone Focus Audit Function Supporting Management Transaction
Participating With
Management
Process
Stand Alone
Focus
Audit Function
Supporting
Management
Transaction
Self-Assessments
Focus

Financial

reporting

Transaction Self-Assessments Focus Financial reporting Risk Exposure/Identification Enterprise Risk Management

Risk

Exposure/Identification

Focus Financial reporting Risk Exposure/Identification Enterprise Risk Management Internal Auditor Consultant

Enterprise Risk Management

Internal Auditor Consultant Business Enhancement/ Detection Efficiency Prevention
Internal Auditor
Consultant
Business
Enhancement/
Detection
Efficiency
Prevention
Enterprise Risk Management Internal Auditor Consultant Business Enhancement/ Detection Efficiency Prevention 9

9

Enterprise Risk Management Internal Auditor Consultant Business Enhancement/ Detection Efficiency Prevention 9

L‟évolution du métier d‟audit interne

Nouvelle définition de l’audit interne par le “Institute of Internal Auditors:”

“Internal audit is an objective assurance and consulting

activity that is independently managed within an organisation and guided by a philosophy of adding value to improve the

operations of the organisation.

It assists an organisation … to evaluate and improve the effectiveness of the organisation’s risk management, control,

and governance processes.”

evaluate and improve the effectiveness of the organisation’s risk management, control, and governance processes.” 10

10

evaluate and improve the effectiveness of the organisation’s risk management, control, and governance processes.” 10

L‟environnement

de l‟auditeur interne en banque

L‟environnement de l‟auditeur interne en banque 11

11

L‟environnement de l‟auditeur interne en banque 11

Conception et pratique du contrôle prudentiel

Les cercles concentriques du contrôle prudentiel

Supervision by CBF Supervision by auditor Internal audit Internal control
Supervision by CBF
Supervision by auditor
Internal audit
Internal control

Rapport CBF 1996-1997 pp 26-31

prudentiel Supervision by CBF Supervision by auditor Internal audit Internal control Rapport CBF 1996-1997 pp 26-31

12

prudentiel Supervision by CBF Supervision by auditor Internal audit Internal control Rapport CBF 1996-1997 pp 26-31

Le contrôle interne

Circulaire CBF D1 97/4 du 30 juin 1997 Le contrôle interne se définit généralement comme

l’ensemble des mesures qui, sous la responsabilité de la

direction de l’établissement de crédit doivent assurer avec une certitude raisonnable :

une conduite des affaires ordonnées et prudente, encadrée

d’objectifs bien définis;

une utilisation économique et efficace des moyens engagés;

l’intégrité et la fiabilité de l’information financière et celle relative à la gestion;

le respect des lois et règlements ainsi que des politiques

générales, plans et procédures internes

la gestion;  le respect des lois et règlements ainsi que des politiques générales, plans et

13

la gestion;  le respect des lois et règlements ainsi que des politiques générales, plans et

Le contrôle interne

Les éléments constitutifs

un environnement d’entreprise qui encourage une attitude

positive à l’égard du contrôle;

des objectifs suivi de l’identification des risques et de leur analyse

la mise en place de système d’information et de

communication ainsi qu’un reporting

la surveillance et l'évaluation régulière des mesures prises

et de communication ainsi qu’un reporting  la surveillance et l'évaluation régulière des mesures prises 14

14

et de communication ainsi qu’un reporting  la surveillance et l'évaluation régulière des mesures prises 14

Le contrôle interne

Responsabilité du conseil d’administration de vérifier l’adéquation du contrôle interne

Le comité de direction doit mettre en oeuvre un contrôle interne adéquat et procéder à son évaluation

L’audit interne est une fonction indépendante qui a

pour objet d’examiner et d’évaluer le bon fonctionnement, l’efficacité et l’efficience du contrôle interne

pour objet d’examiner et d’évaluer le bon fonctionnement, l’efficacité et l’efficience du contrôle interne 15

15

pour objet d’examiner et d’évaluer le bon fonctionnement, l’efficacité et l’efficience du contrôle interne 15

Le contrôle interne

La Commission bancaire et financière a transposé les principes énoncés dans le cadre de référence COSO

Comité de Bâle

“Framework for internal control systems in banking organisations” - Septembre 1998

• “Management oversight and control culture”

• “Risk recognition and assessment”

• “Control activities and segregation of duties”

• “Information and communication”

• “Monitoring activities and correcting deficiencies” Transposition des principes COSO

and communication” • “Monitoring activities and correcting deficiencies”  Transposition des principes COSO 16

16

and communication” • “Monitoring activities and correcting deficiencies”  Transposition des principes COSO 16

Contrôle interne

COSO ????

Contrôle interne COSO ???? 17

17

Contrôle interne COSO ???? 17

Contrôle interne :

cadre de référence COSO

Contrôle interne : cadre de référence COSO 18

18

Contrôle interne : cadre de référence COSO 18

COSO : les concepts fondateurs

COSO : les concepts fondateurs 19
COSO : les concepts fondateurs 19

19

COSO : les concepts fondateurs 19

Des risques accrus

Des risques accrus Globalisation “Empowerment” Plus forte délégation Outsourcing/Technologies décentralisées Des
Des risques accrus Globalisation “Empowerment” Plus forte délégation Outsourcing/Technologies décentralisées Des

Globalisation

Des risques accrus Globalisation “Empowerment” Plus forte délégation Outsourcing/Technologies décentralisées Des

“Empowerment” Plus forte délégation

Globalisation “Empowerment” Plus forte délégation Outsourcing/Technologies décentralisées Des structures

Outsourcing/Technologies décentralisées

forte délégation Outsourcing/Technologies décentralisées Des structures organisationnelles moins pyramidales Forces

Des structures organisationnelles moins pyramidales

Forces externes de changement

moins pyramidales Forces externes de changement Changement des facteurs de risque opérationnel 22

Changement des facteurs de risque opérationnel

22

de changement Changement des facteurs de risque opérationnel 22 Nécessitant un changement des pratiques opérationnelles

Nécessitant un changement des pratiques opérationnelles

de changement Changement des facteurs de risque opérationnel 22 Nécessitant un changement des pratiques opérationnelles

Des risques accrus

L'accroissement des risques opérationnels résulte de ces

changements

des risques opérationnels résulte de ces changements 12000 10000 8000 6000 4000 2000 0 1 2
12000 10000 8000 6000 4000 2000 0 1 2
12000
10000
8000
6000
4000
2000
0
1
2

Changement

L'enjeu : identifier ces risques à temps pour rester dynamique et augmenter la résistance de l'entreprise.

L'enjeu : identifier ces risques à temps pour rester dynamique et augmenter la résistance de l'entreprise.

23

L'enjeu : identifier ces risques à temps pour rester dynamique et augmenter la résistance de l'entreprise.

Un risque accru face à des procédures

de contrôle interne adaptées à une période révolue

Forces internes

Forces externes

Changements organisationnels Concurrence Gestion des Procédures de conformité et de contrôle Globalisation
Changements
organisationnels
Concurrence
Gestion des
Procédures de
conformité et
de contrôle
Globalisation
coûts
Réorganisation
des processus
Nouvelles
technologies
“Shareholder value and corporate governance”
coûts Réorganisation des processus Nouvelles technologies “Shareholder value and corporate governance” 24

24

coûts Réorganisation des processus Nouvelles technologies “Shareholder value and corporate governance” 24

… Et quelques exemples de scandales

… Et quelques exemples de scandales Robert Maxwell Fraudes Metallgeselleschaf Pertes sur positions spéculatives Comté

Robert Maxwell Fraudes

Metallgeselleschaf Pertes sur positions spéculatives

Comté d’Orange Pertes sur produits dérivés

Besoin d‟un contrôle accrû
Besoin
d‟un
contrôle
accrû

General Motors Ventes fictives

Groupe Crédit Lyonnais Pertes importantes

Sumitomo Positions non autorisées

Showa Shell Sekiyu f/x trading non autorisé

Barings Positions non autorisées

Daiwa $1 milliard de perte sur positions spéculatives

BCCI

Fraudes

25

United Way Pratiques de gestion douteuses

Daiwa $1 milliard de perte sur positions spéculatives BCCI Fraudes 25 United Way Pratiques de gestion

Nécessité d'une nouvelle culture du contrôle

Nécessité d'une nouvelle culture du contrôle Contrôles L'Entreprise Objectifs Risques 26
Contrôles L'Entreprise
Contrôles
L'Entreprise
Nécessité d'une nouvelle culture du contrôle Contrôles L'Entreprise Objectifs Risques 26
Nécessité d'une nouvelle culture du contrôle Contrôles L'Entreprise Objectifs Risques 26
Nécessité d'une nouvelle culture du contrôle Contrôles L'Entreprise Objectifs Risques 26
Nécessité d'une nouvelle culture du contrôle Contrôles L'Entreprise Objectifs Risques 26

Objectifs

Risques

26

Nécessité d'une nouvelle culture du contrôle Contrôles L'Entreprise Objectifs Risques 26

Une structure intégrée pour le contrôle interne

STRUCTURE INTEGREE POUR LE CONTROLE INTERNE

Committee of Sponsoring Organizations of the Treadway Commission

Commission Treadway formée en 1985

Commission Treadway publie le rapport en 1987 - demande un étude pour développer une structure intégrée pour le contrôle interne

Coopers & Lybrand a été sélectionnée pour mener l’étude et rédiger le rapport

•Rapport intitulé “Internal Control - Integrated Framework” est publié en septembre 1992

- Integrated Framework ” est publié en septembre 1992 Une perception plus étendue de la notion
- Integrated Framework ” est publié en septembre 1992 Une perception plus étendue de la notion
Une perception plus étendue de la notion de contrôle intégrant la gestion des risques par
Une perception plus étendue de la notion de contrôle intégrant la gestion des risques
par rapport aux objectifs de l’entreprise
plus étendue de la notion de contrôle intégrant la gestion des risques par rapport aux objectifs

27

plus étendue de la notion de contrôle intégrant la gestion des risques par rapport aux objectifs

Une structure intégrée pour le contrôle interne

Contenu du rapport COSO

“Executive summary” (septembre 92)

“Framework” (septembre 92)

“Reporting to external parties” (septembre 92)

“Addendum to reporting to external parties” (Mai 94)

“Evaluation tools” (septembre 92)

“Internal Control Issues in Derivatives Usage” (1999)

(Mai 94)  “Evaluation tools” (septembre 92)  “Internal Control Issues in Derivatives Usage” (1999) 28

28

(Mai 94)  “Evaluation tools” (septembre 92)  “Internal Control Issues in Derivatives Usage” (1999) 28

Une nouvelle perception du contrôle interne

Une nouvelle perception du contrôle interne Le Contrôle Interne est un processus, mis en œuvre par

Le Contrôle Interne est un processus, mis en œuvre par le conseil d’administration, la direction et les membres du personnel de toute entité économique ou administrative, en vue de fournir des assurances raisonnables sur les objectifs limités à :

•L’efficacité et l’efficience des opérations; •La fiabilité des documents et des rapports financiers; La conformité aux lois et règlements applicables

• La conformité aux lois et règlements applicables Committee of Sponsoring Organizations (COSO) of the Treadway

Committee of Sponsoring Organizations

(COSO) of the Treadway Commission - 1992

29

aux lois et règlements applicables Committee of Sponsoring Organizations (COSO) of the Treadway Commission - 1992

Le “cube” COSO

Le “cube” COSO 30
Le “cube” COSO 30

30

Le “cube” COSO 30

Interactions entre les différents éléments constitutifs

Interactions entre les différents éléments constitutifs 31
Interactions entre les différents éléments constitutifs 31

31

Interactions entre les différents éléments constitutifs 31

L‟environnement de contrôle

“The control environment sets the tone of the organisation and communicates management philosophy”

Donne le ton de l‟organisation

Intégrité Valeurs éthiques Compétences

• Intégrité • Valeurs éthiques • Compétences Transmet la philosophie de gestion • Responsabilité et

Transmet la philosophie de gestion

Responsabilité et responsabilisation Autorité Politique et développement des ressources humaines

• Responsabilité et responsabilisation • Autorité • Politique et développement des ressources humaines 32

32

• Responsabilité et responsabilisation • Autorité • Politique et développement des ressources humaines 32

L‟évaluation des risques

“Risk assessment is the effective management of change by the identification and analysis of relevant risks”

Identification et analyse des risques menaçant la réalisation des objectifs de l‟organisation •risques
Identification et analyse des
risques menaçant la
réalisation des objectifs de
l‟organisation
•risques stratégiques
•risques opérationnels
•risques organisationnels et
liés aux ressources humaines
Gestion du changement
•risques opérationnels •risques organisationnels et liés aux ressources humaines Gestion du changement 33

33

•risques opérationnels •risques organisationnels et liés aux ressources humaines Gestion du changement 33

Les activités de contrôle

“Control activities are procedures to implement and manage objectives”

Procédures liées à la mise en oeuvre de la gestion •Approbation, autorisations •Vérifications et contrôles
Procédures liées à la mise en
oeuvre de la gestion
•Approbation, autorisations
•Vérifications et contrôles physiques
•Programme de qualité
•Séparation des fonctions
•etc
Mécanismes de gestion visant
la réalisation des objectifs
de qualité •Séparation des fonctions •etc Mécanismes de gestion visant la réalisation des objectifs 34

34

de qualité •Séparation des fonctions •etc Mécanismes de gestion visant la réalisation des objectifs 34

L‟information et la communication

“Timely and accurate access to information and communication is critical to the control process”

Information de gestion adéquate communiquée dans des délais appropriés Identification et utilisation des
Information de gestion adéquate
communiquée dans des délais
appropriés
Identification et utilisation des
informations externes ad hoc
Gestion de la communication au
sein de l’organisation
et utilisation des informations externes ad hoc Gestion de la communication au sein de l’organisation 35

35

et utilisation des informations externes ad hoc Gestion de la communication au sein de l’organisation 35

La surveillance

“Monitoring is a continual process to assess control systems and activities”

Evaluation des systèmes de contrôle Activités ponctuelles et continues Mécanismes afin de rapporter les
Evaluation des systèmes de
contrôle
Activités ponctuelles et
continues
Mécanismes afin de rapporter
les déficiences majeures
systèmes de contrôle Activités ponctuelles et continues Mécanismes afin de rapporter les déficiences majeures 36

36

systèmes de contrôle Activités ponctuelles et continues Mécanismes afin de rapporter les déficiences majeures 36

COSO : la référence en matière de contrôle interne

Approches du contrôle interne

matière de contrôle interne Approches du contrôle interne Traditionnelle Juxtaposition des activités 37 COSO

Traditionnelle

interne Approches du contrôle interne Traditionnelle Juxtaposition des activités 37 COSO Environment de

Juxtaposition des activités

37

COSO Environment de Contrôle Evaluation du risque Pilotage Information & Communication Activités de Contrôle
COSO
Environment de
Contrôle
Evaluation du risque
Pilotage
Information &
Communication
Activités de Contrôle

Intégration des

objectifs

Evaluation du risque Pilotage Information & Communication Activités de Contrôle Intégration des objectifs

Idéalement, les contrôles devraient

Idéalement, les contrôles devraient Permettre, … Pas empêcher 38
Idéalement, les contrôles devraient Permettre, … Pas empêcher 38

Permettre, …

Pas empêcher

38

Idéalement, les contrôles devraient Permettre, … Pas empêcher 38

Les procédures de contrôles ne doivent

Ni alourdir

Les procédures de contrôles ne doivent Ni alourdir 39 Ni survoler

39

Ni survoler

Les procédures de contrôles ne doivent Ni alourdir 39 Ni survoler

Mais doivent correspondre au niveau des risques

Equilibre Contrôle Interne Risque d'Activité
Equilibre
Contrôle Interne
Risque d'Activité
Mais doivent correspondre au niveau des risques Equilibre Contrôle Interne Risque d'Activité 40

40

Mais doivent correspondre au niveau des risques Equilibre Contrôle Interne Risque d'Activité 40

Aujourd'hui, les meilleures entreprises savent que

Aujourd'hui, les meilleures entreprises savent que Le contrôle interne, c'est l'affaire de tous ! 41

Le contrôle interne, c'est l'affaire de tous !

Aujourd'hui, les meilleures entreprises savent que Le contrôle interne, c'est l'affaire de tous ! 41

41

Aujourd'hui, les meilleures entreprises savent que Le contrôle interne, c'est l'affaire de tous ! 41

Traditionnellement

Audit Externe Audit Interne Environnement de contrôle Evaluation des risques Pilotage Information &
Audit Externe
Audit Interne
Environnement de
contrôle
Evaluation des risques
Pilotage
Information &
Communication
Activités de
contrôle
Problème :
Qui contrôle l'espace en blanc ?
42

Pourquoi “COSO” est une structure intégrée?

 

Traditionelle

 

COSO

Responsibilité du

 

Le contrôle est la tâche de

Controller/Audit Interne

chacun

Mecanisme

 

Le contrôle est basé sur les

 

risques

L’accent sur les systèmes

L’accent est mis sur tous

comptables

 

les risques opérationnels

Les contrôles sont

 

Le contrôle est incorporé

« ajoutés » aux systèmes

dans les procédures

opérationnelles

 
Le contrôle est incorporé « ajoutés » aux systèmes dans les procédures opérationnelles   43

43

Le contrôle est incorporé « ajoutés » aux systèmes dans les procédures opérationnelles   43

Adoption de COSO

Adoption de COSO CoCo Cadbury GARP COSO King Report Pays qui ont traduit COSO dans leur
CoCo Cadbury GARP COSO
CoCo
Cadbury
GARP
COSO
Adoption de COSO CoCo Cadbury GARP COSO King Report Pays qui ont traduit COSO dans leur

King Report

Pays qui ont traduit COSO dans leur langue nationale entre autres : Chine, France, Italie, Japon, Norvège, Pologne et Espagne

ont traduit COSO dans leur langue nationale entre autres : Chine, France, Italie, Japon, Norvège, Pologne

44

ont traduit COSO dans leur langue nationale entre autres : Chine, France, Italie, Japon, Norvège, Pologne

Mise en oeuvre de COSO

Mise en oeuvre de COSO 45
Mise en oeuvre de COSO 45

45

Mise en oeuvre de COSO 45

L'évaluation du contrôle - Méthodologie

L'évaluation du contrôle - Méthodologie Phase I : Evaluation de l'Environnement Phase III : Revue des
L'évaluation du contrôle - Méthodologie Phase I : Evaluation de l'Environnement Phase III : Revue des

Phase I :

Evaluation de l'Environnement

Méthodologie Phase I : Evaluation de l'Environnement Phase III : Revue des procédures Comité de Direction

Phase III :

Revue des

procédures

Comité de Direction
Comité de
Direction

Phase II :

Diagnostic par cycle

Comité de Direction Phase II : Diagnostic par cycle Phase IV : Evaluation intégrée et Recommandations
Comité de Direction Phase II : Diagnostic par cycle Phase IV : Evaluation intégrée et Recommandations

Phase IV :

Evaluation intégrée et

Recommandations

Phase IV : Evaluation intégrée et Recommandations Approbation et Revue par le Conseil d'Administration et
Approbation et Revue par le Conseil d'Administration et / ou la Direction
Approbation et Revue par le Conseil
d'Administration et / ou la Direction
Approbation et Revue par le Conseil d'Administration et / ou la Direction Mise en place et
Mise en place et pilotage continu
Mise en place et pilotage continu

46

Approbation et Revue par le Conseil d'Administration et / ou la Direction Mise en place et

Le Comité de Direction joue un rôle déterminant

Comité de Direction
Comité de
Direction

Envoie un message fort à l'organisation

Est ouvert au changement

S'adapte tout au long du processus

Détermine les plans d'amélioration

Conduit la mise en place

S'assure que l'approche est rigoureuse et structurée, tout en demeurant flexible

Conduit la mise en place S'assure que l'approche est rigoureuse et structurée, tout en demeurant flexible

47

Conduit la mise en place S'assure que l'approche est rigoureuse et structurée, tout en demeurant flexible

Recherche des causes

Causes
Causes
Idées 48
Idées
48

Chercher au-delà des symptômes :

trouver les causes profondes

Recherche des causes Causes Idées 48 Chercher au-delà des symptômes : trouver les causes profondes

Les principales limites du contrôle interne

1. Assurance “raisonnable” et non absolue

2. Le Contrôle Interne précise les objectifs liés à la réalisation et à l’optimisation des opérations, mais ne peut pas garantir leur réalisation

3. Décalage inéluctable entre les recommandations et

mais ne peut pas garantir leur réalisation 3. Décalage inéluctable entre les recommandations et leur application

leur application

49

mais ne peut pas garantir leur réalisation 3. Décalage inéluctable entre les recommandations et leur application

Souvent, la solution passe par un changement de comportement !

Souvent, la solution passe par un changement de comportement ! 50
Souvent, la solution passe par un changement de comportement ! 50

50

Souvent, la solution passe par un changement de comportement ! 50

La notion de risque

La notion de risque 51

51

La notion de risque 51

Une nouvelle perception des risques

Une nouvelle perception des risques 52
Une nouvelle perception des risques 52

52

Une nouvelle perception des risques 52

Impact de cette nouvelle perception

Evolution de la perception du risque par le Management

from BACK ROOM

to BOARD ROOM

du risque par le Management from BACK ROOM to BOARD ROOM  Niveau opérationnel.  «

Niveau opérationnel.

« Risk monitoring » est délégué aux auditeurs internes

Le risque est un facteur négatif à contrôler

Le risque est géré dans des silos

organisationnels

La responsabilité du management en matière de gestion des risques est déléguée au niveau inférieur

La mesure du risque est subjective

Des fonctions de « risk management » non structurées

Le job du CEO’s Job (avec le contrôle du Conseil d’administration)

Le risque est également considéré comme une opportunité

Le risque est géré de manière intégrée et couvre toutes les activités de l’entreprise

La fonction de “risk management” est acceptée par le “senior” et le “line management”

Quantification/mesure du risque

Le “risk management “ est intégré dans tous les systèmes de gestion de l’entreprise

du risque  Le “risk management “ est intégré dans tous les systèmes de gestion de

53

du risque  Le “risk management “ est intégré dans tous les systèmes de gestion de

Définition

RISQUE:

Tout événement pouvant affecter

la réalisation des

objectifs

Définition RISQUE :  Tout événement pouvant affecter la réalisation des objectifs 54

54

Définition RISQUE :  Tout événement pouvant affecter la réalisation des objectifs 54

Les facteurs de risque

Les problèmes suivants attirent l’attention sur l ’importance d’un système de « Risk Management intégré »:

Convergence et Consolidation Environnement très réglementé Globalisation RISK Marges étroites MANAGEMENT
Convergence
et Consolidation
Environnement
très réglementé
Globalisation
RISK
Marges étroites
MANAGEMENT
Complexité des
marchés et des
investissements
Différentiation
compétitive
Disponibilité de
ressources
qualifiées
Technologie en
évolution
constante
55

Eléments constitutifs

Eléments constitutifs 56 Danger Survenance d’un danger non maîtrisé Incertitude Ne pas rencontrer les attentes
Eléments constitutifs 56 Danger Survenance d’un danger non maîtrisé Incertitude Ne pas rencontrer les attentes

56

Danger

Survenance d’un danger non maîtrisé

Incertitude

Ne pas rencontrer les attentes

Opportunité

Maîtrise du risque

Danger Survenance d’un danger non maîtrisé Incertitude Ne pas rencontrer les attentes Opportunité Maîtrise du risque

Le continuum du risque

Amélioration de la

“Shareholder value”

du risque Amélioration de la “Shareholder value” Préserver la continuité des activités Opportunité

Préserver la continuité des activités

value” Préserver la continuité des activités Opportunité Gestion de crise et “compliance”

Opportunité

Gestion de crise et “compliance”

value” Préserver la continuité des activités Opportunité Gestion de crise et “compliance” Incertitude Danger 57

Incertitude

Danger

value” Préserver la continuité des activités Opportunité Gestion de crise et “compliance” Incertitude Danger 57

57

value” Préserver la continuité des activités Opportunité Gestion de crise et “compliance” Incertitude Danger 57

The Market Study - The Market Continuum

Independent market survey findings 1997 - Diefenbach Elkins Survey Results

Shareholder value enhancement

Opportunity

Survey Results Shareholder value enhancement Opportunity protection Uncertainty Crises management and compliance

protection

Uncertainty

Crises management and compliance

Hazard

Uncertainty Crises management and compliance Hazard Business continuity • Improved returns through
Uncertainty Crises management and compliance Hazard Business continuity • Improved returns through

Business continuity

Improved returns through value-based management

Enhancing capital allocation

value-based management • Enhancing capital allocation • Protecting corporate reputation • Achieving global

Protecting corporate reputation

Achieving global best practices

Understanding & evaluating business strategy risks

Understanding full range of risks facing business today

Avoiding personal liability failure (the personal fear factor)

Compliance with corporate governance standards (fiduciary responsibility) Other company crises Own company crises

with corporate governance standards (fiduciary responsibility) • Other company crises • Own company crises 58

58

with corporate governance standards (fiduciary responsibility) • Other company crises • Own company crises 58

Le continuum du risque

“Compliance” et prévention Performance Initiatives opérationnelle stratégiques
“Compliance”
et prévention
Performance
Initiatives
opérationnelle
stratégiques

Opportunité

Incertitude

Danger

et prévention Performance Initiatives opérationnelle stratégiques Opportunité Incertitude Danger 59

59

et prévention Performance Initiatives opérationnelle stratégiques Opportunité Incertitude Danger 59

Une approche intégrée de la gestion du risque

Une approche intégrée de la gestion du risque 6 60
6
6

60

Une approche intégrée de la gestion du risque 6 60

Objectifs

Amélioration de la “Shareholder value”

Objectifs Amélioration de la “Shareholder value” Compliance Satisfaction des clients “Preferred employer”

Compliance

Satisfaction des clients

“Preferred employer”

“World class products”

Emploi

Environnement

Ethique

“Return on Investment”

des clients “Preferred employer” “World class products” Emploi Environnement Ethique “Return on Investment” 61

61

des clients “Preferred employer” “World class products” Emploi Environnement Ethique “Return on Investment” 61

Risques

Risques 62
Risques 62

62

Risques 62

Les risques bancaires généraux

Crédit

Intérêt

Liquidité

Devises Marché Opérationnel « Settlement » Juridique

Crédit  Intérêt  Liquidité  Devises  Marché  Opérationnel  « Settlement » 

63

Crédit  Intérêt  Liquidité  Devises  Marché  Opérationnel  « Settlement » 

Risque de crédit

FACTEURS DE PONDÉRATION

Risque de crédit FACTEURS DE PONDÉRATION RISQUE DE DÉFAUT DE LA CONTREPARTIE  Nombre de débiteurs
Risque de crédit FACTEURS DE PONDÉRATION RISQUE DE DÉFAUT DE LA CONTREPARTIE  Nombre de débiteurs

RISQUE DE DÉFAUT DE LA CONTREPARTIE

Nombre de débiteurs Concentration

Géographique

Sectorielle

Culture prudente et conservatrice

Plafonds et limites

Procédure sévère d’approbation Suivi permanent des engagements

Partage des risques Assurance crédit

64

Procédure sévère d’approbation  Suivi permanent des engagements  Partage des risques  Assurance crédit 64

Risque d‟intérêt

FACTEURS DE PONDÉRATION

Risque d‟intérêt FACTEURS DE PONDÉRATION RISQUE PROVOQUE PAR DES CHANGEMENTS DE TAUX  Volatilité des taux
Risque d‟intérêt FACTEURS DE PONDÉRATION RISQUE PROVOQUE PAR DES CHANGEMENTS DE TAUX  Volatilité des taux

RISQUE PROVOQUE PAR DES CHANGEMENTS DE TAUX

Volatilité des taux Dysharmonie des positions Limite des positions

Contrôle permanent des positions

Couvertures systématiques A.L.M. performant

65

 Limite des positions  Contrôle permanent des positions  Couvertures systématiques  A.L.M. performant 65

Risque de liquidité

FACTEURS DE PONDÉRATION

Risque de liquidité FACTEURS DE PONDÉRATION RISQUE D’INSUFFISANCE DE DISPONIBILITES  Crise des marchés monétaires
Risque de liquidité FACTEURS DE PONDÉRATION RISQUE D’INSUFFISANCE DE DISPONIBILITES  Crise des marchés monétaires

RISQUE D’INSUFFISANCE DE DISPONIBILITES

Crise des marchés monétaires

Perte de confiance dans la banque

Concentration

des dépôts

des emprunts

Financements L.T. placés C.T.

Disponibilité des fonds externes Volume élevé d’actifs liquides

Régime de protection des épargnants

A.L.M. performant

66

fonds externes  Volume élevé d’actifs liquides  Régime de protection des épargnants  A.L.M. performant

Risque de devises

FACTEURS DE PONDÉRATION

Risque de devises FACTEURS DE PONDÉRATION RISQUE PROVOQUE PAR UN DESEQUILIBRE DES TAUX DE CHANGE 
Risque de devises FACTEURS DE PONDÉRATION RISQUE PROVOQUE PAR UN DESEQUILIBRE DES TAUX DE CHANGE 

RISQUE PROVOQUE PAR UN DESEQUILIBRE DES TAUX DE CHANGE

Volatilité des taux Déséquilibre des positions Limites des positions

Contrôle sévère des positions

Techniques de couvertures

67

des positions  Limites des positions  Contrôle sévère des positions  Techniques de couvertures 67

Risque de marché

FACTEURS DE PONDÉRATION

Risque de marché FACTEURS DE PONDÉRATION RISQUE D’APPAUVRISSEMENTS DES ACTIFS FINANCIERS  politique agressive
Risque de marché FACTEURS DE PONDÉRATION RISQUE D’APPAUVRISSEMENTS DES ACTIFS FINANCIERS  politique agressive

RISQUE D’APPAUVRISSEMENTS DES ACTIFS FINANCIERS

politique agressive d’investissements Volatilité des marchés financiers Accroissement du trading

Liquidité des marché

Limites des volumes d’action Politique d’investissement conservatrice

68

trading  Liquidité des marché  Limites des volumes d’action  Politique d’investissement conservatrice 68

Risque opérationnel

RISQUE DE PERTE, D’ERREUR OU D’OMISSION INTERNE

FACTEURS D’INFLUENCE

Nature des opérations Volume des opérations Qualité du management

Qualité du personnel

Qualité des systèmes Liberté d’action des départements Outil de contrôle

Qualité des systèmes  Liberté d’action des départements  Outil de contrôle  Internes  Externes

Internes

Externes

69

Qualité des systèmes  Liberté d’action des départements  Outil de contrôle  Internes  Externes

Risque de « settlement »

RISQUE DE NON RESPECT DES ENGAGEMENTS DE LA CONTREPARTIE

FACTEURS D’INFLUENCE

Qualité des correspondants Fixation de limites par contrepartie

Suivi rapide du Back Office

 Qualité des correspondants  Fixation de limites par contrepartie  Suivi rapide du Back Office

70

 Qualité des correspondants  Fixation de limites par contrepartie  Suivi rapide du Back Office

Risque juridique

RISQUE DE CONVENTIONS OU DE DOCUMENTS JURIDIQUEMENT IMPARFAITS RISQUE D’INFRACTION PAR RAPPORT A L’ENVIRONNEMENT LEGAL ET STATUTAIRE

FACTEURS D’INFLUENCE

Complexité des contrats

Changement et inflation

réglementaire “Soft law” Mise en oeuvre d’un Legal Audit

des contrats  Changement et inflation réglementaire  “Soft law”  Mise en oeuvre d’un Legal

71

des contrats  Changement et inflation réglementaire  “Soft law”  Mise en oeuvre d’un Legal

Risque opérationnel

Exemples

Défaillance des systèmes informatiques

Interruptions des activités

Accès et utilisations de données confidentielles

Manque de compétitivité suite à une mauvaise gestion d’activités “non core business”

Gestion des prestataires de services

Canaux de distribution inefficaces

Méthodes de quantification des risques opérationnels

OpVar (operational value at risk)

inefficaces  Méthodes de quantification des risques opérationnels  OpVar (operational value at risk) 72

72

inefficaces  Méthodes de quantification des risques opérationnels  OpVar (operational value at risk) 72

Gestion des risques opérationnels

Indicateurs d’une mauvaise gestion des risques opérationnels …

Pertes

Amendes et pénalités

Litiges

Suspens/rejets

Plaintes des clients

Constatations de l’audit et des autorités de contrôle

Fraudes

Défaillances des systèmes d’information

Back Office “Overtime”

Rotation du personnel

Fraudes  Défaillances des systèmes d’information  Back Office “Overtime”  Rotation du personnel 73

73

Fraudes  Défaillances des systèmes d’information  Back Office “Overtime”  Rotation du personnel 73

Contrôles - Cadre de référence COSO

Contrôles - Cadre de référence COSO Cadre de “corporate governance” reconnu par le monde financier 76
Contrôles - Cadre de référence COSO Cadre de “corporate governance” reconnu par le monde financier 76

Cadre de “corporate governance” reconnu par le monde financier

Contrôles - Cadre de référence COSO Cadre de “corporate governance” reconnu par le monde financier 76

76

Contrôles - Cadre de référence COSO Cadre de “corporate governance” reconnu par le monde financier 76

Exemples

Système de mesure de risque dépassé Système d’information inadéquat

Eléments de réconciliation

Mauvaise diversification du risque de crédit

Non respect du prescrit réglementaire et prudentiel

Décisions imprudentes en matière d’octroi de crédit et d’investissement

Mauvaises notations par les agences de “rating”

 Mauvaises notations par les agences de “rating” 77  Coûts de financement excessifs  “Allocation

77

Coûts de financement excessifs

“Allocation of capital” mauvaise ou inadéquate

Volatilité du rendement et du cours de l’action

Contrôles confinés en silo

Fonction d’audit interne dépassée/inefficace

Fraude et blanchiment d’argent

Mauvais pricing des produits du fait d’une non prise en compte de certains risques

et blanchiment d’argent  Mauvais pricing des produits du fait d’une non prise en compte de

Evaluation COSO

Control environment

Monitoring

Integrity and Ethical values 5 Reporting deficiencies 4 3 2 1 Managing change Activity level
Integrity and Ethical values
5
Reporting deficiencies
4
3
2
1
Managing change
Activity level objectives

Commitment to competence

Separate evaluations

Board of director or Audit Committee

Ongoing monitoring

Management philisophy and operating style

Information and communication

Communication

Organisational structure

Information

Assignment of authority and responsibility

Application of controls in place

Human resource policies and practices

Existence of policies and procedures

Entity-wide objectives

Control activities

Risks

Human resource policies and practices Existence of policies and procedures Entity-wide objectives Control activities Risks
Risk assessment COSO '97 COSO '99 78
Risk assessment
COSO '97
COSO '99
78
and procedures Entity-wide objectives Control activities Risks Risk assessment COSO '97 COSO '99 78

Alignement

Alignement 80
Alignement 80

80

Alignement 80

Options possibles ….

Options
Options
Options Améliorer les contrôles Re-engineering des processus Outsourcing des fonctions - Shared Services Transfer Risk
Options Améliorer les contrôles Re-engineering des processus Outsourcing des fonctions - Shared Services Transfer Risk
Options Améliorer les contrôles Re-engineering des processus Outsourcing des fonctions - Shared Services Transfer Risk
Options Améliorer les contrôles Re-engineering des processus Outsourcing des fonctions - Shared Services Transfer Risk

Améliorer les contrôles

Re-engineering des processus

Outsourcing des fonctions - Shared Services

Transfer Risk (Assurance)

Re-engineering des processus Outsourcing des fonctions - Shared Services Transfer Risk (Assurance) 81

81

Re-engineering des processus Outsourcing des fonctions - Shared Services Transfer Risk (Assurance) 81

Relations entre COSO et l‟approche d‟audit

Relations entre COSO et l‟approche d‟audit 82

82

Relations entre COSO et l‟approche d‟audit 82

Une approche d‟audit intégrée

Une approche d‟audit intégrée 83
Une approche d‟audit intégrée 83

83

Une approche d‟audit intégrée 83

Une approche intégrée de la gestion du risque

Une approche intégrée de la gestion du risque 84
Une approche intégrée de la gestion du risque 84

84

Une approche intégrée de la gestion du risque 84

Approche d‟audit

Objectifs

Approche d‟audit Objectifs Plan d‟Action Evaluation des risques Analyse des contrôles 85
Approche d‟audit Objectifs Plan d‟Action Evaluation des risques Analyse des contrôles 85
Approche d‟audit Objectifs Plan d‟Action Evaluation des risques Analyse des contrôles 85

Plan

d‟Action

Evaluation des

risques

Approche d‟audit Objectifs Plan d‟Action Evaluation des risques Analyse des contrôles 85
Approche d‟audit Objectifs Plan d‟Action Evaluation des risques Analyse des contrôles 85

Analyse des contrôles

85

Approche d‟audit

Objectifs

organisationnels

Approche d‟audit Objectifs organisationnels Stratégie d‟audit Plan d ‟audit Evaluer les risques Plan Annuel Plan
Approche d‟audit Objectifs organisationnels Stratégie d‟audit Plan d ‟audit Evaluer les risques Plan Annuel Plan
Approche d‟audit Objectifs organisationnels Stratégie d‟audit Plan d ‟audit Evaluer les risques Plan Annuel Plan

Stratégie d‟audit

Plan d ‟audit

Evaluer les

risques

Stratégie d‟audit Plan d ‟audit Evaluer les risques Plan Annuel Plan Pluriannuel Déterminer les contrôles

Plan

Annuel

Plan

Pluriannuel

d‟audit Plan d ‟audit Evaluer les risques Plan Annuel Plan Pluriannuel Déterminer les contrôles nécessaires 86
d‟audit Plan d ‟audit Evaluer les risques Plan Annuel Plan Pluriannuel Déterminer les contrôles nécessaires 86

Déterminer les contrôles nécessaires

86

Audit Interne : Application de la séquence COSO

Nouvelle méthodologie : “Risk Based Auditing”

Déterminer les objectifs organisationnels
Déterminer
les objectifs
organisationnels
Evaluer les risques
Evaluer
les risques
Stratégie d ‟audit: Déterminer les contrôles nécessaires
Stratégie d ‟audit:
Déterminer
les contrôles
nécessaires

Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999

nécessaires Source : David McNamee, George Selim - The Next Step in Risk Management - Internal

87

nécessaires Source : David McNamee, George Selim - The Next Step in Risk Management - Internal

Nouvelles méthodologies : “Risk Based Auditing”

Establish Organisational Objectives
Establish
Organisational
Objectives

What are the steps in the business process?

What is the logical sequence of steps the auditable unit must take to reach its objectives or purposes? Practically speaking, these steps are usually combined or grouped so that the total does not exceed 12-15 steps.

Assess Risk What are the risks?
Assess
Risk
What are the risks?

What is the essential elements of risk in each

step of business process?

Errors, omissions, delays, and fraud are the most common types or risks.

Manage Risk How are risk managed?
Manage
Risk
How are risk managed?

What techniques mitigate the risks identified in

column B? It is sound

practice not only to identify how the risks are managed, but also to document the evidence for those actions, so that

an audit programme can

be derived quickly and accurately

Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999

and accurately Source : David McNamee, George Selim - The Next Step in Risk Management -

88

and accurately Source : David McNamee, George Selim - The Next Step in Risk Management -

Les risques de contrôle

Dangers

Détection

Les risques de contrôle Dangers Détection d’insuffisance de faiblesses de des Erreurs ou fraudes des systèmes
Les risques de contrôle Dangers Détection d’insuffisance de faiblesses de des Erreurs ou fraudes des systèmes

d’insuffisance

de faiblesses

contrôle Dangers Détection d’insuffisance de faiblesses de des Erreurs ou fraudes des systèmes Prévention
de des
de
des
Dangers Détection d’insuffisance de faiblesses de des Erreurs ou fraudes des systèmes Prévention Fonction de la
Dangers Détection d’insuffisance de faiblesses de des Erreurs ou fraudes des systèmes Prévention Fonction de la

Erreurs ou fraudes

des systèmes

Prévention

Fonction de la qualité des contrôles

de gestion internes externes etc.

89

des systèmes Prévention Fonction de la qualité des contrôles • de gestion • internes • externes

Les risques de contrôle

Risques d’erreurs, d'irrégularités

Systèmes de prévention, détection (contrôle interne)

Audit interne

Erreurs, irrégularités subsistantes

Systèmes de prévention, détection (contrôle interne) Audit interne Erreurs, irrégularités subsistantes 90

90

Systèmes de prévention, détection (contrôle interne) Audit interne Erreurs, irrégularités subsistantes 90

Incidence du contrôle interne sur la stratégie d‟audit

La perception des risques et l’approche d’audit

AR = IR * CR * DR

AR

= “audit risk”

IR

= “inherent risk”

CR

= “control risk”

DR

= “detection risk”

Impact

Opinion incorrecte (Mauvaise évaluation des risques)

Approche inadaptée (trop de “tests substantifs” par rapport aux risques en présence)

des risques)  Approche inadaptée (trop de “tests substantifs” par rapport aux risques en présence) 91

91

des risques)  Approche inadaptée (trop de “tests substantifs” par rapport aux risques en présence) 91

Approche d‟audit

Understand and assess control environment

Approche d‟audit Understand and assess control environment Understand and update our information about the systems and
Understand and update our information about the systems and the computer environment YES NO Plan
Understand and update our information about the systems and the computer environment
YES
NO
Plan to rely on controls
and limit substantive tests?
Document and assess
monitoring controls
Some Controls reliance Document and assess application and general computer controls Select and test monitoring
Some
Controls
reliance
Document and assess
application and general computer controls
Select and test monitoring controls to confirm
assessment
Select and test key monitoring, application and
general computer controls to confirm assessment
Design substantive tests - analytics and
moderate to low levels of substantive tests
Design substantive tests - mainly analytics
and tests for audit objectives not covered by
controls testing
tests for audit objectives not covered by controls testing No controls reliance No tests of controls
No controls reliance No tests of controls Design substantive tests to obtain high assurance
No controls
reliance
No tests
of controls
Design substantive
tests to obtain high
assurance

High controls reliance

controls reliance No tests of controls Design substantive tests to obtain high assurance High controls reliance

92

Bénéfices

Test les contrôles clés

Diminue la charge de tests “substantifs”

Facilite l’intervention (interim vs. final)

Travail plus enrichissant pour l’équipe d’audit

 Facilite l’intervention (interim vs. final)  Travail plus enrichissant pour l’équipe d’audit 93

93

 Facilite l’intervention (interim vs. final)  Travail plus enrichissant pour l’équipe d’audit 93

L‟évolution du métier d‟audit interne

Key Business Objectives Core Business Processes Classify by Risk Type High Strategic High High Systems
Key Business Objectives
Core Business Processes
Classify by
Risk Type
High
Strategic
High
High
Systems
High
Moderate
Operational
Moderate
Moderate
Financial
Low
Low
Compliance
Low

Identify Key

Controls

Financial Low Low Compliance Low Identify Key Controls Develop Internal Audit Plan Eléments importants de la
Financial Low Low Compliance Low Identify Key Controls Develop Internal Audit Plan Eléments importants de la
Financial Low Low Compliance Low Identify Key Controls Develop Internal Audit Plan Eléments importants de la
Financial Low Low Compliance Low Identify Key Controls Develop Internal Audit Plan Eléments importants de la
Financial Low Low Compliance Low Identify Key Controls Develop Internal Audit Plan Eléments importants de la

Develop

Internal

Audit

Plan

Eléments importants de la méthodologie

Identifier les risques importants pour chaque objectif Approche top-down en analysant les risques Identifier les processus / contrôles liés aux risques identifiés Développement du plan d’audit

risques  Identifier les processus / contrôles liés aux risques identifiés  Développement du plan d’audit

94

risques  Identifier les processus / contrôles liés aux risques identifiés  Développement du plan d’audit

Organisation d‟une banque

Organisation d‟une banque 95
Organisation d‟une banque 95

95

Organisation d‟une banque 95

Division d‟une banque

Exemples de subdivisions

Par fonctions

Par métiers

Par centres de profits

Par zones géographiques

Par produits

Par domaines d’activités

de profits  Par zones géographiques  Par produits  Par domaines d’activités  96

96

de profits  Par zones géographiques  Par produits  Par domaines d’activités  96

Division d‟une banque par fonctions

Exemples

Télécommunication

Réconciliation

Guichet / agences

A.L.M.

Analyse financière

Conservation des actifs

ressources humaines

Agents délégués

financière  Conservation des actifs  ressources humaines  Agents délégués  97

97

financière  Conservation des actifs  ressources humaines  Agents délégués  97

Division d‟une banque par métiers

Exemples

Gestion du patrimoine

Corporate banking

Private banking

Mergers and acquisitions

Crédits

Trésorerie

banking  Private banking  Mergers and acquisitions  Crédits  Trésorerie  98

98

banking  Private banking  Mergers and acquisitions  Crédits  Trésorerie  98

Division d‟une banque par centres de profits

Exemples

Trésorerie à court terme

Trésorerie à long terme

Change

Opérations particuliers

Trésorerie à court terme  Trésorerie à long terme  Change  Opérations particuliers  99

99

Trésorerie à court terme  Trésorerie à long terme  Change  Opérations particuliers  99

Division d‟une banque par régions

Exemples

“Nord-ouest”

“Nord-est”

“Centre”

“Sud-ouest”

“Sud-est”

International

- est”  “Centre”  “Sud - ouest”  “Sud - est”  International  100

100

- est”  “Centre”  “Sud - ouest”  “Sud - est”  International  100

Division d‟une banque par produits

Exemples

Bons de caisse

Prêts hypothécaires

Crédit d’investissement

Livret d'épargne

CREDOC

OLO

Financial futures

 Livret d'épargne  CREDOC  OLO  Financial futures  101

101

 Livret d'épargne  CREDOC  OLO  Financial futures  101

Division d‟une banque sur base du bilan

Corporate Crédits Institut. Consomma. Emplois Actions Val. mob. Effets Investissem. Obligations
Corporate
Crédits
Institut.
Consomma.
Emplois
Actions
Val. mob.
Effets
Investissem.
Obligations

Ressources

Fiducie

mob. Effets Investissem. Obligations Ressources Fiducie Dépôts Emprunts Gestion Interbanc. Corporate Institut.
mob. Effets Investissem. Obligations Ressources Fiducie Dépôts Emprunts Gestion Interbanc. Corporate Institut.
mob. Effets Investissem. Obligations Ressources Fiducie Dépôts Emprunts Gestion Interbanc. Corporate Institut.
mob. Effets Investissem. Obligations Ressources Fiducie Dépôts Emprunts Gestion Interbanc. Corporate Institut.
mob. Effets Investissem. Obligations Ressources Fiducie Dépôts Emprunts Gestion Interbanc. Corporate Institut.

Dépôts

Investissem. Obligations Ressources Fiducie Dépôts Emprunts Gestion Interbanc. Corporate Institut. Interbanc.
Investissem. Obligations Ressources Fiducie Dépôts Emprunts Gestion Interbanc. Corporate Institut. Interbanc.

Emprunts

Obligations Ressources Fiducie Dépôts Emprunts Gestion Interbanc. Corporate Institut. Interbanc. Emissions

Gestion

Obligations Ressources Fiducie Dépôts Emprunts Gestion Interbanc. Corporate Institut. Interbanc. Emissions
Obligations Ressources Fiducie Dépôts Emprunts Gestion Interbanc. Corporate Institut. Interbanc. Emissions

Interbanc.

Ressources Fiducie Dépôts Emprunts Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn.

Corporate

Institut.

Interbanc.

Emissions

Discrétionn.

Assistée

Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn. Assistée Conservation Coffres Correspond. 102
Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn. Assistée Conservation Coffres Correspond. 102
Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn. Assistée Conservation Coffres Correspond. 102
Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn. Assistée Conservation Coffres Correspond. 102
Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn. Assistée Conservation Coffres Correspond. 102
Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn. Assistée Conservation Coffres Correspond. 102

Conservation

CoffresEmprunts Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn. Assistée Conservation Correspond. 102

Correspond.Emprunts Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn. Assistée Conservation Coffres 102

Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn. Assistée Conservation Coffres Correspond. 102
Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn. Assistée Conservation Coffres Correspond. 102

102

Gestion Interbanc. Corporate Institut. Interbanc. Emissions Discrétionn. Assistée Conservation Coffres Correspond. 102

Division d‟une banque par domaines d‟activités

Trésorerie RISQUES CREDIT COMPENSATION Transfert de fonds Trade finance Trading et investissement Autres activités
Trésorerie RISQUES CREDIT COMPENSATION Transfert de fonds Trade finance Trading et investissement Autres activités
Trésorerie RISQUES CREDIT COMPENSATION Transfert de fonds Trade finance Trading et investissement Autres activités
Trésorerie RISQUES CREDIT COMPENSATION Transfert de fonds Trade finance Trading et investissement Autres activités

Trésorerie

RISQUES CREDIT

COMPENSATION

Transfert de fonds

Trésorerie RISQUES CREDIT COMPENSATION Transfert de fonds Trade finance Trading et investissement Autres activités

Trade finance

Trading et investissement

CREDIT COMPENSATION Transfert de fonds Trade finance Trading et investissement Autres activités Prêts et engagements

Autres activités

Prêts et engagements

CREDIT COMPENSATION Transfert de fonds Trade finance Trading et investissement Autres activités Prêts et engagements
CREDIT COMPENSATION Transfert de fonds Trade finance Trading et investissement Autres activités Prêts et engagements
CREDIT COMPENSATION Transfert de fonds Trade finance Trading et investissement Autres activités Prêts et engagements
CREDIT COMPENSATION Transfert de fonds Trade finance Trading et investissement Autres activités Prêts et engagements
CREDIT COMPENSATION Transfert de fonds Trade finance Trading et investissement Autres activités Prêts et engagements
finance Trading et investissement Autres activités Prêts et engagements Dépôts Activités fiduciaires 103

Dépôts

Activités fiduciaires

finance Trading et investissement Autres activités Prêts et engagements Dépôts Activités fiduciaires 103

103

finance Trading et investissement Autres activités Prêts et engagements Dépôts Activités fiduciaires 103

Division d‟une banque par domaines d‟activités

Risques crédit

Par contreparties

Secteur public

Grandes entreprises

P.M.E.

Particuliers

Par fonctions

Evaluation contreparties / garanties

Octroi - autorisation

Respect des lignes / limites

Consommation en fonds propres

• Octroi - autorisation • Respect des lignes / limites • Consommation en fonds propres •

104

• Octroi - autorisation • Respect des lignes / limites • Consommation en fonds propres •

Division d‟une banque par domaines d‟activités

Dépôts

Par produits

Dépôts à vue

Dépôts à terme

Livrets d'épargne

Bons de caisse

Par fonctions

Ouverture de comptes

Gestion des dépôts et retraits

Clôture des comptes

Gestion des postes restantes

Gestion des dépôts et retraits • Clôture des comptes • Gestion des postes restantes • 105

105

Gestion des dépôts et retraits • Clôture des comptes • Gestion des postes restantes • 105

Division d‟une banque par domaines d‟activités

Prêts et engagements

Par produits

Crédits hypothécaires

Prêts personnels

Crédits d’investissements

Financements et exploitation

Par fonctions

Octroi et approbation

Transferts de fonds

Gestion des en cours

Rémunération (intérêts et commissions)

Transferts de fonds • Gestion des en cours • Rémunération (intérêts et commissions) • 106

106

Transferts de fonds • Gestion des en cours • Rémunération (intérêts et commissions) • 106

Division d‟une banque par domaines d‟activités

Trade finance

Par produits

Lettres de crédits

Forfaiting

Escomptes

Performance bonds

Par fonctions

Refinancements - mobilisation

Assurance (OND)

Octroi et documentations

Suivi des sinistres

- mobilisation • Assurance (OND) • Octroi et documentations • Suivi des sinistres • 107

107

- mobilisation • Assurance (OND) • Octroi et documentations • Suivi des sinistres • 107

Division d‟une banque par domaines d‟activités

Autres activités

Par services

Conseil en financements

Assurances

Placements privés

Mergers / acquisitions

Immobilier

Emissions

• Immobilier • Emissions •  Par fonctions • Etablissement : revue des contrats

Par fonctions

Etablissement : revue des contrats

Fixation des commissions

Documentation / analyse

108

Etablissement : revue des contrats • Fixation des commissions • Documentation / analyse • 108

Division d‟une banque par domaines d‟activités

Trésorerie

Par produits

Placements interbancaires

Repos

Certificats de dépôts

Certificats de trésorerie

Par fonctions

A.L.M.

Etablissements : enregistrements des deals

Confirmations

Contrôle des positions / limites

: enregistrements des deals • Confirmations • Contrôle des positions / limites • 109

109

: enregistrements des deals • Confirmations • Contrôle des positions / limites • 109

Division d‟une banque par domaines d‟activités

Trading et investissements Par produits

Change spot

Change terme

Swaps et dérivés

Options et dérivés

Obligations et actions

et dérivés • Obligations et actions • 110  Par fonctions • Enregistrement / confirmation

110

Par fonctions

Enregistrement /

confirmation

Reporting / suivi des positions

Respects des limites /

lignes

Instructions règlements

Evaluation / résultats

• Respects des limites / lignes • Instructions règlements • Evaluation / résultats •

Division d‟une banque par domaines d‟activités

Activités fiduciaires

Par services

Gestion de fortune

Discrétionnaire

Assistée

Conservation d’actifs

“Corporate actions”

Par fonctions

Procédures d’acceptation

Communication clientèle

Sauvegarde des actifs

• Procédures d’acceptation • Communication clientèle • Sauvegarde des actifs • 111

111

• Procédures d’acceptation • Communication clientèle • Sauvegarde des actifs • 111

Division d‟une banque par domaines d‟activités

Compensation

Par produits

Par domaines

Comptes Nostro - suivi des réconciliations

Comptes avec banques centrales

En cours de recouvrements

Conformité aux instructions internes / externes

centrales • En cours de recouvrements • Conformité aux instructions internes / externes • 112

112

centrales • En cours de recouvrements • Conformité aux instructions internes / externes • 112

La stratégie d‟audit

et sa réalisation

La stratégie d‟audit et sa réalisation 113

113

La stratégie d‟audit et sa réalisation 113

Stratégie d‟audit interne

Le but de la stratégie d’audit interne

focaliser les ressources disponibles sur les composants

présentant les risques les plus élevés

Outils permettant de mesurer / quantifier les risques

sur les composants présentant les risques les plus élevés  Outils permettant de mesurer / quantifier

114

sur les composants présentant les risques les plus élevés  Outils permettant de mesurer / quantifier

Audit Interne : Application de la séquence COSO

Nouvelle méthodologie : “Risk Based Auditing”

Déterminer les objectifs organisationnels
Déterminer
les objectifs
organisationnels
Evaluer les risques
Evaluer
les risques
Déterminer les contrôles nécessaires
Déterminer
les contrôles
nécessaires

Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999

nécessaires Source : David McNamee, George Selim - The Next Step in Risk Management - Internal

115

nécessaires Source : David McNamee, George Selim - The Next Step in Risk Management - Internal

L‟évolution du métier d‟audit interne

Key Business Objectives Core Business Processes Classify by Risk Type High Strategic High High Systems
Key Business Objectives
Core Business Processes
Classify by
Risk Type
High
Strategic
High
High
Systems
High
Moderate
Operational
Moderate
Moderate
Financial
Low
Low
Compliance
Low

Key Components

Identify Key

Controls

Low Compliance Low Key Components Identify Key Controls Develop Internal Audit Plan  Identifier les risques
Low Compliance Low Key Components Identify Key Controls Develop Internal Audit Plan  Identifier les risques
Low Compliance Low Key Components Identify Key Controls Develop Internal Audit Plan  Identifier les risques
Low Compliance Low Key Components Identify Key Controls Develop Internal Audit Plan  Identifier les risques
Low Compliance Low Key Components Identify Key Controls Develop Internal Audit Plan  Identifier les risques

Develop

Internal

Audit

Plan

Identifier les risques importants pour chaque objectif Approche top-down en analysant les risques Identifier les processus / contrôles liés aux risques identifiés Développement du plan d’audit

risques  Identifier les processus / contrôles liés aux risques identifiés  Développement du plan d’audit

116

risques  Identifier les processus / contrôles liés aux risques identifiés  Développement du plan d’audit

Identification des objectifs par processus

Identification des objectifs par processus 117
Identification des objectifs par processus 117

117

Identification des objectifs par processus 117

Identification des risques

Identification des risques 118
Identification des risques 118

118

Identification des risques 118

Identification des contrôles

Identification des contrôles 119
Identification des contrôles 119

119

Identification des contrôles 119

Evaluation des risques et des contrôles

Evaluation des risques et des contrôles 120
Evaluation des risques et des contrôles 120

120

Evaluation des risques et des contrôles 120

Identifier et évaluer les contrôles - clés : exemples

Séparation des fonctions

Compétence du personnel

Autorisation et supervision

Restriction d'accès

Séparation des fonctions  Compétence du personnel  Autorisation et supervision  Restriction d'accès 121

121

Séparation des fonctions  Compétence du personnel  Autorisation et supervision  Restriction d'accès 121

Identification des “gaps”

Identification des “gaps” 122
Identification des “gaps” 122

122

Identification des “gaps” 122

Approche d‟audit

Understand and assess control environment

Approche d‟audit Understand and assess control environment Understand and update our information about the systems and
Understand and update our information about the systems and the computer environment YES NO Plan
Understand and update our information about the systems and the computer environment
YES
NO
Plan to rely on controls
and limit substantive tests?
Document and assess
monitoring controls
Some Controls reliance Document and assess application and general computer controls Select and test monitoring
Some
Controls
reliance
Document and assess
application and general computer controls
Select and test monitoring controls to confirm
assessment
Select and test key monitoring, application and
general computer controls to confirm assessment
Design substantive tests - analytics and
moderate to low levels of substantive tests
Design substantive tests - mainly analytics
and tests for audit objectives not covered by
controls testing
tests for audit objectives not covered by controls testing No controls reliance No tests of controls
No controls reliance No tests of controls Design substantive tests to obtain high assurance
No controls
reliance
No tests
of controls
Design substantive
tests to obtain high
assurance

High controls reliance

controls reliance No tests of controls Design substantive tests to obtain high assurance High controls reliance

123

Bénéfices

Test les contrôles clés

Diminue la charge de tests “substantifs”

Facilite l’intervention (interim vs. final)

Travail plus enrichissant pour l’équipe d’audit

 Facilite l’intervention (interim vs. final)  Travail plus enrichissant pour l’équipe d’audit 124

124

 Facilite l’intervention (interim vs. final)  Travail plus enrichissant pour l’équipe d’audit 124

Documenter les contrôles/ procédures d‟audit

Objectif du contrôle/ de la procédure d’audit appliqué Documents de base

Echantillon

Travail effectué

Constatations

Conclusions

d’audit appliqué  Documents de base  Echantillon  Travail effectué  Constatations  Conclusions 125

125

d’audit appliqué  Documents de base  Echantillon  Travail effectué  Constatations  Conclusions 125

Documenter les contrôles/ procédures d‟audit

Tenue des documents d’audit

identification du composant audité

titre du document d’audit

référence à la page de garde

date

référence au programme d’audit

cross références

identification de l’auditeur

Evidence d’une revue du travail effectué

Règles en matière de conservation et archivage des

dossiers

 Evidence d’une revue du travail effectué  Règles en matière de conservation et archivage des

126

 Evidence d’une revue du travail effectué  Règles en matière de conservation et archivage des

Les constatations et conclusions

Types de constatations possibles

incidents isolés

absences / déficiences de contrôle interne

erreurs (non volontaires)

irrégularités (à caractère volontaire ou accepté)

les “fraudes”

L’auditeur doit conclure, si sur base des constatations, il est en mesure d’affirmer que l’objectif d’audit a été rempli

doit conclure, si sur base des constatations, il est en mesure d’affirmer que l’objectif d’audit a

127

doit conclure, si sur base des constatations, il est en mesure d’affirmer que l’objectif d’audit a

Définition d‟un plan d‟actions

Définition d‟un plan d‟actions 128
Définition d‟un plan d‟actions 128

128

Définition d‟un plan d‟actions 128

Déterminer un plan d‟audit pluriannuel

Le plan stratégique doit contenir les informations suivantes :

responsabilités et champ d’intervention de l’audit interne

budget des ressources par rapport aux composants

les priorités d’audit

détails des revues spécifiques et de leur “sponsor” spécifique

information quant à la collaboration avec l’auditeur externe

la nature et la fréquence du reporting au comité d’audit et à la direction

Le plan stratégique doit être formellement approuvé par l’autorité à laquelle l’Audit Interne rapporte fonctionnellement

doit être formellement approuvé par l’autorité à laquelle l’Audit Interne rapporte fonctionnellement 129

129

doit être formellement approuvé par l’autorité à laquelle l’Audit Interne rapporte fonctionnellement 129

Plan Pluriannuel

EFFICIENCE Plan Pluriannuel BUT MOYEN RESSOURCES NECESSAIRES PRIORITE OU RISQUE PERIODICITE DES MISSIONS ELEVE   2 x/ Plan Pluriannuel BUT MOYEN RESSOURCES NECESSAIRES PRIORITE OU RISQUE PERIODICITE DES MISSIONS ELEVE   2 x/

BUT

Plan Pluriannuel EFFICIENCE BUT MOYEN RESSOURCES NECESSAIRES PRIORITE OU RISQUE PERIODICITE DES MISSIONS ELEVE

MOYEN

RESSOURCES NECESSAIRESPlan Pluriannuel EFFICIENCE BUT MOYEN PRIORITE OU RISQUE PERIODICITE DES MISSIONS ELEVE   2 x/ an

PRIORITE OU RISQUE

PERIODICITE DES MISSIONS

ELEVE

 

2 x/ an

MODERE

1 x/ an

FAIBLE

1 x/ an

INSIGNIFIANT

1

x/ 3 ans

1 x/ an FAIBLE 1 x/ an INSIGNIFIANT 1 x/ 3 ans CONSERVER RESERVE ANNUELLE POUR
CONSERVER RESERVE ANNUELLE POUR MISSIONS AD HOC
CONSERVER RESERVE ANNUELLE POUR
MISSIONS AD HOC

130

1 x/ an FAIBLE 1 x/ an INSIGNIFIANT 1 x/ 3 ans CONSERVER RESERVE ANNUELLE POUR

Reporting au Management

Reporting au Management 131
Reporting au Management 131

131

Reporting au Management 131

Exemple d‟outil de travail : DB Notes

Exemple d‟outil de travail : DB Notes 132
Exemple d‟outil de travail : DB Notes 132

132

Exemple d‟outil de travail : DB Notes 132

Décomposition du travail à faire en « Area/Task/Step »

Décomposition du travail à faire en « Area/Task/Step » 133
Décomposition du travail à faire en « Area/Task/Step » 133

133

Décomposition du travail à faire en « Area/Task/Step » 133

Documentation du travail : « WP, Issues, Coaching Notes »

Documentation du travail : « WP, Issues, Coaching Notes » 134
Documentation du travail : « WP, Issues, Coaching Notes » 134

134

Documentation du travail : « WP, Issues, Coaching Notes » 134

Evaluation de l‟état d‟avancement du travail et de la revue

Evaluation de l‟état d‟avancement du travail et de la revue 135
Evaluation de l‟état d‟avancement du travail et de la revue 135

135

Evaluation de l‟état d‟avancement du travail et de la revue 135

Liste des problèmes soulevés et recommandations faites

Liste des problèmes soulevés et recommandations faites 136