Vous êtes sur la page 1sur 23

1

Comité de Bâle sur


le contrôle bancaire

L'audit interne dans les banques


et les relations des autorités de
tutelle avec les auditeurs

Août 2001

BANK FOR INTERNATIONAL SETTLEMENTS

IFACI
2

Copyright © 2002 de l’IFACI – 40, avenue Hoche – 75 008 Paris. Tous droits réservés.
Conformément aux lois et accords de copyright, aucun partie de cette publication ne peut être
reproduite, inclus dans un système de recherche documentaire, ou transmis sous quelque forme ou par
quelque moyen que ce soit – par un procédé électronique, mécanique, par photocopie, enregistrement
ou autre – sans l’accord écrit et préalable de l’auteur.

IFACI
3

AVANT PROPOS

L’IFACI a le plaisir de vous proposer une traduction du document du Comité de Bâle publié en août
2001 sous le titre « Internal audit in banks and the supervisor’s relationship with auditors ».

Cette traduction a été réalisée par Christiane Dufayet, auditeur interne au Crédit Foncier de France,
avec la contribution de Florence Bergeret, Responsable de la Recherche de l’IFACI ; qu’elles en soient
remerciées.

L’IFACI, Institut Français de l’Audit et du Contrôle Internes (www.ifaci.com) est, en France, l’unique
organisation professionnelle dont la vocation est d’assurer la promotion et le développement de la
pratique de l’audit interne. Fondé en 1965 sous un statut associatif, l’Institut fédère près de deux
mille professionnels de l’audit issus de plus de six cents organismes des secteurs public et privé. Au
niveau international, il est affilié à The Institute of Internal Auditors (IIA) qui regroupe soixante-
quinze mille spécialistes de l’audit interne répartis dans plus de cent vingt pays. Il est, en outre,
l’Institut moteur de l’Union Francophone de l’Audit Interne (UFAI).

Fort d’une organisation nationale et régionale, l’IFACI développe son action autour de cinq objectifs
principaux :
- contribuer à la professionnalisation des auditeurs internes ;
- être un lieu d’échanges professionnels ;
- être un vecteur de promotion de l’audit interne ;
- être le porte-parole auprès des organismes professionnels et institutionnels,
- être, enfin, un lieu de réflexion sur la fonction d’audit interne et son évolution.

Ce dernier objectif est la finalité de l’activité Recherche qui s’inscrit parfaitement dans la devise de
l’IIA : « Le progrès par le partage ». Elle s’organise autour de 8 unités de recherche et 6 groupes
professionnels, parmi lesquels le Groupe Banque, fort de quelque 500 adhérents.

Ce groupe mène ses réflexions et ses travaux sur divers thèmes, tels que la détection et la prévention
du blanchiment de l’argent, la lutte contre la fraude, les référentiels des systèmes d’information, les
risques opérationnels ou tout autre thème d’actualité qui sont le plus souvent présentés dans le cadre
de réunions d’information.

Louis Vaurs
Délégué Général, IFACI

IFACI
4

Table des matières :

Page

Introduction 5

Définition de l'audit interne 6

Missions et objectifs de l'audit interne 6

Principes applicables à l'audit interne 8


Principe de permanence et de continuité 8
Principe d’indépendance 8
Charte d'audit 9
Impartialité 9
Compétence professionnelle 10
Champ d’intervention 10
Procédure interne d'évaluation des besoins en fonds propres 12

Le fonctionnement de l'audit interne 13


Méthodes de travail et types d'audit 13
Analyse des risques et plan d'audit 13
Procédures 14
Management du service d'audit interne 14

Relations entre les autorités de tutelle, le service d'audit interne et les auditeurs externes 15
Relations entre les autorités de tutelle et le service d'audit interne 15
Relations entre les auditeurs internes et les auditeurs externes 16
Relations entre les autorités de tutelle et les auditeurs externes 16
Coopération entre les autorités de tutelle, les auditeurs externes et les auditeurs internes 18

Le Comité d'audit 19
Définition 19
Composition, pouvoirs et fonctionnement 19
Principales fonctions 19

L'externalisation de l'audit interne 20


Définition 20
Externalisation de l'audit interne 20
Externalisation de l'audit interne dans les banques de petite taille 22

IFACI
5

Groupe de travail « Sujets comptables »


du Comité de Bâle sur la supervision bancaire

Président :
Prof Arnold Schilder,
De Nederlandsche Bank, Amsterdam

Commission Bancaire et Financière, Bruxelles Mr Marc Pickeur


Office of the Superintendent of Financial Institutions Canada, Ms Donna Bovolaneas
Toronto
Commission Bancaire, Paris Mr Philippe Bui
Deutsche Bundesbank, Frankfurt am Main Mr Karl-Heinz Hillen
Bundesaufsichtsamt für das Kreditwesen, Bonn Mr Ludger Hanenberg
Banca d’Italia, Rome Dr Carlo Calandrini
Bank of Japan, Tokyo Mr Hiroshi Ota
Financial Services Agency, Tokyo Mr Nobuhiro Hayashi
Commission de Surveillance du Secteur Financier, Mr Guy Haas
Luxembourg
De Nederlandsche Bank, Amsterdam Mr Michael Dobbyn
Mr André van Dorssen
Banco d'España, Madrid Mr Anselmo Diaz
Finansinspektionen, Stockholm Mr Hans Hultin
Eidgenössische Bankenkommission, Bern Mr Stephan Rieder
Bank of England, London Mr Ian Michael
Financial Services Authority, London Ms Deborah Chesworth
Board of Governors of the Federal Reserve System, Mr Gerald Edwards
Washington, DC
Federal Reserve Bank of New York Mr James Beit
Office of the Comptroller of the Currency, Washington, DC Mr Zane Blackburn
Federal Deposit Insurance Corporation, Washington, DC Mr Robert Storch

Observateurs
Commission Européenne, Bruxelles Mr Vittorio Pinelli
Oesterreichische Nationalbank, Vienna Mr Martin Hammer
Saudi Arabian Monetary Agency, Riyadh Mr Tariq Javed
Monetary Authority of Singapore, Singapore Mr Timothy Ng

Secretariat
Secretariat of the Basel Committee on Banking Supervision, Mr Bengt A Mettinger
Bank for International Settlements

IFACI
6

Introduction

1. Au titre de ses efforts constants pour traiter et promouvoir le contrôle bancaire en


encourageant de saines pratiques, le Comité de Bale sur le contrôle bancaire ( Le Comité ) publie le
présent document sur l'audit interne dans les banques et la relation des autorités de tutelle avec les
auditeurs internes et externes. Un contrôle interne adéquat au sein de la banque doit être complété par
une fonction d'audit interne efficace qui évalue, de façon indépendante, les dispositifs de contrôle de
l'organisation. Les auditeurs externes, pour leur part, y contribuent en formulant des observations sur
l'efficacité du dispositif. Le respect de la réglementation et des procédures ainsi que les actions
correctrices appropriées, engagées par le management en réponse aux faiblesses du contrôle interne
identifiées par les auditeurs internes et externes, répondent aux préoccupations des autorités de tutelle
bancaires. En définitive, la coopération entre l'autorité de tutelle, l'auditeur interne et l’auditeur externe
optimise la supervision.

2. Les principes énoncés dans ce document sont d'application générale même s'ils sont destinés à
être appliqués dans un cadre spécifique de supervision. L'utilisation de procédés de supervision
internes ou externes diffère de façon significative selon les pays. De la même façon, le degré
d'implication des auditeurs externes dans la fonction de supervision varie largement. Bien que
l'approche choisie par les superviseurs de chaque pays dépende de ces différents facteurs, tous les
membres du Comité sont d'accord sur les principes énoncés dans le présent document.

3. Ce document fait référence à une structure manageriale composée d'un conseil


d'administration et d’une Direction Générale. Le Comité est conscient qu'il existe des différences
significatives dans les structures législatives et réglementaires des différents pays en ce qui concerne
les fonctions du Conseil d'Administration et de la Direction Générale. Dans certains pays le Conseil
d'Administration a pour principale, voire pour seule fonction, la supervision des instances exécutives
(encadrement supérieur et management dans son ensemble) afin de s'assurer que ces dernières
assument leurs tâches. C'est la raison pour laquelle, dans certains pays, on l'appelle Conseil de
Surveillance. Cela signifie que ce conseil n'a aucune fonction exécutive. Dans d'autres pays, en
revanche, le conseil a une compétence plus large en ce qu'il détermine les lignes directrices générales
pour la gestion de la banque. Compte tenu de ses différences, les notions de Conseil d'Administration
et de Direction Générale sont utilisées dans ce document non pour identifier des organes de décision
au sens juridique, mais plutôt pour désigner deux instances de décision au sein d'une banque. Les
principes posés dans ce document doivent s'appliquer en conformité avec les structures manageriales
des entreprises de chaque pays. Il serait utile de consulter à ce sujet le document du Comité de Bâle
"L'optimisation du gouvernement d'entreprise dans les organisations bancaires " publié en septembre
1999.

4. Le présent document constitue un guide de base pour les autorités de tutelle tout en précisant
leur point de vue sur l'audit interne dans les banques et les relations entre les superviseurs et les
auditeurs externes et internes. Le Comité encourage les efforts déployés pour harmoniser et améliorer
les normes de l'audit interne au plan international. Le Comité souhaite qu’il soit tenu compte des
règles prudentielles dans le développement des normes nationales et internationales d'audit interne.

5. Au sein d'une banque, une fonction d'audit interne organisée selon les principes posés dans le
présent document, facilite le travail des autorités de tutelle de la banque. Un contrôle interne structuré,
associé à une fonction d'audit interne, et un audit externe indépendant participent à un gouvernement
d'entreprise sain qui, à son tour, peut contribuer à une coopération entre le management de la banque
et les autorités de tutelle. Une fonction d'audit interne efficace est, pour le management, ainsi que pour
les autorités de tutelle de la banque, une source appréciable d'information sur la qualité du dispositif de
contrôle interne.

6. Les principes énoncés dans ce document s'appliquent à toutes les banques, y compris à celles
qui font partie d'un groupe et aux sociétés holding dont les filiales sont majoritairement des banques.

IFACI
7

7. Ce document précise les lignes directrices publiées par le Comité en 1998 et intitulées "
Dispositifs de contrôle interne au sein des banques", en particulier les normes de la fonction d'audit
interne. Le document de 1998 prévoit des règles internationales de supervision de l'évaluation du
contrôle interne de la banque fondées sur un dispositif de contrôle interne moderne et évolué.

La définition de l'audit interne :

8. En juin 1999, les instances dirigeantes de l’IIA, the Institute of Internal Auditors, ont approuvé
la définition suivante :
"L'Audit Interne est une activité indépendante et objective qui donne à une organisation une assurance
sur le degré de maîtrise de ses opérations, lui apporte ses conseils pour les améliorer, et contribue à
créer de la valeur ajoutée. Il aide cette organisation à atteindre ses objectifs en évaluant, par une
approche systématique et méthodique, ses processus de management des risques, de contrôle, de
gouvernement d'entreprise, et en faisant des propositions pour renforcer leur efficacité".

9. L'objectivité et l'impartialité, primordiales pour le service de l'audit interne dans le domaine


bancaire, n'excluent pas nécessairement la possibilité qu’il s'investisse dans une activité de conseil.
Conseiller la Direction Générale sur le développement de contrôles internes est souvent une façon peu
onéreuse de s'assurer que le management prend une décision avisée quand des mesures de contrôle
interne apparaissent nécessaires. Cependant le conseil sous d'autres formes doit rester une activité
annexe à la fonction de base de l'audit interne qui est une fonction indépendante d'évaluation au sein
d'une banque pour examiner et évaluer ses dispositifs de contrôle interne, y compris dans le domaine
du reporting financier. Les auditeurs internes ne doivent pas se censurer pour analyser et critiquer les
dispositifs de contrôle interne mis en œuvre par, ou sous l'égide de la Direction Générale, même s’ils
ont eux-mêmes donné des conseils sur les contrôles à mettre en place.

10. Certaines banques ont décidé de mettre en place une auto-évaluation des processus de
contrôle. Cette démarche peut se définir comme un processus normé qui permet au management et/ou
à un service d'analyser ses activités ou ses fonctions et d'évaluer l'efficacité des procédures de contrôle
interne qui y sont associées. On peut considérer qu'il s'agit là d'une technique utile pour évaluer
l'efficacité du contrôle interne, sans que ce soit pour autant un substitut à l'audit interne.

Missions et objectifs de l’audit interne

Principe n°1

Le Conseil d'Administration de la banque a la responsabilité finale de s’assurer que la Direction


Générale établit et maintient :
- un système de contrôle interne approprié et efficace ;
- un processus d'évaluation des divers risques engendrés par les activités de la banque ;
- un système de comparaison entre les risques et le niveau de fonds propres de la banque ;
- des dispositifs propres à s'assurer du respect des lois, des règlements ainsi que de la
réglementation prudentielle et interne.
Au moins une fois par an, le Conseil d'Administration doit vérifier le système de contrôle interne
et le dispositif d'adéquation des fonds propres.

11. Le Conseil d'administration doit vérifier régulièrement que la banque a mis en place des
dispositifs de contrôle interne pour une conduite normée et prudente des affaires (en se référant à des
objectifs clairement définis). Le Conseil d'Administration doit également s'assurer que la banque a mis
en place une procédure de limitation des risques par rapport au niveau des fonds propres de la banque.
Enfin, le Conseil d’Administration doit s’assurer que la banque a mis en place des processus :

IFACI
8

- pour identifier et contrôler, de manière appropriée, les risques inhérents à la poursuite de ses
objectifs ;
- pour tester l’intégrité, la fiabilité et le caractère opportun de l’information financière et de gestion,
et
- pour surveiller le respect des lois et règlements, des réglementations prudentielles, ainsi que des
plans, règles et procédures internes.

Principe n°2

La Direction Générale de la banque est responsable de la mise en place d'instruments


d'identification, de mesure, de surveillance et de contrôle des risques encourus par l'entreprise.
Au moins une fois par an, la Direction Générale de la banque est tenue de faire un rapport au
Conseil d'Administration sur l'étendue et l'efficacité du dispositif de contrôle interne et
d'adéquation des fonds propres.

12. La Direction Générale doit mettre en place une structure organisationnelle qui attribue de
façon claire les responsabilités, établit les relations hiérarchiques et les obligations en termes de
reporting et s'assure que les délégations de pouvoirs sont effectivement appliquées. La Direction
Générale est également responsable de la mise en place d'instruments d'identification, de mesure, de
surveillance et de contrôle des risques. En définitive, elle définit la politique de contrôle interne
appropriée et surveille l'adéquation et l'efficacité du dispositif de contrôle interne

Principe n°3

L'audit interne participe à la surveillance permanente du dispositif de contrôle interne et du


processus d'évaluation interne des fonds propres de l'établissement dans la mesure où il fournit
une évaluation indépendante de leur adéquation et de leur conformité avec les procédures et la
politique décidée par la banque. Dans l'exercice de cette mission, la fonction d'audit interne aide
la Direction Générale et le Conseil d'Administration à assumer effectivement et efficacement les
responsabilités décrites ci-dessus.

13. D'un point de vue général, le champ d'intervention de l'audit interne porte sur les domaines
suivants :
• l'examen et l'évaluation du bien fondé et de l'efficacité des dispositifs de contrôle interne ;
• le contrôle de l'application et de l'efficacité des procédures de management du risque et des
méthodes de mesure du risque ;
• le contrôle du management et des systèmes d'information financière, y compris l'informatique, et
les services de l’e-banking ;
• le contrôle de la sincérité et de la fiabilité des enregistrements comptables et des rapports
financiers ;
• le contrôle des moyens de sauvegarde des actifs ;
• le contrôle du système de mesure des risques par rapport aux fonds propres de la banque ;
• l'évaluation de l'intérêt économique et de l'efficacité des opérations ;
• les tests à la fois sur les opérations et le fonctionnement des procédures spécifiques de contrôle
interne ;
• le contrôle des dispositifs mis en place pour s'assurer qu’ils sont conformes aux exigences légales
et réglementaires, aux codes de conduite, et à la mise en œuvre des politiques et procédures ;
• le contrôle de la sincérité, de la fiabilité et de l'opportunité des reporting réglementaires ;
• la conduite d'enquêtes spéciales.

14. La Direction Générale doit s’assurer que le service d’audit interne est tenu totalement informé
des nouveaux développements et produits, des initiatives et des changements opérationnels, ceci afin
d’être sûr que les risques associés sont identifiés très tôt.

IFACI
9

Principes applicables à l'audit interne

Principe de permanence et de continuité

Principe n°4

Toutes les banques doivent disposer d'une fonction permanente d'audit interne. Dans
l'accomplissement de ses tâches et responsabilités, la Direction Générale devrait prendre toutes
les mesures nécessaires pour que la banque puisse compter de façon continue sur une fonction
d'audit interne compétente et appropriée à sa taille et à la nature de ses opérations. Elle doit
dégager pour le service d'audit interne les ressources et les moyens humains nécessaires à la
réalisation de ses objectifs.

15. Dans les banques d'une certaine taille et dans les banques dont l'activité est complexe, les
missions d'audit interne doivent normalement être conduites par un département d'audit interne
disposant d’un effectif à plein temps. Dans les banques plus petites, l'audit interne peut être externalisé
auprès d'un prestataire externe. Certains pays autorisent les petites banques à recourir à des évaluations
indépendantes des éléments clés de contrôle interne en tant qu'alternative à l'audit interne.

16. Les normes énumérées dans ce document pour un service d'audit interne s'appliquent de la
même façon aux activités d'audit interne externalisées.

17. L'application du principe n°4 aux groupes est évoquée au principe n° 9.

Principe d'indépendance

Principe 5

La fonction d'audit interne de la banque doit être indépendante des activités auditées et
également des processus de contrôle de premier niveau. En d'autres termes, l'audit interne doit
bénéficier d'un statut approprié au sein de la banque et conduire ses missions avec objectivité et
impartialité.

18. Le service d'audit interne doit être en mesure d'exercer sa mission de sa propre initiative dans
tous les services, les établissements et les fonctions de la banque. Il doit être libre de faire un rapport
sur ses résultats et évaluations et de les communiquer en interne. Le principe d'indépendance implique
le rattachement du service d'audit interne, soit au Président de la banque, soit au Conseil
d'Administration, soit à son Comité d'audit (s'il existe), en fonction de la structure de direction de la
société.

19. Le responsable de l'audit interne doit avoir l'autorisation de communiquer directement et de sa


propre initiative au Conseil d'Administration, au Président du Conseil d'Administration, aux membres
du Comité d'Audit (s'il existe) ou avec les auditeurs externes, selon les modalités définies par chaque
banque dans sa charte d'audit. 1 Ce reporting peut, par exemple, porter sur des décisions prises par le
management de la banque qui sont contraires aux dispositions légales ou réglementaires.

1
Dans certains pays, la loi encourage les organisations à mettre en place un dispositif de communication
largement accessible à des personnes internes ou externes à l’organisation et leur permettant de faire part de
problèmes importants. Dans ces pays, la loi protège les employés qui révèlent les irrégularités et les méfaits dont
ils ont pu avoir connaissance.

IFACI
10

20. Le principe d'indépendance exige également l'absence de tout conflit d'intérêts entre les
auditeurs internes et la banque. Le niveau de rémunération des auditeurs internes doit être cohérent
avec les objectifs de l'audit interne. La fonction d'audit interne doit faire l'objet d'une revue
indépendante. Celle-ci peut être effectuée par une autorité indépendante, par exemple un auditeur
externe ou par le Comité d'Audit, s'il existe.

Charte d'audit

Principe 6

Toutes les banques devraient disposer d'une charte d'audit qui mette en valeur le statut et
l'autorité de la fonction d'audit interne au sein de la banque.

21. Une charte d'audit interne détermine au minimum :

• les objectifs et le champ d’intervention de l'audit interne ;


• la position de l'audit interne dans l'organisation, ses pouvoirs, ses responsabilités, et ses relations
avec les autres fonctions de contrôle ;
• la responsabilité du responsable de l'audit interne.

22. La charte doit être rédigée et mise à jour périodiquement par le service d'audit interne ; elle
doit être approuvée par la Direction Générale et cette approbation confirmée par le Conseil
d'Administration agissant en tant que superviseur, ou par le Comité d'audit, s'il existe.

23. Dans la charte, la Direction Générale de la banque donne au service d'audit interne le droit de
prendre des initiatives et l'autorise à avoir directement accès et à communiquer avec tout membre du
personnel, à contrôler toute activité ou entité de la banque, à avoir accès à tout enregistrement
comptable, dossier ou rapport de la banque, y compris à l'information destinée au management, et aux
minutes de tout organe consultatif ou exécutif, toutes les fois que c'est nécessaire pour
l'accomplissement de ses missions.

24. La charte d'audit doit prévoir les conditions dans lesquelles le service d'audit peut être amené à
exercer une activité de consultant ou de conseil ou à effectuer d'autres tâches particulières.

25. La charte doit être diffusée à l'ensemble de l'organisation.

Impartialité

Principe 7

La fonction d'audit interne doit être objective et impartiale, ce qui signifie que l'audit doit
pouvoir effectuer ses missions sans préjugé et sans subir de pression.

26. Pour être objectif et impartial le service d'audit interne doit lui-même chercher à éviter tout
conflit d'intérêts. A cette fin, les missions des auditeurs au sein du service d'audit doivent changer
périodiquement chaque fois que c'est possible. Les auditeurs recrutés en interne ne doivent pas auditer
des activités ou des fonctions qu'ils ont exercées au cours des douze derniers mois.

27. Le souci d'impartialité contraint le service d'audit interne à ne pas s'impliquer dans les
opérations de la banque, dans les choix ou la mise en œuvre de dispositifs de contrôle interne. Dans le
cas contraire, il assumerait une part de responsabilité dans ces activités, ce qui nuirait à l'indépendance
de son jugement.

IFACI
11

28. Néanmoins, le principe d'impartialité ne porte pas atteinte à la possibilité offerte au


management de solliciter du service d'audit interne un avis sur des questions spécifiques relatives aux
principes de contrôle interne à respecter. La Direction Générale peut, par exemple, pour des raisons
d'efficacité, demander un avis quand elle envisage d'importantes réorganisations, le démarrage
d'activités nouvelles importantes ou risquées, la création de nouveaux établissements pour des activités
à risques, la mise en œuvre ou la réorganisation des systèmes informatiques, de contrôle des risques et
de remontée d’information, etc....Il va de soi que la mise en place et le développement éventuels de
toutes ces mesures est de la responsabilité des managers.
En effet, l’activité de conseil constitue une tâche annexe qui ne doit en aucun cas porter préjudice à la
mission principale, à la responsabilité ou à l'indépendance du service d'audit interne. Dans ces
conditions, les rapports d'audit interne peuvent contenir des recommandations relatives aux lacunes et
faiblesses relevées et des suggestions pour améliorer le contrôle interne.

Compétence professionnelle

Principe 8

La compétence professionnelle de tous les auditeurs internes et de la fonction d'audit interne


dans son ensemble est primordiale pour le bon fonctionnement de la fonction d'audit interne
dans la banque.

29. La compétence professionnelle de chaque auditeur, sa motivation, sa formation continue sont


des préalables à l'efficacité du service d'audit interne. La compétence professionnelle doit être estimée
en tenant compte de la nature de la fonction et de la capacité de l'auditeur à réunir l'information, à
contrôler, à évaluer et à communiquer. A cet égard, il faut aussi prendre en compte la complexité
technique croissante des activités bancaires et la diversité accrue des tâches dévolues à l'audit interne
résultant du développement du secteur financier.

30. La compétence professionnelle et notamment la connaissance et l'expérience du service d'audit


interne lui-même mérite une attention particulière. Le principe énoncé implique une compétence
suffisante du service dans son ensemble pour auditer tous les secteurs de la banque.

31. L'exercice permanent de tâches similaires ou un travail de routine peuvent affecter


négativement le sens critique de l'auditeur. Il est donc recommandé, chaque fois que c'est possible, de
faire tourner l'effectif du service d'audit interne. Les permutations doivent s'effectuer de façon à ne pas
compromettre l'indépendance des auditeurs internes.

32. L'entretien de la compétence professionnelle suppose une formation continue de chaque


membre de l'équipe. L'ensemble de l'effectif doit avoir des connaissances à jour suffisantes sur les
techniques d'audit et les activités bancaires.

Champ d’intervention

Principe 9

Toutes les activités et toutes les entités de la banque doivent entrer dans le champ d’intervention
de l'audit interne.

33. Aucune des activités ou entités de la banque, y compris les activités de succursales ou filiales
ainsi que les activités externalisées, ne peut être exclue du champ d’intervention du service d'audit
interne. Le service d'audit interne doit avoir accès à tout rapport, dossier ou donnée de la banque, y
compris l’information destinée au management, ainsi qu’aux minutes de tout organe consultatif ou
exécutif, chaque fois que c'est utile pour l'exécution de sa mission.

IFACI
12

34. D'un point de vue général, le champ de l'audit interne comprend le contrôle et l'évaluation de
la pertinence et de l'efficacité du contrôle interne, et de la façon dont les responsabilités de chacun sont
assumées. A bien des égards, il s'agit d'une analyse du risque du système de contrôle interne de la
banque.

35. Le service d'audit interne doit évaluer, en particulier :

• la conformité de la banque à la réglementation et aux contrôles des risques (à la fois quantifiables


et non quantifiables) ;
• la fiabilité ( y compris l'intégrité, l'exactitude et l'exhaustivité ) ainsi que la disponibilité en temps
opportun de l'information financière et de celle destinée au management ;
• la continuité et la fiabilité des systèmes d’information ;
• l'organisation des services.

36. Le service d'audit interne doit se préoccuper des dispositions légales et réglementaires qui
régissent les opérations de la banque, les politiques, principes, règles, lignes de conduite édictées par
les autorités de tutelle relatives à l'organisation et à la gestion des banques. Cependant cela ne signifie
pas que l'audit interne doit assumer les fonctions de contrôle de la conformité.

37. Certaines banques ont mis en place des services séparés pour contrôler une activité ou une
entité spécifique de la banque. De tels services font partie du dispositif de contrôle interne et leur
existence ne dispense pas le service d'audit interne d'auditer ces activités ou entités spécifiques.
Cependant dans un souci d'efficacité, le service d'audit interne peut, pour effectuer sa tâche, utiliser les
informations transmises par les différents services de contrôle. Néanmoins, le service d'audit interne
conserve l'entière responsabilité de contrôler et évaluer le fonctionnement adéquat du dispositif de
contrôle interne des activités ou entités concernées de la banque.

38. Si la banque a une succursale importante à l'étranger, le service d'audit interne devra réfléchir
à la mise en place d’une équipe locale pour s'assurer de la continuité et de l'efficacité de son travail.
Elle fera partie du service d'audit interne de la banque et sera organisée dans le respect des principes
énoncés dans ce document.

39. En tant qu'entités juridiques distinctes, les filiales bancaires et non bancaires sont responsables
de leur propre contrôle interne et de leur propre fonction d'audit interne dans le respect des
dispositions de ce document ; dans ces filiales, la fonction d'audit interne peut être assumée par le
service d'audit interne de la maison mère. Quand les filiales disposent de leurs propres services d'audit
interne, ceux-ci doivent rendre compte au service d'audit interne de la maison mère. Dans cette
hypothèse, la maison mère doit prendre toutes les mesures nécessaires, sans préjudice des dispositions
et obligations légales et réglementaires locales, pour s'assurer que son service d'audit interne a un
accès illimité à toutes les activités et entités des filiales et qu'il effectue des audits sur place à
intervalles réguliers.

40. Pour les succursales à l'étranger comme pour les filiales, les principes d'audit interne sont
édictés de façon centralisée par la maison mère. Cette dernière doit donner les instructions d'audit pour
l'ensemble du groupe. Le service d'audit interne de la banque maison mère doit participer au
recrutement et à l'évaluation des auditeurs internes locaux.

41. Dans l'hypothèse d'une structure plus complexe, la fonction d'audit interne doit être organisée
en conformité avec les principes énoncés dans ce document.

IFACI
13

Procédure interne d'évaluation des fonds propres

Principe 10

Dans le cadre de la procédure interne d'évaluation des besoins en fonds propres de la banque,
l'audit interne doit régulièrement contrôler de façon indépendante le processus de management
des risques, mis en place par la banque pour rapprocher le risque du niveau de fonds propres et
la méthode utilisée pour surveiller la conformité à la politique de fonds propres définie en
interne.

42. Les méthodes d'identification des risques et d'évaluation des fonds propres de la banque
diffèrent du processus de management des risques qui habituellement met davantage l'accent sur le
contrôle des stratégies commerciales développées pour optimiser l'arbitrage risque /marges dans les
différents secteurs de la banque.

43. La banque doit désigner de façon claire la personne ou le service responsable du contrôle de
l'adéquation des fonds propres. Cette tâche peut être confiée au service d'audit interne ou à une
personne ou un service, suffisamment indépendants des activités de la banque.

44. L'autorité de tutelle peut apprécier les méthodes internes d'évaluation par une banque de ses
besoins en fonds propres et sa conformité avec les ratios de fonds propres réglementaires à partir du
travail effectué par les auditeurs internes et externes si leur travail a été orienté en ce sens.

IFACI
14

Fonctionnement de l'audit interne

Méthodes de travail et types d'audit

Principe 11
La fonction d'audit interne suppose l'établissement d'un plan d'audit, l'examen et l'évaluation
de l'information mise à disposition, la communication de ses résultats, le suivi des
recommandations et des questions traitées.

45. On distingue différents types d'audit interne. On peut citer sans prétendre à l'exhaustivité :
• l'audit financier, dont la finalité est de s'assurer de la fiabilité des procédures comptables, de
l'information et des états comptables qui en résultent ;
• l'audit de conformité, dont la finalité est de s'assurer de qualité et de la pertinence des procédures
mises en place pour garantir la conformité aux lois, règlements, politiques et procédures ;
• l'audit opérationnel dont la finalité est de s'assurer de la qualité et de la pertinence des systèmes et
procédures, d'analyser les structures et l’organisation, en exerçant un esprit critique, d'évaluer
l'adéquation des ressources et méthodes aux objectifs assignés ;
• l'audit de management dont la finalité est d'évaluer la qualité de l'approche du risque et du contrôle
interne par les managers, dans le cadre des objectifs de la banque.

46. Le service d'audit interne contrôle et évalue l'ensemble des activités de la banque dans toutes
ses entités. Il ne doit donc pas se focaliser sur un seul type d'audit mais utiliser le type le plus
approprié, en fonction de l'objectif d'audit. En outre, le service d'audit interne ne doit pas se limiter, à
cet égard, à l'audit des différents services de la banque. Il doit aussi porter une attention particulière à
l'audit d'une activité bancaire dans laquelle plusieurs entités de la banque sont engagées

Analyse des risques et plan d'audit

47. La direction du service d'audit interne prépare un plan de toutes les missions à effectuer. Le
plan d'audit inclut le calendrier et la durée des missions d'audit interne planifiées. Le plan d'audit est
fondé sur une analyse méthodique des risques qui permet à l'auditeur interne de bien appréhender les
activités significatives de l'institution et les risques qui y sont associés. Le management du service
d'audit interne doit établir les principes applicables à la méthode d'évaluation des risques par écrit et
les mettre à jour régulièrement en fonction des changements dans le système de contrôle interne ou
dans les méthodes de travail, et en intégrant les nouveaux domaines d'activité. L'analyse du risque
porte sur l’ensemble des activités et entités de la banque et concerne l'intégralité des systèmes de
contrôle interne.
Un plan d'audit sur plusieurs années est établi, en se fondant sur les résultats de l'analyse des risques et
en tenant compte du degré de risque inhérent à chaque activité. Le plan doit aussi prendre en compte
les développements en projet et les innovations, le taux de risque généralement plus élevé des
nouvelles activités, et l'objectif d'auditer toutes les activités et entités significatives avec une
périodicité raisonnable (principe du cycle d'audit de trois ans par exemple). Toutes ses préoccupations
permettront de déterminer l'étendue, la nature et la fréquence des missions à effectuer.

48. Le plan d'audit du service doit être réaliste c'est à dire qu'il doit prévoir du temps pour d'autres
missions et activités telles que des contrôles ou des enquêtes spécifiques, des conseils et avis, et la
formation. Le plan comprend un état détaillé des ressources nécessaires en termes de personnel et
autres ressources. En ce qui concerne les moyens humains, il faut réfléchir non seulement au nombre
de personnes mais aussi aux compétences professionnelles nécessaires.

49. Le plan d'audit est rédigé par le service d'audit interne et approuvé par le président de la
banque ou par le Conseil d'administration ou par le Comité d'audit (s'il existe). L'accord sur le plan

IFACI
15

engage la banque à mettre à la disposition du service d'audit interne les moyens appropriés. Le plan
d'audit doit être régulièrement revu et mis à jour chaque fois que c'est nécessaire.

Procédures

50. Pour chaque mission, un programme d'audit doit être établi. Le programme décrit les objectifs
ainsi que le plan de travail estimé nécessaire pour les atteindre. C'est un outil relativement souple qui
devra être adapté et complété en fonction des risques identifiés.

51. Toutes les procédures d'audit, inhérentes à la mission devraient être documentées par des
papiers de travail. Ceux-ci doivent refléter les contrôles qui ont été effectués et mettre en lumière les
constats énoncés dans le rapport. Les papiers de travail doivent être élaborés suivant une méthode bien
déterminée. Cette méthode doit permettre de fournir des informations suffisantes pour vérifier que la
mission a été correctement effectuée et permettre à d'autres de vérifier son déroulement.

52. Un rapport écrit pour chaque mission doit être rédigé aussi vite que possible. Il est transmis à
l'audité et à ses supérieurs hiérarchiques et, généralement sous une forme synthétique, à la Direction
Générale.

53. Le rapport d'audit présente la finalité et le champ d’intervention de l'audit interne, ses constats
et recommandations et les réponses de l'audité. Il met en évidence les thèmes sur lesquels on est
parvenu à un consensus à la fin de la mission. Le service d'audit interne précise l'importance relative
des insuffisances constatées et des recommandations proposées.

54. Le service d'audit interne tient un registre des missions effectuées et des rapports transmis.

55. La direction de la banque doit s'assurer que les recommandations du service d'audit interne
sont mises en œuvre de façon appropriée.
Elle doit donc approuver une procédure mise en place par le service d'audit interne pour s'assurer de
l'examen et au besoin du calendrier de mise en œuvre des recommandations du service d'audit interne.

56. Le service d'audit interne suit les recommandations émises pour voir si elles sont appliquées.
Un bilan de la mise en œuvre de ces recommandations est communiqué au moins tous les six mois à la
Direction Générale, au Conseil d'Administration ou au Comité d'audit, s'il existe, conformément au
cadre de gouvernement d’entreprise existant.

Management du service d'audit interne

Principe 12
Le responsable du service d'audit interne est le garant du respect par son service de principes
sains d'audit interne.

57. Le responsable de l'audit interne doit s'assurer du respect de principes sains , tels que les
Normes pour la Pratique Professionnelle de l'Audit Interne de l'IIA. Il doit veiller à la rédaction d'une
charte d'audit, d'un plan d'audit ainsi que de procédures et instructions internes. Il doit se préoccuper
continuellement de la compétence professionnelle et de la formation de son équipe et s'assurer qu'il
dispose des moyens nécessaires. Il doit prêter attention à la motivation de son équipe et à sa
conscience professionnelle.
58. Le service d'audit interne doit régulièrement faire un reporting à la Direction Générale ou au
Conseil d'Administration ou au Comité d'Audit, s’il existe, sur l'efficacité du contrôle interne et sur
l'atteinte des objectifs du service d'audit interne. Il doit également les tenir informés de l’avancement
du plan d'audit. Dans le cadre de sa fonction de superviseur, le Conseil d'administration ou le Comité
d'Audit doit régulièrement discuter de l'organisation et des moyens (à la fois humains et autres ) du
service d'audit interne ainsi que du plan d'audit, des rapports d'activité, de la synthèse des
recommandations de l'audit interne et du degré d’avancement de leur mise en œuvre.

IFACI
16

Relations entre les autorités de tutelle, le service d'audit interne et les auditeurs externes

Relations entre les autorités de tutelle et le service d'audit interne

Principe n°13

Les autorités de tutelle doivent évaluer le travail réalisé par le service d'audit interne de la
banque et, si elles en sont satisfaites, lui faire confiance pour identifier les secteurs comportant
des risques potentiels.

59. Diverses dispositions réglementaires au sujet du contrôle interne dans les banques émanent des
autorités de tutelle. Bien que la réglementation soit plus ou moins développée selon les pays, elle
comprend en général des principes de base tendant à promouvoir un dispositif de contrôle approprié
ainsi qu'une réglementation sur les fonds propres. La plupart des autorités de tutelle ont rédigé des
règlements, des pratiques et des procédures dans différents domaines comme le management du risque
crédit et les autres risques bancaires principaux ( tels que les risques sur le marché des changes, le
risque de taux, la gestion des liquidités, les systèmes informatiques et de télécommunication, et la
gestion des risques sur le marché à terme des instruments financiers).

60. Pour évaluer la qualité du contrôle interne, les autorités de tutelle disposent de plusieurs
approches. L'une d'entre elles consiste à évaluer le travail du service d'audit interne, y compris les
contrôles des dispositifs d'identification, de mesure, de suivi et de contrôle des risques mis en place par
la Direction Générale. Si elles sont satisfaites de la qualité du travail du service d'audit interne, les
autorités de tutelle peuvent utiliser les rapports d'audit interne comme premier élément pour identifier
les lacunes de contrôle dans la banque ou pour identifier les zones de risque potentiel que les auditeurs
internes n'ont pas contrôlées récemment.

Principe n° 14

Les autorités de tutelle doivent consulter périodiquement les auditeurs internes pour s'enquérir
des zones de risque identifiées et des mesures prises. Elles peuvent s'entretenir à cette occasion
de l'étendue de la collaboration entre le service d'audit interne de la banque et les auditeurs
externes.

61. Cette consultation est fondamentale d’un point de vue prudentiel sachant qu’une politique
hasardeuse peut nuire à la protection des déposants et autres créanciers, aux intérêts des actionnaires,
et au fonctionnement correct du système de crédit. Bien que la mission du service d'audit interne soit
vaste, il n’appartient pas à ce dernier d'établir la politique interne de la banque. De même, il ne peut,
en général, contester les orientations politiques, à l'exception des règles relatives au contrôle interne,
ou critiquer l'opportunité de certaines décisions politiques.
Néanmoins, cette règle n'empêche pas le service d'audit interne de réagir et d'informer le Conseil
d'Administration ou son Comité d'Audit, s'il existe, chaque fois que le management de la banque prend
des décisions contraires aux dispositions légales ou réglementaires, ou à la politique décidée par la
banque et à ses procédures écrites.

62. Il est de bonne pratique chaque fois que le chef du service d'audit interne change de fonction,
que les autorités de tutelle soient informées, en temps opportun, par la direction de la banque des
circonstances qui ont conduit à cette mesure.
Lorsque le responsable du service d'audit est relevé de ses fonctions, l'autorité de tutelle devrait
envisager de le rencontrer.

IFACI
17

Principe n°15

Les autorités de tutelle sont encouragées à organiser des réunions régulières pour s'entretenir
des problèmes d'ordre politique avec les responsables d'audit interne des banques sous leur
contrôle.

63. Les responsables d'audit interne des banques devraient s’unir pour organiser des consultations
sectorielles avec les autorités de tutelle en vue de s'entretenir de sujets d'intérêts communs.

Relations entre les auditeurs internes et les auditeurs externes

Principe n° 16

Les autorités de tutelle doivent encourager les contacts entre les auditeurs internes et externes de
façon à rendre leur collaboration aussi réelle et efficace que possible.

64. Les auditeurs externes ont une influence notable sur la qualité des contrôles internes, en raison
de leurs activités d'audit et notamment, de leurs entretiens avec la direction générale et le
Conseil d'Administration ou le Comité d'Audit, s’il existe, ainsi que par leurs
recommandations pour l'amélioration du contrôle interne.

65. Il est en général admis que l'audit interne est utile pour déterminer la nature, le calendrier et
l'étendue des procédures d'audit externe. Cependant, l’auditeur externe (le Commissaire aux comptes
en France) est seul responsable de son opinion sur les états financiers. L’auditeur externe doit être
avisé des travaux d’audit interne, avoir accès aux rapports pertinents et être tenu informé de tout
problème significatif qui a retenu l'attention de l'auditeur interne et qui pourrait avoir une incidence sur
son travail. De même, l’auditeur externe doit informer l'auditeur interne de tout problème important
qui pourrait le concerner.

66. Le responsable de l'audit interne doit s'assurer que le travail des auditeurs internes ne fait pas
double emploi avec celui des auditeurs externes. La coordination entre les services d'audit nécessite
des rencontres périodiques pour s'entretenir de questions d'intérêt commun, procéder à l'échange des
rapports d'audit et des notes de la direction et convenir de techniques, méthodes et terminologie
communes.

Relations entre les autorités de tutelle et les auditeurs externes

Principe n°17

Les travaux effectués par un auditeur externe pour le compte d'une autorité de tutelle doivent
avoir un fondement légal ou contractuel. Toute mission assignée par les autorités de tutelle à
l’auditeur externe doit être complémentaire à ses travaux d'audit habituels et correspondre à sa
sphère de compétences.

67. Selon la norme IAPS 1004 (International Auditing Practice Statement) de l’IFAC,
International Federation of Accountants, intitulée "la relation entre les autorités de tutelle de la banque
et les auditeurs externes des banques" (en cours de révision), les autorités de tutelle et les auditeurs
externes ont des préoccupations complémentaires : la notion de stabilité de l'établissement bancaire
pour l'autorité de tutelle est complémentaire de la notion de "continuité de l'exploitation" de l’auditeur
externe. En effet, les processus de contrôle interne qui permettent d’assurer à la fois un management
sûr et prudent et l’établissement d’états financiers fiables sont complémentaires. En outre, l'existence
d'un système comptable adéquat intéresse aussi bien les autorités de tutelle que les auditeurs externes.
68. Le rôle exact des auditeurs externes varie d'un pays à l'autre. Il est constant, néanmoins, qu'on
attend d'eux une compréhension accrue du système de contrôle interne de la banque dans la mesure où

IFACI
18

l’exactitude des états financiers en dépend. On attend également de leur part un rapport sur les
insuffisances matérielles identifiées, à l'attention de la Direction Générale et, dans beaucoup de pays, à
l'attention des autorités de tutelle.
La Direction Générale et le Conseil d'Administration ou son Comité d'audit, s'il existe, doivent
s'assurer de la mise en œuvre des mesures préconisées pour remédier aux déficiences de contrôle
interne soulignées dans les rapports des auditeurs externes. Cette fonction d'alerte de la part des
auditeurs externes s'intègre dans la fonction préventive des autorités de tutelle.

69. Dans beaucoup de domaines, les travaux de l'autorité de tutelle et de l’auditeur externe
peuvent être mutuellement utiles. Les auditeurs externes peuvent trouver des indications utiles dans les
informations recueillies par l'autorité de tutelle à la suite d'une inspection sur place, d'entretiens avec le
management ou toute autre communication avec la banque.
Dans les pays où les auditeurs externes entretiennent d'étroites relations avec les autorités de tutelle, ils
sont fréquemment conduits à exprimer leur avis sur le fonctionnement et la qualité du service d'audit
interne.
Les notes de la Direction Générale et autres rapports donnent aux autorités de tutelle un aperçu
intéressant du contrôle interne de la banque.

70. Dans certaines circonstances, l’auditeur externe prend conscience que des informations qu'il a
obtenues peuvent être intéressantes pour l'autorité de tutelle ou requérir de sa part des mesures
urgentes. Plusieurs d'entre elles sont énumérées dans l'ISA 260 (International Standards on Auditing,
IFAC) « Communications of Audit Matters with those charged with Corporate Governance » 2.

Afin de compléter les cas recensés dans L'ISA 260, on peut citer les hypothèses suivantes susceptibles
d'intéresser les autorités de tutelle :
• information révélant une carence conduisant à la non satisfaction de l’une des exigences
nécessaires pour l'agrément bancaire ;
• conflit grave au sein des instances dirigeantes ou départ inattendu d'un cadre responsable d'une
fonction clé ;
• information révélatrice d'un possible non-respect de la loi, des règlements, des statuts de la
banque, de la charte ou du règlement intérieur ;
• intention signalée de l’auditeur externe (Commissaire aux comptes) de démissionner ou
changement de celui-ci ;

2
- Par exemple :
- l’approche générale et le champ d’intervention de l'audit interne, y compris toute limite attendue et
toute exigence supplémentaire ;
- le choix ou les changements des principes et méthodes comptables qui ont ou sont susceptibles d'avoir
une incidence matérielle sur la présentation des état financiers de l'entité.
- l'incidence potentielle sur les états financiers des risques significatifs avérés ou latents tels que les
litiges en cours ;
- les ajustements proposés par l'audit, qu'ils aient ou non été retenus par l'entité, qui ont ou pourraient
avoir une incidence significative sur les état financiers de l'entité ;
- incertitudes matérielles, liées à la conjoncture, susceptibles de jeter un doute sur la capacité de
l'entreprise à assurer sa continuité d’exploitation ;
- désaccords avec la Direction Générale sur des sujets qui pris individuellement ou globalement peuvent
avoir une incidence significative sur les comptes annuels de l'entité ou sur le rapport de l’auditeur
externe. Les informations communiquées doivent préciser si le différend a été ou non résolu, et la
signification de la question soulevée ;
- modifications du rapport de l’auditeur externe demandées ;
- autres sujets méritant l'attention de ceux qui sont chargés du gouvernement d'entreprise, tels que
défaillances matérielles du contrôle interne, doutes sur l'honnêteté de l'encadrement, fraude dans
laquelle l'encadrement est impliqué et tous autres sujets identifiés dans le cadre de la mission d’audit.

IFACI
19

• modification radicale dans la politique de risque de la banque et émergence de risques latents.

71. Dans beaucoup de pays, il est attendu ou exigé de rapporter aux autorités de tutelle, en temps
voulu, les éléments ci-dessus mentionnés.

72. Le fondement de la relation entre les autorités de tutelle et les auditeurs externes se trouve dans la
Norme IAPS 1004 (en cours de révision). Il est primordial que toute tâche que l’auditeur externe
accomplit pour le compte de l'autorité de tutelle repose sur un cadre légal ou un accord contractuel
entre la banque et l'autorité de tutelle. Le texte légal ou contractuel doit aborder la question de la
confidentialité. Il est également important de préciser que le travail de l’auditeur externe pour l'autorité
de tutelle doit être complémentaire de son travail d'audit habituel et relever de sa compétence. Les
demandes de l'autorité de tutelle doivent être clairement définies.

73. Dans certains pays, le rôle de l’auditeur externe comprend des tâches additionnelles d'un intérêt
particulier pour l'autorité de tutelle telles que :
• la revue des méthodes utilisées par la banque pour établir ses normes de rentabilité ;
• l’évaluation de l'adéquation entre l'organisation et le dispositif de contrôle interne ;
• l’évaluation du respect par la banque des lois et règlements ;
• l’évaluation du dispositif de contrôle interne de la banque ( y compris le service d'audit interne) ;
• l’expression d'une opinion sur l'observation des règles comptables appropriées.

74. Il est recommandé que des dispositions légales soient prises en faveur des auditeurs externes afin
qu'ils ne puissent être tenus responsables des informations révélées de bonne foi aux autorités de
tutelle, en application des lois et réglementations en vigueur.

75. Les autorités de tutelle peuvent détenir des informations qui peuvent aider l’auditeur externe à
comprendre leurs préoccupations ou qui peuvent avoir une influence significative sur leur travail
d'audit ou leurs autres responsabilités en matière de reporting. Il est important qu'existe une voie légale
pour permettre à l'autorité de tutelle de révéler ces informations aux auditeurs externes lorsque cela lui
permet de mieux atteindre ses objectifs.

Coopération entre les autorités de tutelle, les auditeurs externes et les auditeurs internes.

Principe n° 18

La coopération entre autorité de tutelle, auditeur externe et auditeur interne a pour objectif de
rendre les travaux de toutes les parties concernées plus rationnels et efficaces afin d'optimiser le
contrôle. La coopération peut se matérialiser par des réunions périodiques.

76. L'objectif de la coopération est de rendre la contribution de tous les intervenants concernés plus
efficiente et efficace afin d'optimiser le contrôle de l'autorité de tutelle, même si chaque intervenant
assume en priorité ses propres responsabilités.

77. Dans certains pays, cette coopération se matérialise par des rencontres périodiques. Il se peut que
l'autorité de tutelle juge la présence de la Direction Générale opportune lors de ces rencontres. Au
cours de ces réunions, chacun apporte des informations sur des domaines d'intérêt commun et une
attention particulière est portée aux domaines qui seront contrôlés et sur le calendrier de travail. Les
trois parties en présence évoquent aussi la mise en œuvre par l'organisation des recommandations des
auditeurs internes et externes

78. La coopération présuppose une relation de confiance entre la banque, l’auditeur externe et
l'autorité de tutelle. Sans confiance, la coopération n'est pas possible. En conséquence, l'autorité de
tutelle attend de la Direction Générale de la banque une information sur les décisions, les faits ou les
développements qui pourraient avoir une influence significative sur la situation de la banque.

IFACI
20

Le Comité d'audit

Définition

79. Le comité d'audit est habituellement considéré comme une émanation du Conseil d'Administration
; il est composé de directeurs n'ayant pas de fonction opérationnelle et indépendants de la Direction
Générale. Cependant, sa composition et sa dénomination peuvent varier selon les pays.

Principe 19

La création d'un comité d'audit permanent est une solution pour résoudre les difficultés
pratiques qui peuvent être générées par la mission, dévolue au Conseil d'Administration, de
créer et maintenir un dispositif de contrôle approprié.
En outre, un tel comité renforce à la fois le contrôle interne et l'audit interne et externe. Les
banques sont en conséquence incitées à mettre en place un comité d'audit permanent, surtout si
leurs activités sont complexes. Les filiales des banques doivent réfléchir à l'opportunité de créer
un comité d'audit au sein de leur Conseil d'Administration.

Composition, pouvoirs et fonctionnement

80. Pour la création d'un comité d'audit, le Conseil d'Administration devrait établir une charte écrite,
indiquant la composition du Comité d'audit, ses pouvoirs et ses devoirs, ainsi que les modalités du
reporting au Conseil d'Administration. Ce document devrait être approuvé par le Conseil
d'Administration, revu et mis à jour périodiquement.

81. Un comité d'audit devrait être composé d'au moins trois membres du Conseil d'administration qui
ne font pas ou n'ont pas fait partie de la Direction Générale de la banque. Lorsque la présence au
Comité d'audit de dirigeants de l’organisation est autorisée par les lois et règlements nationaux, ils ne
doivent pas représenter la majorité des membres.
Les membres doivent avoir des compétences compatibles avec les obligations du comité. L’un d'entre
eux, au moins, doit avoir des compétences financières, comptables ou d'audit. Pour des raisons
d'efficacité, les personnes suivantes devraient être autorisées à assister régulièrement aux réunions du
Comité d'audit : le Président Directeur Général ou un membre de la Direction Générale, le responsable
de l'audit interne et l’auditeur externe.

82. Le comité d'audit peut demander à avoir accès à tout document ou tableau de bord et donner tout
ordre de mission ou d'enquête. Le Comité d'audit rend compte régulièrement au Conseil
d'Administration.

Principales fonctions

83. Le Comité d'Audit doit encourager la communication entre les membres du Conseil
d'administration, la Direction Générale, le service d'audit interne, l’auditeur externe et les autorités de
tutelle.

84. Le Comité d'Audit approuve la charte d'audit interne, le plan d'audit ainsi que le budget nécessaire
(moyens humains et matériels). Il est destinataire des rapports d'activité et de la synthèse des
principales recommandations de l'audit interne ainsi que des plans d'action du management pour les
mettre en œuvre.

85. L’auditeur externe présente son plan d'audit au Comité d'Audit et l'informe de ses conclusions et
recommandations.

IFACI
21

86. Le Comité d'audit débat régulièrement sur :


- le fonctionnement du dispositif de contrôle interne ;
- les activités du service d'audit interne ;
- les zones de risque opérationnelles, à couvrir dans l'année par l'audit interne ou externe ;
- la fiabilité et la sincérité de l'information financière diffusée au management et à l'extérieur ;
- tous les problèmes significatifs comptables ou d’audit identifiés par les travaux d'audit interne ou
externe ;
- la conformité de la banque avec les dispositions légales ou réglementaires, ses statuts, sa charte et
les règlements ou règles instituées par le conseil d'administration.

87. Le comité d'audit doit rédiger des recommandations au Conseil d'Administration pour la
désignation de l’Auditeur externe. Le comité d'audit fixe et revoit régulièrement les termes de son
contrat.

88. Certaines autorités de tutelle s'attachent à rencontrer régulièrement le président du comité d'audit
de chaque banque pour faciliter leur compréhension du processus de gouvernement d’entreprise et du
fonctionnement de la banque. Ces réunions donnent l'opportunité au comité d'audit de s'entretenir de
toute difficulté rencontrée avec le management de la banque et aux autorités de tutelle de se forger une
opinion sur l'efficacité du Comité d'Audit.

L'externalisation de l'audit interne

Définition :

89. Un accord d'externalisation de l'audit interne est un contrat passé entre l'établissement et un
prestataire de services extérieur pour fournir des services d'audit interne.

90. Une externalisation ciblée et limitée (sous-traitance) peut être très profitable lorsqu'elle apporte,
par exemple, à une mission d'audit spécifique, des connaissances et un savoir-faire très spécialisés, qui
ne sont pas disponibles en interne.
En revanche, l'externalisation n'est pas sans risque pour la banque, tel que perte ou affaiblissement du
contrôle sur l'activité d’audit interne externalisée. Ce risque doit être géré et maîtrisé.
En outre, l'externalisation peut porter atteinte aux pouvoirs des autorités de tutelle pour obtenir des
informations ou exiger des changements dans la manière dont l'activité externalisée est menée.
L'externalisation des activités essentielles de la banque, et notamment l’audit interne, peut affaiblir les
fondements mêmes de son droit à exercer ses activités.

Externalisation de l'audit interne

Principe 20
Que les activités d’audit interne soient externalisées ou non, le Conseil d’Administration et la
Direction Générale gardent la responsabilité finale d’assurer que le dispositif de contrôle interne
et l’audit interne sont appropriés et fonctionnent efficacement.

91. Certains pays exigent que le service d'audit interne d'une banque ait les compétences et des
moyens suffisants pour auditer les activités clés de la banque et pour évaluer le fonctionnement et
l'efficacité du contrôle interne de ces activités. Cependant, il est couramment accepté qu'un expert
externe (dans le cadre d’une opération de sous-traitance) puisse effectuer des missions que l'audit
interne n'a pas les moyens de réaliser (ou des moyens insuffisants). Néanmoins, les recommandations
ci-après relatives à l'externalisation de l'audit interne, s'appliquent à ce cas d’espèce.

IFACI
22

En tout état de cause, le responsable de l'audit doit s'assurer, dans la mesure du possible, que les
connaissances mises en œuvre par l'expert profite à son service en faisant participer, si possible, à la
mission confiée à l'expert un ou plusieurs auditeurs de son équipe.

92. Il se peut que, dans d'autres pays, les banques confient l’entière activité de l'audit interne à un
prestataire extérieur. Dans ces conditions, l'entreprise devra conserver un cadre expérimenté à la tête
de l'audit interne avec une petite équipe d'auditeurs internes. Le prestataire extérieur a un rôle
d'assistance auprès des auditeurs pour déterminer les risques à auditer. Il recommande et met en œuvre
les audits approuvés par le responsable de l'audit et établit avec lui des rapports conjoints à l'attention
du Conseil d'Administration ou du Comité d'Audit. Néanmoins, il est inhabituel dans beaucoup de
pays, sinon dans la plupart, qu'une grande banque ayant une activité internationale, externalise, en
totalité ou en grande partie, la fonction d'audit interne.

93. Plusieurs pays exigent que le prestataire extérieur soit totalement indépendant de l’auditeur
externe, de l'entreprise ou du groupe de ce dernier. D'autres admettent des contrats d'externalisation
avec le même groupe ou cabinet que celui qui audite les comptes. Néanmoins, comme ce contrat est de
nature à compromettre en fait ou en apparence l'indépendance de l'auditeur externe, les banques
concernées devraient se référer aux règles sur l'indépendance publiées par les instances
professionnelles compétentes des auditeurs externes ou par les autorités de tutelle des banques ou
autres autorités gouvernementales. 3

94. Le prestataire extérieur doit être une entreprise compétente, financièrement saine, disposant des
connaissances et de l'expertise appropriées.

95. Il convient d'établir un contrat écrit entre le prestataire extérieur et la banque. La Direction
Générale devra s'assurer que la banque signe un contrat valable, pour une durée suffisante, avec un
prestataire qui a les compétences professionnelles requises en fonction des caractéristiques de la
banque concernée.

96. Le contrat devra définir les missions et responsabilités du prestataire externe et prévoir, de façon
explicite, l'approbation préalable de la Direction Générale à l'analyse du risque effectuée par le
prestataire extérieur et au plan d’audit qui a été établi.

97. Le contrat devra prévoir, également, l'accès à tout moment aux dossiers concernés du prestataire de
service, y compris son plan de travail et ses papiers de travail, par la Direction Générale ou son
représentant, l’auditeur externe ou son représentant et les autorités de tutelle.

98. Le contrat prévoira l'engagement du prestataire à mettre en œuvre les moyens nécessaires pour
accomplir sa mission selon le plan d'audit. Un avenant sera nécessaire pour modifier les termes du
contrat, particulièrement pour approfondir les travaux d'audit si des problèmes significatifs se révèlent.

99. Quand une organisation a recours à l'externalisation, cela augmente ses risques opérationnels. Les
autorités de tutelle souhaitent que les banques analysent l'impact que cette situation aura sur la
cartographie des risques et le dispositif de contrôle interne. Dans l'hypothèse d’une rupture soudaine
du contrat, l'organisation devrait avoir un plan d'urgence. En raison des possibilités offertes en matière
d'audit interne de faire appel à d'autres fournisseurs, le plan d'urgence fera référence, le plus souvent, à
un prestataire remplaçant.
Etant donné le temps qui sera nécessaire pour recourir à un autre prestataire, la banque devra envisager
un recours temporaire accru à ses propres auditeurs internes.

Externalisation de l'audit interne dans les petites banques

3
Par exemple le projet de recommandation de la Commission Européenne sur l'indépendance réglementaire
des auditeurs et les obligations d'indépendance des auditeurs édictées aux Etats Unis par la SEC (Securities
and Exchange Commission).

IFACI
23

100. On admet généralement, pour certaines petites banques dont la taille et l'étendue des risques ne
justifient pas de confier la fonction d'audit interne à une personne à temps complet, d'externaliser
toutes les activités d'audit interne auprès d'un prestataire extérieur. Tous les principes relatifs à l'audit
interne restent applicables lorsque l'intégralité des activités d'audit interne est externalisée.

101.Dans cette hypothèse, la Direction Générale est responsable de la prise en compte des
recommandations de l'audit et de la désignation des personnes qui seront chargées de les mettre en
oeuvre.

IFACI