CADRE D'VALUATION DES SYSTMES DE CONTRLE INTERNE Comit de Ble sur le contrle bancaire Ble Janvier 1998

Table des matires Page Introduction ................................................................... ..................................................... 1 I. Contexte gnral ................................................................ ........................................ 6 II. Objectifs et rle du cadre de contrle interne ................................. ....................... 8 III. Principaux lments d'un processus de contrle interne .......................... ............. 10 A. Surveillance par la direction et culture de contrle .......................... ............. 10 1. Conseil d'administration .................................................... ........................ 10 2. Direction gnrale .............................................................. ....................... 11 3. Culture de contrle ........................................................... ......................... 12 B. valuation des risques ........................................................ ........................... 13 C. Activits de contrle ........................................................... .......................... 14 D. Information et communication ................................................ ...................... 17 E. Activits de surveillance ..................................................... .......................... 19 IV. valuation des systmes de contrle interne par les autorits prudentielles ....... 22 V. Rles et responsabilits des auditeurs externes ................................. ..................... 25

Annexe Enseignements prudentiels fournis par les cas de dfaillances des contrles internes ............................................................... ............................ 26

Cadre d'valuation des systmes de contrle interne INTRODUCTION

1. Dans le sens de l'action qu'il poursuit pour rsoudre les questions prudentiell es et renforcer le contrle des banques par des recommandations encourageant l'applicati on de saines pratiques de gestion des risques, le Comit de Ble sur le contrle bancaire1 s ollicite les commentaires des autorits de contrle et autres parties concernes sur le prsent proje t de cadre d'valuation. Ce cadre a t conu pour tre utilis par les autorits prudentielles s leur valuation des systmes de contrle interne des banques. Un systme de contrle inter ne efficace est une composante essentielle de la gestion d'un tablissement et consti tue le fondement d'un fonctionnement sr et prudent d'une organisation bancaire. En se do tant de contrles internes rigoureux, une banque pourra mieux raliser ses buts et ses objec tifs de rentabilit long terme, en assurant galement la fiabilit de sa communication financir e tant externe qu' sa direction. Un tel systme peut aussi garantir que la banque agit dan s le respect des lois et rglementations ainsi que de ses politiques, programmes, rgles et procdu res internes; il attnue, en outre, le risque de pertes imprvues ou d'atteinte la rputat ion de l'tablissement. Ce document dcrit les lments cls d'un systme de contrle interne sain n se fondant sur l'exprience enregistre dans les pays membres et sur les principes p rciss dans les publications antrieures du Comit. Il entend dfinir certains principes dest ins aux autorits prudentielles dans leur valuation des systmes de contrle interne des banque s. 2. Le Comit de Ble, conjointement avec les autorits de contrle bancaire du monde entier, insiste de plus en plus sur l'importance de contrles internes sains . Cet intrt accru s'explique en partie par les pertes substantielles subies par plusieurs or ganisations bancaires. L'analyse des problmes lis ces pertes montre qu'elles auraient probable ment pu tre vites si les banques avaient t dotes de systmes de contrle interne efficaces. D s systmes auraient, en effet, empch l'apparition de ces problmes ou permis de les dtect er, limitant ainsi les dommages causs aux organisations bancaires. En laborant ces pri ncipes, le Comit a tir des enseignements des situations des banques en difficult dans les dive rs pays membres. 3. Ces principes se prtent donc une application gnrale, et les autorits de contrle devraient s'y rfrer pour valuer les mthodes et procdures qu'elles emploient p ur voir comment les banques structurent leurs systmes de contrle interne. L'approche exacte

Le Comit de Ble sur le contrle bancaire, institu en 1975 par les gouverneurs des ban ques centrales des pays du Groupe des Dix, rassemble les autorits de contrle des banques. Il est compos de hauts reprsentants des autorits de contrle bancaire et banques centrales d'Allemagne, de Belgique, duCanada, des tats-Unis, de France, d'Italie, du Japon, du Luxembourg, des Pays-Bas, du Royaume-Uni, de Sude et de Suisse. Ses runions ont habituellement pour cadre la Banque des Rglement s Internationaux, Ble, sige de son Secrtariat permanent.

- 2 retenue par les divers responsables prudentiels sera fonction, bien entendu, de nombreux facteurs, dont leurs techniques de contrle sur place et sur pices, et de la part p rise par les auditeurs externes dans l'exercice de la surveillance; nanmoins, tous les membres du Comit de Ble reconnaissent que les principes tablis dans ce document devraient tre utiliss pour valuer le systme de contrle interne d'une banque. 4. Le Comit de Ble adresse ce document l'ensemble des autorits de contrle dans le monde, tant convaincu que les principes qu'il contient fourniront un cadr e utile pour une surveillance efficace des systmes de contrle interne. D'une manire plus gnrale, l e Comit dsire souligner que des contrles internes sains sont un lment essentiel la conduite prudente de l'activit bancaire et qu'ils favorisent galement la stabilit g lobale du systme financier. 5. Les recommandations diffuses antrieurement par le Comit de Ble comportaient gnralement des analyses des contrles internes portant sur des domaines spcifiques de l'activit bancaire, tels que le risque de taux d'intrt et les oprations de ngociation et sur instruments drivs. Cette fois, cependant, elles prsentent un cadre que le Comit encourage les autorits prudentielles utiliser pour valuer les contrles interne s sur l'ensemble des activits de bilan et de hors-bilan des organisations bancaires. Ce s recommandations ne se concentrent pas sur des secteurs ou activits spcifiques au s ein d'une banque, et leur application exacte dpend de la nature et de la complexit des oprati ons effectues ainsi que des risques qu'elles comportent. Dans les sections III et IV, le Comit nonce quatorze principes appliquer par les autorits de contrle bancaire pour valuer les systmes de contrle interne des banques. L'annexe, pour sa part, fournit des enseig nements prudentiels tirs de cas antrieurs de contrles internes insuffisants. Principes pour l'valuation des systmes de contrle interne Surveillance par la direction et culture de contrle Principe 1: Le conseil d'administration devrait tre charg d'approuver les stratgies et politiques, d'apprcier les risques encourus par la banque, de fixer des niveaux acceptables en regard de ces risques en s'assurant que la direction gnrale prend les dispositions ncessaires pour identifier, surveiller et contrler ces risques, d'approuver la structure organisationnelle et de s'assurer que la direction gnrale surveille l'efficacit du systme de contrle interne.

- 3 Principe 2: La direction gnrale devrait tre charge de mettre en oeuvre les stratgies approuves par le conseil, de dfinir des politiques de contrle interne appropries et de surveiller l'efficacit du systme de contrle interne. Principe 3: Le conseil d'administration et la direction gnrale sont chargs de promouvoir des critres levs d'thique et d'intgrit et d'instaurer, au sein de l'organisation bancaire, une culture qui souligne et dmontre, tous les niveaux du personnel, l'importance des contrles internes. Tous les niveaux du personnel de l'organisation doivent comprendre leur rle dans le contrle interne et s'impliquer activement dans ce processus. valuation des risques Principe 4: La direction gnrale devrait s'assurer qu'il est procd l'identification et l'valuation des facteurs internes et externes qui pourraient compromettre la ralisation des objectifs de la banque. Cette valuation devrait couvrir l'ensemble des divers risques encourus par l'tablissement (par exemple, risque de crdit, risque-pays et risque de transfert, risque de march, risque de taux d'intrt, risque de liquidit, risque oprationnel, risque juridique et risque de rputation). Principe 5: La direction gnrale devrait s'assurer que les risques affectant la ralisation des stratgies et objectifs de la banque font l'objet d'une valuation permanente. Un rexamen des contrles internes peut s'avrer ncessaire pour prendre en compte de manire approprie tout risque nouveau ou jusque-l non contrl. Activits de contrle Principe 6: Les activits de contrle devraient faire partie intgrante des oprations quotidiennes de la banque. La direction gnrale doit mettre en place une structure de contrle approprie pour garantir des contrles internes efficaces, en dfinissant les activits de contrle chaque niveau oprationnel. Ces activits devraient inclure les lments suivants: examens effectus au niveau suprieur; contrles d'activit appropris pour les diffrents dpartements ou units; contrles physiques; vrification priodique du respect des plafonds d'engagement; systme d'approbation et d'autorisation; systme de vrification et

- 4 de contrle par rapprochement. La direction gnrale doit s'assurer rgulirement que tous les domaines de la banque se conforment aux politiques et procdures tablies. Principe 7: La direction gnrale devrait s'assurer qu'il existe une sparation approprie des tches et que des responsabilits conflictuelles ne sont pas confies des membres du personnel. Les secteurs prsentant des conflits d'intrts potentiels devraient tre identifis, circonscrits aussi troitement que possible et surveills avec attention. Information et communication Principe 8: La direction gnrale devrait s'assurer de l'existence de donnes internes adquates et exhaustives . d'ordre financier, oprationnel ou ayant trait au respect de la conformit . ainsi que d'informations de march extrieures sur des vnements et conditions intressant la prise de dcision. Ces donnes et informations devraient tre fiables, rcentes, accessibles et prsentes sous une forme cohrente. Principe 9: La direction gnrale devrait instituer des voies de communication efficaces pour garantir que l'ensemble du personnel est parfaitement inform des politiques et procdures affectant ses tches et responsabilits et que les autres informations importantes parviennent leurs destinataires. Principe 10: La direction gnrale doit s'assurer de l'existence de systmes d'information appropris couvrant toutes les activits de la banque. Ces systmes, notamment ceux qui contiennent et utilisent des donnes informatises, doivent tre srs et faire l'objet de tests priodiques. Surveillance Principe 11: La direction gnrale devrait surveiller en permanence l'efficacit globale des contrles internes de la banque pour favoriser la ralisation des objectifs fixs. La surveillance des principaux risques devrait faire partie des oprations quotidiennes de la banque et comporter, au besoin, des valuations spcifiques.

- 5 Principe 12: Un audit interne efficace et exhaustif du systme de contrle interne devrait tre effectu par un personnel bien form et comptent. La fonction d'audit interne, en tant qu'lment de la surveillance du systme de contrle interne, devrait rendre compte directement au conseil d'administration, ou son comit d'audit, ainsi qu' la direction gnrale. Principe 13: Les carences dtectes dans les contrles internes devraient tre notifies dans les meilleurs dlais au niveau de direction appropri et faire l'objet d'un traitement rapide. Les dficiences importantes devraient tre signales la direction gnrale et au conseil d'administration. valuation des systmes de contrle interne par les autorits prudentielles Principe 14: Les autorits prudentielles devraient exiger que toutes les banques, quelle que so it leur dimension, disposent d'un systme efficace de contrle interne qui corresponde la nature, la complexit et au degr de risque de leurs activits de bilan et de hors-bilan et ragisse aux modifications de l'environnement et des conditions d'activit de la banque. Dans les cas o les autorits prudentielles constatent que le systme de contrle interne n'est pas adquat (s'il ne prend pas en compte, par exemple, tous les principes contenus dans ce document), elles devraient intervenir auprs de la banque pour s'assurer que des amliorations sont apportes immdiatement. 6. Toutes les parties concernes sont invites faire part de leurs commentaires sur les divers aspects de ce document, dont l'annexe, jusqu'au 30 mars 1998.

- 6 I. Contexte gnral 1. Le Comit de Ble a analys certains cas rcents de banques en difficult, afin d'identifier les principales sources des problmes de contrle interne. Les problmes mis jour renforcent l'ide qu'il est important que les administrateurs et la direction des banques, les auditeurs internes et externes ainsi que les autorits de contrle bancaire consacre nt une attention soutenue au renforcement des systmes de contrle interne et l'valuation permanente de leur efficacit. Plusieurs de ces cas montrent que des contrles inter nes insuffisants peuvent entraner des pertes bancaires substantielles. 2. Les formes de dficiences des contrles observes gnralement dans les banques en difficult peuvent tre classes en cinq grandes catgories. . Dfaillances dans la surveillance et l'exercice des responsabilits de la part de la direction et absence d'une forte culture de contrle au sein de la banque. Les cas de pertes importantes refltent tous, sans exception, un manque d'attention et de rig ueur de la direction envers la culture de contrle dans la banque, une orientation et une surveillance insuffisantes de la part du conseil d'administration et de la direc tion gnrale ainsi que l'absence d'un exercice clair de ses responsabilits de la part de la direction dans l'attribution des rles et des tches. Ces cas rvlent galement des incitations insuffisantes exercer une surveillance hirarchique rigoureuse et maintenir un niveau lev de conscience du contrle au sein des divers secteurs d'activit. . valuation inadquate du risque inhrent certaines activits bancaires, tant de bilan que de hors-bilan. De nombreuses organisations bancaires ayant subi des pe rtes substantielles ngligeaient d'valuer en permanence les risques lis aux nouveaux produits et activits ou de revoir leurs estimations des risques en fonction des modifications notables de l'environnement ou des conditions d'activit. Plusieurs cas rcents montrent clairement que des systmes de contrle efficaces pour des produits traditionnels ou simples sont inoprants pour des instruments plus sophistiqus ou complexes. . Absence ou dficience d'lments cls du contrle, tels que sparation des tches, approbations, vrifications, concordances, analyses des rsultats d'exploitation. La non-sparation des tches, en particulier, a jou un rle majeur dans les pertes sensibl es enregistres par les banques. . Mauvaise communication de l'information entre les niveaux de direction dans la banque, spcialement vers le haut pour signaler les problmes. Pour tre efficaces, le s politiques et procdures doivent tre communiques de manire effective l'ensemble du personnel associ une activit. Certaines pertes bancaires ont t dues au fait que des agents directement concerns ne connaissaient pas ou ne comprenaient pas les

- 7 politiques de l'tablissement. Dans plusieurs cas, des informations sur des activi ts inappropries qui auraient d tre transmises la direction par la voie hirarchique n'on t t notifies au conseil d'administration ou la direction gnrale que lorsque les problmes taient devenus graves. Dans d'autres cas, le contenu des rapports la direction tait insuffisant ou inexact, donnant ainsi une impression favorable sur la situation d'une activit qui tait, en fait, problmatique. . Programmes d'audit et autres activits de surveillance inadquats ou inefficaces. Trs souvent, les audits effectus n'taient pas suffisamment rigoureux pour dceler et notifier les insuffisances du contrle dans les banques en difficult. Dans d'autres cas, mme si les auditeurs ont fait part des problmes, ceux-ci n'ont pas t corrigs par la direction. 3. Le cadre de contrle interne qui sous-tend ces recommandations est fond sur les pratiques suivies actuellement dans de nombreuses grandes banques, entreprises d'investissement et socits non financires ainsi que par leurs auditeurs. En outre, ce cadre d'valuation va dans le sens de l'importance accrue donne par les autorits de contrle bancaire l'examen des processus de gestion du risque et de contrle interne dans u ne organisation bancaire. Il importe de souligner que le conseil d'administration e t la direction gnrale sont chargs de s'assurer de l'existence de contrles internes adquats et de promouvoir un environnement dans lequel les individus comprennent et assument srieusement leurs responsabilits dans ce domaine. Les autorits de contrle bancaire, pour leur part, ont mission d'valuer l'engagement du conseil d'administration et de la direction de la banque l'gard du processus de contrle interne.

- 8 -

II. Objectifs et rle du cadre de contrle interne 4. Le contrle interne est un processus mis en oeuvre par le conseil d'administrat ion2, la direction gnrale et tous les niveaux du personnel. Il ne s'agit pas simplement d'une procdure ou d'une politique applique un certain moment, mais plutt d'un systme qui fonctionne en continu tous les niveaux de la banque. Le conseil d'administration et la direction gnrale sont chargs d'instaurer la culture approprie capable de favoriser u n processus de contrle interne efficace et d'en vrifier en permanence l'efficacit; il importe toutefois que tous les membres du personnel y participent activement. Les princi paux objectifs du processus de contrle interne3 peuvent tre classs en trois groupes: 1. efficience et efficacit des oprations (objectifs oprationnels); 2. fiabilit et exhaustivit des donnes financires et des informations destines la direction (objectifs d'information); 3. conformit aux lois et rglementations applicables (objectifs de conformit). 5. Les objectifs oprationnels de contrle interne concernent l'efficacit et l'efficience de la banque dans l'utilisation de ses actifs et autres ressources ainsi que dans sa protection en cas de pertes. Le processus de contrle interne cherche s'assurer qu e l'ensemble du personnel oeuvre avec droiture la ralisation des objectifs, sans oc casionner des cots imprvus ou excessifs ni privilgier d'autres intrts (tels que ceux d'un emplo y, d'un fournisseur ou d'un client) que ceux de l'tablissement. 6. Les objectifs d'information portent sur la prparation de rapports fiables et a ussi rcents que possible, indispensables la prise de dcision au sein de l'organisation bancaire. Ils recouvrent galement la ncessit d'tablir des comptes annuels, tats financiers et a utres communications financires qui soient fiables, qu'il s'agisse des informations des tines aux autorits prudentielles ou d'autres usages externes. Les donnes reues par la directi on, le conseil d'administration, les actionnaires et les autorits de contrle devraient tre d'une qualit et d'une intgrit suffisantes pour que leurs bnficiaires puissent s'y rfrer po fonder leurs dcisions. Le terme fiable, appliqu aux tats financiers, se rapporte la 2 Ce document se rfre une structure de gestion compose d'un conseil d'administration et d'une direction gnrale. Le Comit est conscient de l'existence de diffrences notables entre les cadre s lgislatifs et rglementaires des divers pays, en ce qui concerne les fonctions de ces deux insta nces. Dans certains pays, le conseil est charg principalement, mais non exclusivement, de superviser l'orga ne excutif (direction gnrale), afin de s'assurer qu'il s'acquitte de ses tches; il est parfois appel, pour cette raison, conseil de

surveillance et n'a pas de rle excutif. Dans d'autres, en revanche, il dtient une a utorit plus large, en ce sens qu'il labore le cadre gnral de gestion de la banque. Du fait de ces diffrences, les notions de conseil d'administration et de direction gnrale sont utilises dans ce document non pas pour identifier des structures juridiques, mais plutt pour dsigner deux niveaux de prise de dcision au sein d'une banque. 3 Il inclut les contrles internes sur la prservation des actifs et autres ressources contre une acquisition, un usage ou un transfert non autoris ou en cas de pertes.

- 9 prparation de documents tablis sur une base sincre partir de principes et rgles comptables exhaustifs et bien dfinis. 7. Les objectifs de conformit garantissent que toute l'activit bancaire est condui te en conformit avec les lois ou rglementations et exigences prudentielles applicable s ainsi qu'avec les politiques et procdures internes. Cet objectif doit tre satisfait pour prserver les droits et la rputation de la banque.

- 10 III. Principaux lments d'un processus de contrle interne 8. Le processus de contrle interne, qui visait traditionnellement rduire la fraude , les dtournements de fonds et les erreurs, a rcemment pris une dimension plus vaste et recouvre l'ensemble des risques encourus par les organisations bancaires. Il est reconnu prsent qu'un processus de contrle interne sain est essentiel pour qu'une banque pu isse raliser les objectifs qu'elle s'est fixs et maintenir sa viabilit financire. 9. Le contrle interne consiste en cinq lments troitement lis: 1. Surveillance par la direction et culture de contrle 2. valuation des risques 3. Activits de contrle 4. Information et communication 5. Activits de surveillance. Les problmes rencontrs dans les cas rcents de pertes bancaires importantes entrent dans ces cinq catgories. Le fonctionnement efficace de ces lments est capit al pour la ralisation des objectifs oprationnels, d'information et de conformit d'une banqu e. A. Surveillance par la direction et culture de contrle 1. Conseil d'administration Principe 1: Le conseil d'administration devrait tre charg d'approuver les stratgies et politiques, d'apprcier les risques encourus par la banque, de fixer des niveaux acceptables en regard de ces risques en s'assurant que la direction gnrale prend l es dispositions ncessaires pour identifier, surveiller et contrler ces risques, d'app rouver la structure organisationnelle et de s'assurer que la direction gnrale surveille l'efficacit du systme de contrle interne. 10. Le conseil d'administration a une mission de gouvernance, d'orientation et d e surveillance vis--vis de la direction gnrale. Il est charg de fixer les grandes stra tgies et les principales politiques de l'organisation et d'approuver sa structure organis ationnelle globale. Il lui incombe en dernier ressort de veiller la mise en place et l'appl ication d'un systme adquat de contrle interne. Pour tre efficaces, ses membres doivent tre objecti fs, comptents et scrupuleux et connatre les activits de la banque ainsi que les risques qu'elle encourt. Un conseil d'administration fort et actif, surtout lorsqu'il est associ des canaux de communication faisant bien remonter l'information et des organes financiers, jur idiques et d'audit interne efficients, est souvent le mieux en mesure de rsoudre les problmes qui pourraient amoindrir l'efficacit du systme de contrle interne.

- 11 11. Le conseil d'administration devrait inclure dans ses activits 1) des discussi ons rgulires avec la direction sur l'efficacit du systme de contrle interne, 2) un examen , dans les dlais les plus brefs, des valuations sur les contrles internes effectues par la direction et les auditeurs internes et externes, 3) des actions rptes pour s'assurer que la dire ction a pris en compte de manire approprie les recommandations et proccupations exprimes par les auditeurs et autorits de contrle au sujet des carences du contrle interne. 12. Une option utilise par les banques de nombreux pays consiste instaurer un comit d'audit indpendant pour assister le conseil dans l'exercice de ses responsab ilits. Cela permet d'examiner dans le dtail des informations et rapports sans devoir mobilise r tous les administrateurs et d'apporter toute l'attention ncessaire certaines questions par ticulires. Le comit d'audit est gnralement responsable du suivi du processus de communication financire et du systme de contrle interne. Dans le cadre de cette responsabilit, il est attentif aux oprations du dpartement d'audit interne de la banque, auquel il sert de contact direct; il engage galement les auditeurs externes et en est l'interlocuteur privi lgi. Dans les pays optant pour un comit d'audit, celui-ci devrait tre entirement compos d'administrateurs extrieurs (c'est--dire de membres du conseil qui ne sont employs ni par la banque ni par l'un de ses tablissements affilis) possdant une comptence en matire de communication financire et de contrle interne. Il convient de noter que la constit ution d'un comit d'audit ne devrait en aucun cas dcharger le conseil plnier de ses tches, lui s eul tant juridiquement mandat prendre des dcisions. 2. Direction gnrale Principe 2: La direction gnrale devrait tre charge de mettre en oeuvre les stratgies approuves par le conseil, de dfinir des politiques de contrle interne appropries et de surveiller l'efficacit du systme de contrle interne. 13. Il incombe la direction gnrale de mettre en oeuvre les directives approuves par le conseil d'administration, en appliquant notamment les stratgies et politiq ues de la banque et en instaurant un systme de contrle interne efficace. Pour l'laboration de s politiques et procdures de contrle interne plus spcifiques, les membres de la direc tion gnrale dlguent habituellement leur responsabilit aux personnes charges des activits fonctions d'une unit particulire. Il est donc important que la direction gnrale s'as sure que ces personnes tablissent et conduisent les politiques et procdures appropries. 14. Le respect de la conformit un systme de contrle interne passe en grande partie par une structure organisationnelle parfaitement transparente et connue d e l'ensemble du personnel, montrant clairement les niveaux de responsabilit et d'autorit en matire de notification et permettant une communication adquate dans l'ensemble de l'organis

ation. La rpartition des tches et responsabilits devrait garantir l'absence de ruptures dans la chane

- 12 hirarchique et l'exercice d'un degr de contrle efficace par la direction tous les n iveaux de la banque et dans toutes ses activits. 15. Il importe que la direction gnrale prenne des mesures pour garantir que les activits sont conduites par du personnel qualifi possdant l'exprience et les capacits techniques requises. Le personnel devrait bnficier d'une rmunration approprie ainsi q ue d'une remise niveau priodique de sa formation et de ses comptences. La direction gnr ale devrait instaurer des politiques de rmunration et de promotion rcompensant les comportements adquats et rduisant au maximum les incitations, pour les agents, ign orer ou contourner les mcanismes de contrle interne. 3. Culture de contrle Principe 3: Le conseil d'administration et la direction gnrale sont chargs de promouvoir des critres levs d'thique et d'intgrit et d'instaurer, au sein de l'organisation bancaire, une culture qui souligne et dmontre, tous les niveaux du personnel, l'importance des contrles internes. Tous les niveaux du personnel de l'organisation doivent comprendre leur rle dans le contrle interne et s'impliquer activement dans ce processus. 16. L'un des lments essentiels d'un systme de contrle interne efficace rside dans une culture de contrle forte. Il incombe au conseil d'administration et la direct ion gnrale de souligner, dans les termes utiliss et les actions entreprises, l'importance du contrle interne; cela passe notamment par les valeurs thiques mises en avant par la direc tion dans son comportement professionnel, tant l'intrieur qu' l'extrieur de l'organisation. L es termes, actes et attitudes de ces deux instances affectent l'intgrit, l'thique et l es autres aspects de la culture de contrle d'un tablissement. 17. des degrs divers, le contrle interne relve de la responsabilit de chacun. Presque tous les employs produisent des informations utilises dans le systme de con trle interne ou effectuent d'autres actions indispensables l'exercice du contrle. Un lme nt cl d'un systme de contrle interne fort est la conscience, pour chaque employ, de la nce ssit d'assumer ses tches de manire efficace et de notifier au niveau de direction appro pri tout problme rencontr dans le cadre des oprations, toute infraction au code de conduite ainsi que toute violation des politiques tablies ou action illgale constate. L'idal, cet e ffet, est que les procdures oprationnelles soient clairement prcises par crit et mises la disposition de l'ensemble du personnel concern. Il est essentiel que tous les age nts de la banque comprennent l'importance du contrle interne et s'impliquent activement dan s ce processus. 18. En renforant les valeurs thiques, les organisations bancaires devraient viter d

es politiques et pratiques pouvant engendrer par mgarde des incitations ou des tenta tions

- 13 effectuer des activits inappropries: importance exagre donne aux objectifs de performance ou autres rsultats oprationnels, particulirement court terme; gratifica tions leves lies aux performances; sparation inefficace des tches ou d'autres fonctions de contrle pouvant conduire mal utiliser les ressources ou dissimuler des performanc es mdiocres; sanctions minimes ou excessives en cas de comportement incorrect. 19. Si l'existence d'une forte culture de contrle interne ne garantit pas une organisation d'atteindre ses objectifs, son absence augmente les risques d'erreu rs non dceles ou d'irrgularits. B. valuation des risques 20. Dans la perspective du contrle interne, l'valuation des risques devrait dceler et apprcier les facteurs internes et externes pouvant compromettre la ralisation des objectifs oprationnels, d'information et de conformit d'une organisation bancaire. Cette ana lyse devrait prendre en compte des risques tels que le risque de crdit, le risque de m arch, le risque de liquidit et le risque oprationnel (lequel inclut le risque de fraude, de dtournement d'actifs et d'informations financires douteuses). Il existe une diffrence notable entre l'valuation des risques dans le contexte du processus de contrle interne et le con cept plus large de gestion des risques dans l'activit globale d'une banque. Dans une organisa tion bancaire, cette gestion des risques consiste tablir des objectifs organisationnel s et autres (en matire de rentabilit, par exemple) et dterminer, mesurer et fixer les plafonds d'engagement que la banque acceptera pour les atteindre. L'objet du contrle inter ne est alors de s'assurer que les objectifs et politiques sont communiqus et appliqus, que le r espect des plafonds est soumis surveillance et que les dviations sont corriges dans le sens d es politiques de la direction. Par consquent, le concept de gestion des risques s'ten d, mais ne se limite pas, l'valuation des risques et la fixation d'objectifs oprationnels tels q u'ils sont dfinis aux fins du contrle interne. Principe 4: La direction gnrale devrait s'assurer qu'il est procd l'identification e t l'valuation des facteurs internes et externes qui pourraient compromettre la ralis ation des objectifs de la banque. Cette valuation devrait couvrir l'ensemble des divers risques encourus par l'tablissement (par exemple, risque de crdit, risque-pays et risque d e transfert, risque de march, risque de taux d'intrt, risque de liquidit, risque oprationnel, risque juridique et risque de rputation). 21. Une valuation efficace des risques recense et analyse les facteurs internes ( nature

des activits de la banque, qualit du personnel, modifications organisationnelles e t mouvements d'effectifs) et externes (volution des conditions conomiques, changemen ts au sein de la profession et progrs technologique) pouvant compromettre la ralisation des

- 14 objectifs de la banque. Cette valuation devrait tre effectue au niveau de chaque dpartement oprationnel ainsi que pour l'ensemble des activits et filiales de l'orga nisation bancaire consolide et peut s'oprer par diverses mthodes. Pour tre efficace, elle doi t porter la fois sur les risques mesurables (risque de crdit, risque de march et risque de liquidit) et non mesurables (risque oprationnel, risque juridique et risque de rputation). 22. Le processus d'valuation des risques ncessite galement de dterminer ceux qui sont contrlables par la banque et ceux qui ne le sont pas. Pour les premiers, la banque doit tablir si elle accepte ces risques ou si elle prfre les limiter au moyen de procdure s de contrle. Pour ceux qui ne peuvent pas tre contrls, la banque doit dcider soit de les accepter, soit de se dsengager, soit encore de rduire le niveau de l'activit concer ne. Principe 5: La direction gnrale devrait s'assurer que les risques affectant la rali sation des stratgies et objectifs de la banque font l'objet d'une valuation permanente. U n rexamen des contrles internes peut s'avrer ncessaire pour prendre en compte de manire approprie tout risque nouveau ou jusque-l non contrl. 23. Pour que l'valuation des risques et, par consquent, le systme de contrle interne demeurent efficaces, la direction gnrale doit considrer en permanence les risques p ouvant entraver la ralisation des objectifs de la banque et ragir aux modifications des c irconstances et des conditions d'activit. Il peut s'avrer ncessaire de revoir les contrles intern es, afin de bien prendre en compte des risques nouveaux ou jusque-l non contrls. Par exemple, a vec l'innovation financire, une banque doit valuer les nouveaux instruments financiers et oprations de march et examiner les risques qu'ils font encourir. Souvent, la meill eure faon de comprendre ces risques est de voir comment divers scnarios (conomiques ou autre s) affectent les flux de trsorerie et le rendement des transactions et instruments f inanciers. Un examen attentif de l'ventail des problmes possibles, allant des malentendus avec l a clientle aux dfaillances oprationnelles, soulignera certains aspects importants en matire de contrle. C. Activits de contrle Principe 6: Les activits de contrle devraient faire partie intgrante des oprations quotidiennes de la banque. La direction gnrale doit mettre en place une structure de contrle approprie pour garantir des contrles internes efficaces, en dfinissant les activits de contrle chaque niveau oprationnel. Ces activits devraient inclure les lments suivants: examens effectus au niveau suprieur; contrles d'activit appropris pour les diffrents dpartements ou units; contrles physiques; vrification priodique du respect des plafonds d'engagement; systme d'approbation et

- 15 d'autorisation; systme de vrification et de contrle par rapprochement. La direction gnrale doit s'assurer rgulirement que tous les domaines de la banque se conforment aux politiques et procdures tablies. 24. Les activits de contrle sont conues et mises en oeuvre pour faire face aux risques dcels par la banque par le biais du processus d'valuation des risques dcrit prcdemment. Ces activits comportent trois tapes: 1) l'tablissement des politiques; 2) la performance des procdures au regard de ces politiques; 3) la vrification du respec t de la conformit aux politiques. Les activits de contrle se situent tous les niveaux du pe rsonnel de la banque, y compris la direction gnrale et les personnels directement en conta ct avec le march. Voici diffrents exemples d'activits de contrle. . Examens effectus au niveau suprieur Le conseil d'administration et la direction gnrale demandent souvent des prsentations et comptes rendus de rsultats qui leur permettent d'valuer les progrs raliss par la banque vers ses objectifs. Par exemple, la direction gnrale peut vouloir consulter des rapports indiquant les rsultats financiers effectifs en cours d'exercice par rapport au budget. Les questions de la direction gnrale qui en rsultent et les rponses fournies par les niveaux hirarchiques infrieurs constituent une activit de contrle qui peut mettre en vidence des problmes, tels que carences du contrle, erreurs dans la communication financire interne ou fraudes. . Contrles d'activit La direction, au niveau d'un dpartement ou d'une unit, reoit et examine des comptes rendus normaux ou exceptionnels sur une base quotidienne, hebdomadaire ou mensuelle. Les examens fonctionnels sont plus frquents que ceux effectus au niveau suprieur et sont habituellement plus dtaills. Par exemple, le responsable du secteur des prts commerciaux consulte des rapports hebdomadaires sur les dfauts de paiement, les paiements reus et les revenus d'intrts produits par le portefeuille, tandis que le responsable du crdit au sein de la direction gnrale a connaissance de documents similaires une fois par mois et sous une forme plus condense couvrant toutes les catgories de prts. Comme pour les examens au niveau suprieur, les questions qui rsultent de l'analyse des rapports et les rponses qu'elles amnent reprsentent l'activit de contrle. . Contrles physiques Les contrles physiques portent en gnral sur les limitations d'accs aux actifs physiques, dont les titres et autres actifs financi ers. Les activits de contrle incluent les restrictions physiques, la double conservatio n et les inventaires priodiques.

- 16 . Conformit aux plafonds d'engagement L'tablissement de limites prudentes sur les engagements constitue un lment majeur de la gestion des risques. Par exemple, la conformit aux limites fixes pour les emprunteurs et les autres contreparties rduit la concentration du risque de crdit de la banque et permet de diversifier son profil de risque. Par consquent, un aspect important des contrles internes rside dans la vrification, intervalles rguliers, du respect de telles limites. . Approbation et autorisation La ncessit de solliciter une approbation et une autorisation pour les transactions dpassant certaines limites garantit qu'un nive au de direction appropri a connaissance de la transaction ou de la situation, ce qui aide tablir les responsabilits. . Vrification et concordance La vrification des caractristiques dtailles des transactions ainsi que des diverses activits et des rsultats fournis par les modles de gestion des risques utiliss par la banque constitue une activit de contrle importante. La concordance priodique, par exemple entre les flux de trsorerie et les rapports et tats financiers, peut mettre en vidence des activits et enregistrements comptables exigeant d'tre amends. Par consquent, les conclusions de ces contrles devraient tre notifies rgulirement aux niveaux de direction appropris. 25. Les activits de contrle ont leur efficacit optimale lorsque la direction et l'ensemble du personnel les considrent comme faisant intrinsquement partie, et non comme un complment, des oprations quotidiennes de la banque. Lorsque les contrles sont vu s comme un complment des oprations de chaque jour, ils sont souvent jugs moins importants et peuvent ne pas tre raliss dans des situations o des agents s'estiment presss par le temps pour effectuer leurs activits. En outre, les contrles qui sont vritabl ement intgrs aux oprations quotidiennes permettent de ragir rapidement des modifications d es conditions et vitent des cots inutiles. Dans le cadre de l'action visant instaurer la culture de contrle approprie au sein d'une banque, la direction gnrale devrait s'assurer que le s activits de contrle adquates font vritablement partie des fonctions quotidiennes de l'ensemble du personnel concern. 26. La direction gnrale ne doit pas se contenter de dfinir des politiques et procdures appropries pour les diverses activits et units de la banque. Elle doit s'a ssurer priodiquement que tous les domaines de la banque oprent en conformit avec ces polit iques et procdures et faire en sorte galement que les politiques et procdures existantes demeurent adquates. Cette fonction entre habituellement dans les attributions du dpartement d'audit interne.

- 17 Principe 7: La direction gnrale devrait s'assurer qu'il existe une sparation approprie des tches et que des responsabilits conflictuelles ne sont pas confies des membres du personnel. Les secteurs prsentant des conflits d'intrts potentiels devraient tre identifis, circonscrits aussi troitement que possible et surveills ave c attention. 27. Dans les cas de pertes bancaires importantes dues un contrle interne insuffis ant, les autorits prudentielles constatent en gnral que l'une des causes principales rsid e dans l'absence de sparation adquate des tches. Le fait de confier la mme personne des responsabilits conflictuelles (par exemple, celles des fonctions de march et de po stmarch d'une unit de ngociation) lui donne la possibilit d'avoir accs des actifs de valeur et de manipuler des donnes financires en vue d'un profit personnel ou de dissimuler des pertes. C'est pourquoi, au sein d'une banque, certaines tches devraient tre rparties entre plusieurs individus, afin de rduire le risque de manipulation de donnes financires ou de dtournement d'actifs. 28. La sparation des tches ne concerne pas seulement des situations o la mme personne contrle la fois la salle des marchs et le postmarch. En l'absence de contrl es appropris, de srieux problmes peuvent galement se poser lorsqu'un individu est charg: . de l'approbation du dcaissement de fonds et de leur dcaissement effectif; . des comptes clientle et des comptes propres; . des transactions au titre du portefeuille bancaire et du portefeuille de ngociation; . de la fourniture informelle d'informations des clients sur leurs positions et de la relation commerciale avec ces mmes clients; . de l'valuation du caractre adquat des dossiers de crdit et de la surveillance des emprunteurs aprs l'octroi des crdits; . de tout autre domaine o des conflits d'intrts notables apparaissent et ne sont pas attnus par d'autres facteurs. 29. Les domaines de conflits potentiels devraient tre identifis, circonscrits auss i troitement que possible et surveills avec attention. Des examens priodiques des responsabilits et fonctions des personnes dtenant les postes cls devraient tre galeme nt effectus pour s'assurer que ces responsables ne sont pas en mesure de dissimuler des agissements inappropris. D. Information et communication Principe 8: La direction gnrale devrait s'assurer de l'existence de donnes internes

adquates et exhaustives . d'ordre financier, oprationnel ou ayant trait au respect de la

- 18 conformit . ainsi que d'informations de march extrieures sur des vnements et conditions intressant la prise de dcision. Ces donnes et informations devraient tre fiables, rcentes, accessibles et prsentes sous une forme cohrente. 30. Une information adquate et une communication efficace sont deux lments essentiels au bon fonctionnement d'un systme de contrle interne. S'agissant des ba nques, pour que l'information soit utile, elle doit tre pertinente, fiable, rcente, acces sible et prsente sous une forme cohrente. Il peut s'agir de donnes internes d'ordre financier , oprationnel ou ayant trait au respect de la conformit ainsi que d'informations de march extrieures sur des vnements et conditions intressant la prise de dcision. L'informati on interne fait partie d'un processus d'enregistrement qui devrait comporter des pr ocdures dfinies pour la conservation des supports d'enregistrement. Principe 9: La direction gnrale devrait instituer des voies de communication effic aces pour garantir que l'ensemble du personnel est parfaitement inform des politiques et procdures affectant ses tches et responsabilits et que les autres informations importantes parviennent leurs destinataires. 31. En l'absence d'une communication efficace, l'information est inutile. La dir ection gnrale d'une banque doit instaurer des voies effectives de communication, afin que les informations ncessaires parviennent leurs destinataires. Ces informations portent la fois sur les politiques et procdures oprationnelles de l'tablissement ainsi que sur les rsultats d'exploitation rels. 32. La structure organisationnelle de la banque devrait faciliter la libre circu lation horizontale et verticale de l'information dans toute l'organisation. Une telle s tructure garantit que les informations remontent et permet au conseil d'administration et la direc tion gnrale de connatre les risques encourus dans le cadre de l'activit et les rsultats d'explo itation. L'information qui redescend travers l'organisation garantit que les objectifs, l es stratgies, et aussi les attentes, de la banque ainsi que les politiques et procdures tablies son t communiqus au niveau de direction infrieur et au personnel charg des oprations. Cett e communication est essentielle pour obtenir un effort commun de tous les employs v ers les objectifs de la banque. Enfin, la communication horizontale dans l'organisation est ncessaire pour que l'information parvenant une unit ou un dpartement puisse tre connue des au tres units ou dpartements concerns.

Principe 10: La direction gnrale doit s'assurer de l'existence de systmes d'information appropris couvrant toutes les activits de la banque. Ces systmes, notamment ceux qui contiennent et utilisent des donnes informatises, doivent tre srs et faire l'objet de tests priodiques.

- 19 -

33. Un lment essentiel des oprations d'une banque rside dans la mise en place et la maintenance de systmes d'information de la direction couvrant toute la gamme d es activits. Cette information est habituellement fournie sous forme la fois lectroni que et non lectronique. Les banques doivent tre tout particulirement informes des exigences organisationnelles et de contrle interne lies au traitement lectronique de l'inform ation. 34. Les systmes lectroniques et l'utilisation de l'informatique prsentent des risqu es qui doivent tre efficacement contrls par les banques, afin d'viter des dysfonctionne ments et des pertes potentielles. Les contrles sur les systmes et la technologie informa tiques devraient tre la fois gnraux et spcifiques aux applications. Les contrles gnraux portent sur le systme informatique (c'est--dire ordinateur central et terminaux d' utilisateur) et en assurent un fonctionnement correct en continu. Ils incluent notamment des procdures de sauvegarde et de reprise, des politiques de dveloppement et d'acquisition de logi ciels, des procdures de maintenance et des contrles de scurit d'accs. Les contrles lis aux applications sont des tapes informatises au sein des applications logicielles et d 'autres procdures manuelles qui examinent le traitement des oprations. Ils comprennent, en tre autres, les questions de rconciliations et de concordances. En l'absence de contrl es adquats sur les systmes et la technologie informatiques, y compris ceux qui sont en cours de dveloppement, les banques pourraient subir des pertes de donnes et de programmes rsultant de dispositions inappropries en matire de scurit physique et lectronique, de dfaillances des quipements ou systmes et de procdures inadaptes de sauvegarde et de reprise. Au niveau de la direction, la prise de dcision pourrait tre fausse par des informations non fiables ou errones fournies par des systmes mal conus et insuffisa mment contrls. Le traitement de l'information pourrait tre entrav, voire totalement stopp, s'il n'est pas possible, en cas de dfaillance prolonge de l'quipement, de recourir des installations de secours compatibles. Dans des situations extrmes, de tels problme s pourraient causer de srieuses difficults aux banques et mme compromettre leur capac it d'effectuer leurs activits essentielles. E. Activits de surveillance Principe 11: La direction gnrale devrait surveiller en permanence l'efficacit globa le des contrles internes de la banque pour favoriser la ralisation des objectifs fixs. La surveillance des principaux risques devrait faire partie des oprations quotidienn es de la banque et comporter, au besoin, des valuations spcifiques. 35. L'activit bancaire est un secteur dynamique, o tout volue rapidement. Les banques doivent en permanence surveiller et valuer leurs systmes de contrle interne

en

- 20 fonction des modifications des conditions internes et externes et les renforcer, au besoin, pour en garantir l'efficacit. 36. Surveiller l'efficacit des contrles internes devrait faire partie des oprations quotidiennes de la banque mais commande galement de procder des valuations priodiques spcifiques de l'ensemble du processus de contrle interne. La frquence de la surveillance des diffrentes activits devrait tre fonction des risques encourus ains i que du rythme et de la nature des changements affectant l'environnement oprationnel. Un processus de surveillance en continu peut permettre de dcouvrir et de corriger rapidement l es dficiences du systme de contrle interne; il atteint son efficacit maximale lorsque l e systme de contrle interne est intgr l'environnement oprationnel et donne lieu des rapports rguliers qui font l'objet d'un examen. Dans le cadre de la surveillance en continu figurent, par exemple, l'examen et l'approbation des enregistrements courants ai nsi que la consultation et l'approbation par la direction des rapports sur des faits except ionnels. 37. En revanche, les valuations spcifiques ne dtectent gnralement les problmes qu'aprs coup; elles permettent cependant une organisation d'avoir un aperu rcent et global de l'efficacit du systme de contrle interne et de celle, en particulier, de ses act ivits de surveillance. Ces valuations du systme de contrle interne prennent souvent la forme d'autovaluations, lorsque les personnes charges d'une fonction prcise dterminent le degr d'efficacit des contrles pour leurs activits. Les documents et rsultats concernant l es valuations sont ensuite soumis l'attention de la direction gnrale. Les examens effe ctus tous les niveaux devraient tre tays par une documentation adquate et communiqus dans les meilleurs dlais l'chelon de direction appropri. Principe 12: Un audit interne efficace et exhaustif du systme de contrle interne d evrait tre effectu par un personnel bien form et comptent. La fonction d'audit interne, en tant qu'lment de la surveillance du systme de contrle interne, devrait rendre compte directement au conseil d'administration, ou son comit d'audit, ainsi qu' la direct ion gnrale.

38. La fonction d'audit interne constitue un lment majeur de la surveillance en continu du systme de contrle interne, parce qu'elle fournit une valuation indpendant e du caractre adquat des contrles instaurs et du respect de la conformit ces derniers. En rendant compte directement au conseil d'administration ou son comit d'audit ainsi qu' la direction gnrale, les auditeurs internes procurent des informations objectives sur les

diffrentes activits. En raison de l'importance de cette fonction, l'audit interne doit tre assur par un personnel comptent et bien form ayant une parfaite comprhension de son rle et de ses responsabilits. La frquence et l'ampleur des examens et tests des contrles inte rnes effectus au sein d'une banque par les auditeurs internes devraient correspondre l a nature et la complexit des activits de l'organisation et aux risques associs. Dans tous les c as, il est

- 21 capital que la fonction d'audit interne soit indpendante du fonctionnement de la banque au quotidien et qu'elle ait accs toutes les activits conduites par l'organisation ban caire. 39. Il est important que la fonction d'audit interne rende compte directement au plus haut niveau de l'organisation bancaire, habituellement le conseil d'administrati on ou son comit d'audit, et la direction gnrale. Cela permet la gouvernance d'entreprise de s'exercer correctement, le conseil bnficiant d'informations qui ne sont altres en au cune faon par les niveaux de direction couverts par ces comptes rendus. Le conseil dev rait galement renforcer l'indpendance des auditeurs internes, en faisant en sorte que d es questions ayant trait, par exemple, leur rmunration ou aux affectations budgtaires les concernant soient traites par le conseil ou par les niveaux de direction suprieurs plutt que par des responsables qui sont affects par les travaux des auditeurs internes. Principe 13: Les carences dtectes dans les contrles internes devraient tre notifies dans les meilleurs dlais au niveau de direction appropri et faire l'objet d'un tra itement rapide. Les dficiences importantes devraient tre signales la direction gnrale et au conseil d'administration.

40. Les dficiences des contrles internes, ou les politiques ou procdures inefficace s, devraient tre signales ds leur dtection la ou aux personnes appropries, les problme graves tant ports l'attention de la direction gnrale et du conseil d'administration. Lorsque ces insuffisances ont t notifies, il est important que la direction y remdie dans le s meilleurs dlais. Les auditeurs internes devraient en effectuer le suivi et inform er immdiatement la direction gnrale ou le conseil de toute insuffisance non corrige. Po ur faire en sorte que toutes les dficiences soient traites au plus tt, la direction de vrait prvoir un systme pour suivre les faiblesses du contrle interne ainsi que les actions dest ines y remdier.

- 22 IV. valuation des systmes de contrle interne par les autorits prudentielles Principe 14: Les autorits prudentielles devraient exiger que toutes les banques, quelle que soit leur dimension, disposent d'un systme efficace de contrle interne qui corresponde la nature, la complexit et au degr de risque de leurs activits de bilan et de hors-bilan et ragisse aux modifications de l'environnement et des condition s d'activit de la banque. Dans les cas o les autorits prudentielles constatent que le systme de contrle interne n'est pas adquat (s'il ne prend pas en compte, par exempl e, tous les principes contenus dans ce document), elles devraient intervenir auprs d e la banque pour s'assurer que des amliorations sont apportes immdiatement. 41. Bien que le conseil d'administration et la direction gnrale soient responsable s en dernier ressort de l'efficacit du systme de contrle interne, les autorits prudentiel les devraient valuer, dans le cadre de leurs activits de contrle permanent, les systmes dont sont dotes les diverses banques. Elles devraient galement s'assurer que la directi on de chaque tablissement accorde sans tarder l'attention requise tout problme dtect par l e processus de contrle interne. 42. Les autorits prudentielles devraient exiger des banques soumises leur contrle qu'elles aient une culture de contrle forte et opter, dans l'exercice de leur sur veillance, pour une approche centre sur le risque, incluant d'examiner l'adquation des contrles int ernes. Il importe que les autorits prudentielles valuent non seulement l'efficacit du systme g lobal de contrle interne, mais aussi les contrles sur les secteurs haut risque (ceux, pa r exemple, qui prsentent des caractristiques telles qu'une rentabilit inhabituelle, une croiss ance rapide ou une activit nouvelle). Elles devraient donner une place particulire aux documen ts prcisant les politiques et procdures en tant que mcanisme cl de communication. 43. Dans l'valuation des systmes de contrle interne des banques, les autorits prudentielles peuvent choisir d'accorder une attention spciale directe des activi ts ou situations traditionnellement associes des dfaillances de contrle interne ayant ent ran des pertes substantielles. Certaines modifications de l'environnement de la banq ue devraient faire l'objet d'une considration particulire pour dterminer si des rvisions parallles sont ncessaires dans le systme de contrle interne. Ces modifications englobent notamment : 1) un environnement oprationnel modifi; 2) un personnel nouveau; 3) des systmes d'information nouveaux ou transforms; 4) des domaines ou activits enregistrant une croissance rapide; 5) une technologie nouvelle; 6) des secteurs, produits ou act

ivits nouveaux (ceux surtout de nature complexe); 7) des restructurations, fusions et acquisiti ons d'entreprises; 8) une expansion ou acquisition d'oprations l'tranger (y compris l' incidence des modifications de l'environnement conomique et rglementaire correspondant). 44. Pour valuer la qualit des contrles internes, les autorits prudentielles ont le choix entre diverses approches. Elles peuvent examiner le travail du dpartement d 'audit

- 23 interne de la banque partir de ses documents de travail, y compris sa mthode d'val uation du risque. Si elles sont satisfaites des prestations de l'audit interne, elles p euvent utiliser les rapports des auditeurs internes comme premier lment d'identification des problmes d e contrle dans la banque ou pour dtecter des domaines de risque potentiel qui n'ont pas t passs en revue rcemment par les auditeurs. Les autorits prudentielles peuvent opter pour un processus d'autovaluation, par lequel la direction examine les contrles internes s ecteur par secteur et certifie l'autorit prudentielle que les contrles sont adquats pour les a ctivits de la banque. D'autres peuvent exiger des audits externes priodiques des domaines cls , dont elles dterminent elles-mmes l'ampleur. Enfin, les autorits prudentielles peuvent as socier une ou plusieurs de ces mthodes leurs propres examens sur place des contrles inter nes. 45. Dans de nombreux pays, les autorits prudentielles effectuent des examens sur place qui comportent une rvision des contrles internes. Un tel examen pourrait inc lure la fois une analyse de tout le processus d'activit et un contrle appropri des transact ions sous forme de sondages, afin d'avoir une vrification indpendante des processus de contrl e interne de la banque. 46. Un contrle appropri des transactions devrait tre effectu sous forme de sondages pour vrifier: . l'adquation des politiques, procdures et limites internes et leur respect; . l'exactitude et l'exhaustivit des rapports la direction et documents financiers; . la fiabilit (c'est--dire un fonctionnement conforme aux attentes de la direction) des contrles spcifiques considrs comme essentiels pour l'lment de contrle interne faisant l'objet de l'valuation. 47. Pour apprcier l'efficacit des cinq lments de contrle interne d'une organisation bancaire (ou de l'une de ses units ou activits), les autorits prudentielles devraie nt: . dterminer les objectifs de contrle interne adapts l'organisation, l'unit ou l'activit examine (par exemple, prts, placements, comptabilit); . valuer l'efficacit des lments de contrle interne, non pas par un simple examen des politiques et procdures, mais en consultant galement l'ensemble des documents, en discutant des oprations avec divers niveaux du personnel de la banque, en observant l'environnement oprationnel et en contrlant par sondages les transactions; . faire part, dans les meilleurs dlais, au conseil d'administration et la direction de leurs proccupations prudentielles au sujet des contrles internes et des recommandations visant les amliorer;

. s'assurer, pour les carences dtectes, qu'une action corrective est mise en oeuvre sans tarder. 48. Les autorits de contrle bancaire qui ne procdent pas des examens de routine sur place recourent gnralement aux travaux des auditeurs externes. Ceux-ci devraie nt alors

- 24 effectuer l'examen du processus d'activit et le contrle par sondages des transacti ons prciss prcdemment. 49. Dans tous les cas, les autorits de contrle bancaire devraient examiner les observations et recommandations des auditeurs externes concernant l'efficacit des contrles internes et s'assurer que la direction et le conseil d'administration de la banq ue ont donn suite aux proccupations et recommandations exprimes par les auditeurs externes. Le nivea u et la nature des problmes de contrle rencontrs par les auditeurs devraient tre pris en com pte dans l'valuation, par les autorits prudentielles, de l'efficacit des contrles intern es de la banque. 50. Les autorits prudentielles devraient galement encourager les auditeurs externe s de la banque planifier et conduire leurs audits de manire bien prendre en considra tion l'ventualit d'indications errones rsultant de manipulations frauduleuses des tats financiers. Tout cas de fraude dtect par les auditeurs externes, quelle qu'en soit la gravit, devrait tre signal au niveau de direction appropri. Une fraude impliquant la direct ion gnrale et une fraude ayant de graves consquences pour l'tablissement devraient tre notifies au conseil d'administration et/ou son comit d'audit. Dans certaines circo nstances (en fonction des exigences nationales), les auditeurs externes peuvent avoir sig naler les fraudes des autorits prudentielles ou d'autres instances extrieures la banque. 51. En examinant l'adquation du processus de contrle interne dans chaque organisation bancaire, les autorits prudentielles devraient galement s'assurer de l'efficacit du processus au niveau des divers secteurs d'activit et filiales. Il est importan t qu'elles valuent le processus de contrle interne non seulement pour chaque tablissement ou e ntit juridique, mais aussi pour tout l'ventail des activits et filiales au sein de l'or ganisation bancaire consolide.

- 25 -

V. Rles et responsabilits des auditeurs externes 52. Bien que, par dfinition, les auditeurs externes ne fassent pas partie d'une organisation bancaire et ne soient donc pas un lment de son systme de contrle intern e, ils ont une incidence importante sur la qualit des contrles internes travers leurs act ivits d'audit, et notamment leurs discussions avec la direction et leurs recommandatio ns pour amliorer les contrles internes. Les auditeurs externes fournissent en retour des i nformations utiles sur l'efficacit du systme de contrle interne. 53. Si l'objet principal de la fonction d'audit externe est de donner un avis su r les comptes annuels d'une banque, ou de les certifier, l'auditeur externe doit chois ir de s'en remettre ou non l'efficacit du systme de contrle interne de l'tablissement. Pour cet te raison, il doit valuer ce systme, afin de voir dans quelle mesure il peut s'y fier pour dterminer la nature, la frquence et la porte de ses propres procdures d'audit. 54. Le rle exact des auditeurs externes et les processus qu'ils utilisent varient d'un pays l'autre. Dans de nombreux pays, les normes d'audit professionnelles requiren t que les audits soient planifis et excuts de manire obtenir l'assurance raisonnable que les t ts financiers ne comportent aucune erreur srieuse. Les auditeurs vrifient galement par

sondage les transactions et critures servant de base l'tablissement des tats financ iers et de la communication financire. Ils valuent les principes comptables utiliss ainsi que les estimations significatives effectues par la direction et jugent la prsentation glo bale des tats financiers. Dans certains pays, ils sont tenus par les autorits prudentielles de fournir une valuation spcifique de la porte, de l'adquation et de l'efficacit du systme de contr interne des banques, y compris de leur fonction d'audit interne. 55. Un trait commun tous les pays, cependant, est que l'on attend des auditeurs externes qu'ils aient une ide claire du processus de contrle interne d'une banque. L'ampleur de l'attention accorde au systme de contrle interne varie selon l'auditeur et l'tabl issement; toutefois, on escompte gnralement que les auditeurs externes dtectent les carences notables existantes et signalent la direction ainsi que, dans de nombreux pays, l'autorit de contrle celles qui sont srieuses soit oralement, soit par courrier confidentiel. En outre , les auditeurs externes peuvent tre soumis des exigences prudentielles particulires prcisant la ma nire d'valuer les contrles internes et d'en rendre compte.

- 26 Annexe Enseignements prudentiels fournis par les cas de dfaillances des contrles internes

A. Surveillance par la direction et culture de contrle 1. De nombreux cas de dfaillances des contrles internes ayant entran des pertes bancaires substantielles auraient pu tre nettement moins graves, ou mme vits, si le conseil d'administration et la direction gnrale des tablissements avaient instaur une cultur e de contrle forte. Les cultures de contrle insuffisantes prsentaient souvent deux lments communs. Tout d'abord, la direction gnrale n'tait pas parvenue souligner l'importan ce d'un systme de contrle interne solide travers les termes utiliss et les actions ent reprises et, surtout, par le biais des critres dterminant les rmunrations et promotions. Deuximeme nt, la direction gnrale n'avait pas russi mettre en place une structure organisationnel le et des responsabilits de direction bien dfinies. Elle n'avait pas pu, par exemple, exiger un contrle adquat des principaux preneurs de dcisions ni la notification, dans les meilleurs dlais, de la nature et du droulement des activits. 2. La direction gnrale peut affaiblir la culture de contrle en promouvant et rcompensant des responsables efficaces pour produire des bnfices mais qui ngligent d'appliquer les politiques de contrle interne ou de traiter les problmes dcels par l 'audit interne. L'impression qui prvaut alors dans l'organisation est que les contrles in ternes sont considrs comme secondaires par rapport aux autres objectifs, ce qui affecte l'enga gement l'gard de la culture de contrle ainsi que sa qualit. 3. Certaines banques ayant connu des problmes de contrle taient dotes de structures organisationnelles dans lesquelles les responsabilits n'taient pas clai rement dfinies, de sorte qu'une unit n'avait pas rendre directement des comptes un membre de la direction gnrale. Autrement dit, aucun membre de la direction ne surveillait les rs ultats de cette unit de manire suffisamment rigoureuse pour observer des activits inhabituell es, financires ou autres, et personne, au sein de la direction gnrale, n'avait une visi on globale des oprations ni de la faon dont les bnfices taient raliss. Si la direction avait co is les oprations de l'unit, elle aurait t en mesure de dceler des signes avant-coureurs (tels qu'un pourcentage inhabituel de profit par rapport aux niveaux de risques), d'an alyser les transactions et de prendre des mesures pour rduire les pertes ventuelles. Ces prob lmes auraient pu galement tre vits si le suprieur hirarchique avait examin les oprations ainsi que les rapports la direction et s'tait enquis auprs du personnel comptent de

la nature des transactions effectues. De telles approches fournissent aux suprieurs

- 27 hirarchiques un aperu objectif de la manire dont les dcisions sont prises et garanti ssent que le personnel cl opre en respectant les critres fixs par la banque et le cadre de contrle interne.

B. valuation des risques 4. Dans un pass rcent, l'valuation inadquate des risques a t en partie l'origine des problmes de contrle interne et des pertes qui en ont rsult dans certaines banque s. Parfois, les rendements potentiels levs lis divers prts, placements et instruments d ivs ont fait oublier la direction la ncessit d'valuer parfaitement les risques inhrents aux transactions et de dgager des ressources suffisantes pour surveiller et examiner en permanence les engagements. Des pertes ont galement eu lieu lorsque la direction n'est pas parvenue adapter le processus d'valuation des risques aux modifications de l'envi ronnement oprationnel. Par exemple, quand des produits plus complexes ou sophistiqus apparai ssent dans un secteur d'activit, il peut arriver que les contrles internes ne soient pas renforcs pour tenir compte de ces lments. Un second exemple concerne la mise en place d'une acti vit nouvelle sans une valuation complte et objective des risques encourus. En l'absenc e de cette rvaluation des risques, le systme de contrle interne peut ne pas traiter les risques de manire adquate dans cette activit nouvelle. 5. Comme examin prcdemment, les organisations bancaires ont fixer des objectifs pour l'efficience et l'efficacit oprationnelles, la fiabilit de la commun ication financire et le respect de la conformit aux lois et rglementations. L'valuation des risques comporte l'identification et la dtermination des risques inhrents la ralisation de ces objectifs. Ce processus aide s'assurer que les contrles internes de l'tablissement

correspondent la nature, la complexit et au degr de risque de ses activits de bilan et de hors-bilan. C. Activits de contrle 6. Dans les cas de pertes bancaires importantes dues un contrle interne insuffisa nt, les autorits prudentielles constatent en gnral que les tablissements concerns ont ngl g certains principes essentiels du contrle interne. Il s'agit le plus souvent de la sparation des tches, qui est l'un des piliers d'un systme de contrle interne sain. Frquemment, la direction gnrale a confi une personne trs apprcie la responsabilit de la surveillance de deu plusieurs secteurs prsentant des intrts conflictuels. Ainsi, dans de nombreux cas, la mme personne supervisait la fois la salle des marchs et le postmarch d'une unit de ngoci

ation; elle pouvait alors contrler l'engagement de la transaction (par exemple, l'achat ou la vente de titres ou de produits drivs) ainsi que la fonction d'enregistrement correspondante . Attribuer

- 28 de telles tches conflictuelles une mme personne lui donne la possibilit de manipule r des donnes financires pour raliser un profit personnel ou de dissimuler des pertes. 7. La sparation des tches ne concerne pas seulement des situations o la mme personne contrle la fois la salle des marchs et le postmarch. De srieux problmes peuvent galement apparatre lorsqu'un mme individu est charg: . de l'approbation du dcaissement de fonds et de leur dcaissement effectif; . des comptes clientle et des comptes propres; . des transactions au titre du portefeuille bancaire et du portefeuille de ngociati on; . de la fourniture informelle d'informations des clients sur leurs positions et de la relation commerciale avec ces mmes clients; . de l'valuation du caractre adquat des dossiers de crdit et de la surveillance des emprunteurs aprs l'octroi des crdits; . de tout autre domaine o des conflits d'intrts notables apparaissent et ne sont pas attnus par d'autres facteurs4. 8. Les insuffisances des activits de contrle refltent toutefois l'chec des multiples efforts destins voir si l'activit est conduite selon les attentes, depuis les exam ens effectus au niveau suprieur jusqu'au bon fonctionnement de mcanismes rgulateurs spcifiques da ns un processus d'activit. Dans plusieurs cas, par exemple, la direction n'a pas ragi comme il le fallait aux informations qu'elle recevait. Ces informations figuraient dans des rapports priodiques sur les rsultats des oprations de toutes les units de l'organisation, qui informaient la direction des progrs raliss par chacune vers les objectifs et lui pe rmettaient de poser des questions si les rsultats n'taient pas conformes aux attentes. Souven t, les units qui ont enregistr par la suite des pertes notables avaient commenc par dgager des bnf ices nettement suprieurs ce qu'on attendait compte tenu du niveau de risque apparent q ui auraient d alerter la direction gnrale. Si des examens au niveau suprieur avaient eu lieu, la direction gnrale aurait pu se pencher sur les rsultats anormaux et dceler puis trait er certains des problmes, limitant ainsi ou empchant ces pertes. Cependant, comme les diffrences par rapport aux attentes taient positives (sous forme de bnfices), aucune

question n'tait pose et les enqutes n'ont t entreprises que lorsque les problmes avai nt pris une ampleur incontrlable. titre d'illustration d'un conflit d'intrt potentiel attnu par d'autres contrles, l'e

amen indpendant d'un prt, dans le cadre des activits de surveillance du systme de classification de s crdits d'une banque, peut compenser le conflit d'intrt potentiel qui se prsente lorsqu'une personne char ge d'valuer le caractre adquat d'un dossier de crdit surveille galement la cote de crdit de l'emprun teur aprs l'octroi du crdit.

- 29 -

D. Information et communication 9. Certaines banques ont enregistr des pertes parce que l'information au sein de l'organisation n'tait ni fiable ni complte et que la communication n'avait aucune efficacit. L'information financire peut tre communique de faon errone sur le plan interne; des sries de donnes incorrectes manant de sources extrieures peuvent tre utilises pour valuer des positions financires; de mme, des activits modestes, mais haut risque, peuvent ne pas figurer dans les rapports la direction. Parfois, les banques avai ent nglig de faire connatre de manire adquate les tches des employs et leurs responsabilits en mat e de contrle ou faisaient part des politiques de l'tablissement par des canaux, tels que la messagerie lectronique, qui ne garantissaient pas que ces politiques taient lues e t retenues. Par consquent, sur des priodes de temps assez longues, d'importants aspects des po litiques de la direction n'taient pas appliqus. Dans d'autres cas, aucune voie de communica tion adquate ne permettait aux employs de rendre compte de prsomptions d'irrgularits. Si d e telles voies avaient t tablies pour signaler les problmes travers la structure hirar hique, la direction aurait t en mesure d'identifier et de corriger beaucoup plus tt les ir rgularits. E. Activits de surveillance 10. De nombreuses banques ayant enregistr des pertes dues des problmes de contrle interne ne surveillaient pas de manire efficace leurs systmes de contrle int erne. Souvent, ces systmes ne comportaient pas les processus de surveillance en continu indispensables et les valuations spcifiques taient inadquates ou traites de faon inapproprie par la direction. 11. Dans certains cas, l'absence de surveillance a commenc par l'incapacit de prter attention ou de donner suite aux informations transmises jour aprs jour aux suprie urs hirarchiques ainsi qu' d'autres membres du personnel qui indiquaient une activit inhabituelle, telle que dpassements des plafonds d'engagement, utilisation de com ptes clientle pour des oprations propres ou absence d'tats financiers courants manant des emprunteurs. Dans une banque, les pertes associes aux activits de ngociation taient dissimules au sein d'un compte clientle fictif. Si l'organisation avait t dote d'une procdure exigeant que des situations des comptes soient adresses la clientle chaque mois et que les comptes clientle soient priodiquement confirms, les pertes dissimules aur aient vraisemblablement t dcouvertes bien longtemps avant d'tre suffisamment lourdes pour entraner la faillite de l'tablissement. 12. Dans plusieurs autres cas, l'unit ou l'activit qui tait l'origine de pertes massives prsentait de nombreuses caractristiques indiquant un niveau de risque acc ru, tel qu'une rentabilit inhabituelle pour le niveau de risque peru et une croissance rap ide dans une activit nouvelle gographiquement distante de la banque mre. Toutefois, en raison d'

une

- 30 valuation de risque inadquate, les tablissements n'avaient pas dgag suffisamment de ressources additionnelles pour contrler ou surveiller les activits haut risque. En fait, dans quelques exemples, les activits haut risque taient moins suivies que d'autres qui prsentaient des profils de risque nettement infrieurs plusieurs avertissements des auditeurs internes et externes au sujet des activits de l'unit avaient d'ailleurs t ignors de l a direction. 13. Si l'audit interne peut constituer une source efficace d'valuations spcifiques , son efficacit tait nulle dans de nombreuses organisations bancaires en difficult. Trois facteurs contribuaient ce dysfonctionnement: le fait de procder des audits fragments, le ma nque de comprhension globale des processus d'activit et le suivi inadquat des problmes ap rs leur dtection. L'approche d'audits fragments venait essentiellement de ce que les programmes d'audit interne taient structurs en sries d'audits partiels sur des acti vits spcifiques au sein de la mme unit ou du mme dpartement, de secteurs gographiques ou encore d'entits juridiques. Du fait de cette fragmentation, les processus d'activ it n'taient pas pleinement compris par le personnel de l'audit interne. Une conception d'audit q ui aurait permis aux auditeurs de suivre les processus et fonctions du dbut jusqu' la fin (c 'est--dire en prenant la mme transaction de son point de dpart jusqu' sa notification dans les comptes rendus financiers) leur aurait permis de mieux comprendre la situation; en outre , elle aurait fourni l'occasion de vrifier et de tester l'adquation des contrles chaque tape du processus. 14. Dans certains cas, les problmes d'audit interne ont galement rsult d'une connaissance et d'une formation inadquates du personnel d'audit interne sur les p roduits et marchs, les systmes d'information lectronique et d'autres domaines hautement sophistiqus. Comme ce personnel ne possdait pas les comptences ncessaires, il hsitait souvent poser des questions lorsqu'il entrevoyait des problmes et, quand les ques tions taient poses, avait tendance accepter une rponse plutt qu' la remettre en cause. 15. L'audit interne peut galement devenir inefficace lorsque la direction n'assur e pas un suivi appropri des problmes dcels par les auditeurs. Des dlais ont pu intervenir cause d'un manque de reconnaissance par la direction du rle et de l'importance de l'audit interne. En outre, l'efficacit de l'audit interne est compromise lorsque la direc tion gnrale et les membres du conseil d'administration (ou, le cas chant, le comit d'audit) ne reoi vent pas en temps voulu et de manire rgulire des rapports de suivi signalant les problmes critiques et les actions correctives prises ensuite par la direction. Un tel sui vi priodique peut

aider la direction gnrale traiter les questions importantes dans les meilleurs dlai s.