Vous êtes sur la page 1sur 35

CADRE POUR LES SYSTEMES

DE CONTROLE INTERNE DANS

LES ORGANISATIONS BANCAIRES

Comit de Ble sur le contrle bancaire

Ble Septembre 1998

Table des matires

Page Introduction I. II. Contexte gnral Objectifs et rle du cadre de contrle interne 1 6 8 10 10 10 11 12 13 14 17 20

III. Principaux lments dun processus de contrle interne A. Surveillance par la direction et culture de contrle 1. Conseil dadministration 2. Direction gnrale 3. Culture de contrle B. Reconnaissance et valuation des risques C. Activits de contrle et sparation des tches D. Information et communication E. Surveillance des activits et correction des dficiences IV. valuation des systmes de contrle interne par les autorits prudentielles Rles et responsabilits des auditeurs externes

23 27 28

V.

Annexe I Documents de rfrence Annexe II Enseignements prudentiels fournis par les cas de dfaillances des contrles internes

29

Cadre pour les systmes de contrle interne dans les organisations bancaires

INTRODUCTION
1. Dans le sens de laction quil poursuit pour rsoudre les questions prudentielles et renforcer le contrle des banques par des recommandations encourageant lapplication de saines pratiques de gestion des risques, le Comit de Ble sur le contrle bancaire1 publie ce cadre dvaluation des systmes de contrle interne. Un systme de contrle interne efficace est une composante essentielle de la gestion dun tablissement et constitue le fondement dun fonctionnement sr et prudent dune organisation bancaire. En se dotant de contrles internes rigoureux, une banque pourra mieux raliser ses buts et ses objectifs de rentabilit long terme, en assurant galement la fiabilit de sa communication financire tant externe qu sa direction. Un tel systme peut aussi garantir que la banque agit dans le respect des lois et rglementations ainsi que de ses politiques, programmes, rgles et procdures internes; il attnue, en outre, le risque de pertes imprvues ou datteinte la rputation de ltablissement. Ce document dcrit les lments cls dun systme de contrle interne sain, en se fondant sur lexprience enregistre dans les pays membres et sur les principes prciss dans les publications antrieures du Comit. Il entend dfinir certains principes destins aux autorits prudentielles dans leur valuation des systmes de contrle interne des banques. 2. Le Comit de Ble, conjointement avec les autorits de contrle bancaire du monde entier, insiste de plus en plus sur limportance de contrles internes sains. Cet intrt accru sexplique en partie par les pertes substantielles subies par plusieurs organisations bancaires. Lanalyse des problmes lis ces pertes montre quelles auraient probablement pu tre vites si les banques avaient t dotes de systmes de contrle interne efficaces. De tels systmes auraient, en effet, empch lapparition de ces problmes ou permis de les dtecter, limitant ainsi les dommages causs aux organisations bancaires. En laborant ces principes, le Comit a tir des enseignements des situations des banques en difficult dans les divers pays membres. 3. Ces principes se prtent donc une application gnrale, et les autorits de contrle devraient sy rfrer pour valuer les mthodes et procdures quelles emploient pour

Le Comit de Ble sur le contrle bancaire, institu en 1975 par les gouverneurs des banques centrales des pays du Groupe des Dix, rassemble les autorits de contrle des banques. Il est compos de hauts reprsentants des autorits de contrle bancaire et banques centrales dAllemagne, de Belgique, du Canada, des Etats-Unis, de France, dItalie, du Japon, du Luxembourg, des Pays-Bas, du Royaume-Uni, de Sude et de Suisse. Ses runions ont habituellement pour cadre la Banque des Rglements Internationaux, Ble, sige de son Secrtariat permanent.

-2voir comment les banques structurent leurs systmes de contrle interne. Lapproche exacte retenue par les divers responsables prudentiels sera fonction, bien entendu, de nombreux facteurs, dont leurs techniques de contrle sur place et sur pices, et de la part prise par les auditeurs externes dans lexercice de la surveillance; nanmoins, tous les membres du Comit de Ble reconnaissent que les principes tablis dans ce document devraient tre utiliss pour valuer le systme de contrle interne dune banque. 4. Le Comit de Ble adresse ce document toutes les autorits de contrle dans le monde, tant convaincu que les principes quil contient fourniront un cadre utile pour une surveillance efficace des systmes de contrle interne. Dune manire plus gnrale, le Comit dsire souligner que des contrles internes sains sont un lment essentiel la conduite prudente de lactivit bancaire et quils favorisent galement la stabilit globale du systme financier. Il reconnat que, si tous les tablissements nont peut-tre pas mis en place tous les aspects de ce cadre, ils sy emploient dans lensemble. 5. Les recommandations diffuses antrieurement par le Comit de Ble comportaient gnralement des analyses des contrles internes portant sur des domaines spcifiques de lactivit bancaire, tels que le risque de taux dintrt et les oprations de ngociation et sur instruments drivs. Cette fois, cependant, elles prsentent un cadre que le Comit encourage les autorits prudentielles utiliser pour valuer les contrles internes sur lensemble des activits de bilan et de hors-bilan des banques et des organisations bancaires consolides. Ces recommandations ne se concentrent pas sur des secteurs ou activits spcifiques au sein dune organisation bancaire, et leur application exacte dpend de la nature et de la complexit des activits effectues ainsi que des risques quelles comportent. 6. Le Comit prcise, dans la section I, certaines informations dordre gnral et, dans la suivante, les objectifs et le rle dun cadre de contrle interne; dans les sections III et IV, il nonce treize principes lusage des autorits de contrle bancaire pour valuer les systmes de contrle interne des tablissements. Lannexe I prsente une liste douvrages de rfrence et lannexe II fournit des enseignements prudentiels tirs de cas antrieurs de contrles internes insuffisants. Principes pour lvaluation des systmes de contrle interne Surveillance par la direction et culture de contrle Principe 1: Le conseil dadministration devrait tre charg dapprouver et de revoir priodiquement les grandes stratgies et les principales politiques de la banque, dapprcier les risques substantiels quelle encourt, de fixer des niveaux acceptables pour ces risques et de sassurer que la direction gnrale prend les dispositions ncessaires pour identifier, mesurer, surveiller et contrler ces risques, dapprouver la structure organisationnelle et de veiller ce que la

-3direction gnrale surveille lefficacit du systme de contrle interne. Le conseil dadministration est responsable en dernier ressort de lexistence et du respect dun systme de contrle interne adquat et performant. Principe 2: La direction gnrale devrait tre charge de mettre en uvre les stratgies et politiques approuves par le conseil, dlaborer des processus permettant didentifier, de mesurer, de surveiller et de contrler les risques encourus, de mettre en place une structure organisationnelle fixant clairement les rapports de responsabilit, dautorit et de notification, de garantir lexercice effectif des responsabilits dlgues, de dfinir des politiques de contrle interne appropries et de surveiller ladquation et lefficacit du systme de contrle interne. Principe 3: Le conseil dadministration et la direction gnrale sont chargs de promouvoir des critres levs dthique et dintgrit et dinstaurer, au sein de lorganisation bancaire, une culture qui souligne et dmontre, tous les niveaux du personnel, limportance des contrles internes. Tout le personnel de lorganisation doit comprendre son rle dans le contrle interne et simpliquer activement dans ce processus. Reconnaissance et valuation des risques Principe 4: Un systme de contrle interne efficace ncessite de reconnatre et dvaluer en permanence les risques importants qui pourraient compromettre la ralisation des objectifs de la banque. Cette valuation devrait couvrir lensemble des risques encourus par ltablissement et lorganisation bancaire consolide (cest--dire risque de crdit, risque-pays et risque de transfert, risque de march, risque de taux dintrt, risque de liquidit, risque oprationnel, risque juridique et risque de rputation). Une rvision des contrles internes peut savrer indispensable pour traiter de manire approprie tout risque nouveau ou prcdemment incontrl. Activits de contrle et sparation des tches Principe 5: Les activits de contrle devraient faire partie intgrante des activits quotidiennes de la banque. Un systme de contrle interne efficace ncessite la mise en place dune structure de contrle approprie, avec des activits de contrle dfinies chaque niveau oprationnel. Celles-ci devraient inclure les lments suivants:

-4examens au plus haut niveau; contrles dactivit appropris pour les diffrents dpartements ou units; contrles physiques; vrification du respect des plafonds dengagement et suivi en cas de non-respect; systme dapprobations et dautorisations; systme de vrifications et de contrles par rapprochement. Principe 6: Un systme de contrle interne efficace ncessite que les tches soient spares de faon approprie et que le personnel ne soit pas charg de responsabilits conflictuelles. Les domaines susceptibles de donner lieu des conflits dintrts devraient tre identifis, circonscrits aussi troitement que possible et soumis une surveillance attentive dune tierce partie indpendante. Information et communication Principe 7: Un systme de contrle interne efficace ncessite lexistence de donnes internes adquates et exhaustives dordre financier, oprationnel ou ayant trait au respect de la conformit ainsi que dinformations de march extrieures sur les vnements et conditions intressant la prise de dcision. Ces donnes et informations devraient tre fiables, rcentes, accessibles et prsentes sous une forme cohrente. Principe 8: Un systme de contrle interne efficace ncessite lexistence de systmes dinformation fiables couvrant toutes les activits importantes de la banque. Ces systmes, notamment ceux qui comportent et utilisent des donnes informatises, doivent tre srs, surveills de manire indpendante et tays par des plans de secours adquats. Principe 9: Un systme de contrle interne efficace ncessite des voies de communication performantes pour garantir que lensemble du personnel comprend et respecte parfaitement les politiques et procdures affectant ses tches et responsabilits et que les autres informations importantes parviennent leurs destinataires. Surveillance des activits et correction des dficiences Principe 10: Lefficacit globale des contrles internes de la banque devrait tre surveille en permanence. Le suivi des principaux risques devrait faire partie des activits

-5quotidiennes de la banque de mme que les valuations priodiques effectues par les secteurs dactivit et laudit interne. Principe 11: Un audit interne efficace et exhaustif du systme de contrle interne devrait tre effectu par un personnel bien form et comptent bnficiant dune indpendance oprationnelle. La fonction daudit interne, en tant qulment de la surveillance du systme de contrle interne, devrait rendre compte directement au conseil dadministration, ou son comit daudit, ainsi qu la direction gnrale. Principe 12: Les dficiences des contrles internes, quelles soient dtectes par un secteur dactivit, laudit interne ou un autre personnel de contrle, devraient tre notifies dans les meilleurs dlais au niveau de direction appropri et faire lobjet dun traitement rapide. Les dficiences importantes devraient tre signales la direction gnrale et au conseil dadministration. Evaluation des systmes de contrle interne par les autorits prudentielles Principe 13: Les autorits prudentielles devraient exiger que toutes les banques, quelle que soit leur dimension, disposent dun systme efficace de contrle interne correspondant la nature, la complexit et au degr de risque inhrent leurs activits de bilan et de hors-bilan et ragissant aux modifications de lenvironnement et des conditions dactivit de la banque. Dans les cas o les autorits prudentielles constatent que le systme de contrle interne nest pas adquat ou efficace par rapport au profil de risque spcifique de ltablissement (sil ne prend pas en compte, par exemple, tous les principes contenus dans ce document), elles devraient intervenir en consquence.

-6-

I.

Contexte gnral

1. Le Comit de Ble a analys certains cas rcents de banques en difficult, afin didentifier les principales origines des dficiences de contrle interne. Les problmes mis jour renforcent lide quil est important que les administrateurs et la direction des banques, les auditeurs internes et externes ainsi que les autorits de contrle bancaire consacrent davantage dattention au renforcement des systmes de contrle interne et lvaluation permanente de leur efficacit. Plusieurs de ces cas montrent que des contrles internes inadquats peuvent occasionner des pertes bancaires substantielles. 2. Les carences observes gnralement dans les banques en difficult peuvent tre classes en cinq catgories. Dfaillances dans la surveillance et lexercice des responsabilits de la part de la direction et absence dune forte culture de contrle au sein de la banque. Les cas de pertes importantes refltent tous, sans exception, un manque dattention et de rigueur de la direction envers la culture de contrle dans la banque, une orientation et une surveillance insuffisantes de la part du conseil dadministration et de la direction gnrale ainsi que labsence dun exercice clair des responsabilits de la direction dans lattribution des rles et des tches. Ces cas rvlent galement labsence dincitations appropries pour que la direction exerce une surveillance hirarchique rigoureuse et maintienne un niveau lev de conscience du contrle au sein des divers secteurs dactivit. Reconnaissance et valuation inadquates du risque inhrent certaines activits bancaires, tant de bilan que de hors-bilan. De nombreuses organisations bancaires ayant subi des pertes substantielles ngligeaient de reconnatre et dvaluer les risques lis aux nouveaux produits et activits ou de revoir leurs estimations des risques en fonction des modifications notables de lenvironnement ou des conditions dactivit. Plusieurs cas rcents montrent clairement que des systmes de contrle performants pour des produits traditionnels ou simples sont inoprants pour des instruments plus sophistiqus ou complexes. Absence ou dficience de structures et dlments cls du contrle, tels que sparation des tches, approbations, vrifications, contrles par rapprochement, analyses des rsultats dexploitation. La non-sparation des tches, en particulier, a jou un rle majeur dans les pertes sensibles enregistres par les banques. Mauvaise communication de linformation entre les niveaux de direction, spcialement vers le haut pour signaler les problmes. Pour tre efficaces, les politiques et procdures doivent tre communiques de manire effective lensemble du personnel associ une activit. Certaines pertes bancaires ont t dues au fait que

-7des agents directement concerns ne connaissaient ou ne comprenaient pas les politiques de ltablissement. Dans plusieurs cas, des informations sur des activits inappropries, qui auraient d tre transmises la direction par la voie hirarchique, nont t notifies au conseil dadministration ou la direction gnrale que lorsque les problmes taient devenus graves. Dans dautres cas, le contenu des rapports la direction tait insuffisant ou inexact, donnant ainsi une impression faussement favorable sur la situation dune activit. Programmes daudit et autres activits de surveillance inadquats ou inefficaces. Trs souvent, les audits effectus ntaient pas suffisamment rigoureux pour dceler et notifier les insuffisances du contrle dans les banques en difficult. Dans dautres cas, mme si les auditeurs ont fait part des problmes dtects, aucun mcanisme ntait prvu pour faire en sorte que la direction remdie aux dficiences. Le cadre de contrle interne qui sous-tend ces recommandations est fond sur les

3.

pratiques suivies actuellement dans de nombreuses grandes banques, entreprises dinvestissement et socits non financires ainsi que par leurs auditeurs. En outre, ce cadre dvaluation va dans le sens de limportance accrue confre par les autorits de contrle bancaire lexamen des processus de gestion du risque et de contrle interne dans une organisation bancaire. Il importe de souligner quil incombe au conseil dadministration et la direction gnrale de sassurer de lexistence de contrles internes adquats et de promouvoir un environnement dans lequel les individus comprennent et assument leurs responsabilits dans ce domaine. Les autorits de contrle bancaire, pour leur part, ont mission dvaluer lengagement du conseil dadministration et de la direction de la banque lgard du processus de contrle interne.

-8-

II.

Objectifs et rle du cadre de contrle interne

4. Le contrle interne est un processus mis en uvre par le conseil dadministration2, la direction gnrale et tous les niveaux du personnel. Il ne sagit pas simplement dune procdure ou dune politique applique un moment donn, mais plutt dun systme qui fonctionne en continu tous les niveaux de la banque. Le conseil dadministration et la direction gnrale sont chargs dinstaurer la culture approprie capable de favoriser un processus de contrle interne efficace et den surveiller en permanence lefficacit; il importe toutefois que chacun y participe activement. Les principaux objectifs du processus de contrle interne3 peuvent tre classs en trois groupes: 1. efficience et efficacit des activits (objectifs de performance); 2. fiabilit, exhaustivit et actualit des donnes financires et des informations destines la direction (objectifs dinformation); 3. conformit aux lois et rglementations applicables (objectifs de conformit). 5. Les objectifs de performance sont lis lefficacit et lefficience de la banque dans lutilisation de ses actifs et autres ressources ainsi que dans la protection de ltablissement vis--vis des pertes. Le processus de contrle interne cherche sassurer que lensemble du personnel uvre avec efficience et intgrit la ralisation des objectifs, sans occasionner des cots imprvus ou excessifs ni privilgier dautres intrts (tels que ceux dun employ, dun fournisseur ou dun client) que ceux de la banque. 6. Les objectifs dinformation portent sur la prparation de rapports pertinents, fiables et aussi rcents que possible, indispensables la prise de dcision au sein de lorganisation bancaire. Ils recouvrent galement la ncessit dtablir des comptes annuels, tats financiers et autres communications et rapports de caractre financier qui soient fiables pour les actionnaires, autorits de contrle et autres parties extrieures. Les donnes reues par la direction, le conseil dadministration, les actionnaires et les autorits de contrle devraient tre dune qualit et dune intgrit suffisantes pour que leurs bnficiaires puissent sy rfrer pour fonder leurs dcisions. Le terme fiable, tel quil sapplique aux tats

Ce document se rfre une structure de gestion compose dun conseil dadministration et dune direction gnrale. Le Comit est conscient de lexistence de diffrences notables entre les cadres lgislatifs et rglementaires des divers pays, en ce qui concerne les fonctions de ces deux instances. Dans certains pays, le conseil est charg principalement, mais non exclusivement, de superviser lorgane excutif (direction gnrale), afin de sassurer quil sacquitte de ses tches; il est parfois appel, pour cette raison, conseil de surveillance et na pas de rle excutif. Dans dautres, en revanche, il dtient une autorit plus large, en ce sens quil labore le cadre gnral de gestion de la banque. Du fait de ces diffrences, les notions de conseil dadministration et de direction gnrale sont utilises dans ce document non pas pour identifier des structures juridiques, mais plutt pour dsigner deux niveaux de prise de dcision au sein dune banque. Il inclut les contrles internes sur la prservation des actifs et autres ressources contre une acquisition, un usage ou un transfert non autoris ou en cas de pertes.

-9financiers, se rapporte la prparation de documents tablis sur une base sincre partir de principes et rgles comptables exhaustifs et bien dfinis. 7. Les objectifs de conformit garantissent que toute lactivit bancaire est conforme aux lois, rglementations et exigences prudentielles applicables ainsi quaux politiques et procdures de lorganisation. Cet objectif doit tre satisfait pour prserver les droits et la rputation de la banque.

- 10 -

III. Principaux lments dun processus de contrle interne


8. Le processus de contrle interne, qui visait traditionnellement rduire la fraude, les dtournements de fonds et les erreurs, a pris une dimension plus vaste et recouvre lensemble des risques encourus par les organisations bancaires. Il est admis prsent quun processus de contrle interne sain est essentiel pour quune banque puisse raliser les objectifs quelle sest fixs et prserver sa viabilit financire. 9. Le contrle interne consiste en cinq lments troitement lis: 1. Surveillance par la direction et culture de contrle 2. Reconnaissance et valuation des risques 3. Activits de contrle et sparation des tches 4. Information et communication 5. Surveillance des activits et correction des dficiences. Les problmes rencontrs dans les cas rcents de pertes bancaires importantes relvent de ces cinq catgories. Le fonctionnement efficace de ces lments est capital pour la ralisation des objectifs de performance, dinformation et de conformit dune banque.

A.

Surveillance par la direction et culture de contrle

1. Conseil dadministration Principe 1: Le conseil dadministration devrait tre charg dapprouver et de revoir priodiquement les grandes stratgies et les principales politiques de la banque, dapprcier les risques substantiels quelle encourt, de fixer des niveaux acceptables pour ces risques et de sassurer que la direction gnrale prend les dispositions ncessaires pour identifier, mesurer, surveiller et contrler ces risques, dapprouver la structure organisationnelle et de veiller ce que la direction gnrale surveille lefficacit du systme de contrle interne. Le conseil dadministration est responsable en dernier ressort de lexistence et du respect dun systme de contrle interne adquat et performant. 10. Le conseil dadministration a une mission de gouvernance, dorientation et de surveillance vis--vis de la direction gnrale. Il est charg dapprouver et de revoir les grandes stratgies et les principales politiques de lorganisation ainsi que sa structure organisationnelle. Il lui incombe en dernier ressort de veiller la mise en place et lapplication dun systme adquat et performant de contrle interne. Ses membres devraient tre objectifs, comptents et scrupuleux et connatre les activits de la banque ainsi que les risques quelle encourt. Dans les pays o une telle option existe, le conseil devrait comprendre certains membres jouissant dune indpendance par rapport la gestion

- 11 quotidienne de la banque. Un conseil dadministration fort et actif, surtout lorsquil est associ des canaux de communication faisant bien remonter linformation et des organes financiers, juridiques et daudit interne efficients, offre un mcanisme important pour rsoudre les problmes susceptibles de nuire lefficacit du systme de contrle interne. 11. Le conseil dadministration devrait inclure dans ses activits 1) des discussions rgulires avec la direction sur lefficacit du systme de contrle interne, 2) un examen, dans les meilleurs dlais, des valuations des contrles internes effectues par la direction et les auditeurs internes et externes, 3) des actions rptes pour sassurer que la direction a rapidement pris en compte les recommandations et proccupations exprimes par les auditeurs et autorits de contrle au sujet des carences du contrle interne, 4) un examen priodique du bien-fond de la stratgie et des limites de risque de la banque. 12. Une option utilise par les banques de nombreux pays consiste instaurer un comit daudit indpendant pour assister le conseil dadministration dans lexercice de ses responsabilits. Cela permet dexaminer dans le dtail des informations et rapports sans devoir mobiliser tous les administrateurs. Le comit daudit est gnralement responsable du suivi du processus de communication financire et du systme de contrle interne. Dans le cadre de cette responsabilit, il est attentif aux activits du dpartement daudit interne de la banque, auquel il sert de contact direct; il engage galement les auditeurs externes et en est linterlocuteur privilgi. Dans les pays optant pour un comit daudit, celui-ci devrait tre principalement ou entirement compos dadministrateurs extrieurs (cest--dire de membres du conseil qui ne sont employs ni par la banque ni par lun de ses tablissements affilis) possdant une comptence en matire de communication financire et de contrle interne. Il convient de noter que la constitution dun comit daudit ne devrait en aucun cas dcharger le conseil plnier de ses tches, lui seul tant juridiquement mandat prendre des dcisions. 2. Direction gnrale

Principe 2: La direction gnrale devrait tre charge de mettre en uvre les stratgies et politiques approuves par le conseil, dlaborer des processus permettant didentifier, de mesurer, de surveiller et de contrler les risques encourus, de mettre en place une structure organisationnelle fixant clairement les rapports de responsabilit, dautorit et de notification, de garantir lexercice effectif des responsabilits dlgues, de dfinir des politiques de contrle interne appropries et de surveiller ladquation et lefficacit du systme de contrle interne. 13. Il incombe la direction gnrale de mettre en uvre les directives du conseil dadministration, en appliquant notamment les stratgies et politiques de la banque et en instaurant un systme de contrle interne efficace. Pour llaboration des politiques et procdures de contrle interne plus spcifiques, les membres de la direction gnrale

- 12 dlguent habituellement cette responsabilit aux personnes charges dune unit particulire. Dlguer est un lment essentiel de la fonction de direction; il est toutefois important que la direction gnrale supervise ces personnes pour sassurer quelles tablissent et conduisent des politiques et procdures appropries. 14. Le respect de la conformit un systme de contrle interne passe en grande partie par une structure organisationnelle parfaitement transparente et connue de lensemble du personnel, montrant clairement les niveaux de responsabilit et dautorit en matire de notification et permettant une communication effective dans lensemble de lorganisation. La rpartition des tches et responsabilits devrait garantir labsence de ruptures dans la chane hirarchique et lexercice dun degr de contrle efficace par la direction tous les niveaux de la banque et dans toutes ses activits. 15. Il importe que la direction gnrale prenne des mesures pour garantir que les activits sont conduites par du personnel qualifi possdant lexprience et les capacits techniques requises. Les agents exerant des fonctions de contrle doivent bnficier dune rmunration approprie. Une remise niveau rgulire de la formation et des comptences du personnel devrait exister. La direction gnrale devrait instaurer des politiques de rmunration et de promotion rcompensant les comportements adquats et rduisant au maximum les incitations, pour les agents, ignorer ou contourner les mcanismes de contrle interne. 3. Culture de contrle

Principe 3: Le conseil dadministration et la direction gnrale sont chargs de promouvoir des critres levs dthique et dintgrit et dinstaurer, au sein de lorganisation bancaire, une culture qui souligne et dmontre, tous les niveaux du personnel, limportance des contrles internes. Tout le personnel de lorganisation doit comprendre son rle dans le contrle interne et simpliquer activement dans ce processus. 16. Lun des lments essentiels dun systme de contrle interne efficace rside dans une culture de contrle forte. Il incombe au conseil dadministration et la direction gnrale de souligner, dans les termes utiliss et les actions entreprises, limportance du contrle interne; cela passe notamment par les valeurs thiques mises en avant par la direction dans son comportement professionnel, tant lintrieur qu lextrieur de lorganisation. Les termes, actes et attitudes de ces deux instances affectent lintgrit, lthique et les autres aspects de la culture de contrle dun tablissement. 17. A des degrs divers, le contrle interne relve de la responsabilit de chacun. Presque tous les employs produisent des informations utilises dans le systme de contrle interne ou effectuent dautres actions indispensables lexercice du contrle. Un lment cl

- 13 dun systme de contrle interne fort est la conscience, pour chaque employ, de la ncessit dassumer ses tches de manire efficace et de notifier au niveau de direction appropri tout problme rencontr dans le cadre des oprations, toute infraction au code de conduite ainsi que toute violation des politiques tablies ou action illgale constate. Lidal, cet effet, est que les procdures oprationnelles soient clairement prcises par crit et mises la disposition de lensemble du personnel concern. Il est essentiel que tous les agents de la banque comprennent limportance du contrle interne et simpliquent activement dans ce processus. 18. En renforant les valeurs thiques, les organisations bancaires devraient viter des politiques et pratiques pouvant engendrer par mgarde des incitations ou des tentations effectuer des activits inappropries: importance exagre donne aux objectifs de performance ou autres rsultats oprationnels, particulirement ceux court terme qui ngligent les risques plus long terme; systmes de rmunration privilgiant trop la performance court terme; sparation inefficace des tches ou dautres fonctions de contrle pouvant amener mal utiliser les ressources ou dissimuler des performances mdiocres; sanctions minimes ou excessives en cas de comportement incorrect. 19. Si lexistence dune forte culture de contrle interne ne garantit pas une organisation datteindre ses objectifs, son absence augmente les risques derreurs non dceles ou dirrgularits.

B.

Reconnaissance et valuation des risques

Principe 4: Un systme de contrle interne efficace ncessite de reconnatre et dvaluer en permanence les risques importants qui pourraient compromettre la ralisation des objectifs de la banque. Cette valuation devrait couvrir lensemble des risques encourus par ltablissement et lorganisation bancaire consolide (cest--dire risque de crdit, risque-pays et risque de transfert, risque de march, risque de taux dintrt, risque de liquidit, risque oprationnel, risque juridique et risque de rputation). Une rvision des contrles internes peut savrer indispensable pour traiter de manire approprie tout risque nouveau ou prcdemment incontrl. 20. Lactivit bancaire comporte une prise de risques. Il est donc impratif que, dans le cadre dun systme de contrle interne, ces risques soient reconnus et valus en permanence. Dans la perspective du contrle interne, cette valuation devrait dceler et apprcier les facteurs internes et externes pouvant compromettre la ralisation des objectifs de performance, dinformation et de conformit de lorganisation bancaire. Cette analyse devrait prendre en compte tous les risques rencontrs par la banque et couvrir tous les niveaux de ltablissement. Elle se diffrencie de lanalyse de gestion des risques qui porte, en gnral,

- 14 davantage sur lexamen des stratgies dactivit labores pour obtenir le meilleur rapport possible risque/rmunration dans les diffrents secteurs de la banque. 21. Une valuation efficace des risques recense et analyse les facteurs internes (complexit de la structure de lorganisation, nature des activits de la banque, qualit du personnel, modifications organisationnelles et mouvements deffectifs) et externes (volution des conditions conomiques, changements au sein de la profession et progrs technologique) pouvant compromettre la ralisation des objectifs de la banque. Elle devrait tre effectue au niveau de chaque dpartement oprationnel ainsi que pour lensemble des activits et filiales de lorganisation bancaire consolide, en recourant diverses mthodes. Pour tre efficace, elle doit porter la fois sur les aspects mesurables et non mesurables des risques et peser les cots des contrles par rapport aux avantages quils procurent. 22. Le processus dvaluation des risques ncessite galement de diffrencier ceux qui sont contrlables par la banque et ceux qui ne le sont pas. Pour les premiers, la banque doit dterminer si elle les accepte ou dans quelle mesure elle prfre les limiter au moyen de procdures de contrle. Pour ceux qui ne peuvent pas tre contrls, la banque doit dcider soit de les accepter, soit de se dsengager, soit encore de rduire lactivit concerne. 23. Pour que lvaluation des risques et, par consquent, le systme de contrle interne demeurent efficaces, la direction gnrale doit considrer en permanence les risques pouvant entraver la ralisation des objectifs de la banque et ragir aux modifications des circonstances et des conditions dactivit. Il peut savrer ncessaire de revoir les contrles internes, afin de bien prendre en compte des risques nouveaux ou prcdemment incontrls. Par exemple, avec linnovation financire, une banque doit valuer les nouveaux instruments financiers et oprations de march et examiner les risques quils font encourir. Souvent, la meilleure faon de comprendre ces risques est de voir comment divers scnarios (conomiques ou autres) affectent les flux de trsorerie et le rendement des transactions et instruments financiers. Un examen attentif de lventail des problmes possibles, allant des malentendus avec la clientle aux dfaillances oprationnelles, soulignera certains aspects importants en matire de contrle.

C.

Activits de contrle et sparation des tches

Principe 5: Les activits de contrle devraient faire partie intgrante des activits quotidiennes de la banque. Un systme de contrle interne efficace ncessite la mise en place dune structure de contrle approprie, avec des activits de contrle dfinies chaque niveau oprationnel. Celles-ci devraient inclure les lments suivants: examens au plus haut niveau; contrles dactivit appropris pour les diffrents dpartements ou units; contrles physiques; vrification du respect des plafonds dengagement et suivi en cas de non-respect; systme dapprobations et dautorisations; systme de vrifications et de contrles par rapprochement.

- 15 24. Les activits de contrle sont conues et mises en uvre pour faire face aux risques dcels par la banque au moyen du processus dvaluation des risques dcrit prcdemment. Ces activits comportent deux tapes: 1) ltablissement des politiques et procdures de contrle; 2) la vrification du respect de la conformit ces politiques et procdures. Les activits de contrle se situent tous les niveaux du personnel de la banque, y compris la direction gnrale et le personnel directement en contact avec le march, et revtent des formes diffrentes: Examens au plus haut niveau Le conseil dadministration et la direction gnrale demandent souvent des prsentations et comptes rendus de performances leur permettant dvaluer les progrs accomplis par la banque pour raliser ses objectifs. Ainsi, la direction gnrale peut vouloir consulter des rapports indiquant les rsultats financiers effectifs en cours dexercice par rapport au budget. Les questions quelle est amene poser et les rponses des niveaux hirarchiques infrieurs constituent une activit de contrle qui peut mettre en vidence des problmes tels que carences du contrle, erreurs dans la communication financire interne ou fraudes. Contrles dactivit La direction dun dpartement ou dune unit reoit et examine des comptes rendus classiques ou exceptionnels sur une base quotidienne, hebdomadaire ou mensuelle. Les examens fonctionnels sont plus frquents que ceux effectus au plus haut niveau et sont habituellement plus dtaills. Ainsi, le responsable du secteur des prts commerciaux consulte des rapports hebdomadaires sur les dfauts de paiement, les paiements reus et les revenus dintrts produits par le portefeuille, tandis que le responsable du crdit au sein de la direction gnrale a connaissance de documents similaires une fois par mois et sous une forme plus condense couvrant toutes les catgories de prts. Comme pour les examens au plus haut niveau, les questions dcoulant de lanalyse des rapports et les rponses quelles amnent reprsentent lactivit de contrle. Contrles physiques Les contrles physiques portent en gnral sur les limitations daccs aux actifs tangibles, y compris les liquidits et les titres. Les activits de contrle incluent les restrictions physiques, la double conservation et les inventaires priodiques. Conformit aux plafonds dengagement Ltablissement de limites prudentes sur les engagements constitue un lment majeur de la gestion des risques. Par exemple, la conformit aux limites fixes pour les emprunteurs et les autres contreparties rduit la concentration du risque de crdit de la banque et permet de diversifier son profil de risque. Par consquent, un aspect important des contrles

- 16 internes rside dans un processus de vrification du respect de ces limites et un suivi en cas de non-respect. Approbations et autorisations La ncessit de solliciter des approbations et autorisations pour les transactions dpassant certaines limites garantit quun niveau de direction appropri a connaissance de la transaction ou de la situation, ce qui aide tablir les responsabilits. Vrifications et contrles par rapprochement Les vrifications des caractristiques dtailles des transactions ainsi que des diverses activits et des rsultats fournis par les modles de gestion des risques utiliss par la banque constituent une activit de contrle importante. Les rapprochements priodiques, par exemple entre les flux de trsorerie et les rapports et tats financiers, peuvent mettre en vidence des activits et enregistrements comptables exigeant dtre amends. Par consquent, les conclusions de ces contrles devraient tre notifies aux niveaux de direction appropris chaque fois que des problmes effectifs ou potentiels sont dtects. 25. Les activits de contrle ont leur efficacit optimale lorsque la direction et lensemble du personnel les considrent comme faisant intrinsquement partie, et non comme un complment, des activits quotidiennes de la banque. Lorsque les contrles sont vus comme un complment des activits de chaque jour, ils sont souvent jugs moins importants et peuvent ne pas tre raliss dans des situations o des agents sestiment presss par le temps pour effectuer leurs activits. En outre, les contrles vritablement intgrs aux activits quotidiennes permettent de ragir rapidement des modifications des conditions et vitent des cots inutiles. Dans le cadre de la dmarche visant instaurer la culture de contrle approprie au sein dune banque, la direction gnrale devrait sassurer que les activits de contrle adquates font vritablement partie des fonctions quotidiennes de lensemble du personnel concern. 26. La direction gnrale ne doit pas se contenter de dfinir des politiques et procdures appropries pour les diverses activits et units de la banque. Elle doit sassurer rgulirement que tous les domaines de la banque oprent en conformit avec ces politiques et procdures et faire en sorte galement que les politiques et procdures existantes demeurent adquates. Il sagit l, gnralement, dun aspect important de la fonction daudit interne. Principe 6: Un systme de contrle interne efficace ncessite que les tches soient spares de faon approprie et que le personnel ne soit pas charg de responsabilits conflictuelles. Les domaines susceptibles de donner lieu des conflits dintrts devraient tre identifis, circonscrits aussi troitement que possible et soumis une surveillance attentive dune tierce partie indpendante.

- 17 27. Dans les cas de pertes bancaires importantes dues un contrle interne insuffisant, les autorits prudentielles constatent en gnral que lune des causes principales rside dans labsence de sparation adquate des tches. Le fait de confier la mme personne des responsabilits conflictuelles (par exemple, celles des fonctions de march et de postmarch dune unit de ngociation) lui donne la possibilit davoir accs des actifs de valeur et de manipuler des donnes financires en vue dun profit personnel ou de dissimuler des pertes. Cest pourquoi, au sein dune banque, certaines tches devraient tre rparties autant que possible entre plusieurs individus, afin de rduire le risque de manipulation de donnes financires ou de dtournement dactifs. 28. La sparation des tches ne concerne pas seulement des situations o la mme personne contrle la fois la salle des marchs et le postmarch. En labsence de contrles appropris, de srieux problmes peuvent galement se poser lorsquun individu est charg: de lapprobation du dcaissement de fonds et de leur dcaissement effectif; des comptes clientle et des comptes propres; des transactions au titre du portefeuille bancaire et du portefeuille de ngociation; de la fourniture informelle dinformations des clients sur leurs positions et de la relation commerciale avec ces mmes clients; de lvaluation du caractre adquat des dossiers de crdit et de la surveillance des emprunteurs aprs loctroi des crdits; de tout autre domaine o des conflits dintrts notables apparaissent et ne sont pas attnus par dautres facteurs.

29. Les domaines susceptibles de donner lieu des conflits devraient tre identifis, circonscrits aussi troitement que possible et faire lobjet dune surveillance attentive dune tierce partie indpendante. Des examens priodiques des responsabilits et fonctions des personnes dtenant les postes cls devraient tre galement effectus pour sassurer que ces responsables ne sont pas en mesure de dissimuler des agissements inappropris.

D.

Information et communication

Principe 7: Un systme de contrle interne efficace ncessite lexistence de donnes internes adquates et exhaustives dordre financier, oprationnel ou ayant trait au respect de la conformit ainsi que dinformations de march extrieures sur les vnements et conditions intressant la prise de dcision. Ces donnes et informations devraient tre fiables, rcentes, accessibles et prsentes sous une forme cohrente. 30. Une information adquate et une communication efficace sont deux lments essentiels au bon fonctionnement dun systme de contrle interne. Sagissant des banques,

- 18 pour que linformation soit utile, elle doit tre pertinente, fiable, rcente, accessible et prsente sous une forme cohrente. Il peut sagir de donnes internes dordre financier, oprationnel ou ayant trait au respect de la conformit ainsi que dinformations de march extrieures sur des vnements et conditions intressant la prise de dcision. Linformation interne fait partie dun processus denregistrement qui devrait comporter des procdures dfinies pour la conservation des supports denregistrement. Principe 8: Un systme de contrle interne efficace ncessite lexistence de systmes dinformation fiables couvrant toutes les activits importantes de la banque. Ces systmes, notamment ceux qui comportent et utilisent des donnes informatises, doivent tre srs, surveills de manire indpendante et tays par des plans de secours adquats. 31. Un lment essentiel des activits dune banque rside dans la mise en place et la

maintenance de systmes dinformation de la direction couvrant toute la gamme de ses activits. Cette information est habituellement fournie la fois sous forme lectronique et non lectronique. Les banques doivent tre tout particulirement informes des exigences organisationnelles et de contrle interne lies au traitement lectronique de linformation ainsi que de la ncessit de disposer dune piste daudit adquate. Au niveau de la direction, la prise de dcision pourrait tre fausse par des informations non fiables ou errones fournies par des systmes mal conus et insuffisamment contrls. 32. Les systmes dinformation lectroniques et lutilisation de linformatique prsentent des risques qui doivent tre efficacement contrls par les banques, afin dviter des dysfonctionnements et des pertes potentielles. Comme le traitement des transactions et les applications lies aux activits ont dpass le stade dun environnement ordinateur central pour passer des systmes rpartis pour les fonctions essentielles aux missions, lampleur des risques sest accrue galement. Les contrles sur les systmes et la technologie informatiques devraient tre la fois gnraux et spcifiques aux applications. Les contrles gnraux portent sur les systmes informatiques (ordinateur central, postes client/serveur et terminaux dutilisateur, par exemple) et assurent leur fonctionnement correct en continu. Ils incluent des procdures maison de sauvegarde et de reprise, des politiques de dveloppement et dacquisition de logiciels, des procdures de maintenance (contrle des changements effectus) et des contrles de scurit daccs physiques/logiques. Les contrles lis aux applications sont des tapes informatises au sein des applications logicielles et dautres procdures manuelles qui examinent le traitement des oprations et le droulement des activits. Ils concernent, entre autres, les questions de rconciliations et daccs logiques spcifiques un systme dactivit. En labsence de contrles adquats sur les systmes et la technologie informatiques, y compris ceux qui sont en cours de dveloppement, les banques

- 19 pourraient subir des pertes de donnes et de programmes rsultant de dispositions inappropries en matire de scurit physique et lectronique, de dfaillances des quipements ou systmes et de procdures maison inadaptes de sauvegarde et de reprise. 33. Outre les risques et contrles ci-dessus, il existe des risques inhrents associs la perte ou au dysfonctionnement prolong de services rsultant de facteurs qui chappent au contrle de la banque. Dans des situations extrmes, de tels problmes pourraient causer de srieuses difficults aux banques et mme compromettre leur capacit deffectuer leurs activits essentielles, tant donn que la prestation de services aux entreprises et la clientle reprsente des questions cls au niveau des transactions, des stratgies et de la rputation. Cette ventualit contraint la banque tablir des plans de reprise dactivit et de secours en utilisant une autre facilit hors site, incluant la remise en route de systmes essentiels bnficiant de lassistance dun prestataire de services extrieur. Le risque de perte ou de dysfonctionnement prolong doprations capitales ncessite un effort global de linstitution pour mettre en place des programmes de secours incluant la gestion des oprations et ne se limitant pas aux oprations informatiques centralises. Des plans de reprise dactivit doivent tre tests priodiquement pour garantir leur caractre fonctionnel en cas de dsastre inattendu. Principe 9: Un systme de contrle interne efficace ncessite des voies de communication performantes pour garantir que lensemble du personnel comprend et respecte parfaitement les politiques et procdures affectant ses tches et responsabilits et que les autres informations importantes parviennent leurs destinataires. 34. En labsence dune communication efficace, linformation est inutile. La direction gnrale dune banque doit instaurer des voies de communication performantes, afin que les informations ncessaires parviennent leurs destinataires. Ces informations portent la fois sur les politiques et procdures oprationnelles de ltablissement ainsi que sur les rsultats dexploitation rels. 35. La structure organisationnelle de la banque devrait faciliter une circulation adquate horizontale et verticale de linformation dans toute lorganisation. Une telle structure garantit que les informations remontent et permet au conseil dadministration et la direction gnrale de connatre les risques encourus dans le cadre de lactivit et les rsultats dexploitation. Linformation qui redescend travers lorganisation garantit que les objectifs, les stratgies, et aussi les attentes, de la banque ainsi que les politiques et procdures tablies sont communiqus au niveau de direction infrieur et au personnel charg des oprations. Cette communication est essentielle pour obtenir un effort commun de tous les employs vers les objectifs de la banque. Enfin, la communication horizontale dans lorganisation est

- 20 ncessaire pour que linformation parvenant une unit ou un dpartement puisse tre connue des autres units ou dpartements concerns.

E.

Surveillance des activits et correction des dficiences

Principe 10: Lefficacit globale des contrles internes de la banque devrait tre surveille en permanence. Le suivi des principaux risques devrait faire partie des activits quotidiennes de la banque de mme que les valuations priodiques effectues par les secteurs dactivit et laudit interne. 36. Comme lactivit bancaire est un secteur dynamique, o tout volue rapidement, les banques doivent en permanence surveiller et valuer leurs systmes de contrle interne en fonction des modifications des conditions internes et externes et les renforcer, au besoin, pour en garantir lefficacit. 37. Surveiller lefficacit des contrles internes est une tche qui peut tre accomplie par du personnel de plusieurs secteurs diffrents, dont celui en charge des oprations elles-mmes, le contrle financier et laudit interne. Pour cette raison, il est important que la direction gnrale dsigne clairement ces personnes en prcisant leurs fonctions de surveillance. La surveillance devrait faire partie des activits quotidiennes de la banque mais commande galement de procder des valuations priodiques spcifiques de lensemble du processus de contrle interne. La frquence de la surveillance des diffrentes activits devrait tre fonction des risques encourus ainsi que du rythme et de la nature des changements affectant lenvironnement oprationnel. 38. Un processus de surveillance en continu peut permettre de dcouvrir et de corriger rapidement les dficiences du systme de contrle interne; il atteint son efficacit maximale lorsque le systme de contrle interne est intgr lenvironnement oprationnel et donne lieu des rapports rguliers qui font lobjet dun examen. Dans le cadre de la surveillance en continu figurent, par exemple, lexamen et lapprobation des enregistrements courants ainsi que la consultation et lapprobation par la direction des rapports sur des faits exceptionnels. 39. En revanche, les valuations spcifiques ne dtectent gnralement les problmes quaprs coup; elles permettent cependant une organisation davoir un aperu rcent et global de lefficacit du systme de contrle interne et de celle, en particulier, de ses activits de surveillance. Ces valuations peuvent tre effectues par du personnel de plusieurs secteurs diffrents, dont celui en charge des oprations elles-mmes, le contrle financier et laudit interne. Les valuations du systme de contrle interne prennent souvent la forme dautovaluations, lorsque les personnes charges dune fonction prcise dterminent le degr defficacit des contrles pour leurs activits. Les documents et rsultats concernant les valuations sont ensuite soumis lattention de la direction gnrale. Les examens effectus

- 21 tous les niveaux devraient tre tays par une documentation adquate et communiqus dans les meilleurs dlais lchelon de direction appropri. Principe 11: Un audit interne efficace et exhaustif du systme de contrle interne devrait tre effectu par un personnel bien form et comptent bnficiant dune indpendance oprationnelle. La fonction daudit interne, en tant qulment de la surveillance du systme de contrle interne, devrait rendre compte directement au conseil dadministration, ou son comit daudit, ainsi qu la direction gnrale. 40. La fonction daudit interne constitue un lment majeur de la surveillance en continu du systme de contrle interne, parce quelle fournit une valuation indpendante du caractre adquat des politiques et procdures tablies et du respect de la conformit ces dernires. Il est essentiel que la fonction daudit interne soit indpendante du fonctionnement de la banque au quotidien et quelle ait accs lensemble des activits conduites par lorganisation bancaire, y compris dans ses succursales et filiales. 41. En rendant compte directement au conseil dadministration ou son comit daudit ainsi qu la direction gnrale, les auditeurs internes procurent des informations objectives sur les diffrentes activits. En raison de limportance de cette fonction, laudit interne doit tre assur par un personnel comptent et bien form ayant une parfaite comprhension de son rle et de ses responsabilits. La frquence et lampleur des examens et tests des contrles internes effectus au sein dune banque par les auditeurs internes devraient correspondre la nature et la complexit des activits de lorganisation et aux risques associs. 42. Il est important que la fonction daudit interne rende compte directement au plus haut niveau de lorganisation bancaire, habituellement le conseil dadministration ou son comit daudit, et la direction gnrale. Cela permet la gouvernance dentreprise de sexercer correctement, le conseil bnficiant dinformations qui ne peuvent tre aucunement adaptes par les niveaux de direction couverts par ces comptes rendus. Le conseil devrait galement renforcer lindpendance des auditeurs internes, en faisant en sorte que des questions ayant trait, par exemple, leur rmunration ou aux affectations budgtaires les concernant soient traites par le conseil ou par les niveaux de direction suprieurs plutt que par des responsables qui sont affects par les travaux des auditeurs internes. Principe 12: Les dficiences des contrles internes, quelles soient dtectes par un secteur dactivit, laudit interne ou un autre personnel de contrle, devraient tre notifies dans les meilleurs dlais au niveau de direction appropri et faire lobjet dun traitement rapide. Les dficiences importantes devraient tre signales la direction gnrale et au conseil dadministration.

- 22 43. Les dficiences des contrles internes, ou les risques contrls de manire inefficace, devraient tre signals ds leur dtection la ou aux personnes appropries, les problmes graves tant ports lattention de la direction gnrale et du conseil dadministration. Lorsque ces insuffisances ont t notifies, il est important que la direction y remdie dans les meilleurs dlais. Les auditeurs internes devraient assurer un suivi ou toute autre forme approprie de surveillance et informer immdiatement la direction gnrale ou le conseil de toute insuffisance non corrige. Pour faire en sorte que toutes les dficiences soient traites au plus tt, la direction gnrale devrait tre responsable de linstauration dun systme destin suivre les faiblesses du contrle interne ainsi que les actions destines y remdier. 44. Le conseil dadministration et la direction gnrale devraient recevoir priodiquement des rapports recensant les problmes de contrle dcels. Des points qui apparaissent peu importants lors de contrles individuels peuvent fort bien rvler des tendances susceptibles, sous un angle global, de reprsenter une dficience de contrle majeure si une action nest pas entreprise temps.

- 23 -

IV. valuation des systmes de contrle interne par les autorits prudentielles
Principe 13: Les autorits prudentielles devraient exiger que toutes les banques, quelle que soit leur dimension, disposent dun systme efficace de contrle interne correspondant la nature, la complexit et au degr de risque inhrent leurs activits de bilan et de hors-bilan et ragissant aux modifications de lenvironnement et des conditions dactivit de la banque. Dans les cas o les autorits prudentielles constatent que le systme de contrle interne nest pas adquat ou efficace par rapport au profil de risque spcifique de ltablissement (sil ne prend pas en compte, par exemple, tous les principes contenus dans ce document), elles devraient intervenir en consquence. 45. Bien que le conseil dadministration et la direction gnrale soient responsables

en dernier ressort de lefficacit du systme de contrle interne, les autorits prudentielles devraient valuer, dans le cadre de leurs activits de contrle permanent, les systmes dont sont dotes les diverses banques. Elles devraient galement sassurer que la direction de chaque tablissement accorde sans tarder lattention requise tout problme dtect par le processus de contrle interne. 46. Les autorits prudentielles devraient exiger des banques soumises leur contrle quelles possdent une culture de contrle forte et opter, dans lexercice de leur surveillance, pour une approche centre sur le risque, incluant dexaminer ladquation des contrles internes. Il importe que les autorits prudentielles valuent non seulement lefficacit du systme global de contrle interne, mais aussi les contrles sur les secteurs haut risque (ceux, par exemple, qui prsentent des caractristiques telles quune rentabilit inhabituelle, une croissance rapide, une activit nouvelle ou un loignement gographique du sige). Dans le cas o les autorits de contrle jugent que le systme de contrle interne dune banque nest pas adquat ou efficace par rapport son profil de risque spcifique, elles devraient intervenir en consquence. Il leur faudrait notamment faire part de leurs craintes la direction gnrale et surveiller les mesures prises par la banque pour amliorer son systme de contrle interne. 47. Dans lvaluation des systmes de contrle interne des banques, les autorits prudentielles peuvent choisir daccorder une attention spciale directe des activits ou situations traditionnellement associes des dfaillances de contrle interne ayant entran des pertes substantielles. Certaines modifications de lenvironnement de la banque devraient faire lobjet dune considration particulire pour dterminer si des rvisions parallles sont ncessaires dans le systme de contrle interne. Ces modifications englobent notamment: 1) un environnement oprationnel modifi; 2) un personnel nouveau; 3) des systmes dinformation nouveaux ou transforms; 4) des domaines ou activits enregistrant une

- 24 croissance rapide; 5) une technologie nouvelle; 6) des secteurs, produits ou activits nouveaux (ceux surtout de nature complexe); 7) des restructurations, fusions et acquisitions dentreprises; 8) une expansion ou acquisition doprations ltranger (y compris lincidence des modifications de lenvironnement conomique et rglementaire correspondant). 48. Pour valuer la qualit des contrles internes, les autorits prudentielles ont le choix entre diverses approches. Elles peuvent examiner le travail du dpartement daudit interne de la banque partir de ses documents de travail, y compris la mthode utilise pour identifier, mesurer, surveiller et contrler le risque. Si elles sont satisfaites des prestations de laudit interne, elles peuvent utiliser les rapports des auditeurs internes comme premier lment didentification des problmes de contrle dans la banque ou pour dtecter des domaines de risque potentiel qui nont pas t passs en revue rcemment par les auditeurs. Les autorits prudentielles peuvent opter pour un processus dautovaluation, par lequel la direction examine les contrles internes secteur par secteur et certifie lautorit prudentielle que les contrles sont adquats pour les activits de la banque. Dautres peuvent exiger des audits externes priodiques des domaines cls, dont elles dterminent elles-mmes lampleur. Enfin, les autorits prudentielles peuvent associer une ou plusieurs de ces mthodes leurs propres examens sur place des contrles internes. 49. Dans de nombreux pays, les autorits prudentielles effectuent des examens sur place qui comportent une rvision des contrles internes. Un tel examen pourrait inclure la fois une analyse de tout le processus dactivit et un contrle appropri des transactions sous forme de sondages, afin davoir une vrification indpendante des processus de contrle interne de la banque. 50. Un contrle appropri des transactions devrait tre effectu sous forme de sondages pour vrifier: ladquation des politiques, procdures et limites internes et leur respect; lexactitude et lexhaustivit des rapports la direction et documents financiers; la fiabilit (cest--dire un fonctionnement conforme aux attentes de la direction) des contrles spcifiques considrs comme essentiels pour llment de contrle interne faisant lobjet de lvaluation.

51. Pour apprcier lefficacit des cinq lments de contrle interne dune organisation bancaire (ou de lune de ses units ou activits), les autorits prudentielles devraient: dterminer les objectifs de contrle interne adapts lorganisation, lunit ou lactivit examine (par exemple, prts, placements, comptabilit);

- 25 valuer lefficacit des lments de contrle interne, non pas par un simple examen des politiques et procdures, mais en consultant galement lensemble des documents, en discutant des oprations avec divers niveaux du personnel de la banque, en observant lenvironnement oprationnel et en contrlant par sondages les transactions; faire part, dans les meilleurs dlais, au conseil dadministration et la direction de leurs proccupations prudentielles au sujet des contrles internes et des recommandations visant les amliorer; sassurer, pour les carences dtectes, quune action corrective est mise en uvre sans tarder.

52. Les autorits de contrle bancaire qui sont fondes juridiquement ou en vertu dautres arrangements orienter les travaux des auditeurs externes et sen servir optent souvent ou toujours pour cette possibilit au lieu des examens sur place. En ce cas, les auditeurs externes devraient alors effectuer, dans le cadre dengagements contractuels spcifiques, lexamen du processus dactivit et le contrle par sondages des transactions prciss prcdemment. Les autorits de contrle, pour leur part, devraient valuer la qualit du travail accompli par les auditeurs. 53. Dans tous les cas, les autorits de contrle bancaire devraient noter les observations et recommandations des auditeurs externes concernant lefficacit des contrles internes et sassurer que la direction et le conseil dadministration de la banque ont rpondu de manire satisfaisante aux proccupations et recommandations exprimes par les auditeurs externes. Le niveau et la nature des problmes de contrle rencontrs par les auditeurs devraient tre pris en compte dans lvaluation, par les autorits prudentielles, de lefficacit des contrles internes de la banque. 54. Les autorits prudentielles devraient galement encourager les auditeurs externes de la banque planifier et conduire leurs audits de manire bien prendre en considration lventualit dindications fortement errones rsultant de manipulations frauduleuses des tats financiers. Tout cas de fraude dtect par les auditeurs externes, quelle quen soit la gravit, doit tre signal au niveau de direction appropri. Une fraude impliquant la direction gnrale et une fraude ayant de graves consquences pour ltablissement devraient tre notifies par les auditeurs externes au conseil dadministration et/ou son comit daudit. Dans certaines circonstances (en fonction des exigences nationales), les auditeurs externes peuvent avoir signaler les fraudes des autorits prudentielles ou dautres instances extrieures la banque. 55. En examinant ladquation du processus de contrle interne dans chaque organisation bancaire, les autorits prudentielles du pays dorigine devraient galement sassurer de lefficacit du processus au niveau des secteurs dactivit, filiales et frontires

- 26 nationales4. Il est important quelles valuent le processus de contrle interne non seulement pour chaque tablissement ou entit juridique, mais aussi pour tout lventail des activits et filiales au sein de lorganisation bancaire consolide. Pour cette raison, les autorits de contrle devraient encourager les groupes bancaires utiliser, dans la mesure du possible, des auditeurs communs et des donnes comptables communes lensemble du groupe.

LInstance conjointe sur les conglomrats financiers a publi un document intitul Framework for supervisory information sharing paper, qui traite du partage des informations entre autorits de contrle de juridictions diffrentes.

- 27 -

V.

Rles et responsabilits des auditeurs externes

56. Bien que, par dfinition, les auditeurs externes ne fassent pas partie dune organisation bancaire et ne soient donc pas un lment de son systme de contrle interne, ils ont une incidence importante sur la qualit des contrles internes travers leurs activits daudit, et notamment leurs discussions avec la direction et leurs recommandations pour amliorer les contrles internes. Les auditeurs externes fournissent en retour des informations utiles sur lefficacit du systme de contrle interne. 57. Si lobjet principal de la fonction daudit externe est de donner un avis sur les comptes annuels dune banque, lauditeur externe doit choisir de sen remettre ou non lefficacit du systme de contrle interne de ltablissement. Pour cette raison, il doit comprendre le fonctionnement de ce systme, afin de voir dans quelle mesure il peut sy fier pour dterminer la nature, la frquence et la porte de ses propres procdures daudit. 58. Le rle exact des auditeurs externes et les processus quils utilisent varient dun pays lautre. Dans de nombreux pays, les normes daudit professionnelles requirent que les audits soient planifis et excuts de manire obtenir lassurance raisonnable que les tats financiers ne comportent aucune erreur srieuse. Les auditeurs vrifient galement par sondages les transactions et critures servant de base ltablissement des tats financiers et de la communication financire. Ils valuent les principes et politiques comptables utiliss ainsi que les estimations significatives effectues par la direction et jugent la prsentation globale des tats financiers. Dans certains pays, ils sont tenus par les autorits prudentielles de fournir une valuation spcifique de la porte, de ladquation et de lefficacit du systme de contrle interne des banques, y compris de leur fonction daudit interne. 59. Un trait commun tous les pays, cependant, est que lon attend des auditeurs externes quils aient une ide claire du processus de contrle interne dune banque, dans la mesure o il sagit de lexactitude des tats financiers de la banque. Lampleur de lattention accorde au systme de contrle interne varie selon lauditeur et ltablissement; toutefois, on escompte gnralement que les carences srieuses dtectes par les auditeurs externes soient signales par courrier confidentiel la direction ainsi que, dans de nombreux pays, lautorit de contrle. En outre, dans beaucoup de pays, les auditeurs externes peuvent tre soumis des exigences prudentielles particulires prcisant la manire dvaluer les contrles internes et den rendre compte.

- 28 Annexe I

Documents de rfrence

Banque dAngleterre, Banks Internal Controls and the Section 39 Process, fvrier 1997 Socit dassurance-dpts du Canada, Code des Pratiques Commerciales et Financires Saines, aot 1993 Institut canadien des comptables agrs, Guidance on Control, novembre 1995 The Committee of Sponsoring Organisations of the Treadway Commission (COSO), Internal Control Integrated Framework, juillet 1994 Institut montaire europen, Internal Control Systems of Credit Institutions, juillet 1997

- 29 Annexe II

Enseignements prudentiels fournis par les cas de dfaillances des contrles internes

A.

Surveillance par la direction et culture de contrle

1. De nombreux cas de dfaillances des contrles internes ayant entran des pertes bancaires substantielles auraient pu tre nettement moins graves, ou mme vits, si le conseil dadministration et la direction gnrale des tablissements avaient instaur une culture de contrle forte. Les cultures de contrle insuffisantes prsentaient souvent deux lments communs. Tout dabord, la direction gnrale ntait pas parvenue souligner limportance dun systme de contrle interne solide travers les termes utiliss et actions entreprises et, surtout, les critres dterminant les rmunrations et promotions. Deuximement, elle navait pas russi mettre en place une structure organisationnelle et des responsabilits de direction bien dfinies. Par exemple, elle navait pas pu exiger un contrle adquat des principaux preneurs de dcisions ni la notification, dans les meilleurs dlais, de la nature et du droulement des activits. 2. La direction gnrale peut affaiblir la culture de contrle en promouvant et rcompensant des responsables, certes efficaces pour produire des bnfices, mais qui ngligent dappliquer les politiques de contrle interne ou de traiter les problmes dcels par laudit interne. Limpression qui prvaut alors dans lorganisation est que les contrles internes sont considrs comme secondaires par rapport aux autres objectifs, ce qui affecte lengagement lgard de la culture de contrle ainsi que sa qualit. 3. Certaines banques ayant connu des problmes de contrle taient dotes de structures organisationnelles dans lesquelles les responsabilits ntaient pas clairement dfinies, de sorte quune unit navait pas rendre des comptes directement un membre de la direction gnrale. Autrement dit, aucun membre de la direction ne surveillait les rsultats de cette unit de manire suffisamment rigoureuse pour noter des activits inhabituelles, financires ou autres, et personne, au sein de la direction gnrale, navait une vision globale des activits ni de la faon dont les bnfices taient raliss. Si la direction avait compris les activits de lunit, elle aurait t en mesure de dceler des signes avant-coureurs (tels quun pourcentage inhabituel de profit par rapport aux niveaux de risques), danalyser les transactions et de prendre des mesures pour rduire les pertes ventuelles. Ces problmes auraient pu galement tre vits si le suprieur hirarchique avait examin les oprations ainsi que les rapports la direction et stait enquis auprs du personnel comptent de la nature des transactions effectues. De telles approches fournissent aux suprieurs

- 30 hirarchiques un aperu objectif de la manire dont les dcisions sont prises et garantissent que le personnel cl opre en respectant les critres fixs par la banque et le cadre de contrle interne.

B.

Reconnaissance et valuation des risques

4. Dans un pass rcent, la reconnaissance et lvaluation inadquates des risques ont t en partie lorigine des problmes de contrle interne et des pertes qui en ont rsult dans certaines banques. Parfois, les rendements potentiels levs lis divers prts, placements et instruments drivs ont fait oublier la direction la ncessit dvaluer parfaitement les risques inhrents aux transactions et de dgager des ressources suffisantes pour surveiller et examiner en permanence les engagements. Des pertes ont galement eu lieu lorsque la direction nest pas parvenue adapter le processus dvaluation des risques aux modifications de lenvironnement oprationnel. Par exemple, quand des produits plus complexes ou sophistiqus apparaissaient dans un secteur dactivit, il est possible que les contrles internes naient pas t renforcs pour tenir compte de ces lments. Un second exemple concerne la mise en place dune activit nouvelle sans une valuation complte et objective des risques encourus. En labsence de cette rvaluation des risques, le systme de contrle interne peut ne pas traiter les risques de manire adquate dans cette activit nouvelle. 5. Comme on la vu prcdemment, les organisations bancaires doivent fixer des objectifs pour lefficience et lefficacit de leurs activits, la fiabilit et lexhaustivit de leurs informations financires et communications la direction et pour le respect de la conformit aux lois et rglementations. Lvaluation des risques comporte lidentification et la dtermination des risques inhrents la ralisation de ces objectifs. Ce processus aide sassurer que les contrles internes de ltablissement correspondent la nature, la complexit et au degr de risque de ses activits de bilan et de hors-bilan.

C.

Activits de contrle et sparation des tches

6. Dans les cas de pertes bancaires importantes dues un contrle interne insuffisant, les autorits prudentielles constatent en gnral que les tablissements concerns ont nglig certains principes essentiels du contrle interne. Il sagit le plus souvent de la sparation des tches, qui est lun des piliers dun systme de contrle interne sain. Frquemment, la direction gnrale a confi une personne hautement apprcie la responsabilit de la surveillance de deux ou plusieurs secteurs prsentant des intrts conflictuels. Ainsi, dans de nombreux cas, la mme personne supervisait la fois la salle des marchs et le postmarch dune unit de ngociation; elle pouvait alors contrler lengagement de la transaction (par exemple, lachat ou la vente de titres ou de produits

- 31 drivs) ainsi que la fonction denregistrement correspondante. Attribuer de telles tches conflictuelles une mme personne lui donne la possibilit de manipuler des donnes financires pour raliser un profit personnel ou de dissimuler des pertes. 7. La sparation des tches ne concerne pas seulement des situations o la mme personne contrle la fois la salle des marchs et le postmarch. De srieux problmes peuvent galement apparatre lorsquun mme individu est charg: de lapprobation du dcaissement de fonds et de leur dcaissement effectif; des comptes clientle et des comptes propres; des transactions au titre du portefeuille bancaire et du portefeuille de ngociation; de la fourniture informelle dinformations des clients sur leurs positions et de la relation commerciale avec ces mmes clients; de lvaluation du caractre adquat des dossiers de crdit et de la surveillance des emprunteurs aprs loctroi des crdits; de tout autre domaine o des conflits dintrts notables apparaissent et ne sont pas attnus par dautres facteurs5.

8. Les insuffisances des activits de contrle refltent toutefois lchec des multiples efforts destins voir si lactivit est conduite selon les attentes, depuis les examens effectus au plus haut niveau jusquau bon fonctionnement de mcanismes rgulateurs spcifiques dans un processus dactivit. Dans plusieurs cas, par exemple, la direction na pas ragi comme il le fallait aux informations quelle recevait. Ces informations figuraient dans des rapports priodiques sur les rsultats des oprations de toutes les units de lorganisation, qui informaient la direction des progrs accomplis par chacune delles dans la ralisation des objectifs et lui permettaient de poser des questions si les rsultats ntaient pas conformes aux attentes. Souvent, les units qui ont enregistr par la suite des pertes notables avaient commenc par dgager des bnfices nettement suprieurs ce quon attendait, compte tenu du degr de risque apparent qui auraient d alerter la direction gnrale. Si des examens au plus haut niveau avaient eu lieu, la direction gnrale aurait pu se pencher sur les rsultats anormaux et dceler, puis traiter, certains des problmes, limitant ainsi ou empchant ces pertes. Cependant, comme les diffrences par rapport aux attentes taient positives (sous forme de bnfices), aucune question na t pose et des enqutes nont t entreprises que lorsque les problmes avaient dj une ampleur incontrlable.

titre dillustration dun conflit dintrt potentiel attnu par dautres contrles, lexamen indpendant dun prt, dans le cadre des activits de surveillance du systme de classification des crdits dune banque, peut compenser le conflit dintrt potentiel qui se prsente lorsquune personne charge dvaluer le caractre adquat dun dossier de crdit surveille galement la cote de crdit de lemprunteur aprs loctroi du crdit.

- 32 D. Information et communication

9. Certaines banques ont enregistr des pertes parce que linformation au sein de lorganisation ntait ni fiable ni complte et que la communication navait aucune efficacit. Linformation financire peut tre communique de faon errone sur le plan interne; des sries de donnes incorrectes manant de sources extrieures peuvent tre utilises pour valuer des positions financires; de mme, des activits modestes, mais haut risque, peuvent ne pas figurer dans les rapports la direction. Parfois, les banques ngligeaient de faire connatre de manire adquate les tches des employs et leurs responsabilits en matire de contrle ou faisaient part des politiques de ltablissement par des canaux, tels que la messagerie lectronique, qui ne garantissaient pas que ces politiques taient lues, comprises et retenues. Par consquent, sur des priodes de temps assez longues, dimportants aspects des politiques de la direction ntaient pas appliqus. Dans dautres cas, aucune voie de communication adquate ne permettait aux employs de rendre compte de prsomptions dirrgularits. Si de telles voies avaient t tablies pour signaler les problmes travers la structure hirarchique, la direction aurait t en mesure didentifier et de corriger beaucoup plus tt les irrgularits.

E.

Surveillance des activits et correction des dficiences

10. De nombreuses banques ayant enregistr des pertes dues des problmes de contrle interne ne surveillaient pas de manire efficace leurs systmes de contrle interne. Souvent, ces systmes ne comportaient pas les processus de surveillance en continu indispensables et les valuations spcifiques taient inadquates ou traites de faon inapproprie par la direction. 11. Dans certains cas, labsence de surveillance a commenc par lincapacit de prter attention ou de donner suite aux informations transmises jour aprs jour aux suprieurs hirarchiques ainsi qu dautres membres du personnel qui indiquaient une activit inhabituelle, telle que dpassements des plafonds dengagement, utilisation de comptes clientle pour des oprations propres ou absence dtats financiers courants manant des emprunteurs. Dans une banque, les pertes associes aux activits de ngociation taient dissimules au sein dun compte clientle fictif. Si lorganisation avait t dote dune procdure exigeant que des situations des comptes soient adresses la clientle chaque mois et que les comptes clientle soient priodiquement confirms, les pertes dissimules auraient vraisemblablement t dcouvertes bien longtemps avant dtre suffisamment lourdes pour entraner de srieux problmes pour ltablissement. 12. Dans plusieurs autres cas, lunit ou lactivit qui tait lorigine de pertes massives prsentait de nombreuses caractristiques indiquant un niveau de risque accru, tel quune rentabilit inhabituelle pour le niveau de risque peru et une croissance rapide dans

- 33 une activit nouvelle gographiquement distante de la banque mre. Toutefois, en raison dune valuation de risque inadquate, les tablissements navaient pas dgag suffisamment de ressources additionnelles pour contrler ou surveiller les activits haut risque. En fait, dans quelques exemples, les activits haut risque taient moins suivies que dautres qui prsentaient des profils de risque nettement infrieurs et plusieurs avertissements des auditeurs internes et externes au sujet des activits de lunit avaient t ignors de la direction. 13. Si laudit interne peut constituer une source efficace dvaluations spcifiques, son efficacit tait nulle dans de nombreuses organisations bancaires en difficult. Trois facteurs contribuaient ce dysfonctionnement: le fait de procder des audits fragments, le manque de comprhension globale des processus dactivit et le suivi inadquat des problmes aprs leur dtection. Lapproche daudits fragments venait essentiellement de ce que les programmes daudit interne taient structurs en sries daudits partiels sur des activits spcifiques au sein de la mme unit ou du mme dpartement, de secteurs gographiques ou encore dentits juridiques. Du fait de cette fragmentation, les processus dactivit ntaient pas pleinement compris par le personnel de laudit interne. Une conception daudit qui aurait permis aux auditeurs de suivre les processus et fonctions du dbut jusqu la fin (cest--dire en prenant la mme transaction de son point de dpart jusqu sa notification dans les comptes rendus financiers) leur aurait permis de mieux comprendre la situation; en outre, elle aurait fourni loccasion de vrifier et de tester ladquation des contrles chaque tape du processus. 14. Dans certains cas, les problmes daudit interne ont galement rsult dune connaissance et dune formation inadquates du personnel daudit interne sur les produits et marchs, les systmes dinformation lectronique et dautres domaines hautement sophistiqus. Comme ce personnel ne possdait pas les comptences ncessaires, il hsitait souvent poser des questions lorsquil entrevoyait des problmes et, quand les questions taient poses, avait tendance accepter une rponse plutt qu la remettre en cause. 15. Laudit interne peut galement devenir inefficace lorsque la direction nassure pas un suivi appropri des problmes dcels par les auditeurs. Des dlais ont pu intervenir cause dun manque de reconnaissance par la direction du rle et de limportance de laudit interne. En outre, lefficacit de laudit interne tait compromise lorsque la direction gnrale et les membres du conseil dadministration (ou, le cas chant, le comit daudit) ne recevaient pas en temps voulu et de manire rgulire des rapports de suivi signalant les problmes critiques et les actions correctives prises ensuite par la direction. Un tel suivi priodique peut aider la direction gnrale traiter les questions importantes dans les meilleurs dlais.