Vous êtes sur la page 1sur 264

AUDIT INTERNE EN BANQUE

6 dcembre 2000

Denis Caprasse Karin Maquet

Table des matires


Evolution de la fonction daudit interne L environnement de lauditeur interne en banque Contrle interne : cadre de rfrence COSO

La notion de risque
Relations entre COSO et lapproche daudit Organisation dune banque La stratgie daudit et sa ralisation COBIT - un cadre de rfrence intgr pour valuer les systmes dinformation Le comit daudit Avis et recommandations de la Commission bancaire et financire La Collaboration entre les reviseurs, les auditeurs internes et la CBF COSO et la mise en place de structures intgres de risk management
2

Evolution de la fonction daudit interne

Audit interne : volution historique

AVANT-HIER HIER

UN MAL NECESSAIRE DESIR DE CHANGEMENT

AUJOURDHUI

AUDIT PARTICIPATIF

LES NOUVELLES TENDANCES LES DEFIS DU FUTUR


4

Laudit interne avant-hier


MARCHE Faible concurrence Produits traditionnels Gestion patriarcale AUDITEUR Mal ncessaire Policier et pompier Redoute des audits Cherche les erreurs DEPARTEMENT AUDIT Pas dembauche slective

Peu dautonomie
Sans accs hirarchique lev Budgets limits & Missions routinires
5

Laudit interne dhier


MARCHE Concurrence accrue Croissance volumes et produits Dveloppements informatiques AUDITEUR Distinct de linspecteur Spcialisation professionnelle Prvention ; dtection Qualit ; quantit DEPARTEMENT AUDIT Auditeur du management

Expert impartial
Conseiller des directeurs Banquier / Technicien Comptents
6

Laudit interne aujourdhui


MARCHE Concurrence multiple et diversifie Dcentralisation des oprations Rglementations en croissance

Dlgation force des pouvoirs


AUDITEUR Problem solver Conscient des cots Validation de procdures Collabore aux objectifs DEPARTEMENT AUDIT Centr sur les risques Soucieux de ses clients Flexible et ractif Grand utilisateur dinformatique Soucieux de la formation
7

Audit interne : Les dfis du futur


QUALITE TOTALE
DISPARITION DE LAUDIT?
Outsourcing - cosourcing Self controlled organisation - systmes de contrle intgr avec auto-valuation

EMERGENCE DE NOUVELLES MISSIONS?

EVOLUTION POSSIBLE DE LA FONCTION


SURVEILLANT REACTIF OBSERVATEUR SEPARATISTE RISK MANAGER PREVENTIF EDUCATEUR AGENT DE COMMUNICATION

EFFETS SUR LES MISSIONS


FOCALISATION SUR RISQUES ELEVES PARTICIPATION AUX CHANGEMENTS DISPONIBILITE POUR URGENCES ACCENTUATION DU COUT/BENEFICE

Lvolution du mtier daudit interne Reactive Proactive


Participating With Management

Strategic
Process Focus
Supporting Management Self-Assessments

Stand Alone Audit Function Transaction Focus

Financial reporting

Risk Exposure/Identification

Enterprise Risk Management

Internal Auditor

Consultant Business Enhancement/ Efficiency

Detection
Prevention

Lvolution du mtier daudit interne

Nouvelle dfinition de laudit interne par le Institute of Internal Auditors:


Internal audit is an objective assurance and consulting activity that is independently managed within an organisation and guided by a philosophy of adding value to improve the operations of the organisation. It assists an organisation to evaluate and improve the effectiveness of the organisations risk management, control, and governance processes.

10

Lenvironnement de lauditeur interne en banque

11

Conception et pratique du contrle prudentiel

Les cercles concentriques du contrle prudentiel

Supervision by CBF Supervision by auditor Internal audit

Internal control

Rapport CBF 1996-1997 pp 26-31


12

Le contrle interne

Circulaire CBF D1 97/4 du 30 juin 1997 Le contrle interne se dfinit gnralement comme lensemble des mesures qui, sous la responsabilit de la direction de ltablissement de crdit doivent assurer avec une certitude raisonnable :
une conduite des affaires ordonnes et prudente, encadre dobjectifs bien dfinis; une utilisation conomique et efficace des moyens engags; lintgrit et la fiabilit de linformation financire et celle relative la gestion; le respect des lois et rglements ainsi que des politiques gnrales, plans et procdures internes

13

Le contrle interne

Les lments constitutifs


un environnement dentreprise qui encourage une attitude positive lgard du contrle; des objectifs suivi de lidentification des risques et de leur analyse la mise en place de systme dinformation et de communication ainsi quun reporting la surveillance et l'valuation rgulire des mesures prises

14

Le contrle interne

Responsabilit du conseil dadministration de vrifier ladquation du contrle interne Le comit de direction doit mettre en oeuvre un contrle interne adquat et procder son valuation

Laudit interne est une fonction indpendante qui a pour objet dexaminer et dvaluer le bon fonctionnement, lefficacit et lefficience du contrle interne

15

Le contrle interne

La Commission bancaire et financire a transpos les principes noncs dans le cadre de rfrence COSO Comit de Ble
Framework for internal control systems in banking organisations - Septembre 1998 Management oversight and control culture Risk recognition and assessment Control activities and segregation of duties Information and communication Monitoring activities and correcting deficiencies Transposition des principes COSO
16

Contrle interne

COSO ????

17

Contrle interne : cadre de rfrence COSO

18

COSO : les concepts fondateurs

19

Des risques accrus

Globalisation

Outsourcing/Technologies dcentralises

Empowerment Plus forte dlgation

Des structures organisationnelles moins pyramidales

Forces externes de changement

Changement des facteurs de risque oprationnel

Ncessitant un changement des pratiques oprationnelles

22

Des risques accrus

L'accroissement des risques oprationnels rsulte de ces changements


12000

10000

8000

Niveau de risque

6000

4000

2000

1
Changement

L'enjeu : identifier ces risques temps pour rester dynamique et augmenter la rsistance de l'entreprise.
23

Un risque accru face des procdures de contrle interne adaptes une priode rvolue
Forces internes Forces externes

Changements organisationnels

Concurrence

Gestion des cots

Procdures de conformit et de contrle

Globalisation

Rorganisation des processus

Nouvelles technologies

Shareholder value and corporate governance

24

Et quelques exemples de scandales


Robert Maxwell Fraudes Metallgeselleschaf Pertes sur positions spculatives General Motors Ventes fictives Comt dOrange Pertes sur produits drivs

Sumitomo Positions non autorises

Besoin dun contrle accr

Groupe Crdit Lyonnais Pertes importantes

Showa Shell Sekiyu f/x trading non autoris Barings Positions non autorises Daiwa $1 milliard de perte sur positions spculatives

BCCI Fraudes

United Way Pratiques de gestion douteuses

25

Ncessit d'une nouvelle culture du contrle

Contrles

L'Entreprise

Objectifs Risques
26

Une structure intgre pour le contrle interne


STRUCTURE INTEGREE POUR LE CONTROLE INTERNE

Commission Treadway forme en 1985 Commission Treadway publie le rapport en 1987 - demande un tude pour dvelopper une structure intgre pour le contrle interne Coopers & Lybrand a t slectionne pour mener ltude et rdiger le rapport

Committee of Sponsoring Organizations of the Treadway Commission

Rapport intitul Internal Control - Integrated Framework est publi en septembre 1992

Une perception plus tendue de la notion de contrle intgrant la gestion des risques par rapport aux objectifs de lentreprise

27

Une structure intgre pour le contrle interne

Contenu du rapport COSO


Executive summary (septembre 92) Framework (septembre 92) Reporting to external parties (septembre 92) Addendum to reporting to external parties (Mai 94)

Evaluation tools (septembre 92)


Internal Control Issues in Derivatives Usage (1999)
28

Une nouvelle perception du contrle interne

Le Contrle Interne est un processus, mis en uvre par le conseil dadministration, la direction et les membres du personnel de toute entit conomique ou administrative, en vue de fournir des assurances raisonnables sur les objectifs limits : Lefficacit et lefficience des oprations; La fiabilit des documents et des rapports financiers; La conformit aux lois et rglements applicables
Committee of Sponsoring Organizations (COSO) of the Treadway Commission - 1992

29

Le cube COSO

30

Interactions entre les diffrents lments constitutifs

31

Lenvironnement de contrle The control environment sets the tone of the organisation and communicates management philosophy
Donne le ton de lorganisation
Intgrit Valeurs thiques Comptences

Transmet la philosophie de gestion


Responsabilit et responsabilisation Autorit Politique et dveloppement des ressources humaines

32

Lvaluation des risques Risk assessment is the effective management of change by the identification and analysis of relevant risks
Identification et analyse des risques menaant la ralisation des objectifs de lorganisation risques stratgiques risques oprationnels risques organisationnels et lis aux ressources humaines

Gestion du changement

33

Les activits de contrle Control activities are procedures to implement and manage objectives
Procdures lies la mise en oeuvre de la gestion
Approbation, autorisations Vrifications et contrles physiques Programme de qualit Sparation des fonctions etc ...

Mcanismes de gestion visant la ralisation des objectifs

34

Linformation et la communication Timely and accurate access to information and communication is critical to the control process
Information de gestion adquate communique dans des dlais appropris

Identification et utilisation des informations externes ad hoc

Gestion de la communication au sein de lorganisation

35

La surveillance Monitoring is a continual process to assess control systems and activities


Evaluation des systmes de contrle

Activits ponctuelles et continues

Mcanismes afin de rapporter les dficiences majeures

36

COSO : la rfrence en matire de contrle interne


Approches du contrle interne

Traditionnelle

COSO

Environment de Contrle Evaluation du risque Pilotage Information & Communication Activits de Contrle

Juxtaposition des activits


37

Intgration des objectifs

Idalement, les contrles devraient ...

Permettre,

Pas empcher

38

Les procdures de contrles ne doivent ...

Ni alourdir

Ni survoler

39

Mais doivent correspondre au niveau des risques...

Equilibre

Contrle Interne

Risque d'Activit

40

Aujourd'hui, les meilleures entreprises savent que ...

Le contrle interne, c'est l'affaire de tous !

41

Traditionnellement ...

Audit Externe

Environnement de contrle Evaluation des risques Pilotage

Audit Interne

Information & Communication


Activits de contrle
Problme : Qui contrle l'espace en blanc ?

42

Pourquoi COSO est une structure intgre?

Traditionelle
Responsibilit du Controller/Audit Interne Mecanisme Laccent sur les systmes comptables Les contrles sont ajouts aux systmes

COSO
Le contrle est la tche de chacun Le contrle est bas sur les risques Laccent est mis sur tous les risques oprationnels Le contrle est incorpor dans les procdures oprationnelles

43

Adoption de COSO
CoCo
Cadbury

GARP COSO

King Report

Pays qui ont traduit COSO dans leur langue nationale entre autres : Chine, France, Italie, Japon, Norvge, Pologne et Espagne
44

Mise en oeuvre de COSO

45

L'valuation du contrle - Mthodologie


Phase I :
Evaluation de l'Environnement

Phase II :
Diagnostic par cycle

Phase III :
Revue des procdures

Comit de Direction

Phase IV :
Evaluation intgre et

Recommandations
Approbation et Revue par le Conseil d'Administration et / ou la Direction

Mise en place et pilotage continu

46

Le Comit de Direction joue un rle dterminant

Comit de Direction

Envoie un message fort l'organisation

Est ouvert au changement


S'adapte tout au long du processus Dtermine les plans d'amlioration

Conduit la mise en place


S'assure que l'approche est rigoureuse et structure, tout en demeurant flexible
47

Recherche des causes ...

Causes

Ides

Chercher au-del des symptmes : trouver les causes profondes

48

Les principales limites du contrle interne

1. Assurance raisonnable et non absolue


2. Le Contrle Interne prcise les objectifs lis la ralisation et loptimisation des oprations, mais ne peut pas garantir leur ralisation 3. Dcalage inluctable entre les recommandations et leur application

49

Souvent, la solution passe par un changement de comportement !

50

La notion de risque

51

Une nouvelle perception des risques

52

Impact de cette nouvelle perception Evolution de la perception du risque par le Management from BACK ROOM
Niveau oprationnel. Risk monitoring est dlgu aux auditeurs internes Le risque est un facteur ngatif contrler

to BOARD ROOM
Le job du CEOs Job (avec le contrle du Conseil dadministration) Le risque est galement considr comme une opportunit Le risque est gr de manire intgre et couvre toutes les activits de lentreprise La fonction de risk management est accepte par le senior et le line management

Le risque est gr dans des silos organisationnels


La responsabilit du management en matire de gestion des risques est dlgue au niveau infrieur

La mesure du risque est subjective


Des fonctions de risk management non structures

Quantification/mesure du risque
Le risk management est intgr dans tous les systmes de gestion de lentreprise

53

Dfinition

RISQUE: Tout vnement pouvant affecter la ralisation des objectifs


54

Les facteurs de risque Les problmes suivants attirent lattention sur l importance dun systme de Risk Management intgr :
Convergence et Consolidation Environnement trs rglement Globalisation

Marges troites

RISK MANAGEMENT

Complexit des marchs et des investissements

Diffrentiation comptitive Technologie en volution constante

Disponibilit de ressources qualifies

55

Elments constitutifs

Danger
Survenance dun danger non matris

Incertitude
Ne pas rencontrer les attentes

Opportunit
Matrise du risque

56

Le continuum du risque

Amlioration de la Shareholder value Prserver la continuit des activits Gestion de crise et compliance

Opportunit

Incertitude

Danger
57

The Market Study - The Market Continuum


Independent market survey findings 1997 - Diefenbach Elkins Survey Results

Shareholder value enhancement

Opportunity
Business continuity protection

Uncertainty

Improved returns through value-based management Enhancing capital allocation Protecting corporate reputation Achieving global best practices Understanding & evaluating business strategy risks

Crises management and compliance

Hazard

Understanding full range of risks facing business today Avoiding personal liability failure (the personal fear factor)

Compliance with corporate governance standards (fiduciary responsibility) Other company crises Own company crises

58

Le continuum du risque

Compliance et prvention

Performance oprationnelle

Initiatives stratgiques

Opportunit
Incertitude Danger

59

Une approche intgre de la gestion du risque

6
60

Objectifs Amlioration de la Shareholder value Compliance Preferred employer World class products Satisfaction des clients

Emploi

Environnement Ethique

Return on Investment
61

Risques

62

Les risques bancaires gnraux

Crdit Intrt Liquidit Devises March Oprationnel Settlement Juridique

63

Risque de crdit
FACTEURS DE PONDRATION RISQUE DE DFAUT DE LA CONTREPARTIE

Nombre de dbiteurs Concentration Gographique Sectorielle Culture prudente et conservatrice Plafonds et limites Procdure svre dapprobation Suivi permanent des engagements Partage des risques Assurance crdit

64

Risque dintrt
FACTEURS DE PONDRATION

RISQUE PROVOQUE PAR DES CHANGEMENTS DE TAUX

Volatilit des taux Dysharmonie des positions Limite des positions Contrle permanent des positions Couvertures systmatiques A.L.M. performant

65

Risque de liquidit
FACTEURS DE PONDRATION RISQUE DINSUFFISANCE DE DISPONIBILITES

Crise des marchs montaires Perte de confiance dans la banque Concentration des dpts des emprunts Financements L.T. placs C.T. Disponibilit des fonds externes Volume lev dactifs liquides Rgime de protection des pargnants A.L.M. performant

66

Risque de devises
FACTEURS DE PONDRATION

RISQUE PROVOQUE PAR UN DESEQUILIBRE DES TAUX DE CHANGE

Volatilit des taux Dsquilibre des positions Limites des positions Contrle svre des positions Techniques de couvertures

67

Risque de march
FACTEURS DE PONDRATION

RISQUE DAPPAUVRISSEMENTS DES ACTIFS FINANCIERS

politique agressive dinvestissements Volatilit des marchs financiers Accroissement du trading Liquidit des march Limites des volumes daction Politique dinvestissement conservatrice

68

Risque oprationnel
RISQUE DE PERTE, DERREUR OU DOMISSION INTERNE FACTEURS DINFLUENCE

Nature des oprations Volume des oprations Qualit du management Qualit du personnel Qualit des systmes Libert daction des dpartements Outil de contrle
Internes Externes

69

Risque de settlement
RISQUE DE NON RESPECT DES ENGAGEMENTS DE LA CONTREPARTIE

FACTEURS DINFLUENCE

Qualit des correspondants Fixation de limites par contrepartie Suivi rapide du Back Office ...

70

Risque juridique
RISQUE DE CONVENTIONS OU DE DOCUMENTS JURIDIQUEMENT IMPARFAITS RISQUE DINFRACTION PAR RAPPORT A LENVIRONNEMENT LEGAL ET STATUTAIRE

FACTEURS DINFLUENCE

Complexit des contrats Changement et inflation rglementaire Soft law Mise en oeuvre dun Legal Audit ...

71

Risque oprationnel

Exemples
Dfaillance des systmes informatiques Interruptions des activits Accs et utilisations de donnes confidentielles Manque de comptitivit suite une mauvaise gestion dactivits non core business Gestion des prestataires de services Canaux de distribution inefficaces

Mthodes de quantification des risques oprationnels


OpVar (operational value at risk)

72

Gestion des risques oprationnels

Indicateurs dune mauvaise gestion des risques oprationnels


Pertes Amendes et pnalits Litiges Suspens/rejets Plaintes des clients Constatations de laudit et des autorits de contrle Fraudes Dfaillances des systmes dinformation Back Office Overtime Rotation du personnel
73

Contrles - Cadre de rfrence COSO

Cadre de corporate governance reconnu par le monde financier


76

Exemples
Systme de mesure de risque dpass Systme dinformation inadquat Elments de rconciliation Mauvaise diversification du risque de crdit Non respect du prescrit rglementaire et prudentiel Cots de financement excessifs Allocation of capital mauvaise ou inadquate Volatilit du rendement et du cours de laction Contrles confins en silo Fonction daudit interne dpasse/inefficace

Dcisions imprudentes en matire Fraude et blanchiment dargent doctroi de crdit et dinvestissement Mauvais pricing des produits du fait Mauvaises notations par les agences dune non prise en compte de certains de rating risques

77

Evaluation COSO
Control environment
Commitment to competence Board of director or Audit Committee

Monitoring
Reporting deficiencies Separate evaluations

Integrity and Ethical values

5 4 3 2 1

Ongoing monitoring

Management philisophy and operating style

Information and communication


Communication

Organisational structure

Information

Assignment of authority and responsibility

Application of controls in place

Human resource policies and practices

Existence of policies and procedures

Entity-wide objectives Activity level objectives Risks

Control activities

Managing change

Risk assessment

COSO '97

COSO '99

78

Alignement

80

Options possibles .

Amliorer les contrles Re-engineering des processus

Options

Outsourcing des fonctions - Shared Services Transfer Risk (Assurance)

81

Relations entre COSO et lapproche daudit

82

Une approche daudit intgre

83

Une approche intgre de la gestion du risque

84

Approche daudit
Objectifs

Plan dAction

Evaluation des risques

Analyse des contrles


85

Approche daudit
Objectifs organisationnels

Stratgie daudit Plan d audit


Plan Annuel Plan Pluriannuel

Evaluer les risques

Dterminer les contrles ncessaires


86

Audit Interne : Application de la squence COSO Nouvelle mthodologie : Risk Based Auditing
Stratgie d audit:

Dterminer les objectifs organisationnels

Evaluer les risques

Dterminer les contrles ncessaires

Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999

87

Nouvelles mthodologies : Risk Based Auditing


Establish Organisational Objectives
What are the steps in the business process?
What is the logical sequence of steps the auditable unit must take to reach its objectives or purposes? Practically speaking, these steps are usually combined or grouped so that the total does not exceed 12-15 steps.

Assess Risk
What are the risks?
What is the essential elements of risk in each step of business process? Errors, omissions, delays, and fraud are the most common types or risks.

Manage Risk
How are risk managed?
What techniques mitigate the risks identified in column B? It is sound practice not only to identify how the risks are managed, but also to document the evidence for those actions, so that an audit programme can be derived quickly and accurately

Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999

88

Les risques de contrle

dinsuffisance Dangers de faiblesses de Dtection des Erreurs ou fraudes Prvention des systmes

Fonction de la qualit des contrles


de gestion internes externes etc.
89

Les risques de contrle

Risques derreurs, d'irrgularits

Systmes de prvention, dtection (contrle interne)

Audit interne

Erreurs, irrgularits subsistantes


90

Incidence du contrle interne sur la stratgie daudit


La perception des risques et lapproche daudit AR = IR * CR * DR AR IR = audit risk = inherent risk

CR
DR Impact

= control risk
= detection risk

Opinion incorrecte (Mauvaise valuation des risques)


Approche inadapte (trop de tests substantifs par rapport aux risques en prsence)
91

Approche daudit
Understand and assess control environment

Understand and update our information about the systems and the computer environment Plan to rely on controls and limit substantive tests?

YES
Document and assess monitoring controls

NO

No controls reliance

Some Controls reliance

High controls reliance


Document and assess application and general computer controls

No tests of controls

Select and test monitoring controls to confirm assessment

Select and test key monitoring, application and general computer controls to confirm assessment

Design substantive tests to obtain high assurance

Design substantive tests - analytics and moderate to low levels of substantive tests

Design substantive tests - mainly analytics and tests for audit objectives not covered by controls testing

92

Bnfices

Test les contrles cls

Diminue la charge de tests substantifs


Facilite lintervention (interim vs. final) Travail plus enrichissant pour lquipe daudit

93

Lvolution du mtier daudit interne


Key Business Objectives Core Business Processes
High High High High Moderate Moderate Moderate Low Low Low Low High

Classify by Risk Type


Strategic Systems Operational

Identify Key Controls

Financial
Compliance

Develop Internal Audit Plan

Elments importants de la mthodologie


Identifier les risques importants pour chaque objectif Approche top-down en analysant les risques Identifier les processus / contrles lis aux risques identifis Dveloppement du plan daudit
94

Organisation dune banque

95

Division dune banque

Exemples de subdivisions
Par fonctions Par mtiers Par centres de profits Par zones gographiques Par produits Par domaines dactivits ...

96

Division dune banque par fonctions

Exemples
Tlcommunication Rconciliation Guichet / agences A.L.M. Analyse financire Conservation des actifs ressources humaines Agents dlgus ...

97

Division dune banque par mtiers

Exemples
Gestion du patrimoine Corporate banking Private banking Mergers and acquisitions Crdits Trsorerie ...

98

Division dune banque par centres de profits

Exemples
Trsorerie court terme Trsorerie long terme Change Oprations particuliers ...

99

Division dune banque par rgions

Exemples
Nord-ouest Nord-est Centre Sud-ouest Sud-est International ...

100

Division dune banque par produits

Exemples
Bons de caisse Prts hypothcaires Crdit dinvestissement Livret d'pargne CREDOC OLO Financial futures ...

101

Division dune banque sur base du bilan


Corporate

Crdits

Institut. Consomma. Actions Effets

Emplois

Val. mob.
Investissem. Dpts

Obligations Interbanc. Corporate Institut. Interbanc. Emissions

Ressources
Emprunts

Gestion

Discrtionn. Assiste

Fiducie
Conservation

Coffres Correspond.

102

Division dune banque par domaines dactivits

RISQUES CREDIT
Trsorerie Trading et investissement

COMPENSATION Transfert de fonds Autres activits

Trade finance

Prts et engagements

Dpts
103

Activits fiduciaires

Division dune banque par domaines dactivits

Risques crdit
Par contreparties Secteur public Grandes entreprises P.M.E. Particuliers ... Par fonctions Evaluation contreparties / garanties Octroi - autorisation Respect des lignes / limites Consommation en fonds propres ...
104

Division dune banque par domaines dactivits

Dpts
Par produits Dpts vue Dpts terme Livrets d'pargne Bons de caisse ... Par fonctions Ouverture de comptes Gestion des dpts et retraits Clture des comptes Gestion des postes restantes ...
105

Division dune banque par domaines dactivits

Prts et engagements
Par produits Crdits hypothcaires Prts personnels Crdits dinvestissements Financements et exploitation ... Par fonctions Octroi et approbation Transferts de fonds Gestion des en cours Rmunration (intrts et commissions) ...
106

Division dune banque par domaines dactivits

Trade finance
Par produits Lettres de crdits Forfaiting Escomptes Performance bonds ... Par fonctions Refinancements - mobilisation Assurance (OND) Octroi et documentations Suivi des sinistres ...
107

Division dune banque par domaines dactivits


Autres activits Par services Conseil en financements Assurances Placements privs Mergers / acquisitions Immobilier Emissions ... Par fonctions

Etablissement : revue des contrats


Fixation des commissions Documentation / analyse ...
108

Division dune banque par domaines dactivits

Trsorerie
Par produits Placements interbancaires Repos Certificats de dpts Certificats de trsorerie ... Par fonctions A.L.M. Etablissements : enregistrements des deals Confirmations Contrle des positions / limites ...
109

Division dune banque par domaines dactivits

Trading et investissements Par produits Change spot Change terme Swaps et drivs Options et drivs Obligations et actions ...

Par fonctions Enregistrement / confirmation Reporting / suivi des positions Respects des limites / lignes Instructions rglements Evaluation / rsultats ...

110

Division dune banque par domaines dactivits

Activits fiduciaires
Par services Gestion de fortune
Discrtionnaire Assiste

Conservation dactifs Corporate actions ... Par fonctions Procdures dacceptation Communication clientle Sauvegarde des actifs ...
111

Division dune banque par domaines dactivits

Compensation
Par produits
Par domaines Comptes Nostro - suivi des rconciliations Comptes avec banques centrales En cours de recouvrements Conformit aux instructions internes / externes ...

112

La stratgie daudit et sa ralisation

113

Stratgie daudit interne

Le but de la stratgie daudit interne


focaliser les ressources disponibles sur les composants prsentant les risques les plus levs

Outils permettant de mesurer / quantifier les risques

114

Audit Interne : Application de la squence COSO Nouvelle mthodologie : Risk Based Auditing

Dterminer les objectifs organisationnels

Evaluer les risques

Dterminer les contrles ncessaires

Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999

115

Lvolution du mtier daudit interne


Key Business Objectives Core Business Processes
High High High High Moderate Moderate Moderate Low Low Low Low High

Classify by Risk Type


Strategic Systems Operational

Identify Key Controls

Financial
Compliance

Develop Internal Audit Plan

Key Components
Identifier les risques importants pour chaque objectif Approche top-down en analysant les risques Identifier les processus / contrles lis aux risques identifis Dveloppement du plan daudit
116

Identification des objectifs par processus

117

Identification des risques

118

Identification des contrles

119

Evaluation des risques et des contrles

120

Identifier et valuer les contrles - cls : exemples

Sparation des fonctions

Comptence du personnel
Autorisation et supervision

Restriction d'accs

121

Identification des gaps

122

Approche daudit
Understand and assess control environment

Understand and update our information about the systems and the computer environment Plan to rely on controls and limit substantive tests?

YES
Document and assess monitoring controls

NO

No controls reliance

Some Controls reliance

High controls reliance


Document and assess application and general computer controls

No tests of controls

Select and test monitoring controls to confirm assessment

Select and test key monitoring, application and general computer controls to confirm assessment

Design substantive tests to obtain high assurance

Design substantive tests - analytics and moderate to low levels of substantive tests

Design substantive tests - mainly analytics and tests for audit objectives not covered by controls testing

123

Bnfices

Test les contrles cls

Diminue la charge de tests substantifs


Facilite lintervention (interim vs. final) Travail plus enrichissant pour lquipe daudit

124

Documenter les contrles/ procdures daudit

Objectif du contrle/ de la procdure daudit appliqu Documents de base Echantillon Travail effectu Constatations Conclusions

125

Documenter les contrles/ procdures daudit

Tenue des documents daudit


identification du composant audit titre du document daudit rfrence la page de garde date rfrence au programme daudit cross rfrences identification de lauditeur

Evidence dune revue du travail effectu Rgles en matire de conservation et archivage des dossiers

126

Les constatations et conclusions

Types de constatations possibles


incidents isols absences / dficiences de contrle interne erreurs (non volontaires) irrgularits ( caractre volontaire ou accept) les fraudes

Lauditeur doit conclure, si sur base des constatations, il est en mesure daffirmer que lobjectif daudit a t rempli

127

Dfinition dun plan dactions

128

Dterminer un plan daudit pluriannuel

Le plan stratgique doit contenir les informations suivantes :


responsabilits et champ dintervention de laudit interne budget des ressources par rapport aux composants les priorits daudit dtails des revues spcifiques et de leur sponsor spcifique information quant la collaboration avec lauditeur externe la nature et la frquence du reporting au comit daudit et la direction

Le plan stratgique doit tre formellement approuv par lautorit laquelle lAudit Interne rapporte fonctionnellement
129

Plan Pluriannuel
EFFICIENCE BUT RESSOURCES NECESSAIRES MOYEN
PRIORITE OU RISQUE PERIODICITE DES MISSIONS

ELEVE MODERE FAIBLE INSIGNIFIANT

2 x/ an 1 x/ an 1 x/ an 1 x/ 3 ans

CONSERVER RESERVE ANNUELLE POUR MISSIONS AD HOC

130

Reporting au Management

131

Exemple doutil de travail : DB Notes

132

Dcomposition du travail faire en Area/Task/Step

133

Documentation du travail : WP, Issues, Coaching Notes

134

Evaluation de ltat davancement du travail et de la revue

135

Liste des problmes soulevs et recommandations faites

136

Gestion des points en suspens et des commentaires de revue

137

Project management : attribution de tches, de timing, de cots

138

Gestion du temps et/ou du budget

139

Reporting et suivi

Rapport daudit

Rapports rsums aux organes de surveillance et de direction (Comit daudit, Direction gnrale)

Rapport annuel dactivit

Suivi des rapports

140

Rapport daudit - les constatations

Traitement de leurs consquences Erreurs constates Extension des travaux Erreurs isoles Douteuses? Non Oui Erreurs systmatiques Caractre douteux? Non

Faiblesses constates

Mention

Comit de Direction

Recommandation et suivi

141

Rapport daudit

Pas de format idal Contenu


executive summary dcrire les objectifs et le travail accompli les constatations doivent tre tayes les recommandations doivent tre confrontes aux risques sous-jacents la non application de celles-ci les commentaires des responsables des services audits doivent tre inclus dans le rapport final

142

Rapports rsums aux organes de surveillance et de direction

Pas de format idal Contenu


aperu du travail effectu les recommandations doivent tre confrontes aux risques sous-jacents la non application de celles-ci les responsables pour lapplication des recommandations un calendrier de mise en oeuvre

143

Rapport annuel dactivit

Pas de format idal Contenu


Revue du travail accompli Les grands risques identifis Un rsum des principales recommandations Une valuation gnrale de la qualit du contrle interne

144

Suivi des rapports

En cas de dficiences importantes constates lors de contrles antrieurs, un suivi est ncessaire Les rapports de suivi doivent comprendre
les points soulevs lors du prcdent audit les mesures prises par le management ladquation des mesures prises

Pour les dficiences lgres, il y a lieu dassurer un suivi loccasion du prochain audit Mise en place dune base de donnes des constatations et du suivi effectu

145

COBIT - Un cadre de rfrence intgr pour valuer les systmes dinformation

146

COBIT - Un cadre de rfrence intgr pour valuer les systmes dinformation

Control Objectives for Information and Related Technology

147

ITs future an organisational shift

The future will require a dramatic rethinking of how IS organisations are run, how they are measured and controlled, and their relationship and involvement with the "business" By 2001, 70 % of enterprises will have adapted their IT organisational structure into a "federated business of IT Model" (Gartner)

C e n t r a l i s e d I T C o n t r o l

E n d u s e r e m p o w e r m e n t I T r o l e a s e n a b l e r

148

Managements major control concern for IT

Complexity & Growth

Personal & visual contact

IT has been the longest running disappointment in business in the last 30 Years! Jack Welch, CEO
GE, 1997

Technology can help fulfil a visionary dream, but often its use is closer to a sobering nightmare!
Vesa Vaino, CEO Merita, 1998

Ten years ago we were afraid of rockets destroying computing centres. right now, we should be aware of software errors destroying rockets
149

Typical five problems listed by senior executives* IT investments are unrelated to business strategy Payoff from IT investments is inadeqate Theres too much (e)technology for technologysake Relations between IT users and IT specialists is poor System designers do not consider userspreferences and work habits
* Harvard Business Review

150

Diffrents niveaux de contrles

Applications DBMS

Operating System
Networks

151

CobiT: Champ d intervention et objectifs

Dfinition des standards gnralement appliqus et accepts en matire de contrles des systmes informatiques Approche convenant tant aux contrles des applications quaux systmes dinformation dans leur ensemble Standards tablis sur cadre de rfrence dun modle de contrle de la fonction IT Approche oriente vers le Management
152

CobiT Principles

IT Planning & Organisation

R E S O U R C E S

Acquisition & Implementation Delivery & Support Monitoring Effectiveness


Data Applications Technology Facilities People Efficiency Confidentiality Integrity Availibility Compliance Reliability 153

I N F O R M A TI O N

What you need

What you get

B U S I N E S S

Business requirements=Information criteria


effectiveness - deals with information being relevant and pertinent to
being delivered in a timely, correct, consistent and usable manner. the business process as well as

efficiency - concerns the provision of information through the optimal (most productive and economical)
usage of resources.

confidentiality - concerns protection of sensitive information from unauthorized disclosure. integrity - relates to the accuracy and completeness of information as well as to its validity in accordance
with the business' set of values and expectations.

availability -

relates to information being available when required by the business process, and hence

also concerns the safeguarding of resources.

compliance - deals with complying with those laws, regulations and contractual arrangements to which
the business process is subject; i.e., externally imposed business criteria.

reliability of information -

relates to systems providing management with appropriate information

for it to use in operating the entity, in providing financial reporting to users of the financial information, and in providing information to report to regulatory bodies with regard to compliance with laws and regulations. 154

Information Technology resources


Data : Data objects in their widest sense, i.e., external and internal, structured and non-structured, graphics, sound, etc. Application Systems: Application systems is understood to be the sum of manual and programmed procedures. Technology: Technology covers hardware, operating systems, database management systems, networking, multimedia, etc. Facilities: Resources to house and support information systems. People: Staff skills, awareness and productivity to plan, organise,acquire, deliver, support and monitor information systems and services.

155

IT Processes

Domains
Planning & Organisation

Natural grouping of processes, often matching an organisational domain of responsibility. A series of joined activities with natural (control) breaks. Actions needed to achieve a measurable result. Activities have a life-cycle whereas tasks are discrete.

Processes
PO1 define a strategic IT plan PO2 define the information architecture PO3 determine technological direction PO4 define the IT organisation and relationships PO5 manage the investment in IT PO6 communicate management aims and direction PO7 manage human resources PO8 ensure compliance with external requirements PO9 assess risks PO10 manage projects PO11 manage quality

Acivities

156

CobiT Summary Table

157

CobiT Product Family


EXECUTIVE SUMMARY

Implementation Tool Set

Framework
with High-Level Control Objectives

Management Guidelines

Detailed Control

Objectives

Audit Guidelines

Key Performance and Goal Indicators


Critical Succes Factors
158

Maturity Model

CobiT product definition

Executive Summary
There is a Method ...

Framework
The Method is ...

Control Objectives
The desired results or purposes to be achieved by ...

Audit Guidelines
Suggested Audit steps corresponding ...

Implementation Tool Set


How to implement

Management Guidelines
How to measure...
159

CobiTs Waterfall and Navigation Aids


Planning & Organisation Acquisiton & Implementation Delivery & Support Monitoring

P
The control of

IT Processes
which satisfy

ef fe cti v ef ene fic s co ien s nf id cy in ent te ia av grity lity ai co labi m lity pl re ianc lia e bi lity
P P P S
Business Requirements
is enabled by

Control Statements
and considers

Control Practices

160

pe ap opl pl e ic te atio ch n fa nolo s cil g itie y s da ta

Example: IT Process Manage Changes


Control over the IT process of managing changes Key Goal Indicators that satisfies the business requirement

to minimise the likehood of errors disruption, unauthorised alternations, Reduced number# of introduced into systems due to changes and errors is enabled byof disruptions (loss of availability) caused by poorly Reduced number# a management system which provides for the analysis, implementation and follow-up of all changes requested managed change and made to the existing IT infrastructure and takes intocaused consideration Reduced impact of disruptions by change - identification of changes categorisation, prioritisation and emergency Reduced level of resources and time required as a ratio to number# of changes procedures - Impact fixes/time assessment Number# of emergency - change authorisation - release management . - software distribution

Key Performance Indicators Number# of different versions installed at the same time Number# of software release/and distribution methods per platform Number# of deviations from the standard configuration Critical Factors Number# of emergency fixes for which the Success normal change management Expedient and comprehensive acceptance test procedures are applied process was not applied retro-actively prior to making the change. Ttime lage between availability of fix and implementation of it. . There is a reliablerequests. hardware and software inventory. ratio of accepted vs refused change implementation There is segregation of duties between production and development .
161

Le Comit d audit

162

Le comit daudit : une rgle fondamentale du corporate governance Le corporate governance comprend deux piliers importants :
Responsabilit : Rendre des comptes aux actionnaires et autres intervenants Communication : Comment lentreprise se prsente aux marchs financiers et la communaut en gnral

Les comits daudit jouent un rle important dans ces deux processus Il sagit dun organe de supervision assurant :
un contrle oprationnel du management un contrle sur la fiabilit de linformation financire communique au march

163

Limportance du comit daudit Limportance des comits daudit composs majoritairement dadministrateurs indpendants est reconnue tant par les organes rglementaires (Commission europenne, SEC) que par les marchs La plupart des codes de corporate governance contiennent des recommandations en la matire (adoption sur base volontaire) Une enqute pan-Europenne mene par PwC en 1997(1) a rvl que mme en labsence de rgle contraignante
le taux dadoption tait relativement lev (plus de 60% des entreprises interroges avaient mis en place un comit daudit) Les pays o la pratique est la plus leve : Royaume-Uni, France et Suisse
(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997

164

Lmergence de pratiques de rfrence internationales Influence du Rapport Cadbury (remplac par le Combined Code ) sur les autres codes de corporate governance Prises de position par des instances internationales
Commission europenne - Financial Services Policy Group [FSPG] DG XV - "The Commission will continue to work alongside public and private bodies to improve the framework for corporate governance." OCDE - Global Governance Principles Banque Mondiale et OCDE - Global Corporate Governance Forum

Groupes de pression
CalPERS (The California Public Retirement System)

Global Principles for Corporate Governance


Corporate Governance Market Principles, France, Allemagne, Royaume-Uni et Japon
165

Une constante volution du rle du comit d audit Rle traditionnel limit :


La revue des tats financiers Supervision des relations avec les auditeurs internes et externes Lexamen des recommandations relatives au contrle interne

Nouveaux challenges
La globalisation des marchs

Technologie
Complexit des transactions Difficults conomiques Risk management Emergence de lthique

166

Une constante volution du rle du comit daudit La globalisation des marchs qui a engendr une comptition accrue Les dveloppements technologiques (internet et autres) et leurs influences sur la communication de linformation La complexit des transactions et le fait que dans certains pays, les entreprises peuvent choisir parmi diffrents rfrentiels comptables (national, US ou IAS) Les difficults conomiques qui ont rcemment affect lextrme orient, la Russie, lAmrique latine La mise en place de systme de contrle interne intgr (COSO, Turnbull, KonTraG) et la supervision des risques oprationnels Lmergence du corporate citizenship et ladoption de rgles thiques propres lentreprise (linfluence prpondrante du risque de rputation)
167

Une constante volution du rle du comit daudit Fin 1998, Arthur Levitt, le Prsident de la SEC lana un appel solennel pour le renforcement du contrle de l information financire par les conseils d administration La constitution du Blue Ribbon Committee on Improving the Effectiveness of Corporate Audit Committees (cfr. section spcifique en fin dexpos)

168

La mise en place dun comit daudit Un principe fondamental


Lindpendance des administrateurs composant le comit daudit

Les tapes accomplir pour mettre en place un comit daudit efficace


Rdiger une charte du comit daudit Nommer des membres qualifis

Lindpendance et lobjectivit des membres


La dure du mandat La frquence des runions du comit Allouer des ressources suffisantes Formation des membres

169

Rdiger une charte du comit daudit Importance d une charte crite (termes de rfrence) qui prcise de manire claire le rle du comit
Cadre de rfrence tant pour le comit, ses membres, le conseil dadministration, la direction, les auditeurs internes et les reviseurs Quid de la communication de la charte aux actionnaires? (inclure celle-ci dans le rapport annuel)

La charte doit tre revue et approuve par le conseil dadministration. Elle doit permettre au comit de travailler de manire efficace Elle doit tre utilise bon escient - exemples:
Servir de base pour tablir lagenda des runions du comit
Etre revue annuellement afin de sassurer que les objectifs sont atteints Servir de cadre de rfrence pour les rapports aux conseil dadministration
170

Contenu de la charte Les objectifs Les pouvoirs du comit daudit L organisation (la composition du comit, la frquence et la dure des runions) Les rles et responsabilits en ce compris les qualifications requises et la dure du mandat de ses membres
Contrle interne Reporting financier Respect des lois et rglementations Respect du code de bonne conduite

Les relations avec la direction, les auditeurs internes et les reviseurs Les responsabilits en matire de rapport Autres responsabilits ventuelles
171

Nommer des membres qualifis Qualits requises


Intgrit Disponibilit (en temps et nergie) Comprhension de lactivit de lentreprise, de ses produits et services Connaissance des risques inhrents et des contrles mis en oeuvre Esprit inquisiteur et capacit de jugement indpendant

Capacit de proposer des perspectives nouvelles et des suggestions constructives


Connaissances comptables et financires

172

Nommer des membres qualifis Engagement et disponibilit


Comprendre les activits de lentreprise Prparation et prsence aux runions

Runions informelles
Considrer le nombre de mandats des candidats potentiels

Taille du comit d audit


Suffisamment grand pour prsenter une vue quilibre Suffisamment petit pour oprer de manire efficace Gnralement entre 3 et 6 membres Une enqute pan-Europenne mene par PwC en 1997 a rvl que plus de 70% des comits daudit taient composs de 3 4 membres (1)
(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997

173

Lindpendance et lobjectivit des membres Des administrateurs indpendants


Du fait de son rle de supervision, lindpendance du comit daudit est primordiale

Un comit uniquement compos d administrateurs indpendants est la solution optimale


Indpendance? Emploi ou ayant t employ au sein de l entreprise (au cours des 5 dernires annes) Obtention dune rmunration / compensation de lentreprise ou dune de ses filiales Parent dun membre de la direction

Actionnaire principal ou tre le reprsentant de celui-ci


Administrateur dun actionnaire, dun client ou dun fournisseur importants
174

La dure du mandat En gnral : un terme 1 3 ans renouvelable 1 seule fois


Des termes plus longs ne sont pas incompatibles

Juste quilibre entre la continuit et la fracheur


Eviter que tous les mandats soient renouvels en mme temps

Utilit dun programme dvaluation de la performance des membres du comit daudit

175

La frquence des runions du comit Dpend des objectifs et du champ dintervention du comit Les runions doivent tre rgulires et planifies (convocations, agenda, listes des participants, ) En moyenne, 3-4 runions par an Un minimum de 3 runions correspondant aux phases du cycle de l laboration des tats financiers
Une runion avant la communication des rsultats intermdiaires

Une runion durant lexercice afin de discuter des programmes daudit interne et externe, les questions de contrle interne afin didentifier les ventuels problmes/domaines risques lis llaboration des tats financiers en fin d exercice Une runion avant lannonce des rsultats financiers (avec la mise disposition des informations suivantes : annonce prliminaire, projet des tats financiers, projet de rapport de gestion, commentaires sur la performance financire et oprationnelle, constatations daudit)
176

Les principales responsabilits du Comit daudit Le comit daudit exerce, pour le compte du conseil dadministration, la supervision des domaines et activits suivants :
Le contrle interne et du systme de risk management Le reporting financier et le processus sous-jacent son laboration Le processus mis en oeuvre pour assurer le respect des rglements

Le processus de suivi du respect du code de bonne conduite en vigueur au sein de lentreprise

177

Le contrle interne Lvaluation de la culture de contrle


Le conseil dadministration est responsable quant la mise en oeuvre dun environnement de contrle interne adquat

Toutefois le comit daudit peut contribuer efficacement au renforcement de la culture de contrle au sein de lentreprise. Il peut galement valuer si le management communique de manire adquate limportance dun bon systme de contrle interne ( tone at the top )

Le suivi de la mise en oeuvre des systmes de contrle interne


Le comit daudit sassurera que les actions prises par le management garantissent la mise en oeuvre dun systme de contrle adquat

Les recommandations de laudit sont-elles mises en oeuvre?


Le comit daudit doit sassurer que les recommandations de laudit (interne et externe) en la matire ont t correctement mises en place

178

Linformation financire Les comptes annuels - un aspect primordial


Revoir le processus dlaboration des tats financiers (gestion des risques, adquation des systmes comptables, mise en oeuvre des recommandations de l audit en la matire, gestion du going concern ) Revoir les questions importantes de comptabilit et de reporting financier, en ce compris les modifications de la rglementation en vigueur et limpact de celles-ci sur les tats financiers Le comit daudit doit revoir les tats financiers annuels et sassurer que ceux-ci sont complets et consistants avec linformation dont disposent ses membres. Il doit galement sassurer que les principes comptables ont t respects Revoir toutes les autres sections du rapport annuel et sassurer que les commentaires sont consistants avec linformation dont disposent les membres du comit daudit Discuter les rsultats et constatations de l audit externe
179

Linformation financire La revue de tout autre information financire sujette communication


De plus en plus, les comits daudit doivent revoir toutes les informations financires publies par lentreprise : annonces prliminaires rsultats intermdiaires

briefings pour les analystes financiers

Le comit daudit doit comprendre


Comment la direction dveloppe cette information et limplication ventuelle des auditeurs dans lexamen dune telle information

Obtenir de la direction et des auditeurs des explications quant au respect des principes comptables et sassurer que linformation communique rpond aux exigences en la matire
180

Les questions rglementaires, fiscales et juridiques La revue de la fonction compliance


Le respect de la rglementation est devenu de plus en plus important (particulirement dans les secteurs financiers) Le comit daudit doit comprendre comment lentreprise sassure du respect de ces rglementations : Feedback du compliance officer

Briefing de la part du management


Avis des conseillers juridiques et fiscaux Revue des rapports des autorits de contrle (CBF, OCA, )

La prvention des fraudes et des actes de corruption

181

Ethique et code de bonne conduite Existence dun code de bonne conduite formalis
Corporate citizenship Les socits dveloppent et mettent en oeuvre des codes de bonne conduite. Le comit daudit devra valuer les mesures adoptes par le conseil et la direction en la matire Le comit daudit peut tre appel revoir la manire dont le code est mis en oeuvre par la direction ( tone at the top )

Les procdures de suivi et de respect du code


Le comit daudit peut tre appel examiner les procdures mises en place pour sassurer du respect du code de bonne conduite.

Le risque de rputation est-il correctement mesur?


Le comit daudit peut tre appel revoir les procdures mise en oeuvre pour sauvegarder la rputation de lentreprise (cfr. Disney, Nike, Shell, TotalFina)
182

Collaboration avec les auditeurs internes Les responsabilits du comit daudit en la matire :
Revoir les activits et la structure organisationnelle de la fonction daudit interne Evaluer la qualification de la fonction daudit interne Sassurer de lefficacit de laudit interne

183

Revues des activits et de la structure organisationnelle de laudit interne Le comit daudit doit runir les informations suivantes :
Revue de la charte daudit interne Revue du programme daudit qui doit comprendre une valuation du profil de risques de lentreprise Les rapports d activits de laudit interne Liste des projets et missions accomplies

Listes des projets en cours


Les principales constatations et recommandations Une description du systme de suivi permettant de sassurer que les recommandations sont mises en oeuvre par le management

Les informations relatives aux ressources actuelles du dpartement


Les plans de recrutement

184

Qualification de la fonction daudit interne Le comit daudit doit sassurer des qualifications et des capacits des membres de laudit interne. Le comit d audit peut contribuer amliorer la qualit de laudit interne en dterminant si les auditeurs internes :
Ont ralis les objectifs qui leur taient assigns Sont adquatement forms Sont capables de matriser les systmes dinformation

Ont les qualifications professionnelles requises

Le comit daudit doit pouvoir valuer ladquation de la taille du dpartement daudit interne par rapport aux activits de lentreprise Le comit daudit doit tre consult voire donner son approbation quant a lengagement, au remplacement ou la dmission du responsable du dpartement daudit interne
185

Efficacit de laudit interne Le comit daudit doit sassurer que lentreprise utilise au mieux les ressources de laudit interne et lui fournit galement le support ncessaire laccomplissement de sa mission Il devra s assurer que:
Le mandat de laudit interne est adquat Laudit interne a une bonne matrise et comprhension des processus oprationnels et des systmes dinformation Laudit interne dispose des ressources suffisantes tant humaines que financires Le programme daudit est tabli dune manire adquate Les domaines prsentant les risques les plus importants sont couvertes par les investigations de laudit interne Lentreprise met en oeuvre les recommandations de l audit interne La collaboration avec les reviseurs est efficace
186

Efficacit de laudit interne (suite) Le comit daudit devra galement considrer si la fonction pourrait tre mieux assure si certaines activits taient soustraites (exemple : outsourcing de laudit informatique) Il procdera ventuellement au benchmarking de la fonction daudit interne par rapport aux pratiques de rfrence
Revue indpendante des activits de laudit interne

187

Collaboration avec les reviseurs Principales responsabilits du comit daudit


Revoir le champ dintervention de laudit et lapproche Analyser les constatations de laudit des tats financiers Analyser la performance des reviseurs Considrer lindpendance des reviseurs

La participation du reviseur aux runions du comit daudit est conseille

188

Revoir le champ dintervention et lapproche Revoir le champ dintervention et lapproche


Objectifs de laudit Obligations en matire de reporting financiers et les dlais y affrents Evaluation du systme de contrle interne Les domaines sur lesquels laudit va se concentrer - Pourquoi? Les changements de la rglementation comptable et leurs impacts

Limpact de certaines transactions sur les tats financiers


Revue des systmes dinformation Coordination avec laudit interne Audit des filiales - par qui, si par un autre reviseur, quelles sont les procdures de reporting mises en oeuvre? Responsabilit du reviseur dans la dtection derreurs matrielles, de fraudes, dactes illgaux
189

Revoir le champ dintervention de laudit et lapproche Le reviseur doit pouvoir avoir accs au comit:
En cas dventuelles restrictions imposes par la direction dans le cadre de sa mission La survenance de problmes importants et ncessitant une communication immdiate (fraudes, malversations, systmes comptables dfaillants, )

190

Analyser les constatations de laudit des tats financiers Runion du comit daudit, de la direction et du reviseur afin de prsenter les tats financiers et les constatations daudit Le reviseur doit pouvoir prsenter les recommandations sur le contrle interne. Le comit doit interroger la direction sur les mesures correctrices mises/ mettre en oeuvre Le comit daudit doit galement sassurer du suivi des recommandations mises lors des exercices prcdents Ces discussions doivent avoir lieu avant la publication des comptes Le comit Blue Ribbon recommande que le comit daudit aborde avec le reviseur la question de la qualit des rgles comptables adoptes par lentreprise

191

Analyser la performance des reviseurs Critres pris en compte


Capacits professionnelles du reviseur et des collaborateurs impliqus Lapproche daudit

La connaissance de lentreprise et de ses processus


La couverture gographique (dans le cas de groupe multinationaux)

Le comit daudit va galement fonder son jugement sur base dinformations quil demandera la direction (CFO et collaborateurs, Responsable de laudit interne, ). Il devra sassurer que les informations obtenues sont fiables et objectives Le comit daudit doit galement revoir les honoraires et ventuellement les honoraires lis dautres travaux fournis par le reviseur ou un service li la socit daudit Dans le cas de renouvellement du mandat ou de nouvelle nomination, le comit daudit doit pouvoir mettre un avis
192

Considrer lindpendance des reviseurs Le comit daudit doit aborder la question de lindpendance du reviseur par rapport d autres services fournis (conseils en management, fiscalit, juridiques, )

193

La situation en Belgique Recommandations de lautorit de march de la Bourse de Bruxelles labores par la Commission Belge du Corporate Governance (Commission Cardon) - 1998 Recommandations de la Commission bancaire et financire quant aux informations sur le corporate governance publier dans les rapports annuels - 1998 FEB - Recommandations en matire de corporate governance - 1998 Les directives de la CBF et de lOCA dans les secteurs bancaires et dassurances

194

La commission Cardon sur le corporate governance Systme d adhsion et non de contrainte Approche dite comply or explain (satisfaire ou expliquer)
Exposer dans le rapport annuel les circonstances ou les raisons spcifiques expliquant une attitude divergente par rapport aux directives Au titre 4 - Information et contrles : 4.3 La Commission Belge du Corporate Governance recommande de mettre en place un comit d audit compos au moins de trois administrateurs non excutifs, dont lordre de mission prcise clairement les pouvoirs et les obligation

195

Les recommandations de la Commission Cardon

a Les comits daudit devraient formellement tre constitus au


sein du conseil, auquel ils doivent rpondre et faire rapport rgulirement; leurs attributions devront tre communiques par crit, en ce qui concerne la composition des comits, leurs pouvoirs et leurs obligations; ils devront se runir au moins deux fois par an . Tous les membres devrait tre des administrateurs nonexcutifs, la majorit dentre eux devraient tre des administrateurs indpendants au sens de la rgle 2.2 du prsent code . Le comit daudit devrait rencontrer les auditeurs internes et externes (y compris les commissaires reviseurs) au moins une fois par an. Cette rencontre peut avoir lieu en labsence de la direction pour sassurer quil ne subsiste aucun sujet de proccupation non rsolu .
196

Les recommandations de la Commission Cardon

d Le comit daudit devrait avoir le pouvoir explicite denquter


dans toute matire qui relve de ses attributions, disposer des ressources ncessaires cette fin et de laccs toute linformation. Le comit devrait pouvoir demander des avis dexperts internes et externes et, le cas chant, inviter des experts externes assister au runions, compte tenue de la procdure dfinie au point 1.6 . La composition du comit devrait tre publie dans le rapport annuel .

197

Recommandations de la CBF quant aux informations sur le corporate governance publier dans les rapports annuels

Comits crs par le conseil d administration


Indication des ventuels comits crs par le conseil dadministration (autres que ceux viss au point 4 - gestion journalire), de leur composition, de leurs attributions, de leur mode de fonctionnement et de leur frquence de runions (exemples : bureau du conseil, comit stratgique, comit daudit, comit des nominations, comit des rmunrations, ) .

198

Recommandations de la FEB en matire de corporate governance Recommandations publies en 1998


Inspire de Cadbury et vise essentiellement les grandes socits et socits cotes

Adoption sur base volontaire

4.3 Le conseil d'administration doit exercer une fonction d'audit. Il peut constituer cette fin un comit d'audit dont il arrte la composition et la mission.
S'il y a un comit d'audit, il devrait rpondre aux rgles suivantes : a ) Il est une manation du conseil d'administration devant lequel il est responsable et devant lequel il rend rgulirement compte de sa mission. Il se runit au moins deux fois l'an . b) La composition du comit est arrte par le conseil d'administration.Il veillera ce qu'il comprenne des administrateurs non excutifs et des administrateurs indpendants ....
199

Recommandations de la FEB en matire de corporate governance


S'il y a un comit d'audit, il devrait rpondre aux rgles suivantes : c) Les commissaires-rviseurs et, lorsqu'il y en a, le responsable de l'audit interne ainsi que le directeur financier, devraient assister aux runions du comit.Ces runions sont galement ouvertes tous les administrateurs qui le souhaitent . d) Le comit devrait entendre les commissaires-rviseurs au moins une fois par an en-dehors de la prsence des administrateurs excutifs . e) Le comit possde les pouvoirs d'investigations les plus larges dans son domaine, et peut par une dcision majoritaire faire appel des professionnels extrieurs la socit et les faire assister le cas chant ses runions . f) La composition du comit est publie dans le rapport de gestion et le prsident du comit rpond aux questions qui lui sont poses l'assemble gnrale au sujet de l'activit du comit .
200

Avis et Recommandations de la Commission bancaire et financire

201

Conception et pratique du contrle prudentiel

Les cercles concentriques du contrle prudentiel

Supervision by CBF Supervision by auditor Internal audit

Internal control

Rapport CBF 1996-1997 pp 26-31


202

Limportance du contrle interne

Le contrle interne :

Exigence de management
Exigences lgales/statutaires/prudentielles dans certains secteurs Stratgie daudit

203

Exigences de management

Le management ne peut se fier uniquement aux contrles traditionnels pour protger la shareholder value. Les contrles soft ainsi que les mcanismes de risk management sont les fondements dun systme de contrle interne intgr.

204

Exigences lgales, statutaires et prudentielles

Circulaire du 6 avril 1987


CBF formulait une srie de recommandations relatives lexercice de la fonction daudit interne

Loi du 22 mars 1993 sur le statut et le contrle des tablissements de crdit


Article 20 instaure lobligation dune organisation administrative et comptable approprie et de procdures de contrle interne adquates

205

Exigences lgales, statutaires et prudentielles

Protocole sur lautonomie de la fonction bancaire Circulaire D1 97/4 du 30 juin 1997 sur le contrle interne et laudit interne + Lettre circulaire D1/1690 du 9 juin 1998
8 grands principes traitant : contrle interne audit interne comit daudit permanent - ce sujet cfr. section spcifique : Le comit daudit

Circulaire D1 99/1 du 12 mars 1999 sur les modalits du trialogue entre les Auditeurs Internes, les reviseurs agrs et la Commission
206

Exigences lgales, statutaires et prudentielles

Circulaire D1 99/2 du 16 avril 1999 sur la synergie CBF-reviseur-audit interne

207

Autres exigences que celles de la CBF (pas exhaustif)

Framework for internal control systems in banking organisations - Basle Committee on Banking Supervision - September 1998 Recommandations en matire de Corporate Governance pour les socits cotes
Rapport de la Commission Cardon Le conseil devrait veiller ce que la direction dveloppe et mette en oeuvre les instruments ncessaires afin dassurer un contrle interne suffisant et efficace Cadbury/Hampel/Turnbull - Combined Code (Septembre 99)

Rapport du commissaire-reviseur sur ladquation du contrle interne

208

Contrle interne

Principe 1
Le conseil d'administration doit : vrifier ladquation du contrle interne stimuler une attitude positive lgard du contrle

Principe 2
Le comit de direction doit : mettre en place un contrle interne adquat procder son valuation informer le conseil dadministration de ltat de la situation (le cas chant par lintermdiaire du comit daudit)
209

Audit interne

Principe 3
Le comit de direction doit prendre les mesures pour que ltablissement dispose en permanence dune fonction daudit adquate

210

Audit interne

Principe 4
Le service daudit interne est indpendant
rapporte directement au comit de direction
a la facult dinformer directement le conseil d'administration et le comit daudit

dispose dun statut appropri dfini par la charte daudit


objectif et porte de la fonction la place dans lorganisation, les comptences et responsabilits

excute ses missions avec impartialit


ne peut pas tre impliqu dans les tches oprationnelles
211

Audit interne

Principe 5
La comptence de chaque auditeur et du service daudit interne dans son ensemble est essentielle motivation et formation permanente comptence individuelle apprcie en fonction des missions comptence dans son ensemble rotation des tches pour viter laccoutumance recours des experts externes et sous-traitance
Indpendance par rapport au commissaire-reviseur agr

212

Audit interne

Principe 6
Chaque activit et chaque entit de ltablissement entrent dans le champ dinvestigation du service daudit interne examen et valuation de ladquation du contrle interne laudit interne vrifie :
le respect des politiques la matrise des risques la fiabilit de linformation financire, de gestion, de reporting externe la continuit et la fiabilit des systmes dinformation le statut lgal de contrle

213

Audit interne

Principe 7
Le travail daudit comprend ltablissement dun plan daudit, lexamen et lvaluation de linformation disponible, la communication des rsultats et leur suivi Le plan daudit dtermine les objectifs atteindre Ces objectifs peuvent ncessiter diffrentes mthodes
Audit de conformit, Audit financier, Audit oprationnel Audit de gestion / management

Programme de travail Documents de travail Rapport crit Suivi

214

Audit interne

Principe 8
Le responsable du service daudit interne dirige son service de manire adquate
Respect des principes dicts par la CBF
Il est responsable de ltablissement de la charte daudit interne dun plan daudit pluriannuel fond sur une analyse mthodiques des risques de politiques et procdures crites en matire daudit interne Communication au comits de direction et de surveillance rapport dactivit, rsum des recommandations & tat du suivi Tout remplacement du responsable de laudit interne doit tre notifi la CBF

215

Comit daudit

Le protocole de lautonomie de la fonction bancaire


Le conseil peut, sil le souhaite, se faire assister par un comit daudit compos dadministrateurs non membres du comit de direction . le comit daudit a pour but de faciliter lexercice effectif de la surveillance par le conseil dadministration. Il fonctionne soit sur une base permanente, soit dans le cadre de lexamen dun problme particulier . De la mme manire que le conseil lui-mme, le comit daudit peut tout moment demander au comit de direction ou aux reviseurs des rapports spciaux sur tous aspects de lactivit de la banque. Il peut se faire produire tout renseignement ou document utile et faire procder toute investigation. Il peut notamment faire appel au service daudit interne de la banque, celui-ci demeurant toutefois sous la dpendance hirarchique du comit de direction. Le comit daudit fait rgulirement rapport au conseil dadministration. Son rle ne peut en aucune faon faire double emploi avec celui de laudit interne ni sy substituer . Au cas o la banque souhaite crer un comit daudit, elle consulte pralablement la CBF au sujet de la dfinition des fonctions de ce comit et sa composition .
216

Comit daudit

Recommandation
Le comit daudit permanent rponse adquate aux difficults de lexercice collgial de la mission de surveillance renforce le contrle interne et laudit interne fortement recommand lorsque linstitution encoure des risques nombreux et complexes Consultation pralable de la CBF avant la mise en place dun tel comit

217

Comit daudit

Charte du comit daudit dterminant


composition comptence fonctionnement modalits de rapport au conseil dadministration

Composition
Au moins 3 administrateurs non membres du comit de direction Sans en tre membres, participent galement aux runions : le prsident du comit de direction lauditeur interne le commissaire-reviseur agr
218

Comit daudit

Comptences
Il peut faire produire tout document ou renseignement faire procder des investigations
fait appel laudit interne

Il doit faire rapport rgulirement au conseil dadministration Il ne peut pas se substituer laudit interne
double emploi

laudit interne demeure sous la dpendance hirarchique du comit de direction


219

Comit daudit

Champ daction (en matire daudit interne)


Favoriser la communication entre : membres du conseil dadministration membres du comit de direction laudit interne les commissaires-reviseurs agrs la CBF Valider la charte daudit Valider le plan daudit et les moyens engags Prendre connaissance du rapport dactivit Prendre connaissance des principales recommandations et de leur suivi
220

Comit daudit

Champ daction (suite)


Le commissaire-reviseur agr doit lui exposer son programme daudit et faire part de ses conclusions et recommandations Dlibration rgulire sur : ltat du contrle interne le fonctionnement du service daudit interne linformation financire externe en ce compris
le respect des dispositions lgales et statutaires

Avis au conseil dadministration lors de la nomination du commissaire-reviseur agr

221

La Collaboration entre les reviseurs, les auditeurs internes et la CBF

222

Relations audit interne et externe

EVOLUTION HISTORIQUE
1950
AUCUNE COOPERATION

1970

ASSISTANCE DE LAUDIT INTERNE

1990

COLLABORATION MUTUELLE DES AUDITEURS

1999
223

SYNERGIE CBFREVISEURSAUDIT INTERNE

Diffrences audit interne et externe


AUDIT INTERNE
MANDATAIRES
CONSEIL DIRECTION COMITE DAUDIT LEGISLATEUR ACTIONNAIRE COM. BANCAIRE

AUDIT EXTERNE

FINANCIER OPERATIONNEL GESTION

DOMAINES DINTERVENTION

FINANCIER COMPTABLE REGLEMENT.

SURVEILLANCE
PLANS PROCEDURES REGLEMENT. RECOMMANDATIONS INTEGRITE ECONOMIE EFFICIENCE ? LOIS COMM. REGLES COMPT. REGLEMENT.

PRODUIT FINAL

ATTESTATIONS COMPTES ANNUELS REGLEMENT.

DETECTION DES FRAUDES

224

Dtection des fraudes


RESPONSABILITES MAL DEFINIES RESPONSABILITE ULTIME

ADMINISTRATEURS
SI COMPTES ERRONES COMMISSAIRE?
FRAUDES BANCAIRES FAILLITES

AUDIT INTERNE?

FDIC IMPROVEMENT ACT (USA)

= EXAMEN ANNUEL DES CONTROLES INTERNES DES BANQUES > 150 M $ EXECUTER PAR AUDIT INTERNE OU EXTERNE + ATTESTATION DES COMMISSAIRES DE LA QUALITE ET DES RESULTATS DE LEXAMEN

225

Relations audit interne et externe NORMES DISPONIBLES


AUDITEURS INTERNES SIAS 5 INTERNAL AUDITORS RELATIONSHIP WITH INDEPENDANT OUTSIDE AUDITORS

AUDITEURS EXTERNES ISA 10 CONSIDERING THE WORK OF INTERNAL AUDIT

REVISEURS DENTREPRISES RECOM. UTILISATION DU TRAVAIL DUN SERVICE DAUDIT INTERNE PAS DE NORMES SUR COOPERATION
226

Relations audit interne et externe


AUDIT INTERNE - SIAS 5 EFFICACITE ECONOMIE

COLLABORATION SOUHAITEE POUR

EFFICIENCE

EFFICACITE = NECESSITE DE COMMUNICATION ERREURS ET FAIBLESSES ACTES ILLEGAUX RESTRICTIONS DES TRAVAUX & DESACCORDS ECONOMIE = NECESSITE DE RECONNAISSANCE PLANS DINTERVENTION

ACCES AUX DOSSIERS & ECHANGE DE RAPPORTS


EFFICIENCE = NECESSITE DE COORDINATION CHOIX DE NORMES COMMUNES POUR TRAVAUX COMMUNS
227

Relations audit interne et externe


AUDIT EXTERNE - ISA 10 RAPPORTS TRAVAUX DELEGATION

COMMISSAIRE SEUL RESPONSABLE

CONDITIONS DE COLLABORATION

EVALUATION
COMPETENCES QUALITE INDEPENDANCE

ETENDUE DES TRAVAUX


BANCAIRES AUDIT BANCAIRES AUDIT

SI SATISFAISANTE

PLANIFICATION SONDAGES LIMITES

228

Collaboration audit interne et externe

BENEFICE MUTUELS POUR LAUDIT EXTERNE AMELIORATION DES CONNAISSANCES


ORGANISATION INTERNE OPERATIONS EXTERNES

DE LA BANQUE

INTRODUCTION FACILITEE DANS LA BANQUE CONCENTRATION SUR RISQUES PRIORITAIRES OUVERTURE MULTIDISCIPLINAIRE

229

Collaboration audit interne et externe

BENEFICES MUTUELS
POUR LAUDIT INTERNE APPORT DEXPERIENCES EXTERNES INFORMATION REGLEMENTAIRE CONTINUE COMPREHENSION DES OBJECTIFS DE REVISION

TECHNIQUE DE GESTION DES RISQUES


POUR LAUDIT EXTERNE ET INTERNE PLUS DE DUPLICATIONS

230

Collaboration audit interne et externe


COMMENT LAMELIORER? COMBATTRE LES IDEES PRECONCUES
SEPARATION RECONNAISSANCE

HISTORIQUE

MUTUELLE

LOCALISER LES CONTROLES A LEUR SOURCE


DO IT YOURSELF CONTROLES PAR LES USAGERS (CSA)

IDENTIFIER LES ECONOMIES COMMUNES


ATTITUDE ENQUETEUR RAPPORTEUR ATTITUDE GESTIONNAIRE DES RISQUES

231

D1 99/1 nouvelles instructions aux reviseurs agrs

1. Cadre
Circulaire abordant le 3me cercle concentrique Clarification du rle du reviseur agre afin damliorer lefficacit du contrle prudentiel

2. Principales innovations
Collaboration entre les diffrents cercles

trialogue objectif = optimaliser la collaboration

232

D1 99/2 : Synergies CBF- reviseurs - auditeurs internes

1. Introduction
Les cercles concentriques du modle de contrle prudentiel Confiance mutuelle entre les diffrentes parties intresses CBF entend mettre en oeuvre des synergies fondes sur des principes clairement noncs

233

D1 99/2 : Lignes de forces

Ligne de force 1 :
Dans lintrt dun contrle bancaire adquat et en vue de parvenir une synergie optimale, la CBF, les reviseurs agrs et laudit interne sefforcent damliorer leur collaboration et leur interaction

Ligne de force 2 :
Le surveillance interne exerce par ltablissement de crdit lui-mme sappuie sur le contrle interne et laudit interne. Dans ces domaines, la Commission sattache formuler les bonnes pratiques bancaires et veille leur suivi

234

D1 99/2 : Lignes de forces

Ligne de force 3 :
La collaboration entre le reviseur et la Commission repose sur le principe que les tches du reviseur, en tant que collaborateur du contrle prudentiel, doivent constituer le complment de sa mission de droit priv

Ligne de force 4 :
La Commission encourage la collaboration et la concertation entre les groupes professionnels des reviseurs agrs et des auditeurs internes. Elle tient tre tenue informe de cette concertation

235

D1 99/2 : Lignes de forces

Ligne de force 5 :
Le contrle exerc par la Commission comprend tant des examens sur place que des inspections. Les inspections seront de prfrence, mais non exclusivement axes sur les domaines dans lesquels la CBF dispose dindications laissant prsumer un risque accru. Des inspections peuvent galement tre effectues pour examiner, dans plusieurs tablissements, la mme activit ou un aspect de celle-ci (inspections dites thmatiques ou horizontales)

236

D1 99/2 : Lignes de forces

Ligne de force 6 :
Dans lexercice de son contrle, la Commission sappuie sur la concertation priodique entre ses services et le responsable du service daudit interne. La Commission recommande en outre quau niveau du secteur, une concertation structure prenne place entre les auditeurs internes, dans le but dchange dinformation

Ligne de force 7 :
La collaboration entre la CBF, les reviseurs et les auditeurs internes prend appui sur une concertation priodique entre les parties concernes, tout en maintenant les responsabilits de chacune delles

237

COSO et la mise en place de structures intgres de risk management

238

Architecture de risk management"

239

Evolution

Environnement o lauto-contrle joue un rle prpondrant


CSA/CRSA - control/risk self assessment Processus de remise en question continue Auditeur interne facilite et supervise le processus Valeur ajoute de laudit interne

240

Le concept Enterprise-Wide Risk Architecture

Mission

241

Pourquoi une architecture ? Les mthodes conventionnelles pour grer les risques ne permettent quune apprhension fragmente

242

Une architecture de risque


Larchitecture de risque met disposition une approche permettant didentifier, valuer, amliorer, rapporter et prendre les mesures de corrections ncessaires lgard de tous les risques prsents au sein dune entreprise

Stratgie Risk Process

Infrastructure
Environnement

243

Les lments ncessaires la mise en oeuvre dune architecture

1. Lengagement du Senior Management


2. Des langages et des processus communs 3. Un responsable du Risk Management et du processus de changement 4. Un processus assurant un risk management continu 5. Une communication et une formation adquats 6. Des instruments de mesure

7. Renforcement via des mcanismes HR


8. Suivi du processus de risk management

244

Appliquer les mmes principes au sein du groupe

Les lments ncessaires la mise en oeuvre dune architecture


1. 1. Lengagement Lengagement du du Senior Senior Management Management 2. 2. Des Des langages langages et et des des processus processus communs communs 3. 3. Un Un responsable responsable du du Risk Risk Management Management et et du du processus processus de de changement changement 4. 4. Un Un processus processus assurant assurant un un risk risk management management continu continu 5. 5. Une Une communication communication et et une une formation formation adquats adquats 6. 6. Des Des instruments instruments de de mesure mesure 7. 7. Renforcement Renforcement via via des des mcanismes mcanismes HR HR 8. 8. Suivi Suivi du du processus processus de de risk risk management management

Approche consistante

96

245

Dterminer les objectifs et les catgories de risque

Economique Politique Juridique Technologique Comptition Change Stagnation des marchs Fournisseurs March Scurit/fraude

Stratgie Changement IT Personnel Rputation/media Production Achats Finance et reporting Working capital management Management information Contrles financiers

246

Etablir des cartographies de risque pour chaque entit

247

Outils de mise en oeuvre

248

Risk assessment and Analysis RISK



Organization & Culture

Soft Controls

Mission clarity Accountability

Documentation Communication Monitoring

Processes

Hard Controls

249

Facilitated Control Assessment


In FCA sessions, business processes are analysed along two dimensions of risk :
F C A S e s s i o n

e t h o d o l o g y
R i s k

" S o f t C o n t r o l s "

" H a r d C o n t r o l s "

P e o p l e & C u l t u r e
C o n t r o l C u l t u r e S u r v e y
M i s s i o n c l a r i t y

B u s i n e s s P r o c e s s
O b j e c t i v e , R i s k & C o n t r o l A l i g n m e n t
D e f i n e O b j e c t i v e s A c t i o n P l a n n i n g / A c c o u n t a b i l i t i e s A n a l y z e C o n t r o l s A s s e s s R i s k s

A c c o u n t a b i l i t y

D o c u m e n t a t i o n

C o m m u n i c a t i o n

M o n i t o r i n g

250

Facilitated Control Assessment


FCA relies upon a consistent application of CSA and ORCA methodologies but session structure is highly flexible
F C A S e s s i o n
C o n t r o l E d u c a t i o n

S e s s i o n F l o w
C o n t r o l C u l t u r e S u r v e y P r o c e s s M a p R e v i e w

D e f i n e O b j e c t i v e s

A c t i o n P l a n n i n g / A c c o u n t a b i l i t i e s A n a l y z e C o n t r o l s

A s s e s s R i s k s

R e p o r t i n g / F o l l o w u p

251

Facilitated Control Assessment

252

Groupsystems

Electronic decision conferencing software

Flexible, anonymous, democratic


Standard agenda but flexible

Ranking of key risks


Client then selects top 3-5 for action planning Actions prioritized

253

Groupsystems
Anonymously brainstorming, ranking and voting.

254

Groupsystems
Anonymously brainstorming, ranking and voting.

255

Groupsystems
Anonymously brainstorming, ranking and voting.

256

Risk management architecture capturing tools

Enterprise

Issues Analysis
BU/Group
Risk & Control Survey ORCAObjectives Risks and Control Alignment

Action Planning and Reporting

Dept/Process

Key Actions
Employee

257

Risk management architecture capturing tools Leads management through a proven methodology and framework for business risk and control assessment. Provides an automated medium for performing an overall control system evaluation based on the best practice of the COSO integrated framework, applicable to all levels of an organization. Provides an efficient platform for planning and executing assessment of business objectives, risks and controls and alignment at all levels of an organization, including specific business processes. Manages data and information emanating from risk and control assessment projects for productive use by the organization. Facilitates action toward risk management and control improvement.
258

Comment automatiser le processus? SABRA : Self Assessment Based Risk Analysis

259

Comment automatiser le processus?

260

Comment automatiser le processus?

261

Annexes
Autres cadres de rfrence : KonTraG (D) The Combined Code - Cadbury, Hampel, Turnbull (UK)

262

KonTraG (Allemagne)
Nouvelle lgislation sur le contrle et la transparence (Kontroll- und Transparenzgesetz) Effective pour les exercices dbutant aprs le 31 dcembre 1998 KonTraG est une consolidation des changements apports aux diffrentes rglementations existantes Diffrents types dentreprises sont affectes: AG and GmbH

Vise galement les filiales trangres si ces dernires ont un impact potentiel sur le systme de risk management de la maison mre
La notion de risque est toutefois limite au danger

Risque selon KonTraG =


la possibilit quune activit conomique fasse lobjet dune moins-value, subisse des pertes ou soit confronte tout autre dsavantage conomique
263

KonTraG (Allemagne)
Meilleure dfinition des rles respectifs et des mesures de sgrgation des tches en application des principes de corporate governance Obligation de mettre en oeuvre un systme adquat de contrle des risques et dun early warning system (comprenant lidentification du risque et son valuation mais pas les mesures mettre en oeuvre) Reporting spcifique dans les tats financiers sur les risques pouvant affecter le dveloppement futur de lentreprise Considrations sur lutilit dun dpartement daudit interne agissant en tant que risk manager Obligation du reviseur dentreprises de procder lexamen et lvaluation de:
Ladquation et l'efficacit du systme de contrle des risques (uniquement pour les socits cote en bourse Du fonctionnement de laudit interne en tant que risk manager Rapport sur les risques pouvant affecter lavenir de lentreprise

264

Cadbury (Royaume Uni)


Rapport Cadbury fut publi en 1992 et visait promouvoir un code des pratiques de rfrence (Best Practices) en matire corporate governance. Cadbury recommandait que les administrateurs tablissent un rapport sur les mesures adoptes quant la mise en oeuvre des rgles de corporate governance :
Reconnaissance par les administrateurs du fait quils sont responsables du systme de contrle interne en place au sein de lentreprise Explication quun tel systme ne peut procurer une certitude absolue contre les erreurs matrielles pouvant figurer dans les tats financiers Description des principales procdures mise en place afin dassurer un systme de contrle interne efficace Confirmation par les administrateurs (ou le conseil dadministration) quils ont procd la revue de lefficacit du systme de contrle interne

265

Hampel/Turnbull (Royaume Uni)


Combined Code publi en juin 1998 en y incluant les travaux de Cadbury Dveloppements rcents : Turnbull requirements on Boards statement on internal control in the annual report (septembre 1999)
Applicable toute entreprise cot au LSE Obligation de sy conformer au terme de lexercice 2000 Les socits doivent rapporter si elles se conforment aux obligations du Code

et elles doivent dcrire les mesures mise en oeuvre en application des principes du Code
Internal Control - Guidance for Directors on the Combined Code Sur limportance du contrle interne et du risk management

266

Hampel/Turnbull (Royaume Uni)


Rapport de gestion annuel du conseil d'administration doit aborder les points suivants :
Les changements depuis la dernire valuation La nature des risques en prsence et laptitude de lentreprise pouvoir les contrer Ltendue et la qualit du systme de contrle permanent des risques et du systme de contrle interne Ltendue et la frquence de la communication au conseil des rsultats affrents ces contrle Lefficacit du systme de gestion des risques Lincidence des dfaillances des principaux contrles

Lefficacit du systme de communication auprs des investisseurs

267

Annexes

268

Annexes
Internal control - Integrated framework - Executive Summary - September 1992, Committee of Sponsoring Organizations of the Treadway Commission Institut des Reviseurs dEntreprises - Le gouvernement dentreprise et le commissairereviseur - Rflexions et opinions - numro 5/1996 (extraits) Framework for internal control systems in banking organisation - Basle Committee on Banking Supervision - Basle September 1998 ISA 10 - Considering the work of internal audit IRE - Recommandation relative lutilisation du travail dun service daudit interne Rapport CBF 1996-1997 - extraits : Conception et pratique du contrle prudentiel Circulaire CBF D1 97/4 du 30 juin 1997 sur le contrle interne et laudit interne

Circulaire CBF D1/1690 du 9 juin 1998 sur le contrle interne et laudit interne Questionnaire sur le contrle interne et laudit interne
Circulaire CBF D1 99/2 du 16 avril 1999 sur la synergie CBF-reviseurs-audit interne
269