Audit Interne Banque

AUDIT INTERNE EN BANQUE
6 dcembre 2000
Denis Caprasse Karin Maquet
Table des matires

Evolution de la fonction daudit interne L environnement de lauditeur interne en banque Contrle interne : cadre de rfrence COSO
La notion de risque
Relations entre COSO et lapproche daudit Organisation dune banque La stratgie daudit et sa ralisation COBIT - un cadre de rfrence intgr pour valuer les systmes dinformation Le comit daudit Avis et recommandations de la Commission bancaire et financire La Collaboration entre les reviseurs, les auditeurs internes et la CBF COSO et la mise en place de structures intgres de risk management
2
Evolution de la fonction daudit interne
Audit interne : volution historique
AVANT-HIER HIER
UN MAL NECESSAIRE DESIR DE CHANGEMENT
AUJOURDHUI
AUDIT PARTICIPATIF
LES NOUVELLES TENDANCES LES DEFIS DU FUTUR

4
Laudit interne avant-hier

MARCHE Faible concurrence Produits traditionnels Gestion patriarcale AUDITEUR Mal ncessaire Policier et pompier Redoute des audits Cherche les erreurs DEPARTEMENT AUDIT Pas dembauche slective
Peu dautonomie
Sans accs hirarchique lev Budgets limits & Missions routinires
5
Laudit interne dhier

MARCHE Concurrence accrue Croissance volumes et produits Dveloppements informatiques AUDITEUR Distinct de linspecteur Spcialisation professionnelle Prvention ; dtection Qualit ; quantit DEPARTEMENT AUDIT Auditeur du management
Expert impartial
Conseiller des directeurs Banquier / Technicien Comptents
6
Laudit interne aujourdhui

MARCHE Concurrence multiple et diversifie Dcentralisation des oprations Rglementations en croissance
Dlgation force des pouvoirs

AUDITEUR Problem solver Conscient des cots Validation de procdures Collabore aux objectifs DEPARTEMENT AUDIT Centr sur les risques Soucieux de ses clients Flexible et ractif Grand utilisateur dinformatique Soucieux de la formation
7
Audit interne : Les dfis du futur

QUALITE TOTALE
DISPARITION DE LAUDIT?
Outsourcing - cosourcing Self controlled organisation - systmes de contrle intgr avec auto-valuation
EMERGENCE DE NOUVELLES MISSIONS?
EVOLUTION POSSIBLE DE LA FONCTION

SURVEILLANT REACTIF OBSERVATEUR SEPARATISTE RISK MANAGER PREVENTIF EDUCATEUR AGENT DE COMMUNICATION
EFFETS SUR LES MISSIONS

FOCALISATION SUR RISQUES ELEVES PARTICIPATION AUX CHANGEMENTS DISPONIBILITE POUR URGENCES ACCENTUATION DU COUT/BENEFICE
Lvolution du mtier daudit interne Reactive Proactive

Participating With Management
Strategic
Process Focus
Supporting Management Self-Assessments
Stand Alone Audit Function Transaction Focus
Financial reporting
Risk Exposure/Identification
Enterprise Risk Management
Internal Auditor
Consultant Business Enhancement/ Efficiency
Detection
Prevention
Lvolution du mtier daudit interne
Nouvelle dfinition de laudit interne par le Institute of Internal Auditors:

Internal audit is an objective assurance and consulting activity that is independently managed within an organisation and guided by a philosophy of adding value to improve the operations of the organisation. It assists an organisation to evaluate and improve the effectiveness of the organisations risk management, control, and governance processes.
10
Lenvironnement de lauditeur interne en banque
11
Conception et pratique du contrle prudentiel
Les cercles concentriques du contrle prudentiel
Supervision by CBF Supervision by auditor Internal audit
Internal control
Rapport CBF 1996-1997 pp 26-31

12
Le contrle interne
Circulaire CBF D1 97/4 du 30 juin 1997 Le contrle interne se dfinit gnralement comme lensemble des mesures qui, sous la responsabilit de la direction de ltablissement de crdit doivent assurer avec une certitude raisonnable :
une conduite des affaires ordonnes et prudente, encadre dobjectifs bien dfinis; une utilisation conomique et efficace des moyens engags; lintgrit et la fiabilit de linformation financire et celle relative la gestion; le respect des lois et rglements ainsi que des politiques gnrales, plans et procdures internes
13
Le contrle interne
Les lments constitutifs

un environnement dentreprise qui encourage une attitude positive lgard du contrle; des objectifs suivi de lidentification des risques et de leur analyse la mise en place de systme dinformation et de communication ainsi quun reporting la surveillance et l'valuation rgulire des mesures prises
14
Le contrle interne
Responsabilit du conseil dadministration de vrifier ladquation du contrle interne Le comit de direction doit mettre en oeuvre un contrle interne adquat et procder son valuation
Laudit interne est une fonction indpendante qui a pour objet dexaminer et dvaluer le bon fonctionnement, lefficacit et lefficience du contrle interne
15
Le contrle interne
La Commission bancaire et financire a transpos les principes noncs dans le cadre de rfrence COSO Comit de Ble
Framework for internal control systems in banking organisations - Septembre 1998 Management oversight and control culture Risk recognition and assessment Control activities and segregation of duties Information and communication Monitoring activities and correcting deficiencies Transposition des principes COSO
16
Contrle interne
COSO ????
17
Contrle interne : cadre de rfrence COSO
18
COSO : les concepts fondateurs
19
Des risques accrus
Globalisation
Outsourcing/Technologies dcentralises
Empowerment Plus forte dlgation
Des structures organisationnelles moins pyramidales
Forces externes de changement
Changement des facteurs de risque oprationnel
Ncessitant un changement des pratiques oprationnelles
22
Des risques accrus
L'accroissement des risques oprationnels rsulte de ces changements

12000
10000
8000
Niveau de risque
6000
4000
2000
1
Changement
L'enjeu : identifier ces risques temps pour rester dynamique et augmenter la rsistance de l'entreprise.
23
Un risque accru face des procdures de contrle interne adaptes une priode rvolue
Forces internes Forces externes
Changements organisationnels
Concurrence
Gestion des cots
Procdures de conformit et de contrle
Globalisation
Rorganisation des processus
Nouvelles technologies
Shareholder value and corporate governance
24
Et quelques exemples de scandales

Robert Maxwell Fraudes Metallgeselleschaf Pertes sur positions spculatives General Motors Ventes fictives Comt dOrange Pertes sur produits drivs
Sumitomo Positions non autorises
Besoin dun contrle accr
Groupe Crdit Lyonnais Pertes importantes
Showa Shell Sekiyu f/x trading non autoris Barings Positions non autorises Daiwa $1 milliard de perte sur positions spculatives
BCCI Fraudes
United Way Pratiques de gestion douteuses
25
Ncessit d'une nouvelle culture du contrle
Contrles
L'Entreprise
Objectifs Risques
26
Une structure intgre pour le contrle interne

STRUCTURE INTEGREE POUR LE CONTROLE INTERNE
Commission Treadway forme en 1985 Commission Treadway publie le rapport en 1987 - demande un tude pour dvelopper une structure intgre pour le contrle interne Coopers & Lybrand a t slectionne pour mener ltude et rdiger le rapport
Committee of Sponsoring Organizations of the Treadway Commission
Rapport intitul Internal Control - Integrated Framework est publi en septembre 1992
Une perception plus tendue de la notion de contrle intgrant la gestion des risques par rapport aux objectifs de lentreprise
27
Une structure intgre pour le contrle interne
Contenu du rapport COSO

Executive summary (septembre 92) Framework (septembre 92) Reporting to external parties (septembre 92) Addendum to reporting to external parties (Mai 94)
Evaluation tools (septembre 92)

Internal Control Issues in Derivatives Usage (1999)
28
Une nouvelle perception du contrle interne
Le Contrle Interne est un processus, mis en uvre par le conseil dadministration, la direction et les membres du personnel de toute entit conomique ou administrative, en vue de fournir des assurances raisonnables sur les objectifs limits : Lefficacit et lefficience des oprations; La fiabilit des documents et des rapports financiers; La conformit aux lois et rglements applicables
Committee of Sponsoring Organizations (COSO) of the Treadway Commission - 1992
29
Le cube COSO
30
Interactions entre les diffrents lments constitutifs
31
Lenvironnement de contrle The control environment sets the tone of the organisation and communicates management philosophy
Donne le ton de lorganisation
Intgrit Valeurs thiques Comptences
Transmet la philosophie de gestion

Responsabilit et responsabilisation Autorit Politique et dveloppement des ressources humaines
32
Lvaluation des risques Risk assessment is the effective management of change by the identification and analysis of relevant risks
Identification et analyse des risques menaant la ralisation des objectifs de lorganisation risques stratgiques risques oprationnels risques organisationnels et lis aux ressources humaines
Gestion du changement
33
Les activits de contrle Control activities are procedures to implement and manage objectives
Procdures lies la mise en oeuvre de la gestion
Approbation, autorisations Vrifications et contrles physiques Programme de qualit Sparation des fonctions etc ...
Mcanismes de gestion visant la ralisation des objectifs
34
Linformation et la communication Timely and accurate access to information and communication is critical to the control process
Information de gestion adquate communique dans des dlais appropris
Identification et utilisation des informations externes ad hoc
Gestion de la communication au sein de lorganisation
35
La surveillance Monitoring is a continual process to assess control systems and activities

Evaluation des systmes de contrle
Activits ponctuelles et continues
Mcanismes afin de rapporter les dficiences majeures
36
COSO : la rfrence en matire de contrle interne

Approches du contrle interne
Traditionnelle
COSO
Environment de Contrle Evaluation du risque Pilotage Information & Communication Activits de Contrle
Juxtaposition des activits

37
Intgration des objectifs
Idalement, les contrles devraient ...
Permettre,
Pas empcher
38
Les procdures de contrles ne doivent ...
Ni alourdir
Ni survoler
39
Mais doivent correspondre au niveau des risques...
Equilibre
Contrle Interne
Risque d'Activit
40
Aujourd'hui, les meilleures entreprises savent que ...
Le contrle interne, c'est l'affaire de tous !
41
Traditionnellement ...
Audit Externe
Environnement de contrle Evaluation des risques Pilotage
Audit Interne
Information & Communication

Activits de contrle
Problme : Qui contrle l'espace en blanc ?
42
Pourquoi COSO est une structure intgre?
Traditionelle
Responsibilit du Controller/Audit Interne Mecanisme Laccent sur les systmes comptables Les contrles sont ajouts aux systmes
COSO
Le contrle est la tche de chacun Le contrle est bas sur les risques Laccent est mis sur tous les risques oprationnels Le contrle est incorpor dans les procdures oprationnelles
43
Adoption de COSO
CoCo
Cadbury
GARP COSO
King Report
Pays qui ont traduit COSO dans leur langue nationale entre autres : Chine, France, Italie, Japon, Norvge, Pologne et Espagne
44
Mise en oeuvre de COSO
45
L'valuation du contrle - Mthodologie

Phase I :
Evaluation de l'Environnement
Phase II :
Diagnostic par cycle
Phase III :
Revue des procdures
Comit de Direction
Phase IV :
Evaluation intgre et
Recommandations
Approbation et Revue par le Conseil d'Administration et / ou la Direction
Mise en place et pilotage continu
46
Le Comit de Direction joue un rle dterminant
Comit de Direction
Envoie un message fort l'organisation
Est ouvert au changement

S'adapte tout au long du processus Dtermine les plans d'amlioration
Conduit la mise en place

S'assure que l'approche est rigoureuse et structure, tout en demeurant flexible
47
Recherche des causes ...
Causes
Ides
Chercher au-del des symptmes : trouver les causes profondes
48
Les principales limites du contrle interne
1. Assurance raisonnable et non absolue

2. Le Contrle Interne prcise les objectifs lis la ralisation et loptimisation des oprations, mais ne peut pas garantir leur ralisation 3. Dcalage inluctable entre les recommandations et leur application
49
Souvent, la solution passe par un changement de comportement !
50
La notion de risque
51
Une nouvelle perception des risques
52
Impact de cette nouvelle perception Evolution de la perception du risque par le Management from BACK ROOM
Niveau oprationnel. Risk monitoring est dlgu aux auditeurs internes Le risque est un facteur ngatif contrler
to BOARD ROOM
Le job du CEOs Job (avec le contrle du Conseil dadministration) Le risque est galement considr comme une opportunit Le risque est gr de manire intgre et couvre toutes les activits de lentreprise La fonction de risk management est accepte par le senior et le line management
Le risque est gr dans des silos organisationnels

La responsabilit du management en matire de gestion des risques est dlgue au niveau infrieur
La mesure du risque est subjective

Des fonctions de risk management non structures
Quantification/mesure du risque
Le risk management est intgr dans tous les systmes de gestion de lentreprise
53
Dfinition
RISQUE: Tout vnement pouvant affecter la ralisation des objectifs

54
Les facteurs de risque Les problmes suivants attirent lattention sur l importance dun systme de Risk Management intgr :
Convergence et Consolidation Environnement trs rglement Globalisation
Marges troites
RISK MANAGEMENT
Complexit des marchs et des investissements
Diffrentiation comptitive Technologie en volution constante
Disponibilit de ressources qualifies
55
Elments constitutifs
Danger
Survenance dun danger non matris
Incertitude
Ne pas rencontrer les attentes
Opportunit
Matrise du risque
56
Le continuum du risque
Amlioration de la Shareholder value Prserver la continuit des activits Gestion de crise et compliance
Opportunit
Incertitude
Danger
57
The Market Study - The Market Continuum

Independent market survey findings 1997 - Diefenbach Elkins Survey Results
Shareholder value enhancement
Opportunity
Business continuity protection
Uncertainty
Improved returns through value-based management Enhancing capital allocation Protecting corporate reputation Achieving global best practices Understanding & evaluating business strategy risks
Crises management and compliance
Hazard
Understanding full range of risks facing business today Avoiding personal liability failure (the personal fear factor)
Compliance with corporate governance standards (fiduciary responsibility) Other company crises Own company crises
58
Le continuum du risque
Compliance et prvention
Performance oprationnelle
Initiatives stratgiques
Opportunit
Incertitude Danger
59
Une approche intgre de la gestion du risque
6
60
Objectifs Amlioration de la Shareholder value Compliance Preferred employer World class products Satisfaction des clients
Emploi
Environnement Ethique
Return on Investment
61
Risques
62
Les risques bancaires gnraux
Crdit Intrt Liquidit Devises March Oprationnel Settlement Juridique
63
Risque de crdit
FACTEURS DE PONDRATION RISQUE DE DFAUT DE LA CONTREPARTIE
Nombre de dbiteurs Concentration Gographique Sectorielle Culture prudente et conservatrice Plafonds et limites Procdure svre dapprobation Suivi permanent des engagements Partage des risques Assurance crdit
64
Risque dintrt
FACTEURS DE PONDRATION
RISQUE PROVOQUE PAR DES CHANGEMENTS DE TAUX
Volatilit des taux Dysharmonie des positions Limite des positions Contrle permanent des positions Couvertures systmatiques A.L.M. performant
65
Risque de liquidit
FACTEURS DE PONDRATION RISQUE DINSUFFISANCE DE DISPONIBILITES
Crise des marchs montaires Perte de confiance dans la banque Concentration des dpts des emprunts Financements L.T. placs C.T. Disponibilit des fonds externes Volume lev dactifs liquides Rgime de protection des pargnants A.L.M. performant
66
Risque de devises
RISQUE PROVOQUE PAR UN DESEQUILIBRE DES TAUX DE CHANGE
Volatilit des taux Dsquilibre des positions Limites des positions Contrle svre des positions Techniques de couvertures
67
Risque de march
RISQUE DAPPAUVRISSEMENTS DES ACTIFS FINANCIERS
politique agressive dinvestissements Volatilit des marchs financiers Accroissement du trading Liquidit des march Limites des volumes daction Politique dinvestissement conservatrice
68
Risque oprationnel
RISQUE DE PERTE, DERREUR OU DOMISSION INTERNE FACTEURS DINFLUENCE
Nature des oprations Volume des oprations Qualit du management Qualit du personnel Qualit des systmes Libert daction des dpartements Outil de contrle
Internes Externes
69
Risque de settlement
RISQUE DE NON RESPECT DES ENGAGEMENTS DE LA CONTREPARTIE
FACTEURS DINFLUENCE
Qualit des correspondants Fixation de limites par contrepartie Suivi rapide du Back Office ...
70
Risque juridique
RISQUE DE CONVENTIONS OU DE DOCUMENTS JURIDIQUEMENT IMPARFAITS RISQUE DINFRACTION PAR RAPPORT A LENVIRONNEMENT LEGAL ET STATUTAIRE
FACTEURS DINFLUENCE
Complexit des contrats Changement et inflation rglementaire Soft law Mise en oeuvre dun Legal Audit ...
71
Risque oprationnel
Exemples
Dfaillance des systmes informatiques Interruptions des activits Accs et utilisations de donnes confidentielles Manque de comptitivit suite une mauvaise gestion dactivits non core business Gestion des prestataires de services Canaux de distribution inefficaces
Mthodes de quantification des risques oprationnels

OpVar (operational value at risk)
72
Gestion des risques oprationnels
Indicateurs dune mauvaise gestion des risques oprationnels

Pertes Amendes et pnalits Litiges Suspens/rejets Plaintes des clients Constatations de laudit et des autorits de contrle Fraudes Dfaillances des systmes dinformation Back Office Overtime Rotation du personnel
73
Contrles - Cadre de rfrence COSO
Cadre de corporate governance reconnu par le monde financier

76
Exemples
Systme de mesure de risque dpass Systme dinformation inadquat Elments de rconciliation Mauvaise diversification du risque de crdit Non respect du prescrit rglementaire et prudentiel Cots de financement excessifs Allocation of capital mauvaise ou inadquate Volatilit du rendement et du cours de laction Contrles confins en silo Fonction daudit interne dpasse/inefficace
Dcisions imprudentes en matire Fraude et blanchiment dargent doctroi de crdit et dinvestissement Mauvais pricing des produits du fait Mauvaises notations par les agences dune non prise en compte de certains de rating risques
77
Evaluation COSO
Control environment
Commitment to competence Board of director or Audit Committee
Monitoring
Reporting deficiencies Separate evaluations
Integrity and Ethical values
5 4 3 2 1
Ongoing monitoring
Management philisophy and operating style
Information and communication

Communication
Organisational structure
Information
Assignment of authority and responsibility
Application of controls in place
Human resource policies and practices
Existence of policies and procedures
Entity-wide objectives Activity level objectives Risks
Control activities
Managing change
Risk assessment
COSO '97
COSO '99
78
Alignement
80
Options possibles .
Amliorer les contrles Re-engineering des processus
Options
Outsourcing des fonctions - Shared Services Transfer Risk (Assurance)
81
Relations entre COSO et lapproche daudit
82
Une approche daudit intgre
83
Une approche intgre de la gestion du risque
84
Approche daudit
Objectifs
Plan dAction
Evaluation des risques
Analyse des contrles

85
Approche daudit
Objectifs organisationnels
Stratgie daudit Plan d audit

Plan Annuel Plan Pluriannuel
Evaluer les risques
Dterminer les contrles ncessaires

86
Audit Interne : Application de la squence COSO Nouvelle mthodologie : Risk Based Auditing
Stratgie d audit:
Dterminer les objectifs organisationnels
Evaluer les risques
Source : David McNamee, George Selim - The Next Step in Risk Management - Internal Auditor June 1999
87
Nouvelles mthodologies : Risk Based Auditing

Establish Organisational Objectives
What are the steps in the business process?
What is the logical sequence of steps the auditable unit must take to reach its objectives or purposes? Practically speaking, these steps are usually combined or grouped so that the total does not exceed 12-15 steps.
Assess Risk
What are the risks?
What is the essential elements of risk in each step of business process? Errors, omissions, delays, and fraud are the most common types or risks.
Manage Risk
How are risk managed?
What techniques mitigate the risks identified in column B? It is sound practice not only to identify how the risks are managed, but also to document the evidence for those actions, so that an audit programme can be derived quickly and accurately
88
Les risques de contrle
dinsuffisance Dangers de faiblesses de Dtection des Erreurs ou fraudes Prvention des systmes
Fonction de la qualit des contrles

de gestion internes externes etc.
89
Les risques de contrle
Risques derreurs, d'irrgularits
Systmes de prvention, dtection (contrle interne)
Audit interne
Erreurs, irrgularits subsistantes

90
Incidence du contrle interne sur la stratgie daudit

La perception des risques et lapproche daudit AR = IR * CR * DR AR IR = audit risk = inherent risk
CR
DR Impact
= control risk
= detection risk
Opinion incorrecte (Mauvaise valuation des risques)

Approche inadapte (trop de tests substantifs par rapport aux risques en prsence)
91
Approche daudit
Understand and assess control environment
Understand and update our information about the systems and the computer environment Plan to rely on controls and limit substantive tests?
YES
Document and assess monitoring controls
NO
No controls reliance
Some Controls reliance
High controls reliance

Document and assess application and general computer controls
No tests of controls
Select and test monitoring controls to confirm assessment
Select and test key monitoring, application and general computer controls to confirm assessment
Design substantive tests to obtain high assurance
Design substantive tests - analytics and moderate to low levels of substantive tests
Design substantive tests - mainly analytics and tests for audit objectives not covered by controls testing
92
Bnfices
Test les contrles cls
Diminue la charge de tests substantifs

Facilite lintervention (interim vs. final) Travail plus enrichissant pour lquipe daudit
93

Key Business Objectives Core Business Processes
High High High High Moderate Moderate Moderate Low Low Low Low High
Classify by Risk Type

Strategic Systems Operational
Identify Key Controls
Financial
Compliance
Develop Internal Audit Plan
Elments importants de la mthodologie

Identifier les risques importants pour chaque objectif Approche top-down en analysant les risques Identifier les processus / contrles lis aux risques identifis Dveloppement du plan daudit
94
Organisation dune banque
95
Division dune banque
Exemples de subdivisions
Par fonctions Par mtiers Par centres de profits Par zones gographiques Par produits Par domaines dactivits ...
96
Division dune banque par fonctions
Exemples
Tlcommunication Rconciliation Guichet / agences A.L.M. Analyse financire Conservation des actifs ressources humaines Agents dlgus ...
97
Division dune banque par mtiers
Exemples
Gestion du patrimoine Corporate banking Private banking Mergers and acquisitions Crdits Trsorerie ...
98
Division dune banque par centres de profits
Exemples
Trsorerie court terme Trsorerie long terme Change Oprations particuliers ...
99
Division dune banque par rgions
Exemples
Nord-ouest Nord-est Centre Sud-ouest Sud-est International ...
100
Division dune banque par produits
Exemples
Bons de caisse Prts hypothcaires Crdit dinvestissement Livret d'pargne CREDOC OLO Financial futures ...
101
Division dune banque sur base du bilan

Corporate
Crdits
Institut. Consomma. Actions Effets
Emplois
Val. mob.
Investissem. Dpts
Obligations Interbanc. Corporate Institut. Interbanc. Emissions
Ressources
Emprunts
Gestion
Discrtionn. Assiste
Fiducie
Conservation
Coffres Correspond.
102
Division dune banque par domaines dactivits
RISQUES CREDIT
Trsorerie Trading et investissement
COMPENSATION Transfert de fonds Autres activits
Trade finance
Prts et engagements
Dpts
103
Activits fiduciaires
Risques crdit
Par contreparties Secteur public Grandes entreprises P.M.E. Particuliers ... Par fonctions Evaluation contreparties / garanties Octroi - autorisation Respect des lignes / limites Consommation en fonds propres ...
104
Dpts
Par produits Dpts vue Dpts terme Livrets d'pargne Bons de caisse ... Par fonctions Ouverture de comptes Gestion des dpts et retraits Clture des comptes Gestion des postes restantes ...
105
Prts et engagements
Par produits Crdits hypothcaires Prts personnels Crdits dinvestissements Financements et exploitation ... Par fonctions Octroi et approbation Transferts de fonds Gestion des en cours Rmunration (intrts et commissions) ...
106
Trade finance
Par produits Lettres de crdits Forfaiting Escomptes Performance bonds ... Par fonctions Refinancements - mobilisation Assurance (OND) Octroi et documentations Suivi des sinistres ...
107

Autres activits Par services Conseil en financements Assurances Placements privs Mergers / acquisitions Immobilier Emissions ... Par fonctions
Etablissement : revue des contrats

Fixation des commissions Documentation / analyse ...
108
Trsorerie
Par produits Placements interbancaires Repos Certificats de dpts Certificats de trsorerie ... Par fonctions A.L.M. Etablissements : enregistrements des deals Confirmations Contrle des positions / limites ...
109
Trading et investissements Par produits Change spot Change terme Swaps et drivs Options et drivs Obligations et actions ...
Par fonctions Enregistrement / confirmation Reporting / suivi des positions Respects des limites / lignes Instructions rglements Evaluation / rsultats ...
110
Activits fiduciaires
Par services Gestion de fortune
Discrtionnaire Assiste
Conservation dactifs Corporate actions ... Par fonctions Procdures dacceptation Communication clientle Sauvegarde des actifs ...
111
Compensation
Par produits
Par domaines Comptes Nostro - suivi des rconciliations Comptes avec banques centrales En cours de recouvrements Conformit aux instructions internes / externes ...
112
La stratgie daudit et sa ralisation
113
Stratgie daudit interne
Le but de la stratgie daudit interne

focaliser les ressources disponibles sur les composants prsentant les risques les plus levs
Outils permettant de mesurer / quantifier les risques
114
Audit Interne : Application de la squence COSO Nouvelle mthodologie : Risk Based Auditing
Dterminer les objectifs organisationnels
Evaluer les risques
115

Key Business Objectives Core Business Processes
High High High High Moderate Moderate Moderate Low Low Low Low High
Classify by Risk Type

Strategic Systems Operational
Identify Key Controls
Financial
Compliance
Develop Internal Audit Plan
Key Components
Identifier les risques importants pour chaque objectif Approche top-down en analysant les risques Identifier les processus / contrles lis aux risques identifis Dveloppement du plan daudit
116
Identification des objectifs par processus
117
Identification des risques
118
Identification des contrles
119
Evaluation des risques et des contrles
120
Identifier et valuer les contrles - cls : exemples
Sparation des fonctions
Comptence du personnel
Autorisation et supervision
Restriction d'accs
121
Identification des gaps
122
Approche daudit
Understand and assess control environment
Understand and update our information about the systems and the computer environment Plan to rely on controls and limit substantive tests?
YES
Document and assess monitoring controls
NO
No controls reliance
Some Controls reliance
High controls reliance

Document and assess application and general computer controls
No tests of controls
Select and test monitoring controls to confirm assessment
Select and test key monitoring, application and general computer controls to confirm assessment
Design substantive tests to obtain high assurance
Design substantive tests - analytics and moderate to low levels of substantive tests
Design substantive tests - mainly analytics and tests for audit objectives not covered by controls testing
123
Bnfices
Test les contrles cls
Diminue la charge de tests substantifs

Facilite lintervention (interim vs. final) Travail plus enrichissant pour lquipe daudit
124
Documenter les contrles/ procdures daudit
Objectif du contrle/ de la procdure daudit appliqu Documents de base Echantillon Travail effectu Constatations Conclusions
125
Documenter les contrles/ procdures daudit
Tenue des documents daudit

identification du composant audit titre du document daudit rfrence la page de garde date rfrence au programme daudit cross rfrences identification de lauditeur
Evidence dune revue du travail effectu Rgles en matire de conservation et archivage des dossiers
126
Les constatations et conclusions
Types de constatations possibles

incidents isols absences / dficiences de contrle interne erreurs (non volontaires) irrgularits ( caractre volontaire ou accept) les fraudes
Lauditeur doit conclure, si sur base des constatations, il est en mesure daffirmer que lobjectif daudit a t rempli
127
Dfinition dun plan dactions
128
Dterminer un plan daudit pluriannuel
Le plan stratgique doit contenir les informations suivantes :

responsabilits et champ dintervention de laudit interne budget des ressources par rapport aux composants les priorits daudit dtails des revues spcifiques et de leur sponsor spcifique information quant la collaboration avec lauditeur externe la nature et la frquence du reporting au comit daudit et la direction
Le plan stratgique doit tre formellement approuv par lautorit laquelle lAudit Interne rapporte fonctionnellement
129
Plan Pluriannuel
EFFICIENCE BUT RESSOURCES NECESSAIRES MOYEN
PRIORITE OU RISQUE PERIODICITE DES MISSIONS
ELEVE MODERE FAIBLE INSIGNIFIANT
2 x/ an 1 x/ an 1 x/ an 1 x/ 3 ans
CONSERVER RESERVE ANNUELLE POUR MISSIONS AD HOC
130
Reporting au Management
131
Exemple doutil de travail : DB Notes
132
Dcomposition du travail faire en Area/Task/Step
133
Documentation du travail : WP, Issues, Coaching Notes
134
Evaluation de ltat davancement du travail et de la revue
135
Liste des problmes soulevs et recommandations faites
136
Gestion des points en suspens et des commentaires de revue
137
Project management : attribution de tches, de timing, de cots
138
Gestion du temps et/ou du budget
139
Reporting et suivi
Rapport daudit
Rapports rsums aux organes de surveillance et de direction (Comit daudit, Direction gnrale)
Rapport annuel dactivit
Suivi des rapports
140
Rapport daudit - les constatations
Traitement de leurs consquences Erreurs constates Extension des travaux Erreurs isoles Douteuses? Non Oui Erreurs systmatiques Caractre douteux? Non
Faiblesses constates
Mention
Comit de Direction
Recommandation et suivi
141
Rapport daudit
Pas de format idal Contenu

executive summary dcrire les objectifs et le travail accompli les constatations doivent tre tayes les recommandations doivent tre confrontes aux risques sous-jacents la non application de celles-ci les commentaires des responsables des services audits doivent tre inclus dans le rapport final
142
Rapports rsums aux organes de surveillance et de direction

aperu du travail effectu les recommandations doivent tre confrontes aux risques sous-jacents la non application de celles-ci les responsables pour lapplication des recommandations un calendrier de mise en oeuvre
143
Rapport annuel dactivit

Revue du travail accompli Les grands risques identifis Un rsum des principales recommandations Une valuation gnrale de la qualit du contrle interne
144
Suivi des rapports
En cas de dficiences importantes constates lors de contrles antrieurs, un suivi est ncessaire Les rapports de suivi doivent comprendre
les points soulevs lors du prcdent audit les mesures prises par le management ladquation des mesures prises
Pour les dficiences lgres, il y a lieu dassurer un suivi loccasion du prochain audit Mise en place dune base de donnes des constatations et du suivi effectu
145
COBIT - Un cadre de rfrence intgr pour valuer les systmes dinformation
146
COBIT - Un cadre de rfrence intgr pour valuer les systmes dinformation
Control Objectives for Information and Related Technology
147
ITs future an organisational shift
The future will require a dramatic rethinking of how IS organisations are run, how they are measured and controlled, and their relationship and involvement with the "business" By 2001, 70 % of enterprises will have adapted their IT organisational structure into a "federated business of IT Model" (Gartner)
C e n t r a l i s e d I T C o n t r o l
E n d u s e r e m p o w e r m e n t I T r o l e a s e n a b l e r
148
Managements major control concern for IT
Complexity & Growth
Personal & visual contact
IT has been the longest running disappointment in business in the last 30 Years! Jack Welch, CEO
GE, 1997
Technology can help fulfil a visionary dream, but often its use is closer to a sobering nightmare!
Vesa Vaino, CEO Merita, 1998
Ten years ago we were afraid of rockets destroying computing centres. right now, we should be aware of software errors destroying rockets
149
Typical five problems listed by senior executives* IT investments are unrelated to business strategy Payoff from IT investments is inadeqate Theres too much (e)technology for technologysake Relations between IT users and IT specialists is poor System designers do not consider userspreferences and work habits
* Harvard Business Review
150
Diffrents niveaux de contrles
Applications DBMS
Operating System
Networks
151
CobiT: Champ d intervention et objectifs
Dfinition des standards gnralement appliqus et accepts en matire de contrles des systmes informatiques Approche convenant tant aux contrles des applications quaux systmes dinformation dans leur ensemble Standards tablis sur cadre de rfrence dun modle de contrle de la fonction IT Approche oriente vers le Management
152
CobiT Principles
IT Planning & Organisation
R E S O U R C E S
Acquisition & Implementation Delivery & Support Monitoring Effectiveness

Data Applications Technology Facilities People Efficiency Confidentiality Integrity Availibility Compliance Reliability 153
I N F O R M A TI O N
What you need
What you get
B U S I N E S S
Business requirements=Information criteria

effectiveness - deals with information being relevant and pertinent to
being delivered in a timely, correct, consistent and usable manner. the business process as well as
efficiency - concerns the provision of information through the optimal (most productive and economical)
usage of resources.
confidentiality - concerns protection of sensitive information from unauthorized disclosure. integrity - relates to the accuracy and completeness of information as well as to its validity in accordance
with the business' set of values and expectations.
availability -
relates to information being available when required by the business process, and hence
also concerns the safeguarding of resources.
compliance - deals with complying with those laws, regulations and contractual arrangements to which
the business process is subject; i.e., externally imposed business criteria.
reliability of information -
relates to systems providing management with appropriate information
for it to use in operating the entity, in providing financial reporting to users of the financial information, and in providing information to report to regulatory bodies with regard to compliance with laws and regulations. 154
Information Technology resources

Data : Data objects in their widest sense, i.e., external and internal, structured and non-structured, graphics, sound, etc. Application Systems: Application systems is understood to be the sum of manual and programmed procedures. Technology: Technology covers hardware, operating systems, database management systems, networking, multimedia, etc. Facilities: Resources to house and support information systems. People: Staff skills, awareness and productivity to plan, organise,acquire, deliver, support and monitor information systems and services.
155
IT Processes
Domains
Planning & Organisation
Natural grouping of processes, often matching an organisational domain of responsibility. A series of joined activities with natural (control) breaks. Actions needed to achieve a measurable result. Activities have a life-cycle whereas tasks are discrete.
Processes
PO1 define a strategic IT plan PO2 define the information architecture PO3 determine technological direction PO4 define the IT organisation and relationships PO5 manage the investment in IT PO6 communicate management aims and direction PO7 manage human resources PO8 ensure compliance with external requirements PO9 assess risks PO10 manage projects PO11 manage quality
Acivities
156
CobiT Summary Table
157
CobiT Product Family

EXECUTIVE SUMMARY
Implementation Tool Set
Framework
with High-Level Control Objectives
Management Guidelines
Detailed Control
Objectives
Audit Guidelines
Key Performance and Goal Indicators

Critical Succes Factors
158
Maturity Model
CobiT product definition
Executive Summary
There is a Method ...
Framework
The Method is ...
Control Objectives
The desired results or purposes to be achieved by ...
Audit Guidelines
Suggested Audit steps corresponding ...
Implementation Tool Set

How to implement
Management Guidelines
How to measure...
159
CobiTs Waterfall and Navigation Aids

Planning & Organisation Acquisiton & Implementation Delivery & Support Monitoring
P
The control of
IT Processes
which satisfy
ef fe cti v ef ene fic s co ien s nf id cy in ent te ia av grity lity ai co labi m lity pl re ianc lia e bi lity
P P P S
Business Requirements
is enabled by
Control Statements
and considers
Control Practices
160
pe ap opl pl e ic te atio ch n fa nolo s cil g itie y s da ta
Example: IT Process Manage Changes

Control over the IT process of managing changes Key Goal Indicators that satisfies the business requirement
to minimise the likehood of errors disruption, unauthorised alternations, Reduced number# of introduced into systems due to changes and errors is enabled byof disruptions (loss of availability) caused by poorly Reduced number# a management system which provides for the analysis, implementation and follow-up of all changes requested managed change and made to the existing IT infrastructure and takes intocaused consideration Reduced impact of disruptions by change - identification of changes categorisation, prioritisation and emergency Reduced level of resources and time required as a ratio to number# of changes procedures - Impact fixes/time assessment Number# of emergency - change authorisation - release management . - software distribution
Key Performance Indicators Number# of different versions installed at the same time Number# of software release/and distribution methods per platform Number# of deviations from the standard configuration Critical Factors Number# of emergency fixes for which the Success normal change management Expedient and comprehensive acceptance test procedures are applied process was not applied retro-actively prior to making the change. Ttime lage between availability of fix and implementation of it. . There is a reliablerequests. hardware and software inventory. ratio of accepted vs refused change implementation There is segregation of duties between production and development .
161
Le Comit d audit
162
Le comit daudit : une rgle fondamentale du corporate governance Le corporate governance comprend deux piliers importants :
Responsabilit : Rendre des comptes aux actionnaires et autres intervenants Communication : Comment lentreprise se prsente aux marchs financiers et la communaut en gnral
Les comits daudit jouent un rle important dans ces deux processus Il sagit dun organe de supervision assurant :
un contrle oprationnel du management un contrle sur la fiabilit de linformation financire communique au march
163
Limportance du comit daudit Limportance des comits daudit composs majoritairement dadministrateurs indpendants est reconnue tant par les organes rglementaires (Commission europenne, SEC) que par les marchs La plupart des codes de corporate governance contiennent des recommandations en la matire (adoption sur base volontaire) Une enqute pan-Europenne mene par PwC en 1997(1) a rvl que mme en labsence de rgle contraignante
le taux dadoption tait relativement lev (plus de 60% des entreprises interroges avaient mis en place un comit daudit) Les pays o la pratique est la plus leve : Royaume-Uni, France et Suisse
(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997
164
Lmergence de pratiques de rfrence internationales Influence du Rapport Cadbury (remplac par le Combined Code ) sur les autres codes de corporate governance Prises de position par des instances internationales
Commission europenne - Financial Services Policy Group [FSPG] DG XV - "The Commission will continue to work alongside public and private bodies to improve the framework for corporate governance." OCDE - Global Governance Principles Banque Mondiale et OCDE - Global Corporate Governance Forum
Groupes de pression
CalPERS (The California Public Retirement System)
Global Principles for Corporate Governance

Corporate Governance Market Principles, France, Allemagne, Royaume-Uni et Japon
165
Une constante volution du rle du comit d audit Rle traditionnel limit :

La revue des tats financiers Supervision des relations avec les auditeurs internes et externes Lexamen des recommandations relatives au contrle interne
Nouveaux challenges
La globalisation des marchs
Technologie
Complexit des transactions Difficults conomiques Risk management Emergence de lthique
166
Une constante volution du rle du comit daudit La globalisation des marchs qui a engendr une comptition accrue Les dveloppements technologiques (internet et autres) et leurs influences sur la communication de linformation La complexit des transactions et le fait que dans certains pays, les entreprises peuvent choisir parmi diffrents rfrentiels comptables (national, US ou IAS) Les difficults conomiques qui ont rcemment affect lextrme orient, la Russie, lAmrique latine La mise en place de systme de contrle interne intgr (COSO, Turnbull, KonTraG) et la supervision des risques oprationnels Lmergence du corporate citizenship et ladoption de rgles thiques propres lentreprise (linfluence prpondrante du risque de rputation)
167
Une constante volution du rle du comit daudit Fin 1998, Arthur Levitt, le Prsident de la SEC lana un appel solennel pour le renforcement du contrle de l information financire par les conseils d administration La constitution du Blue Ribbon Committee on Improving the Effectiveness of Corporate Audit Committees (cfr. section spcifique en fin dexpos)
168
La mise en place dun comit daudit Un principe fondamental

Lindpendance des administrateurs composant le comit daudit
Les tapes accomplir pour mettre en place un comit daudit efficace

Rdiger une charte du comit daudit Nommer des membres qualifis
Lindpendance et lobjectivit des membres

La dure du mandat La frquence des runions du comit Allouer des ressources suffisantes Formation des membres
169
Rdiger une charte du comit daudit Importance d une charte crite (termes de rfrence) qui prcise de manire claire le rle du comit
Cadre de rfrence tant pour le comit, ses membres, le conseil dadministration, la direction, les auditeurs internes et les reviseurs Quid de la communication de la charte aux actionnaires? (inclure celle-ci dans le rapport annuel)
La charte doit tre revue et approuve par le conseil dadministration. Elle doit permettre au comit de travailler de manire efficace Elle doit tre utilise bon escient - exemples:
Servir de base pour tablir lagenda des runions du comit
Etre revue annuellement afin de sassurer que les objectifs sont atteints Servir de cadre de rfrence pour les rapports aux conseil dadministration
170
Contenu de la charte Les objectifs Les pouvoirs du comit daudit L organisation (la composition du comit, la frquence et la dure des runions) Les rles et responsabilits en ce compris les qualifications requises et la dure du mandat de ses membres
Contrle interne Reporting financier Respect des lois et rglementations Respect du code de bonne conduite
Les relations avec la direction, les auditeurs internes et les reviseurs Les responsabilits en matire de rapport Autres responsabilits ventuelles
171
Nommer des membres qualifis Qualits requises

Intgrit Disponibilit (en temps et nergie) Comprhension de lactivit de lentreprise, de ses produits et services Connaissance des risques inhrents et des contrles mis en oeuvre Esprit inquisiteur et capacit de jugement indpendant
Capacit de proposer des perspectives nouvelles et des suggestions constructives

Connaissances comptables et financires
172
Nommer des membres qualifis Engagement et disponibilit

Comprendre les activits de lentreprise Prparation et prsence aux runions
Runions informelles
Considrer le nombre de mandats des candidats potentiels
Taille du comit d audit

Suffisamment grand pour prsenter une vue quilibre Suffisamment petit pour oprer de manire efficace Gnralement entre 3 et 6 membres Une enqute pan-Europenne mene par PwC en 1997 a rvl que plus de 70% des comits daudit taient composs de 3 4 membres (1)
(1) Audit Committees - A study in European Corporate Governance, Price Waterhouse, 1997
173
Lindpendance et lobjectivit des membres Des administrateurs indpendants

Du fait de son rle de supervision, lindpendance du comit daudit est primordiale
Un comit uniquement compos d administrateurs indpendants est la solution optimale

Indpendance? Emploi ou ayant t employ au sein de l entreprise (au cours des 5 dernires annes) Obtention dune rmunration / compensation de lentreprise ou dune de ses filiales Parent dun membre de la direction
Actionnaire principal ou tre le reprsentant de celui-ci

Administrateur dun actionnaire, dun client ou dun fournisseur importants
174
La dure du mandat En gnral : un terme 1 3 ans renouvelable 1 seule fois

Des termes plus longs ne sont pas incompatibles
Juste quilibre entre la continuit et la fracheur

Eviter que tous les mandats soient renouvels en mme temps
Utilit dun programme dvaluation de la performance des membres du comit daudit
175
La frquence des runions du comit Dpend des objectifs et du champ dintervention du comit Les runions doivent tre rgulires et planifies (convocations, agenda, listes des participants, ) En moyenne, 3-4 runions par an Un minimum de 3 runions correspondant aux phases du cycle de l laboration des tats financiers
Une runion avant la communication des rsultats intermdiaires
Une runion durant lexercice afin de discuter des programmes daudit interne et externe, les questions de contrle interne afin didentifier les ventuels problmes/domaines risques lis llaboration des tats financiers en fin d exercice Une runion avant lannonce des rsultats financiers (avec la mise disposition des informations suivantes : annonce prliminaire, projet des tats financiers, projet de rapport de gestion, commentaires sur la performance financire et oprationnelle, constatations daudit)
176
Les principales responsabilits du Comit daudit Le comit daudit exerce, pour le compte du conseil dadministration, la supervision des domaines et activits suivants :
Le contrle interne et du systme de risk management Le reporting financier et le processus sous-jacent son laboration Le processus mis en oeuvre pour assurer le respect des rglements
Le processus de suivi du respect du code de bonne conduite en vigueur au sein de lentreprise
177
Le contrle interne Lvaluation de la culture de contrle

Le conseil dadministration est responsable quant la mise en oeuvre dun environnement de contrle interne adquat
Toutefois le comit daudit peut contribuer efficacement au renforcement de la culture de contrle au sein de lentreprise. Il peut galement valuer si le management communique de manire adquate limportance dun bon systme de contrle interne ( tone at the top )
Le suivi de la mise en oeuvre des systmes de contrle interne

Le comit daudit sassurera que les actions prises par le management garantissent la mise en oeuvre dun systme de contrle adquat
Les recommandations de laudit sont-elles mises en oeuvre?

Le comit daudit doit sassurer que les recommandations de laudit (interne et externe) en la matire ont t correctement mises en place
178
Linformation financire Les comptes annuels - un aspect primordial

Revoir le processus dlaboration des tats financiers (gestion des risques, adquation des systmes comptables, mise en oeuvre des recommandations de l audit en la matire, gestion du going concern ) Revoir les questions importantes de comptabilit et de reporting financier, en ce compris les modifications de la rglementation en vigueur et limpact de celles-ci sur les tats financiers Le comit daudit doit revoir les tats financiers annuels et sassurer que ceux-ci sont complets et consistants avec linformation dont disposent ses membres. Il doit galement sassurer que les principes comptables ont t respects Revoir toutes les autres sections du rapport annuel et sassurer que les commentaires sont consistants avec linformation dont disposent les membres du comit daudit Discuter les rsultats et constatations de l audit externe
179
Linformation financire La revue de tout autre information financire sujette communication

De plus en plus, les comits daudit doivent revoir toutes les informations financires publies par lentreprise : annonces prliminaires rsultats intermdiaires
briefings pour les analystes financiers
Le comit daudit doit comprendre

Comment la direction dveloppe cette information et limplication ventuelle des auditeurs dans lexamen dune telle information
Obtenir de la direction et des auditeurs des explications quant au respect des principes comptables et sassurer que linformation communique rpond aux exigences en la matire
180
Les questions rglementaires, fiscales et juridiques La revue de la fonction compliance

Le respect de la rglementation est devenu de plus en plus important (particulirement dans les secteurs financiers) Le comit daudit doit comprendre comment lentreprise sassure du respect de ces rglementations : Feedback du compliance officer
Briefing de la part du management

Avis des conseillers juridiques et fiscaux Revue des rapports des autorits de contrle (CBF, OCA, )
La prvention des fraudes et des actes de corruption
181
Ethique et code de bonne conduite Existence dun code de bonne conduite formalis
Corporate citizenship Les socits dveloppent et mettent en oeuvre des codes de bonne conduite. Le comit daudit devra valuer les mesures adoptes par le conseil et la direction en la matire Le comit daudit peut tre appel revoir la manire dont le code est mis en oeuvre par la direction ( tone at the top )
Les procdures de suivi et de respect du code

Le comit daudit peut tre appel examiner les procdures mises en place pour sassurer du respect du code de bonne conduite.
Le risque de rputation est-il correctement mesur?

Le comit daudit peut tre appel revoir les procdures mise en oeuvre pour sauvegarder la rputation de lentreprise (cfr. Disney, Nike, Shell, TotalFina)
182
Collaboration avec les auditeurs internes Les responsabilits du comit daudit en la matire :
Revoir les activits et la structure organisationnelle de la fonction daudit interne Evaluer la qualification de la fonction daudit interne Sassurer de lefficacit de laudit interne
183
Revues des activits et de la structure organisationnelle de laudit interne Le comit daudit doit runir les informations suivantes :
Revue de la charte daudit interne Revue du programme daudit qui doit comprendre une valuation du profil de risques de lentreprise Les rapports d activits de laudit interne Liste des projets et missions accomplies
Listes des projets en cours

Les principales constatations et recommandations Une description du systme de suivi permettant de sassurer que les recommandations sont mises en oeuvre par le management
Les informations relatives aux ressources actuelles du dpartement

Les plans de recrutement
184
Qualification de la fonction daudit interne Le comit daudit doit sassurer des qualifications et des capacits des membres de laudit interne. Le comit d audit peut contribuer amliorer la qualit de laudit interne en dterminant si les auditeurs internes :
Ont ralis les objectifs qui leur taient assigns Sont adquatement forms Sont capables de matriser les systmes dinformation
Ont les qualifications professionnelles requises
Le comit daudit doit pouvoir valuer ladquation de la taille du dpartement daudit interne par rapport aux activits de lentreprise Le comit daudit doit tre consult voire donner son approbation quant a lengagement, au remplacement ou la dmission du responsable du dpartement daudit interne
185
Efficacit de laudit interne Le comit daudit doit sassurer que lentreprise utilise au mieux les ressources de laudit interne et lui fournit galement le support ncessaire laccomplissement de sa mission Il devra s assurer que:
Le mandat de laudit interne est adquat Laudit interne a une bonne matrise et comprhension des processus oprationnels et des systmes dinformation Laudit interne dispose des ressources suffisantes tant humaines que financires Le programme daudit est tabli dune manire adquate Les domaines prsentant les risques les plus importants sont couvertes par les investigations de laudit interne Lentreprise met en oeuvre les recommandations de l audit interne La collaboration avec les reviseurs est efficace
186
Efficacit de laudit interne (suite) Le comit daudit devra galement considrer si la fonction pourrait tre mieux assure si certaines activits taient soustraites (exemple : outsourcing de laudit informatique) Il procdera ventuellement au benchmarking de la fonction daudit interne par rapport aux pratiques de rfrence
Revue indpendante des activits de laudit interne
187
Collaboration avec les reviseurs Principales responsabilits du comit daudit

Revoir le champ dintervention de laudit et lapproche Analyser les constatations de laudit des tats financiers Analyser la performance des reviseurs Considrer lindpendance des reviseurs
La participation du reviseur aux runions du comit daudit est conseille
188
Revoir le champ dintervention et lapproche Revoir le champ dintervention et lapproche

Objectifs de laudit Obligations en matire de reporting financiers et les dlais y affrents Evaluation du systme de contrle interne Les domaines sur lesquels laudit va se concentrer - Pourquoi? Les changements de la rglementation comptable et leurs impacts
Limpact de certaines transactions sur les tats financiers

Revue des systmes dinformation Coordination avec laudit interne Audit des filiales - par qui, si par un autre reviseur, quelles sont les procdures de reporting mises en oeuvre? Responsabilit du reviseur dans la dtection derreurs matrielles, de fraudes, dactes illgaux
189
Revoir le champ dintervention de laudit et lapproche Le reviseur doit pouvoir avoir accs au comit:
En cas dventuelles restrictions imposes par la direction dans le cadre de sa mission La survenance de problmes importants et ncessitant une communication immdiate (fraudes, malversations, systmes comptables dfaillants, )
190
Analyser les constatations de laudit des tats financiers Runion du comit daudit, de la direction et du reviseur afin de prsenter les tats financiers et les constatations daudit Le reviseur doit pouvoir prsenter les recommandations sur le contrle interne. Le comit doit interroger la direction sur les mesures correctrices mises/ mettre en oeuvre Le comit daudit doit galement sassurer du suivi des recommandations mises lors des exercices prcdents Ces discussions doivent avoir lieu avant la publication des comptes Le comit Blue Ribbon recommande que le comit daudit aborde avec le reviseur la question de la qualit des rgles comptables adoptes par lentreprise
191
Analyser la performance des reviseurs Critres pris en compte

Capacits professionnelles du reviseur et des collaborateurs impliqus Lapproche daudit
La connaissance de lentreprise et de ses processus

La couverture gographique (dans le cas de groupe multinationaux)
Le comit daudit va galement fonder son jugement sur base dinformations quil demandera la direction (CFO et collaborateurs, Responsable de laudit interne, ). Il devra sassurer que les informations obtenues sont fiables et objectives Le comit daudit doit galement revoir les honoraires et ventuellement les honoraires lis dautres travaux fournis par le reviseur ou un service li la socit daudit Dans le cas de renouvellement du mandat ou de nouvelle nomination, le comit daudit doit pouvoir mettre un avis
192
Considrer lindpendance des reviseurs Le comit daudit doit aborder la question de lindpendance du reviseur par rapport d autres services fournis (conseils en management, fiscalit, juridiques, )
193
La situation en Belgique Recommandations de lautorit de march de la Bourse de Bruxelles labores par la Commission Belge du Corporate Governance (Commission Cardon) - 1998 Recommandations de la Commission bancaire et financire quant aux informations sur le corporate governance publier dans les rapports annuels - 1998 FEB - Recommandations en matire de corporate governance - 1998 Les directives de la CBF et de lOCA dans les secteurs bancaires et dassurances
194
La commission Cardon sur le corporate governance Systme d adhsion et non de contrainte Approche dite comply or explain (satisfaire ou expliquer)
Exposer dans le rapport annuel les circonstances ou les raisons spcifiques expliquant une attitude divergente par rapport aux directives Au titre 4 - Information et contrles : 4.3 La Commission Belge du Corporate Governance recommande de mettre en place un comit d audit compos au moins de trois administrateurs non excutifs, dont lordre de mission prcise clairement les pouvoirs et les obligation
195
Les recommandations de la Commission Cardon
a Les comits daudit devraient formellement tre constitus au

sein du conseil, auquel ils doivent rpondre et faire rapport rgulirement; leurs attributions devront tre communiques par crit, en ce qui concerne la composition des comits, leurs pouvoirs et leurs obligations; ils devront se runir au moins deux fois par an . Tous les membres devrait tre des administrateurs nonexcutifs, la majorit dentre eux devraient tre des administrateurs indpendants au sens de la rgle 2.2 du prsent code . Le comit daudit devrait rencontrer les auditeurs internes et externes (y compris les commissaires reviseurs) au moins une fois par an. Cette rencontre peut avoir lieu en labsence de la direction pour sassurer quil ne subsiste aucun sujet de proccupation non rsolu .
196
Les recommandations de la Commission Cardon
d Le comit daudit devrait avoir le pouvoir explicite denquter

dans toute matire qui relve de ses attributions, disposer des ressources ncessaires cette fin et de laccs toute linformation. Le comit devrait pouvoir demander des avis dexperts internes et externes et, le cas chant, inviter des experts externes assister au runions, compte tenue de la procdure dfinie au point 1.6 . La composition du comit devrait tre publie dans le rapport annuel .
197
Recommandations de la CBF quant aux informations sur le corporate governance publier dans les rapports annuels
Comits crs par le conseil d administration

Indication des ventuels comits crs par le conseil dadministration (autres que ceux viss au point 4 - gestion journalire), de leur composition, de leurs attributions, de leur mode de fonctionnement et de leur frquence de runions (exemples : bureau du conseil, comit stratgique, comit daudit, comit des nominations, comit des rmunrations, ) .
198
Recommandations de la FEB en matire de corporate governance Recommandations publies en 1998

Inspire de Cadbury et vise essentiellement les grandes socits et socits cotes
Adoption sur base volontaire
4.3 Le conseil d'administration doit exercer une fonction d'audit. Il peut constituer cette fin un comit d'audit dont il arrte la composition et la mission.
S'il y a un comit d'audit, il devrait rpondre aux rgles suivantes : a ) Il est une manation du conseil d'administration devant lequel il est responsable et devant lequel il rend rgulirement compte de sa mission. Il se runit au moins deux fois l'an . b) La composition du comit est arrte par le conseil d'administration.Il veillera ce qu'il comprenne des administrateurs non excutifs et des administrateurs indpendants ....
199
Recommandations de la FEB en matire de corporate governance

S'il y a un comit d'audit, il devrait rpondre aux rgles suivantes : c) Les commissaires-rviseurs et, lorsqu'il y en a, le responsable de l'audit interne ainsi que le directeur financier, devraient assister aux runions du comit.Ces runions sont galement ouvertes tous les administrateurs qui le souhaitent . d) Le comit devrait entendre les commissaires-rviseurs au moins une fois par an en-dehors de la prsence des administrateurs excutifs . e) Le comit possde les pouvoirs d'investigations les plus larges dans son domaine, et peut par une dcision majoritaire faire appel des professionnels extrieurs la socit et les faire assister le cas chant ses runions . f) La composition du comit est publie dans le rapport de gestion et le prsident du comit rpond aux questions qui lui sont poses l'assemble gnrale au sujet de l'activit du comit .
200
Avis et Recommandations de la Commission bancaire et financire
201
Conception et pratique du contrle prudentiel
Les cercles concentriques du contrle prudentiel
Supervision by CBF Supervision by auditor Internal audit
Internal control
Rapport CBF 1996-1997 pp 26-31

202
Limportance du contrle interne
Le contrle interne :
Exigence de management
Exigences lgales/statutaires/prudentielles dans certains secteurs Stratgie daudit
203
Exigences de management
Le management ne peut se fier uniquement aux contrles traditionnels pour protger la shareholder value. Les contrles soft ainsi que les mcanismes de risk management sont les fondements dun systme de contrle interne intgr.
204
Exigences lgales, statutaires et prudentielles
Circulaire du 6 avril 1987

CBF formulait une srie de recommandations relatives lexercice de la fonction daudit interne
Loi du 22 mars 1993 sur le statut et le contrle des tablissements de crdit

Article 20 instaure lobligation dune organisation administrative et comptable approprie et de procdures de contrle interne adquates
205
Protocole sur lautonomie de la fonction bancaire Circulaire D1 97/4 du 30 juin 1997 sur le contrle interne et laudit interne + Lettre circulaire D1/1690 du 9 juin 1998
8 grands principes traitant : contrle interne audit interne comit daudit permanent - ce sujet cfr. section spcifique : Le comit daudit
Circulaire D1 99/1 du 12 mars 1999 sur les modalits du trialogue entre les Auditeurs Internes, les reviseurs agrs et la Commission
206
Circulaire D1 99/2 du 16 avril 1999 sur la synergie CBF-reviseur-audit interne
207
Autres exigences que celles de la CBF (pas exhaustif)
Framework for internal control systems in banking organisations - Basle Committee on Banking Supervision - September 1998 Recommandations en matire de Corporate Governance pour les socits cotes
Rapport de la Commission Cardon Le conseil devrait veiller ce que la direction dveloppe et mette en oeuvre les instruments ncessaires afin dassurer un contrle interne suffisant et efficace Cadbury/Hampel/Turnbull - Combined Code (Septembre 99)
Rapport du commissaire-reviseur sur ladquation du contrle interne
208
Contrle interne
Principe 1
Le conseil d'administration doit : vrifier ladquation du contrle interne stimuler une attitude positive lgard du contrle
Principe 2
Le comit de direction doit : mettre en place un contrle interne adquat procder son valuation informer le conseil dadministration de ltat de la situation (le cas chant par lintermdiaire du comit daudit)
209
Audit interne
Principe 3
Le comit de direction doit prendre les mesures pour que ltablissement dispose en permanence dune fonction daudit adquate
210
Audit interne
Principe 4
Le service daudit interne est indpendant
rapporte directement au comit de direction
a la facult dinformer directement le conseil d'administration et le comit daudit
dispose dun statut appropri dfini par la charte daudit

objectif et porte de la fonction la place dans lorganisation, les comptences et responsabilits
excute ses missions avec impartialit

ne peut pas tre impliqu dans les tches oprationnelles
211
Audit interne
Principe 5
La comptence de chaque auditeur et du service daudit interne dans son ensemble est essentielle motivation et formation permanente comptence individuelle apprcie en fonction des missions comptence dans son ensemble rotation des tches pour viter laccoutumance recours des experts externes et sous-traitance
Indpendance par rapport au commissaire-reviseur agr
212
Audit interne
Principe 6
Chaque activit et chaque entit de ltablissement entrent dans le champ dinvestigation du service daudit interne examen et valuation de ladquation du contrle interne laudit interne vrifie :
le respect des politiques la matrise des risques la fiabilit de linformation financire, de gestion, de reporting externe la continuit et la fiabilit des systmes dinformation le statut lgal de contrle
213
Audit interne
Principe 7
Le travail daudit comprend ltablissement dun plan daudit, lexamen et lvaluation de linformation disponible, la communication des rsultats et leur suivi Le plan daudit dtermine les objectifs atteindre Ces objectifs peuvent ncessiter diffrentes mthodes
Audit de conformit, Audit financier, Audit oprationnel Audit de gestion / management
Programme de travail Documents de travail Rapport crit Suivi
214
Audit interne
Principe 8
Le responsable du service daudit interne dirige son service de manire adquate
Respect des principes dicts par la CBF
Il est responsable de ltablissement de la charte daudit interne dun plan daudit pluriannuel fond sur une analyse mthodiques des risques de politiques et procdures crites en matire daudit interne Communication au comits de direction et de surveillance rapport dactivit, rsum des recommandations & tat du suivi Tout remplacement du responsable de laudit interne doit tre notifi la CBF
215
Comit daudit
Le protocole de lautonomie de la fonction bancaire

Le conseil peut, sil le souhaite, se faire assister par un comit daudit compos dadministrateurs non membres du comit de direction . le comit daudit a pour but de faciliter lexercice effectif de la surveillance par le conseil dadministration. Il fonctionne soit sur une base permanente, soit dans le cadre de lexamen dun problme particulier . De la mme manire que le conseil lui-mme, le comit daudit peut tout moment demander au comit de direction ou aux reviseurs des rapports spciaux sur tous aspects de lactivit de la banque. Il peut se faire produire tout renseignement ou document utile et faire procder toute investigation. Il peut notamment faire appel au service daudit interne de la banque, celui-ci demeurant toutefois sous la dpendance hirarchique du comit de direction. Le comit daudit fait rgulirement rapport au conseil dadministration. Son rle ne peut en aucune faon faire double emploi avec celui de laudit interne ni sy substituer . Au cas o la banque souhaite crer un comit daudit, elle consulte pralablement la CBF au sujet de la dfinition des fonctions de ce comit et sa composition .
216
Comit daudit
Recommandation
Le comit daudit permanent rponse adquate aux difficults de lexercice collgial de la mission de surveillance renforce le contrle interne et laudit interne fortement recommand lorsque linstitution encoure des risques nombreux et complexes Consultation pralable de la CBF avant la mise en place dun tel comit
217
Comit daudit
Charte du comit daudit dterminant

composition comptence fonctionnement modalits de rapport au conseil dadministration
Composition
Au moins 3 administrateurs non membres du comit de direction Sans en tre membres, participent galement aux runions : le prsident du comit de direction lauditeur interne le commissaire-reviseur agr
218
Comit daudit
Comptences
Il peut faire produire tout document ou renseignement faire procder des investigations
fait appel laudit interne
Il doit faire rapport rgulirement au conseil dadministration Il ne peut pas se substituer laudit interne
double emploi
laudit interne demeure sous la dpendance hirarchique du comit de direction

219
Comit daudit
Champ daction (en matire daudit interne)

Favoriser la communication entre : membres du conseil dadministration membres du comit de direction laudit interne les commissaires-reviseurs agrs la CBF Valider la charte daudit Valider le plan daudit et les moyens engags Prendre connaissance du rapport dactivit Prendre connaissance des principales recommandations et de leur suivi
220
Comit daudit
Champ daction (suite)

Le commissaire-reviseur agr doit lui exposer son programme daudit et faire part de ses conclusions et recommandations Dlibration rgulire sur : ltat du contrle interne le fonctionnement du service daudit interne linformation financire externe en ce compris
le respect des dispositions lgales et statutaires
Avis au conseil dadministration lors de la nomination du commissaire-reviseur agr
221
La Collaboration entre les reviseurs, les auditeurs internes et la CBF
222
Relations audit interne et externe
EVOLUTION HISTORIQUE
1950
AUCUNE COOPERATION
1970
ASSISTANCE DE LAUDIT INTERNE
1990
COLLABORATION MUTUELLE DES AUDITEURS
1999
223
SYNERGIE CBFREVISEURSAUDIT INTERNE
Diffrences audit interne et externe

AUDIT INTERNE
MANDATAIRES
CONSEIL DIRECTION COMITE DAUDIT LEGISLATEUR ACTIONNAIRE COM. BANCAIRE
AUDIT EXTERNE
FINANCIER OPERATIONNEL GESTION
DOMAINES DINTERVENTION
FINANCIER COMPTABLE REGLEMENT.
SURVEILLANCE
PLANS PROCEDURES REGLEMENT. RECOMMANDATIONS INTEGRITE ECONOMIE EFFICIENCE ? LOIS COMM. REGLES COMPT. REGLEMENT.
PRODUIT FINAL
ATTESTATIONS COMPTES ANNUELS REGLEMENT.
DETECTION DES FRAUDES
224
Dtection des fraudes

RESPONSABILITES MAL DEFINIES RESPONSABILITE ULTIME
ADMINISTRATEURS
SI COMPTES ERRONES COMMISSAIRE?
FRAUDES BANCAIRES FAILLITES
AUDIT INTERNE?
FDIC IMPROVEMENT ACT (USA)
= EXAMEN ANNUEL DES CONTROLES INTERNES DES BANQUES > 150 M $ EXECUTER PAR AUDIT INTERNE OU EXTERNE + ATTESTATION DES COMMISSAIRES DE LA QUALITE ET DES RESULTATS DE LEXAMEN
225
Relations audit interne et externe NORMES DISPONIBLES

AUDITEURS INTERNES SIAS 5 INTERNAL AUDITORS RELATIONSHIP WITH INDEPENDANT OUTSIDE AUDITORS
AUDITEURS EXTERNES ISA 10 CONSIDERING THE WORK OF INTERNAL AUDIT
REVISEURS DENTREPRISES RECOM. UTILISATION DU TRAVAIL DUN SERVICE DAUDIT INTERNE PAS DE NORMES SUR COOPERATION
226

AUDIT INTERNE - SIAS 5 EFFICACITE ECONOMIE
COLLABORATION SOUHAITEE POUR
EFFICIENCE
EFFICACITE = NECESSITE DE COMMUNICATION ERREURS ET FAIBLESSES ACTES ILLEGAUX RESTRICTIONS DES TRAVAUX & DESACCORDS ECONOMIE = NECESSITE DE RECONNAISSANCE PLANS DINTERVENTION
ACCES AUX DOSSIERS & ECHANGE DE RAPPORTS

EFFICIENCE = NECESSITE DE COORDINATION CHOIX DE NORMES COMMUNES POUR TRAVAUX COMMUNS
227

AUDIT EXTERNE - ISA 10 RAPPORTS TRAVAUX DELEGATION
COMMISSAIRE SEUL RESPONSABLE
CONDITIONS DE COLLABORATION
EVALUATION
COMPETENCES QUALITE INDEPENDANCE
ETENDUE DES TRAVAUX

BANCAIRES AUDIT BANCAIRES AUDIT
SI SATISFAISANTE
PLANIFICATION SONDAGES LIMITES
228
Collaboration audit interne et externe
BENEFICE MUTUELS POUR LAUDIT EXTERNE AMELIORATION DES CONNAISSANCES

ORGANISATION INTERNE OPERATIONS EXTERNES
DE LA BANQUE
INTRODUCTION FACILITEE DANS LA BANQUE CONCENTRATION SUR RISQUES PRIORITAIRES OUVERTURE MULTIDISCIPLINAIRE
229
BENEFICES MUTUELS
POUR LAUDIT INTERNE APPORT DEXPERIENCES EXTERNES INFORMATION REGLEMENTAIRE CONTINUE COMPREHENSION DES OBJECTIFS DE REVISION
TECHNIQUE DE GESTION DES RISQUES

POUR LAUDIT EXTERNE ET INTERNE PLUS DE DUPLICATIONS
230

COMMENT LAMELIORER? COMBATTRE LES IDEES PRECONCUES
SEPARATION RECONNAISSANCE
HISTORIQUE
MUTUELLE
LOCALISER LES CONTROLES A LEUR SOURCE

DO IT YOURSELF CONTROLES PAR LES USAGERS (CSA)
IDENTIFIER LES ECONOMIES COMMUNES

ATTITUDE ENQUETEUR RAPPORTEUR ATTITUDE GESTIONNAIRE DES RISQUES
231
D1 99/1 nouvelles instructions aux reviseurs agrs
1. Cadre
Circulaire abordant le 3me cercle concentrique Clarification du rle du reviseur agre afin damliorer lefficacit du contrle prudentiel
2. Principales innovations
Collaboration entre les diffrents cercles
trialogue objectif = optimaliser la collaboration
232
D1 99/2 : Synergies CBF- reviseurs - auditeurs internes
1. Introduction
Les cercles concentriques du modle de contrle prudentiel Confiance mutuelle entre les diffrentes parties intresses CBF entend mettre en oeuvre des synergies fondes sur des principes clairement noncs
233
D1 99/2 : Lignes de forces
Ligne de force 1 :
Dans lintrt dun contrle bancaire adquat et en vue de parvenir une synergie optimale, la CBF, les reviseurs agrs et laudit interne sefforcent damliorer leur collaboration et leur interaction
Ligne de force 2 :
Le surveillance interne exerce par ltablissement de crdit lui-mme sappuie sur le contrle interne et laudit interne. Dans ces domaines, la Commission sattache formuler les bonnes pratiques bancaires et veille leur suivi
234
Ligne de force 3 :
La collaboration entre le reviseur et la Commission repose sur le principe que les tches du reviseur, en tant que collaborateur du contrle prudentiel, doivent constituer le complment de sa mission de droit priv
Ligne de force 4 :
La Commission encourage la collaboration et la concertation entre les groupes professionnels des reviseurs agrs et des auditeurs internes. Elle tient tre tenue informe de cette concertation
235
Ligne de force 5 :
Le contrle exerc par la Commission comprend tant des examens sur place que des inspections. Les inspections seront de prfrence, mais non exclusivement axes sur les domaines dans lesquels la CBF dispose dindications laissant prsumer un risque accru. Des inspections peuvent galement tre effectues pour examiner, dans plusieurs tablissements, la mme activit ou un aspect de celle-ci (inspections dites thmatiques ou horizontales)
236
Ligne de force 6 :
Dans lexercice de son contrle, la Commission sappuie sur la concertation priodique entre ses services et le responsable du service daudit interne. La Commission recommande en outre quau niveau du secteur, une concertation structure prenne place entre les auditeurs internes, dans le but dchange dinformation
Ligne de force 7 :
La collaboration entre la CBF, les reviseurs et les auditeurs internes prend appui sur une concertation priodique entre les parties concernes, tout en maintenant les responsabilits de chacune delles
237
COSO et la mise en place de structures intgres de risk management
238
Architecture de risk management"
239
Evolution
Environnement o lauto-contrle joue un rle prpondrant

CSA/CRSA - control/risk self assessment Processus de remise en question continue Auditeur interne facilite et supervise le processus Valeur ajoute de laudit interne
240
Le concept Enterprise-Wide Risk Architecture
Mission
241
Pourquoi une architecture ? Les mthodes conventionnelles pour grer les risques ne permettent quune apprhension fragmente
242
Une architecture de risque

Larchitecture de risque met disposition une approche permettant didentifier, valuer, amliorer, rapporter et prendre les mesures de corrections ncessaires lgard de tous les risques prsents au sein dune entreprise
Stratgie Risk Process
Infrastructure
Environnement
243
Les lments ncessaires la mise en oeuvre dune architecture
1. Lengagement du Senior Management

2. Des langages et des processus communs 3. Un responsable du Risk Management et du processus de changement 4. Un processus assurant un risk management continu 5. Une communication et une formation adquats 6. Des instruments de mesure
7. Renforcement via des mcanismes HR

8. Suivi du processus de risk management
244
Appliquer les mmes principes au sein du groupe
Les lments ncessaires la mise en oeuvre dune architecture

1. 1. Lengagement Lengagement du du Senior Senior Management Management 2. 2. Des Des langages langages et et des des processus processus communs communs 3. 3. Un Un responsable responsable du du Risk Risk Management Management et et du du processus processus de de changement changement 4. 4. Un Un processus processus assurant assurant un un risk risk management management continu continu 5. 5. Une Une communication communication et et une une formation formation adquats adquats 6. 6. Des Des instruments instruments de de mesure mesure 7. 7. Renforcement Renforcement via via des des mcanismes mcanismes HR HR 8. 8. Suivi Suivi du du processus processus de de risk risk management management
Approche consistante
96
245
Dterminer les objectifs et les catgories de risque
Economique Politique Juridique Technologique Comptition Change Stagnation des marchs Fournisseurs March Scurit/fraude
Stratgie Changement IT Personnel Rputation/media Production Achats Finance et reporting Working capital management Management information Contrles financiers
246
Etablir des cartographies de risque pour chaque entit
247
Outils de mise en oeuvre
248
Risk assessment and Analysis RISK

Organization & Culture
Soft Controls
Mission clarity Accountability
Documentation Communication Monitoring
Processes
Hard Controls
249
Facilitated Control Assessment

In FCA sessions, business processes are analysed along two dimensions of risk :
F C A S e s s i o n
e t h o d o l o g y
R i s k
" S o f t C o n t r o l s "
" H a r d C o n t r o l s "
P e o p l e & C u l t u r e
C o n t r o l C u l t u r e S u r v e y
M i s s i o n c l a r i t y
B u s i n e s s P r o c e s s
O b j e c t i v e , R i s k & C o n t r o l A l i g n m e n t
D e f i n e O b j e c t i v e s A c t i o n P l a n n i n g / A c c o u n t a b i l i t i e s A n a l y z e C o n t r o l s A s s e s s R i s k s
A c c o u n t a b i l i t y
D o c u m e n t a t i o n
C o m m u n i c a t i o n
M o n i t o r i n g
250

FCA relies upon a consistent application of CSA and ORCA methodologies but session structure is highly flexible
F C A S e s s i o n
C o n t r o l E d u c a t i o n
S e s s i o n F l o w
C o n t r o l C u l t u r e S u r v e y P r o c e s s M a p R e v i e w
D e f i n e O b j e c t i v e s
A c t i o n P l a n n i n g / A c c o u n t a b i l i t i e s A n a l y z e C o n t r o l s
A s s e s s R i s k s
R e p o r t i n g / F o l l o w u p
251
252
Groupsystems
Electronic decision conferencing software
Flexible, anonymous, democratic

Standard agenda but flexible
Ranking of key risks

Client then selects top 3-5 for action planning Actions prioritized
253
Groupsystems
Anonymously brainstorming, ranking and voting.
254
Groupsystems
255
Groupsystems
256
Risk management architecture capturing tools
Enterprise
Issues Analysis
BU/Group
Risk & Control Survey ORCAObjectives Risks and Control Alignment
Action Planning and Reporting
Dept/Process
Key Actions
Employee
257
Risk management architecture capturing tools Leads management through a proven methodology and framework for business risk and control assessment. Provides an automated medium for performing an overall control system evaluation based on the best practice of the COSO integrated framework, applicable to all levels of an organization. Provides an efficient platform for planning and executing assessment of business objectives, risks and controls and alignment at all levels of an organization, including specific business processes. Manages data and information emanating from risk and control assessment projects for productive use by the organization. Facilitates action toward risk management and control improvement.
258
Comment automatiser le processus? SABRA : Self Assessment Based Risk Analysis
259
Comment automatiser le processus?
260
Comment automatiser le processus?
261
Annexes
Autres cadres de rfrence : KonTraG (D) The Combined Code - Cadbury, Hampel, Turnbull (UK)
262
KonTraG (Allemagne)
Nouvelle lgislation sur le contrle et la transparence (Kontroll- und Transparenzgesetz) Effective pour les exercices dbutant aprs le 31 dcembre 1998 KonTraG est une consolidation des changements apports aux diffrentes rglementations existantes Diffrents types dentreprises sont affectes: AG and GmbH
Vise galement les filiales trangres si ces dernires ont un impact potentiel sur le systme de risk management de la maison mre
La notion de risque est toutefois limite au danger
Risque selon KonTraG =

la possibilit quune activit conomique fasse lobjet dune moins-value, subisse des pertes ou soit confronte tout autre dsavantage conomique
263
KonTraG (Allemagne)
Meilleure dfinition des rles respectifs et des mesures de sgrgation des tches en application des principes de corporate governance Obligation de mettre en oeuvre un systme adquat de contrle des risques et dun early warning system (comprenant lidentification du risque et son valuation mais pas les mesures mettre en oeuvre) Reporting spcifique dans les tats financiers sur les risques pouvant affecter le dveloppement futur de lentreprise Considrations sur lutilit dun dpartement daudit interne agissant en tant que risk manager Obligation du reviseur dentreprises de procder lexamen et lvaluation de:
Ladquation et l'efficacit du systme de contrle des risques (uniquement pour les socits cote en bourse Du fonctionnement de laudit interne en tant que risk manager Rapport sur les risques pouvant affecter lavenir de lentreprise
264
Cadbury (Royaume Uni)

Rapport Cadbury fut publi en 1992 et visait promouvoir un code des pratiques de rfrence (Best Practices) en matire corporate governance. Cadbury recommandait que les administrateurs tablissent un rapport sur les mesures adoptes quant la mise en oeuvre des rgles de corporate governance :
Reconnaissance par les administrateurs du fait quils sont responsables du systme de contrle interne en place au sein de lentreprise Explication quun tel systme ne peut procurer une certitude absolue contre les erreurs matrielles pouvant figurer dans les tats financiers Description des principales procdures mise en place afin dassurer un systme de contrle interne efficace Confirmation par les administrateurs (ou le conseil dadministration) quils ont procd la revue de lefficacit du systme de contrle interne
265
Hampel/Turnbull (Royaume Uni)

Combined Code publi en juin 1998 en y incluant les travaux de Cadbury Dveloppements rcents : Turnbull requirements on Boards statement on internal control in the annual report (septembre 1999)
Applicable toute entreprise cot au LSE Obligation de sy conformer au terme de lexercice 2000 Les socits doivent rapporter si elles se conforment aux obligations du Code
et elles doivent dcrire les mesures mise en oeuvre en application des principes du Code
Internal Control - Guidance for Directors on the Combined Code Sur limportance du contrle interne et du risk management
266
Hampel/Turnbull (Royaume Uni)

Rapport de gestion annuel du conseil d'administration doit aborder les points suivants :
Les changements depuis la dernire valuation La nature des risques en prsence et laptitude de lentreprise pouvoir les contrer Ltendue et la qualit du systme de contrle permanent des risques et du systme de contrle interne Ltendue et la frquence de la communication au conseil des rsultats affrents ces contrle Lefficacit du systme de gestion des risques Lincidence des dfaillances des principaux contrles
Lefficacit du systme de communication auprs des investisseurs
267
Annexes
268
Annexes
Internal control - Integrated framework - Executive Summary - September 1992, Committee of Sponsoring Organizations of the Treadway Commission Institut des Reviseurs dEntreprises - Le gouvernement dentreprise et le commissairereviseur - Rflexions et opinions - numro 5/1996 (extraits) Framework for internal control systems in banking organisation - Basle Committee on Banking Supervision - Basle September 1998 ISA 10 - Considering the work of internal audit IRE - Recommandation relative lutilisation du travail dun service daudit interne Rapport CBF 1996-1997 - extraits : Conception et pratique du contrle prudentiel Circulaire CBF D1 97/4 du 30 juin 1997 sur le contrle interne et laudit interne
Circulaire CBF D1/1690 du 9 juin 1998 sur le contrle interne et laudit interne Questionnaire sur le contrle interne et laudit interne
Circulaire CBF D1 99/2 du 16 avril 1999 sur la synergie CBF-reviseurs-audit interne
269

Audit Interne Banque

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit Interne Banque

Transféré par

Droits d'auteur :

Formats disponibles

AUDIT INTERNE EN BANQUE

Denis Caprasse Karin Maquet

Table des matires

Evolution de la fonction daudit interne

Audit interne : volution historique

UN MAL NECESSAIRE DESIR DE CHANGEMENT

LES NOUVELLES TENDANCES LES DEFIS DU FUTUR

Laudit interne avant-hier

Laudit interne dhier

Laudit interne aujourdhui

Dlgation force des pouvoirs

Audit interne : Les dfis du futur

EMERGENCE DE NOUVELLES MISSIONS?

EVOLUTION POSSIBLE DE LA FONCTION

EFFETS SUR LES MISSIONS

Lvolution du mtier daudit interne Reactive Proactive

Stand Alone Audit Function Transaction Focus

Enterprise Risk Management

Consultant Business Enhancement/ Efficiency

Lvolution du mtier daudit interne

Nouvelle dfinition de laudit interne par le Institute of Internal Auditors:

Lenvironnement de lauditeur interne en banque

Conception et pratique du contrle prudentiel

Les cercles concentriques du contrle prudentiel

Supervision by CBF Supervision by auditor Internal audit

Rapport CBF 1996-1997 pp 26-31

Les lments constitutifs

Contrle interne : cadre de rfrence COSO

COSO : les concepts fondateurs

Des risques accrus

Empowerment Plus forte dlgation

Des structures organisationnelles moins pyramidales

Forces externes de changement

Changement des facteurs de risque oprationnel

Ncessitant un changement des pratiques oprationnelles

Des risques accrus

L'accroissement des risques oprationnels rsulte de ces changements

Gestion des cots

Procdures de conformit et de contrle

Rorganisation des processus

Shareholder value and corporate governance

Et quelques exemples de scandales

Sumitomo Positions non autorises

Besoin dun contrle accr

Groupe Crdit Lyonnais Pertes importantes

United Way Pratiques de gestion douteuses

Ncessit d'une nouvelle culture du contrle

Une structure intgre pour le contrle interne

Committee of Sponsoring Organizations of the Treadway Commission

Une structure intgre pour le contrle interne

Contenu du rapport COSO

Evaluation tools (septembre 92)

Une nouvelle perception du contrle interne

Interactions entre les diffrents lments constitutifs

Transmet la philosophie de gestion

Mcanismes de gestion visant la ralisation des objectifs

Identification et utilisation des informations externes ad hoc

Gestion de la communication au sein de lorganisation

La surveillance Monitoring is a continual process to assess control systems and activities

Activits ponctuelles et continues

Mcanismes afin de rapporter les dficiences majeures

COSO : la rfrence en matire de contrle interne

Juxtaposition des activits

Intgration des objectifs